Dokumen ini menyediakan langkah-langkah dan panduan untuk menerapkan desain jaringan yang Anda pilih setelah meninjau Menentukan desain jaringan untuk zona landing Google Cloud Anda. Jika Anda belum melakukannya, tinjau Desain zona landing di Google Cloud sebelum memilih opsi.
Petunjuk ini ditujukan untuk engineer jaringan, arsitek, dan praktisi teknis yang terlibat dalam membuat desain jaringan untuk zona landing organisasi Anda.
Opsi desain jaringan
Berdasarkan desain jaringan yang Anda pilih, selesaikan salah satu hal berikut:
- Membuat opsi 1: Jaringan VPC bersama untuk setiap lingkungan
- Membuat opsi 2: Topologi hub-and-spoke dengan peralatan terpusat
- Membuat opsi 3: Topologi hub-and-spoke tanpa peralatan
- Membuat opsi 4: Mengekspos layanan dalam model produsen konsumen dengan Private Service Connect
Membuat opsi 1: Jaringan VPC bersama untuk setiap lingkungan
Jika Anda memilih untuk membuat jaringan VPC Bersama untuk setiap lingkungan di bagian "Menentukan desain jaringan untuk zona landing Google Cloud Anda", ikuti prosedur ini.
Langkah-langkah berikut membuat satu instance VPC. Jika Anda memerlukan beberapa instance VPC, seperti untuk lingkungan pengembangan dan produksi, ulangi langkah-langkah untuk setiap VPC.
Membatasi akses eksternal dengan menggunakan kebijakan organisasi
Sebaiknya batasi akses langsung ke internet hanya untuk resource yang membutuhkannya. Resource tanpa alamat eksternal masih dapat mengakses banyak API dan layanan Google melalui Akses Google Pribadi. Akses Google Pribadi diaktifkan di tingkat subnet dan memungkinkan resource berinteraksi dengan layanan utama Google, sekaligus mengisolasinya dari internet publik.
Dalam hal kegunaan, fungsi default Google Cloud memungkinkan pengguna membuat resource di semua project, asalkan mereka memiliki izin IAM yang benar. Untuk meningkatkan keamanan, sebaiknya batasi izin default untuk jenis resource yang dapat menyebabkan akses internet yang tidak diinginkan. Selanjutnya, Anda dapat memberikan otorisasi pada project tertentu hanya untuk mengizinkan pembuatan resource ini. Gunakan petunjuk pada Membuat dan mengelola kebijakan organisasi untuk menetapkan batasan berikut.
Membatasi Penerusan Protokol Berdasarkan jenis Alamat IP
Penerusan protokol akan membuat resource aturan penerusan dengan alamat IP eksternal dan memungkinkan Anda mengarahkan traffic ke VM.
Batasan Membatasi Penerusan Protokol Berdasarkan jenis Alamat IP mencegah pembuatan aturan penerusan dengan alamat IP eksternal untuk seluruh organisasi. Untuk project yang diizinkan menggunakan aturan penerusan eksternal, Anda dapat mengubah batasan di level folder atau project.
Tetapkan nilai berikut untuk mengonfigurasi batasan ini:
- Berlaku untuk: Sesuaikan
- Penegakan kebijakan: Ganti
- Nilai kebijakan: Kustom
- Jenis kebijakan: Tolak
- Nilai khusus:
IS:EXTERNAL
Menentukan IP eksternal yang diizinkan untuk instance VM
Secara default, setiap instance VM dapat memperoleh alamat IP eksternal, yang memungkinkan konektivitas keluar dan masuk dengan internet.
Menerapkan batasan Menentukan IP eksternal yang diizinkan untuk instance VM akan mencegah penggunaan alamat IP eksternal dengan instance VM. Untuk workload yang memerlukan alamat IP eksternal pada instance VM individual, ubah batasan di level folder atau project untuk menentukan setiap instance VM individual. Atau, ganti batasan untuk project yang relevan.
- Berlaku untuk: Sesuaikan
- Penegakan kebijakan: Ganti
- Nilai kebijakan: Tolak Semua
Nonaktifkan penggunaan IPv6 Eksternal VPC
Batasan Menonaktifkan penggunaan IPv6 Eksternal VPC, jika ditetapkan ke True
,
akan mencegah konfigurasi subnet VPC dengan alamat IPv6 eksternal untuk instance
VM.
- Berlaku untuk: Sesuaikan
- Penegakan: Aktif
Menonaktifkan pembuatan jaringan default
Saat project baru dibuat, VPC default akan otomatis dibuat. Cara ini berguna untuk eksperimen cepat yang tidak memerlukan konfigurasi jaringan tertentu atau integrasi dengan lingkungan jaringan perusahaan yang lebih besar.
Konfigurasikan batasan Lewati pembuatan jaringan default guna menonaktifkan pembuatan VPC default untuk project baru. Anda dapat membuat jaringan default secara manual dalam sebuah project, jika diperlukan.
- Berlaku untuk: Sesuaikan
- Penegakan: Aktif
Mendesain aturan firewall
Dengan aturan firewall, Anda dapat mengizinkan atau menolak traffic ke atau dari VM berdasarkan konfigurasi yang Anda tentukan. Kebijakan firewall hierarkis diimplementasikan di tingkat organisasi dan folder, sementara kebijakan firewall jaringan diimplementasikan di tingkat jaringan VPC dalam hierarki resource. Bersama-sama, keduanya memberikan kemampuan penting untuk membantu mengamankan workload Anda.
Di mana pun kebijakan firewall diterapkan, gunakan pedoman berikut saat mendesain dan mengevaluasi aturan firewall:
- Menerapkan prinsip hak istimewa terendah (juga disebut sebagai segmentasi mikro). Memblokir semua traffic secara default dan hanya mengizinkan traffic tertentu yang Anda butuhkan. Hal ini termasuk membatasi aturan hanya untuk protokol dan port yang Anda perlukan untuk setiap workload.
- Aktifkan logging aturan firewall untuk visibilitas perilaku firewall dan untuk menggunakan Analisis Firewall.
- Menentukan metodologi penomoran untuk mengalokasikan prioritas aturan firewall. Misalnya, praktik terbaiknya adalah mencadangkan rentang angka rendah di setiap kebijakan untuk aturan yang diperlukan selama respons insiden. Sebaiknya Sebaiknya Anda juga memprioritaskan aturan yang lebih spesifik daripada aturan yang lebih umum, untuk memastikan bahwa aturan tertentu tidak dibayangi oleh aturan umum. Contoh berikut menunjukkan pendekatan yang memungkinkan untuk prioritas aturan firewall:
Rentang prioritas aturan firewall |
Tujuan |
---|---|
0-999 |
Disediakan untuk respons insiden |
1000-1999 |
Traffic selalu diblokir |
2000-1999999999 |
Aturan khusus workload |
2000000000-2100000000 |
Aturan generik |
2100000001-2147483643 |
Reserved |
Mengonfigurasi kebijakan firewall hierarkis
Kebijakan firewall hierarkis memungkinkan Anda membuat dan menerapkan kebijakan firewall yang konsisten di seluruh organisasi. Untuk contoh penggunaan kebijakan firewall hierarkis, lihat Contoh kebijakan firewall hierarkis.
Tentukan kebijakan firewall hierarkis untuk menerapkan kontrol akses jaringan berikut:
- Identity-Aware Proxy (IAP) untuk penerusan TCP. IAP untuk penerusan TCP diizinkan melalui kebijakan keamanan yang mengizinkan traffic masuk dari rentang IP 35.235.240.0/20 untuk TCP port 22 dan 3389.
- Health check untuk Cloud Load Balancing. Rentang yang sudah diketahui yang
digunakan untuk health check diizinkan.
- Untuk sebagian besar instance Cloud Load Balancing (termasuk Load Balancing TCP/UDP Internal, Load Balancing HTTP(S) Internal, Load Balancing Proxy TCP Eksternal, Load Balancing Proxy SSL Eksternal, dan Load Balancing HTTP(S)), sebuah kebijakan keamanan ditetapkan yang mengizinkan traffic masuk dari rentang IP 35.191.0.0/16 dan 130.211.0.0/22 untuk port 80 and 443.
- Untuk Network Load Balancing, ditetapkan kebijakan keamanan yang memungkinkan health check lama dengan mengizinkan traffic masuk dari rentang IP 35.191.0.0/16, 209.85.152.0/22, dan 209.85.204.0/22 untuk port 80 dan 443.
Mengonfigurasi lingkungan VPC Bersama
Sebelum menerapkan desain VPC Bersama, tentukan cara berbagi subnet dengan project layanan. Anda harus melampirkan project layanan ke project host. Untuk menentukan subnet yang tersedia untuk project layanan, Anda perlu menetapkan izin IAM ke project host atau subnet individual. Misalnya, Anda dapat memilih untuk mendedikasikan subnet yang berbeda untuk setiap project layanan, atau berbagi subnet yang sama antar-project layanan.
- Buat project baru untuk VPC Bersama. Selanjutnya dalam proses ini, project ini menjadi project host dan berisi jaringan serta resource jaringan untuk dibagikan dengan project layanan.
- Aktifkan Compute Engine API untuk project host.
- Mengonfigurasi VPC Bersama untuk project.
- Buat jaringan VPC mode kustom di project host.
- Buat subnet di region tempat Anda berencana men-deploy workload. Untuk setiap subnet, aktifkan Akses Google Pribadi agar instance VM tanpa alamat IP eksternal dapat menjangkau layanan Google.
Mengonfigurasi Cloud NAT
Ikuti langkah-langkah ini jika workload di wilayah tertentu memerlukan akses internet keluar—misalnya, untuk mendownload paket software atau update.
- Buat gateway Cloud NAT di region tempat workload memerlukan akses internet keluar. Anda dapat menyesuaikan konfigurasi Cloud NAT untuk hanya mengizinkan konektivitas keluar dari subnet tertentu, jika diperlukan.
- Minimal,
aktifkan logging Cloud NAT
agar gateway dapat mencatat
ERRORS_ONLY
ke dalam log. Guna menyertakan log untuk terjemahan yang dilakukan oleh Cloud NAT, konfigurasikan setiap gateway untuk mencatatALL
ke dalam log.
Mengonfigurasi konektivitas hybrid
Anda dapat menggunakan Dedicated Interconnect, Partner Interconnect, atau Cloud VPN untuk menyediakan konektivitas hybrid ke zona landing Anda. Langkah-langkah berikut akan membuat resource konektivitas hybrid awal yang diperlukan untuk opsi desain ini:- Jika Anda menggunakan Dedicated Interconnect, lakukan hal berikut. Jika Anda menggunakan Partner Interconnect atau Cloud VPN, Anda dapat melewati langkah-langkah ini.
- Untuk setiap region tempat
Anda menghentikan konektivitas hybrid di jaringan VPC, lakukan tindakan berikut:
- Buat dua lampiran VLAN Khusus atau Partner, satu untuk setiap zona ketersediaan edge. Sebagai bagian dari proses ini, Anda perlu memilih Cloud Router dan membuat sesi BGP.
- Konfigurasi router jaringan peer (lokal atau cloud lainnya).
Mengonfigurasi project workload
Buat project layanan terpisah untuk setiap workload:
- Buat project baru untuk berfungsi sebagai salah satu project layanan untuk VPC Bersama.
- Aktifkan Compute Engine API untuk project layanan.
- Melampirkan project ke project host.
- Konfigurasikan akses ke semua subnet di project host atau beberapa subnet di project host.
Mengonfigurasi kemampuan observasi
Network Intelligence Center memberikan cara kohesif untuk memantau, memecahkan masalah, dan memvisualisasikan lingkungan jaringan cloud Anda. Gunakan hal ini untuk memastikan bahwa desain Anda berfungsi sesuai dengan intent yang diinginkan.
Konfigurasi berikut mendukung analisis logging dan metrik yang diaktifkan.
- Anda harus mengaktifkan Network Management API sebelum dapat menjalankan Uji Konektivitas. Mengaktifkan API diperlukan untuk menggunakan API secara langsung, Google Cloud CLI, atau konsol Google Cloud.
- Anda harus mengaktifkan Firewall Insights API sebelum dapat melakukan tugas apa pun menggunakan Analisis Firewall.
Langkah berikutnya
Konfigurasi awal untuk opsi desain jaringan ini sekarang sudah selesai. Sekarang Anda dapat mengulangi langkah-langkah ini untuk mengonfigurasi instance tambahan dari lingkungan zona landing, seperti lingkungan staging atau produksi, atau melanjutkan ke Menentukan keamanan untuk zona landing Google Cloud Anda.
Membuat opsi 2: Topologi hub-and-spoke dengan peralatan terpusat
Jika Anda telah memilih untuk membuat topologi hub-and-spoke dengan peralatan terpusat di bagian "Menentukan desain jaringan untuk zona landing Google Cloud Anda", ikuti prosedur ini.
Langkah-langkah berikut membuat satu instance VPC. Jika Anda memerlukan beberapa instance VPC, seperti untuk lingkungan pengembangan dan produksi, ulangi langkah-langkah untuk setiap VPC.
Membatasi akses eksternal dengan menggunakan kebijakan organisasi
Sebaiknya batasi akses langsung ke internet hanya untuk resource yang membutuhkannya. Resource tanpa alamat eksternal masih dapat mengakses banyak API dan layanan Google melalui Akses Google Pribadi. Akses Google Pribadi diaktifkan di tingkat subnet dan memungkinkan resource berinteraksi dengan layanan utama Google, sekaligus mengisolasinya dari internet publik.
Dalam hal kegunaan, fungsi default Google Cloud memungkinkan pengguna membuat resource di semua project, asalkan mereka memiliki izin IAM yang benar. Untuk meningkatkan keamanan, sebaiknya batasi izin default untuk jenis resource yang dapat menyebabkan akses internet yang tidak diinginkan. Selanjutnya, Anda dapat memberikan otorisasi pada project tertentu hanya untuk mengizinkan pembuatan resource ini. Gunakan petunjuk pada Membuat dan mengelola kebijakan organisasi untuk menetapkan batasan berikut.
Membatasi Penerusan Protokol Berdasarkan jenis Alamat IP
Penerusan protokol akan membuat resource aturan penerusan dengan alamat IP eksternal dan memungkinkan Anda mengarahkan traffic ke VM.
Batasan Membatasi Penerusan Protokol Berdasarkan jenis Alamat IP mencegah pembuatan aturan penerusan dengan alamat IP eksternal untuk seluruh organisasi. Untuk project yang diizinkan menggunakan aturan penerusan eksternal, Anda dapat mengubah batasan di level folder atau project.
Tetapkan nilai berikut untuk mengonfigurasi batasan ini:
- Berlaku untuk: Sesuaikan
- Penegakan kebijakan: Ganti
- Nilai kebijakan: Kustom
- Jenis kebijakan: Tolak
- Nilai khusus:
IS:EXTERNAL
Menentukan IP eksternal yang diizinkan untuk instance VM
Secara default, setiap instance VM dapat memperoleh alamat IP eksternal, yang memungkinkan konektivitas keluar dan masuk dengan internet.
Menerapkan batasan Menentukan IP eksternal yang diizinkan untuk instance VM akan mencegah penggunaan alamat IP eksternal dengan instance VM. Untuk workload yang memerlukan alamat IP eksternal pada instance VM individual, ubah batasan di level folder atau project untuk menentukan setiap instance VM individual. Atau, ganti batasan untuk project yang relevan.
- Berlaku untuk: Sesuaikan
- Penegakan kebijakan: Ganti
- Nilai kebijakan: Tolak Semua
Nonaktifkan penggunaan IPv6 Eksternal VPC
Batasan Menonaktifkan penggunaan IPv6 Eksternal VPC, jika ditetapkan ke True
,
akan mencegah konfigurasi subnet VPC dengan alamat IPv6 eksternal untuk instance
VM.
- Berlaku untuk: Sesuaikan
- Penegakan: Aktif
Menonaktifkan pembuatan jaringan default
Saat project baru dibuat, VPC default akan otomatis dibuat. Cara ini berguna untuk eksperimen cepat yang tidak memerlukan konfigurasi jaringan tertentu atau integrasi dengan lingkungan jaringan perusahaan yang lebih besar.
Konfigurasikan batasan Lewati pembuatan jaringan default guna menonaktifkan pembuatan VPC default untuk project baru. Anda dapat membuat jaringan default secara manual dalam sebuah project, jika diperlukan.
- Berlaku untuk: Sesuaikan
- Penegakan: Aktif
Mendesain aturan firewall
Dengan aturan firewall, Anda dapat mengizinkan atau menolak traffic ke atau dari VM berdasarkan konfigurasi yang Anda tentukan. Kebijakan firewall hierarkis diimplementasikan di tingkat organisasi dan folder, sementara kebijakan firewall jaringan diimplementasikan di tingkat jaringan VPC dalam hierarki resource. Bersama-sama, keduanya memberikan kemampuan penting untuk membantu mengamankan workload Anda.
Di mana pun kebijakan firewall diterapkan, gunakan pedoman berikut saat mendesain dan mengevaluasi aturan firewall:
- Menerapkan prinsip hak istimewa terendah (juga disebut sebagai segmentasi mikro). Memblokir semua traffic secara default dan hanya mengizinkan traffic tertentu yang Anda butuhkan. Hal ini termasuk membatasi aturan hanya untuk protokol dan port yang Anda perlukan untuk setiap workload.
- Aktifkan logging aturan firewall untuk visibilitas perilaku firewall dan untuk menggunakan Analisis Firewall.
- Menentukan metodologi penomoran untuk mengalokasikan prioritas aturan firewall. Misalnya, praktik terbaiknya adalah mencadangkan rentang angka rendah di setiap kebijakan untuk aturan yang diperlukan selama respons insiden. Sebaiknya Sebaiknya Anda juga memprioritaskan aturan yang lebih spesifik daripada aturan yang lebih umum, untuk memastikan bahwa aturan tertentu tidak dibayangi oleh aturan umum. Contoh berikut menunjukkan pendekatan yang memungkinkan untuk prioritas aturan firewall:
Rentang prioritas aturan firewall |
Tujuan |
---|---|
0-999 |
Disediakan untuk respons insiden |
1000-1999 |
Traffic selalu diblokir |
2000-1999999999 |
Aturan khusus workload |
2000000000-2100000000 |
Aturan generik |
2100000001-2147483643 |
Reserved |
Mengonfigurasi kebijakan firewall hierarkis
Kebijakan firewall hierarkis memungkinkan Anda membuat dan menerapkan kebijakan firewall yang konsisten di seluruh organisasi. Untuk contoh penggunaan kebijakan firewall hierarkis, lihat Contoh kebijakan firewall hierarkis.
Tentukan kebijakan firewall hierarkis untuk menerapkan kontrol akses jaringan berikut:
- Identity-Aware Proxy (IAP) untuk penerusan TCP. IAP untuk penerusan TCP diizinkan melalui kebijakan keamanan yang mengizinkan traffic masuk dari rentang IP 35.235.240.0/20 untuk TCP port 22 dan 3389.
- Health check untuk Cloud Load Balancing. Rentang yang sudah diketahui yang
digunakan untuk health check diizinkan.
- Untuk sebagian besar instance Cloud Load Balancing (termasuk Load Balancing TCP/UDP Internal, Load Balancing HTTP(S) Internal, Load Balancing Proxy TCP Eksternal, Load Balancing Proxy SSL Eksternal, dan Load Balancing HTTP(S)), sebuah kebijakan keamanan ditetapkan yang mengizinkan traffic masuk dari rentang IP 35.191.0.0/16 dan 130.211.0.0/22 untuk port 80 and 443.
- Untuk Network Load Balancing, ditetapkan kebijakan keamanan yang memungkinkan health check lama dengan mengizinkan traffic masuk dari rentang IP 35.191.0.0/16, 209.85.152.0/22, dan 209.85.204.0/22 untuk port 80 dan 443.
Mengonfigurasi lingkungan VPC Anda
Jaringan VPC transit dan hub menyediakan resource jaringan untuk mengaktifkan konektivitas antara yang jaringan VPC spoke workload dan jaringan lokal atau multi-cloud.
- Buat project baru untuk jaringan VPC transit dan hub. Kedua jaringan VPC merupakan bagian dari project yang sama untuk mendukung konektivitas melalui peralatan jaringan virtual.
- Aktifkan Compute Engine API untuk project.
- Buat jaringan VPC mode kustom transit.
- Pada jaringan VPC transit, buat subnet di region tempat Anda berencana untuk men-deploy peralatan jaringan virtual.
- Membuat jaringan VPC mode kustom hub.
- Pada jaringan VPC hub, buat subnet di region tempat Anda berencana untuk men-deploy peralatan jaringan virtual.
- Konfigurasikan kebijakan firewall jaringan global atau regional untuk mengizinkan traffic masuk dan keluar untuk peralatan virtual jaringan.
- Buat grup instance terkelola untuk peralatan jaringan virtual.
- Konfigurasikan resource load balancing TCP/UDP internal untuk VPC transit. Load balancer ini digunakan untuk merutekan traffic dari VPC transit ke VPC hub melalui peralatan jaringan virtual.
- Konfigurasikan resource load balancing TCP/UDP internal untuk VPC hub. Load balancer ini digunakan untuk merutekan traffic dari. VPC hub ke VPC transit melalui perangkat jaringan virtual.
- Mengonfigurasi Private Service Connect untuk Google API untuk VPC hub.
- Ubah rute VPC
untuk mengirim semua traffic melalui peralatan virtual jaringan:
- Hapus rute
0.0.0.0/0
dengandefault-internet-gateway
next-hop dari VPC hub. - Konfigurasikan rute baru dengan tujuan
0.0.0.0/0
dan next-hop dari aturan penerusan untuk load balancer di VPC hub.
- Hapus rute
Mengonfigurasi Cloud NAT
Ikuti langkah-langkah ini jika workload di wilayah tertentu memerlukan akses internet keluar—misalnya, untuk mendownload paket software atau update.
- Buat gateway Cloud NAT di region tempat workload memerlukan akses internet keluar. Anda dapat menyesuaikan konfigurasi Cloud NAT untuk hanya mengizinkan konektivitas keluar dari subnet tertentu, jika diperlukan.
- Minimal,
aktifkan logging Cloud NAT
agar gateway dapat mencatat
ERRORS_ONLY
ke dalam log. Guna menyertakan log untuk terjemahan yang dilakukan oleh Cloud NAT, konfigurasikan setiap gateway untuk mencatatALL
ke dalam log.
Mengonfigurasi konektivitas hybrid
Anda dapat menggunakan Dedicated Interconnect, Partner Interconnect, atau Cloud VPN untuk menyediakan konektivitas hybrid ke zona landing Anda. Langkah-langkah berikut akan membuat resource konektivitas hybrid awal yang diperlukan untuk opsi desain ini:- Jika Anda menggunakan Dedicated Interconnect, lakukan hal berikut. Jika Anda menggunakan Partner Interconnect atau Cloud VPN, Anda dapat melewati langkah-langkah ini.
- Untuk setiap region tempat
Anda menghentikan konektivitas hybrid di jaringan VPC, lakukan tindakan berikut:
- Buat dua lampiran VLAN Khusus atau Partner, satu untuk setiap zona ketersediaan edge. Sebagai bagian dari proses ini, Anda perlu memilih Cloud Router dan membuat sesi BGP.
- Konfigurasi router jaringan peer (lokal atau cloud lainnya).
- Mengonfigurasi rute kustom yang diiklankan di Cloud Router untuk rentang subnet di VPC hub dan workload.
Mengonfigurasi project workload
Buat VPC spoke terpisah untuk setiap workload:
- Buat project baru untuk menghosting workload Anda.
- Aktifkan Compute Engine API untuk project.
- Konfigurasikan Peering Jaringan VPC
antara VPC spoke dan VPC hub workload dengan setelan berikut:
- Mengaktifkan ekspor rute kustom pada VPC hub.
- Aktifkan impor rute kustom pada VPC spoke workload.
- Buat subnet di region tempat Anda berencana men-deploy workload. Untuk setiap subnet, aktifkan Akses Google Pribadi untuk mengizinkan instance VM dengan hanya alamat IP internal menjangkau layanan Google.
- Mengonfigurasi Private Service Connect untuk Google API.
- Untuk mengarahkan semua traffic melalui peralatan jaringan virtual di VPC
hapus rute
0.0.0.0/0
dengandefault-internet-gateway
ext-hop dari VPC spoke workload. - Konfigurasikan kebijakan firewall jaringan global atau regional untuk mengizinkan traffic masuk dan keluar untuk workload Anda.
Mengonfigurasi kemampuan observasi
Network Intelligence Center memberikan cara kohesif untuk memantau, memecahkan masalah, dan memvisualisasikan lingkungan jaringan cloud Anda. Gunakan hal ini untuk memastikan bahwa desain Anda berfungsi sesuai dengan intent yang diinginkan.
Konfigurasi berikut mendukung analisis logging dan metrik yang diaktifkan.
- Anda harus mengaktifkan Network Management API sebelum dapat menjalankan Uji Konektivitas. Mengaktifkan API diperlukan untuk menggunakan API secara langsung, Google Cloud CLI, atau konsol Google Cloud.
- Anda harus mengaktifkan Firewall Insights API sebelum dapat melakukan tugas apa pun menggunakan Analisis Firewall.
Langkah berikutnya
Konfigurasi awal untuk opsi desain jaringan ini sekarang sudah selesai. Sekarang Anda dapat mengulangi langkah-langkah ini untuk mengonfigurasi instance tambahan dari lingkungan zona landing, seperti lingkungan staging atau produksi, atau melanjutkan ke Menentukan keamanan untuk zona landing Google Cloud Anda.
Membuat opsi 3: Topologi hub-and-spoke tanpa peralatan
Jika Anda telah memilih untuk membuat topologi hub-and-spoke tanpa peralatan di bagian "Menentukan desain jaringan untuk zona landing Google Cloud Anda", ikuti prosedur ini.
Langkah-langkah berikut membuat satu instance VPC. Jika Anda memerlukan beberapa instance VPC, seperti untuk lingkungan pengembangan dan produksi, ulangi langkah-langkah untuk setiap VPC.
Membatasi akses eksternal dengan menggunakan kebijakan organisasi
Sebaiknya batasi akses langsung ke internet hanya untuk resource yang membutuhkannya. Resource tanpa alamat eksternal masih dapat mengakses banyak API dan layanan Google melalui Akses Google Pribadi. Akses Google Pribadi diaktifkan di tingkat subnet dan memungkinkan resource berinteraksi dengan layanan utama Google, sekaligus mengisolasinya dari internet publik.
Dalam hal kegunaan, fungsi default Google Cloud memungkinkan pengguna membuat resource di semua project, asalkan mereka memiliki izin IAM yang benar. Untuk meningkatkan keamanan, sebaiknya batasi izin default untuk jenis resource yang dapat menyebabkan akses internet yang tidak diinginkan. Selanjutnya, Anda dapat memberikan otorisasi pada project tertentu hanya untuk mengizinkan pembuatan resource ini. Gunakan petunjuk pada Membuat dan mengelola kebijakan organisasi untuk menetapkan batasan berikut.
Membatasi Penerusan Protokol Berdasarkan jenis Alamat IP
Penerusan protokol akan membuat resource aturan penerusan dengan alamat IP eksternal dan memungkinkan Anda mengarahkan traffic ke VM.
Batasan Membatasi Penerusan Protokol Berdasarkan jenis Alamat IP mencegah pembuatan aturan penerusan dengan alamat IP eksternal untuk seluruh organisasi. Untuk project yang diizinkan menggunakan aturan penerusan eksternal, Anda dapat mengubah batasan di level folder atau project.
Tetapkan nilai berikut untuk mengonfigurasi batasan ini:
- Berlaku untuk: Sesuaikan
- Penegakan kebijakan: Ganti
- Nilai kebijakan: Kustom
- Jenis kebijakan: Tolak
- Nilai khusus:
IS:EXTERNAL
Menentukan IP eksternal yang diizinkan untuk instance VM
Secara default, setiap instance VM dapat memperoleh alamat IP eksternal, yang memungkinkan konektivitas keluar dan masuk dengan internet.
Menerapkan batasan Menentukan IP eksternal yang diizinkan untuk instance VM akan mencegah penggunaan alamat IP eksternal dengan instance VM. Untuk workload yang memerlukan alamat IP eksternal pada instance VM individual, ubah batasan di level folder atau project untuk menentukan setiap instance VM individual. Atau, ganti batasan untuk project yang relevan.
- Berlaku untuk: Sesuaikan
- Penegakan kebijakan: Ganti
- Nilai kebijakan: Tolak Semua
Nonaktifkan penggunaan IPv6 Eksternal VPC
Batasan Menonaktifkan penggunaan IPv6 Eksternal VPC, jika ditetapkan ke True
,
akan mencegah konfigurasi subnet VPC dengan alamat IPv6 eksternal untuk instance
VM.
- Berlaku untuk: Sesuaikan
- Penegakan: Aktif
Menonaktifkan pembuatan jaringan default
Saat project baru dibuat, VPC default akan otomatis dibuat. Cara ini berguna untuk eksperimen cepat yang tidak memerlukan konfigurasi jaringan tertentu atau integrasi dengan lingkungan jaringan perusahaan yang lebih besar.
Konfigurasikan batasan Lewati pembuatan jaringan default guna menonaktifkan pembuatan VPC default untuk project baru. Anda dapat membuat jaringan default secara manual dalam sebuah project, jika diperlukan.
- Berlaku untuk: Sesuaikan
- Penegakan: Aktif
Mendesain aturan firewall
Dengan aturan firewall, Anda dapat mengizinkan atau menolak traffic ke atau dari VM berdasarkan konfigurasi yang Anda tentukan. Kebijakan firewall hierarkis diimplementasikan di tingkat organisasi dan folder, sementara kebijakan firewall jaringan diimplementasikan di tingkat jaringan VPC dalam hierarki resource. Bersama-sama, keduanya memberikan kemampuan penting untuk membantu mengamankan workload Anda.
Di mana pun kebijakan firewall diterapkan, gunakan pedoman berikut saat mendesain dan mengevaluasi aturan firewall:
- Menerapkan prinsip hak istimewa terendah (juga disebut sebagai segmentasi mikro). Memblokir semua traffic secara default dan hanya mengizinkan traffic tertentu yang Anda butuhkan. Hal ini termasuk membatasi aturan hanya untuk protokol dan port yang Anda perlukan untuk setiap workload.
- Aktifkan logging aturan firewall untuk visibilitas perilaku firewall dan untuk menggunakan Analisis Firewall.
- Menentukan metodologi penomoran untuk mengalokasikan prioritas aturan firewall. Misalnya, praktik terbaiknya adalah mencadangkan rentang angka rendah di setiap kebijakan untuk aturan yang diperlukan selama respons insiden. Sebaiknya Sebaiknya Anda juga memprioritaskan aturan yang lebih spesifik daripada aturan yang lebih umum, untuk memastikan bahwa aturan tertentu tidak dibayangi oleh aturan umum. Contoh berikut menunjukkan pendekatan yang memungkinkan untuk prioritas aturan firewall:
Rentang prioritas aturan firewall |
Tujuan |
---|---|
0-999 |
Disediakan untuk respons insiden |
1000-1999 |
Traffic selalu diblokir |
2000-1999999999 |
Aturan khusus workload |
2000000000-2100000000 |
Aturan generik |
2100000001-2147483643 |
Reserved |
Mengonfigurasi kebijakan firewall hierarkis
Kebijakan firewall hierarkis memungkinkan Anda membuat dan menerapkan kebijakan firewall yang konsisten di seluruh organisasi. Untuk contoh penggunaan kebijakan firewall hierarkis, lihat Contoh kebijakan firewall hierarkis.
Tentukan kebijakan firewall hierarkis untuk menerapkan kontrol akses jaringan berikut:
- Identity-Aware Proxy (IAP) untuk penerusan TCP. IAP untuk penerusan TCP diizinkan melalui kebijakan keamanan yang mengizinkan traffic masuk dari rentang IP 35.235.240.0/20 untuk TCP port 22 dan 3389.
- Health check untuk Cloud Load Balancing. Rentang yang sudah diketahui yang
digunakan untuk health check diizinkan.
- Untuk sebagian besar instance Cloud Load Balancing (termasuk Load Balancing TCP/UDP Internal, Load Balancing HTTP(S) Internal, Load Balancing Proxy TCP Eksternal, Load Balancing Proxy SSL Eksternal, dan Load Balancing HTTP(S)), sebuah kebijakan keamanan ditetapkan yang mengizinkan traffic masuk dari rentang IP 35.191.0.0/16 dan 130.211.0.0/22 untuk port 80 and 443.
- Untuk Network Load Balancing, ditetapkan kebijakan keamanan yang memungkinkan health check lama dengan mengizinkan traffic masuk dari rentang IP 35.191.0.0/16, 209.85.152.0/22, dan 209.85.204.0/22 untuk port 80 dan 443.
Mengonfigurasi lingkungan VPC hub
VPC hub menyediakan resource jaringan untuk mengaktifkan konektivitas antara jaringan VPC spoke workload dan jaringan lokal atau multi-cloud.
- Buat project baru untuk jaringan VPC hub.
- Aktifkan Compute Engine API untuk project.
- Buat jaringan VPC mode custom hub.
- Mengonfigurasi Private Service Connect untuk Google API untuk VPC hub.
Mengonfigurasi konektivitas hybrid
Anda dapat menggunakan Dedicated Interconnect, Partner Interconnect, atau Cloud VPN untuk menyediakan konektivitas hybrid ke zona landing Anda. Langkah-langkah berikut akan membuat resource konektivitas hybrid awal yang diperlukan untuk opsi desain ini:- Jika Anda menggunakan Dedicated Interconnect, lakukan hal berikut. Jika Anda menggunakan Partner Interconnect atau Cloud VPN, Anda dapat melewati langkah-langkah ini.
- Untuk setiap region tempat
Anda menghentikan konektivitas hybrid di jaringan VPC, lakukan tindakan berikut:
- Buat dua lampiran VLAN Khusus atau Partner, satu untuk setiap zona ketersediaan edge. Sebagai bagian dari proses ini, Anda perlu memilih Cloud Router dan membuat sesi BGP.
- Konfigurasi router jaringan peer (lokal atau cloud lainnya).
- Mengonfigurasi rute kustom yang diiklankan di Cloud Router untuk rentang subnet di VPC hub dan workload.
Mengonfigurasi project workload
Buat VPC spoke terpisah untuk setiap workload:
- Buat project baru untuk menghosting workload Anda.
- Aktifkan Compute Engine API untuk project.
- Konfigurasikan Peering Jaringan VPC
antara VPC spoke dan VPC hub workload, dengan setelan berikut:
- Mengaktifkan ekspor rute kustom pada VPC hub.
- Aktifkan impor rute kustom pada VPC spoke workload.
- Buat subnet di region tempat Anda berencana men-deploy workload. Untuk setiap subnet, aktifkan Akses Google Pribadi untuk mengizinkan instance VM dengan hanya alamat IP internal menjangkau layanan Google.
- Mengonfigurasi Private Service Connect untuk Google API.
Mengonfigurasi Cloud NAT
Ikuti langkah-langkah ini jika workload di wilayah tertentu memerlukan akses internet keluar—misalnya, untuk mendownload paket software atau update.
- Buat gateway Cloud NAT di region tempat workload memerlukan akses internet keluar. Anda dapat menyesuaikan konfigurasi Cloud NAT untuk hanya mengizinkan konektivitas keluar dari subnet tertentu, jika diperlukan.
- Minimal,
aktifkan logging Cloud NAT
agar gateway dapat mencatat
ERRORS_ONLY
ke dalam log. Guna menyertakan log untuk terjemahan yang dilakukan oleh Cloud NAT, konfigurasikan setiap gateway untuk mencatatALL
ke dalam log.
Mengonfigurasi kemampuan observasi
Network Intelligence Center memberikan cara kohesif untuk memantau, memecahkan masalah, dan memvisualisasikan lingkungan jaringan cloud Anda. Gunakan hal ini untuk memastikan bahwa desain Anda berfungsi sesuai dengan intent yang diinginkan.
Konfigurasi berikut mendukung analisis logging dan metrik yang diaktifkan.
- Anda harus mengaktifkan Network Management API sebelum dapat menjalankan Uji Konektivitas. Mengaktifkan API diperlukan untuk menggunakan API secara langsung, Google Cloud CLI, atau konsol Google Cloud.
- Anda harus mengaktifkan Firewall Insights API sebelum dapat melakukan tugas apa pun menggunakan Analisis Firewall.
Langkah berikutnya
Konfigurasi awal untuk opsi desain jaringan ini sekarang sudah selesai. Sekarang Anda dapat mengulangi langkah-langkah ini untuk mengonfigurasi instance tambahan dari lingkungan zona landing, seperti lingkungan staging atau produksi, atau melanjutkan ke Menentukan keamanan untuk zona landing Google Cloud Anda.
Membuat opsi 4: Mengekspos layanan dalam model produsen konsumen dengan Private Service Connect
Jika Anda telah memilih untuk mengekspos layanan dalam model produsen konsumen dengan Private Service Connect untuk zona landing, seperti yang dijelaskan dalam "Menentukan desain jaringan untuk Google Cloud Anda zona pendaratan", ikuti prosedur berikut.
Langkah-langkah berikut membuat satu instance VPC. Jika Anda memerlukan beberapa instance VPC, seperti untuk lingkungan pengembangan dan produksi, ulangi langkah-langkah untuk setiap VPC.
Membatasi akses eksternal dengan menggunakan kebijakan organisasi
Sebaiknya batasi akses langsung ke internet hanya untuk resource yang membutuhkannya. Resource tanpa alamat eksternal masih dapat mengakses banyak API dan layanan Google melalui Akses Google Pribadi. Akses Google Pribadi diaktifkan di tingkat subnet dan memungkinkan resource berinteraksi dengan layanan utama Google, sekaligus mengisolasinya dari internet publik.
Dalam hal kegunaan, fungsi default Google Cloud memungkinkan pengguna membuat resource di semua project, asalkan mereka memiliki izin IAM yang benar. Untuk meningkatkan keamanan, sebaiknya batasi izin default untuk jenis resource yang dapat menyebabkan akses internet yang tidak diinginkan. Selanjutnya, Anda dapat memberikan otorisasi pada project tertentu hanya untuk mengizinkan pembuatan resource ini. Gunakan petunjuk pada Membuat dan mengelola kebijakan organisasi untuk menetapkan batasan berikut.
Membatasi Penerusan Protokol Berdasarkan jenis Alamat IP
Penerusan protokol akan membuat resource aturan penerusan dengan alamat IP eksternal dan memungkinkan Anda mengarahkan traffic ke VM.
Batasan Membatasi Penerusan Protokol Berdasarkan jenis Alamat IP mencegah pembuatan aturan penerusan dengan alamat IP eksternal untuk seluruh organisasi. Untuk project yang diizinkan menggunakan aturan penerusan eksternal, Anda dapat mengubah batasan di level folder atau project.
Tetapkan nilai berikut untuk mengonfigurasi batasan ini:
- Berlaku untuk: Sesuaikan
- Penegakan kebijakan: Ganti
- Nilai kebijakan: Kustom
- Jenis kebijakan: Tolak
- Nilai khusus:
IS:EXTERNAL
Menentukan IP eksternal yang diizinkan untuk instance VM
Secara default, setiap instance VM dapat memperoleh alamat IP eksternal, yang memungkinkan konektivitas keluar dan masuk dengan internet.
Menerapkan batasan Menentukan IP eksternal yang diizinkan untuk instance VM akan mencegah penggunaan alamat IP eksternal dengan instance VM. Untuk workload yang memerlukan alamat IP eksternal pada instance VM individual, ubah batasan di level folder atau project untuk menentukan setiap instance VM individual. Atau, ganti batasan untuk project yang relevan.
- Berlaku untuk: Sesuaikan
- Penegakan kebijakan: Ganti
- Nilai kebijakan: Tolak Semua
Nonaktifkan penggunaan IPv6 Eksternal VPC
Batasan Menonaktifkan penggunaan IPv6 Eksternal VPC, jika ditetapkan ke True
,
akan mencegah konfigurasi subnet VPC dengan alamat IPv6 eksternal untuk instance
VM.
- Berlaku untuk: Sesuaikan
- Penegakan: Aktif
Menonaktifkan pembuatan jaringan default
Saat project baru dibuat, VPC default akan otomatis dibuat. Cara ini berguna untuk eksperimen cepat yang tidak memerlukan konfigurasi jaringan tertentu atau integrasi dengan lingkungan jaringan perusahaan yang lebih besar.
Konfigurasikan batasan Lewati pembuatan jaringan default guna menonaktifkan pembuatan VPC default untuk project baru. Anda dapat membuat jaringan default secara manual dalam sebuah project, jika diperlukan.
- Berlaku untuk: Sesuaikan
- Penegakan: Aktif
Mendesain aturan firewall
Dengan aturan firewall, Anda dapat mengizinkan atau menolak traffic ke atau dari VM berdasarkan konfigurasi yang Anda tentukan. Kebijakan firewall hierarkis diimplementasikan di tingkat organisasi dan folder, sementara kebijakan firewall jaringan diimplementasikan di tingkat jaringan VPC dalam hierarki resource. Bersama-sama, keduanya memberikan kemampuan penting untuk membantu mengamankan workload Anda.
Di mana pun kebijakan firewall diterapkan, gunakan pedoman berikut saat mendesain dan mengevaluasi aturan firewall:
- Menerapkan prinsip hak istimewa terendah (juga disebut sebagai segmentasi mikro). Memblokir semua traffic secara default dan hanya mengizinkan traffic tertentu yang Anda butuhkan. Hal ini termasuk membatasi aturan hanya untuk protokol dan port yang Anda perlukan untuk setiap workload.
- Aktifkan logging aturan firewall untuk visibilitas perilaku firewall dan untuk menggunakan Analisis Firewall.
- Menentukan metodologi penomoran untuk mengalokasikan prioritas aturan firewall. Misalnya, praktik terbaiknya adalah mencadangkan rentang angka rendah di setiap kebijakan untuk aturan yang diperlukan selama respons insiden. Sebaiknya Sebaiknya Anda juga memprioritaskan aturan yang lebih spesifik daripada aturan yang lebih umum, untuk memastikan bahwa aturan tertentu tidak dibayangi oleh aturan umum. Contoh berikut menunjukkan pendekatan yang memungkinkan untuk prioritas aturan firewall:
Rentang prioritas aturan firewall |
Tujuan |
---|---|
0-999 |
Disediakan untuk respons insiden |
1000-1999 |
Traffic selalu diblokir |
2000-1999999999 |
Aturan khusus workload |
2000000000-2100000000 |
Aturan generik |
2100000001-2147483643 |
Reserved |
Mengonfigurasi kebijakan firewall hierarkis
Kebijakan firewall hierarkis memungkinkan Anda membuat dan menerapkan kebijakan firewall yang konsisten di seluruh organisasi. Untuk contoh penggunaan kebijakan firewall hierarkis, lihat Contoh kebijakan firewall hierarkis.
Tentukan kebijakan firewall hierarkis untuk menerapkan kontrol akses jaringan berikut:
- Identity-Aware Proxy (IAP) untuk penerusan TCP. IAP untuk penerusan TCP diizinkan melalui kebijakan keamanan yang mengizinkan traffic masuk dari rentang IP 35.235.240.0/20 untuk TCP port 22 dan 3389.
- Health check untuk Cloud Load Balancing. Rentang yang sudah diketahui yang
digunakan untuk health check diizinkan.
- Untuk sebagian besar instance Cloud Load Balancing (termasuk Load Balancing TCP/UDP Internal, Load Balancing HTTP(S) Internal, Load Balancing Proxy TCP Eksternal, Load Balancing Proxy SSL Eksternal, dan Load Balancing HTTP(S)), sebuah kebijakan keamanan ditetapkan yang mengizinkan traffic masuk dari rentang IP 35.191.0.0/16 dan 130.211.0.0/22 untuk port 80 and 443.
- Untuk Network Load Balancing, ditetapkan kebijakan keamanan yang memungkinkan health check lama dengan mengizinkan traffic masuk dari rentang IP 35.191.0.0/16, 209.85.152.0/22, dan 209.85.204.0/22 untuk port 80 dan 443.
Mengonfigurasi lingkungan VPC
VPC transit menyediakan resource jaringan untuk mengaktifkan konektivitas antara jaringan VPC spoke workload dan jaringan lokal atau multi-cloud.
- Buat project baru untuk jaringan VPC transportasi umum.
- Aktifkan Compute Engine API untuk project.
- Buat jaringan VPC mode kustom transit.
- Buat subnet Private Service Connect di setiap region tempat Anda berencana untuk memublikasikan layanan yang berjalan di VPC hub atau lingkungan lokal. Pertimbangkan ukuran subnet Private Service Connect saat menentukan paket penentuan alamat IP Anda.
- Untuk setiap layanan lokal yang ingin Anda ekspos ke workload yang berjalan di Google Cloud, buat load balancer proxy HTTP(S) atau TCP internal, dan ekspos layanan menggunakan Private Service Connect.
- Mengonfigurasi Private Service Connect untuk Google API untuk VPC transit.
Mengonfigurasi konektivitas hybrid
Anda dapat menggunakan Dedicated Interconnect, Partner Interconnect, atau Cloud VPN untuk menyediakan konektivitas hybrid ke zona landing Anda. Langkah-langkah berikut akan membuat resource konektivitas hybrid awal yang diperlukan untuk opsi desain ini:- Jika Anda menggunakan Dedicated Interconnect, lakukan hal berikut. Jika Anda menggunakan Partner Interconnect atau Cloud VPN, Anda dapat melewati langkah-langkah ini.
- Untuk setiap region tempat
Anda menghentikan konektivitas hybrid di jaringan VPC, lakukan tindakan berikut:
- Buat dua lampiran VLAN Khusus atau Partner, satu untuk setiap zona ketersediaan edge. Sebagai bagian dari proses ini, Anda perlu memilih Cloud Router dan membuat sesi BGP.
- Konfigurasi router jaringan peer (lokal atau cloud lainnya).
Mengonfigurasi project workload
Buat VPC terpisah untuk setiap workload:
- Buat project baru untuk menghosting workload Anda.
- Aktifkan Compute Engine API untuk project.
- Buat jaringan VPC mode kustom.
- Buat subnet di region tempat Anda berencana men-deploy workload. Untuk setiap subnet, aktifkan Akses Google Pribadi untuk mengizinkan instance VM dengan hanya alamat IP internal menjangkau layanan Google.
- Mengonfigurasi Private Service Connect untuk Google API.
- Untuk setiap workload yang Anda gunakan dari VPC yang berbeda atau lingkungan lokal Anda, buat endpoint konsumen Private Service Connect.
- Untuk setiap workload yang Anda produksi untuk VPC yang berbeda atau lingkungan lokal, buat load balancer internal dan lampiran layanan untuk layanan tersebut. Pertimbangkan ukuran subnet Private Service Connect saat menentukan paket penentuan alamat IP Anda.
- Jika layanan harus dapat dijangkau dari lingkungan lokal Anda, buat endpoint konsumen Private Service Connect di VPC transportasi umum.
Mengonfigurasi Cloud NAT
Ikuti langkah-langkah ini jika workload di wilayah tertentu memerlukan akses internet keluar—misalnya, untuk mendownload paket software atau update.
- Buat gateway Cloud NAT di region tempat workload memerlukan akses internet keluar. Anda dapat menyesuaikan konfigurasi Cloud NAT untuk hanya mengizinkan konektivitas keluar dari subnet tertentu, jika diperlukan.
- Minimal,
aktifkan logging Cloud NAT
agar gateway dapat mencatat
ERRORS_ONLY
ke dalam log. Guna menyertakan log untuk terjemahan yang dilakukan oleh Cloud NAT, konfigurasikan setiap gateway untuk mencatatALL
ke dalam log.
Mengonfigurasi kemampuan observasi
Network Intelligence Center memberikan cara kohesif untuk memantau, memecahkan masalah, dan memvisualisasikan lingkungan jaringan cloud Anda. Gunakan hal ini untuk memastikan bahwa desain Anda berfungsi sesuai dengan intent yang diinginkan.
Konfigurasi berikut mendukung analisis logging dan metrik yang diaktifkan.
- Anda harus mengaktifkan Network Management API sebelum dapat menjalankan Uji Konektivitas. Mengaktifkan API diperlukan untuk menggunakan API secara langsung, Google Cloud CLI, atau konsol Google Cloud.
- Anda harus mengaktifkan Firewall Insights API sebelum dapat melakukan tugas apa pun menggunakan Analisis Firewall.
Langkah berikutnya
Konfigurasi awal untuk opsi desain jaringan ini sekarang sudah selesai. Sekarang Anda dapat mengulangi langkah-langkah ini untuk mengonfigurasi instance tambahan dari lingkungan zona landing, seperti lingkungan staging atau produksi, atau melanjutkan ke Menentukan keamanan untuk zona landing Google Cloud Anda.
Langkah berikutnya
- Tentukan keamanan untuk zona landing Google Cloud Anda (dokumen berikutnya dalam rangkaian ini).
- Baca Praktik terbaik untuk desain jaringan VPC.
- Baca selengkapnya tentang Private Service Connect.