Implementare la progettazione di rete della zona di destinazione Google Cloud

Last reviewed 2024-10-31 UTC

Questo documento fornisce i passaggi e le indicazioni per implementare il design di rete scelto dopo aver esaminato Decidere il design di rete per la zona di destinazione Google Cloud. Se non lo hai ancora fatto, consulta Design della zona di destinazione in Google Cloud prima di scegliere un'opzione.

Queste istruzioni sono rivolte a ingegneri di rete, architetti e professionisti tecnici coinvolti nella creazione del design di rete per la landing zone della tua organizzazione.

Opzioni di progettazione della rete

In base alla progettazione di rete scelta, completa una delle seguenti operazioni:

Opzione di creazione 1: rete VPC condiviso per ogni ambiente

Se hai scelto di creare la rete VPC condivisa per ogni ambiente in "Decidere la progettazione della rete per la landing zone Google Cloud", segui questa procedura.

I passaggi seguenti consentono di creare una singola istanza di una VPC. Quando hai bisogno di più istanze di un VPC, ad esempio per gli ambienti di sviluppo e di produzione, ripeti i passaggi per ogni VPC.

Limitare l'accesso esterno utilizzando un criterio dell'organizzazione

Ti consigliamo di limitare l'accesso diretto a internet solo alle risorse che ne hanno bisogno. Le risorse senza indirizzi esterni possono comunque accedere a molte API e a molti servizi Google tramite l'accesso privato Google. L'accesso privato Google viene abilitato a livello di subnet e consente alle risorse di interagire con i principali servizi Google, isolandole al contempo dalla rete internet pubblica.

Per motivi di usabilità, la funzionalità predefinita di Google Cloud consente agli utenti di creare risorse in tutti i progetti, a condizione che dispongano delle autorizzazioni IAM corrette. Per una maggiore sicurezza, ti consigliamo di limitare le autorizzazioni predefinite per i tipi di risorse che possono causare un accesso a internet indesiderato. Puoi quindi autorizzare progetti specifici solo per consentire la creazione di queste risorse. Segui le istruzioni riportate in Creazione e gestione dei criteri dell'organizzazione per impostare i seguenti vincoli.

Limita forwarding di protocollo in base al tipo di indirizzo IP

L'inoltro del protocollo stabilisce una risorsa regola di forwarding con un indirizzo IP esterno e ti consente di indirizzare il traffico a una VM.

Il vincolo Limita il forwarding di protocollo in base al tipo di indirizzo IP impedisce la creazione di regole di inoltro con indirizzi IP esterni per l'intera organizzazione. Per i progetti autorizzati a utilizzare regole di inoltro esterno, puoi modificare la limitazione a livello di cartella o progetto.

Imposta i seguenti valori per configurare questo vincolo:

  • Si applica a: Personalizza
  • Applicazione delle norme: Sostituisci
  • Valori criterio: Personalizzato
  • Tipo di criterio: Rifiuta
  • Valore personalizzato: IS:EXTERNAL

Definisci IP esterni consentiti per le istanze VM

Per impostazione predefinita, le singole istanze VM possono acquisire indirizzi IP esterni, il che consente la connettività in entrata e in uscita con internet.

L'applicazione del vincolo Definisci IP esterni consentiti per le istanze VM impedisce l'utilizzo di indirizzi IP esterni con le istanze VM. Per i carichi di lavoro che richiedono indirizzi IP esterni su singole istanze VM, modifica la limitazione a livello di cartella o progetto per specificare le singole istanze VM. In alternativa, override il vincolo per i progetti pertinenti.

  • Si applica a: Personalizza
  • Applicazione delle norme: Sostituisci
  • Valori dei criteri: Rifiuta tutto

Disabilita l'utilizzo di IPv6 all'esterno di VPC

Il vincolo Disattiva l'utilizzo di IPv6 all'esterno di VPC, se impostato su True, impedisce la configurazione di subnet VPC con indirizzi IPv6 esterni per le istanze VM.

  • Si applica a: Personalizza
  • Applicazione forzata:On

Disattivare la creazione della rete predefinita

Quando viene creato un nuovo progetto, viene creata automaticamente una VPC predefinita. Questo è utile per esperimenti rapidi che non richiedono una configurazione di rete specifica o l'integrazione con un ambiente di rete aziendale più grande.

Configura il vincolo Ignora creazione rete predefinita per disattivare la creazione della VPC predefinita per i nuovi progetti. Se necessario, puoi creare manualmente la rete predefinita all'interno di un progetto.

  • Si applica a: Personalizza
  • Applicazione forzata:On

Progettare le regole del firewall

Le regole firewall ti consentono di consentire o negare il traffico verso o dalle tue VM in base a una configurazione da te definita. I criteri firewall gerarchici vengono implementati a livello di organizzazione e di cartella, mentre i criteri firewall di rete vengono implementati a livello di rete VPC nella gerarchia delle risorse. Insieme, offrono una funzionalità importante per contribuire a proteggere i tuoi carichi di lavoro.

Indipendentemente da dove vengono applicati i criteri firewall, segui le linee guida riportate di seguito per progettare e valutare le regole del firewall:

  • Implementa i principi del privilegio minimo (chiamati anche microsegmentazione). Blocca tutto il traffico per impostazione predefinita e consenti solo il traffico specifico di cui hai bisogno. Ciò include la limitazione delle regole solo ai protocolli e alle porte necessari per ogni carico di lavoro.
  • Abilita il logging delle regole firewall per avere visibilità sul comportamento del firewall e per utilizzare Firewall Insights.
  • Definisci una metodologia di numerazione per l'assegnazione delle priorità delle regole firewall. Ad esempio, è buona norma riservare un intervallo di numeri bassi in ogni norma per le regole necessarie durante la risposta agli incidenti. Ti consigliamo inoltre di dare la priorità alle regole più specifiche rispetto a quelle più generali per assicurarti che le regole specifiche non vengano ignorate da quelle generali. L'Esempio seguente mostra un possibile approccio per le priorità delle regole firewall:

Intervallo di priorità delle regole firewall
Scopo

0-999
Riservato per la risposta agli incidenti

1000-1999
Traffico sempre bloccato

2000-1999999999
Regole specifiche per il carico di lavoro

2000000000-2100000000
Regole generiche

2100000001-2147483643
Riservato

Configura i criteri firewall gerarchici

I criteri firewall gerarchici ti consentono di creare e applicare un criterio firewall coerente in tutta la organizzazione. Per esempi di utilizzo dei criteri firewall gerarchici, consulta Esempi di criteri firewall gerarchici.

Definisci criteri firewall gerarchici per implementare i seguenti controlli di accesso alla rete:

  • Identity-Aware Proxy (IAP) per l'inoltro TCP. L'IAP per l'inoltro TCP è consentito tramite un criterio di sicurezza che consente il traffico in entrata dall'intervallo IP 35.235.240.0/20 per le porte TCP 22 e 3389.
  • Controlli di integrità per Cloud Load Balancing. Sono consentiti gli intervalli noti utilizzati per i controlli di integrità.
    • Per la maggior parte delle istanze di Cloud Load Balancing (incluso il bilanciamento del carico TCP/UDP interno, il bilanciamento del carico HTTP(S) interno, il bilanciamento del carico proxy TCP esterno, il bilanciamento del carico proxy SSL esterno e il bilanciamento del carico HTTP(S)), è definito un criterio di sicurezza che consente il traffico in entrata dagli intervalli IP 35.191.0.0/16 e 130.211.0.0/22 per le porte 80 e 443.
    • Per il bilanciamento del carico della rete, è definito un criterio di sicurezza che attiva i controlli di integrità precedenti consentendo il traffico in entrata dagli intervalli IP 35.191.0.0/16, 209.85.152.0/22 e 209.85.204.0/22 per le porte 80 e 443.

Configurare l'ambiente VPC condiviso

Prima di implementare un design VPC condiviso, decidi come condividere le subnet con i progetti di servizio. Collega un progetto di servizio a un progetto host. Per determinare quali subnet sono disponibili per il progetto di servizio, assegna le autorizzazioni IAM al progetto host o alle singole subnet. Ad esempio, puoi scegliere di dedicare una subnet diversa a ogni progetto di servizio o condividere le stesse subnet tra i progetti di servizio.

  1. Crea un nuovo progetto per la VPC condiviso. In un secondo momento, questo progetto diventa il progetto host e contiene le reti e le risorse di rete da condividere con i progetti di servizio.
  2. Abilita l'API Compute Engine per il progetto host.
  3. Configura un VPC condiviso per il progetto.
  4. Crea la rete VPC in modalità personalizzata nel progetto host.
  5. Crea subnet nelle regioni in cui prevedi di eseguire il deployment dei carichi di lavoro. Per ogni subnet, abilita l'accesso privato Google per consentire alle istanze VM senza indirizzi IP esterni di raggiungere i servizi Google.

Configurazione di Cloud NAT

Segui questi passaggi se i carichi di lavoro in regioni specifiche richiedono accesso in uscita a internet, ad esempio per scaricare pacchetti o aggiornamenti software.

  1. Crea un gateway Cloud NAT nelle regioni in cui i workload richiedono l'accesso a internet in uscita. Se necessario, puoi personalizzare la configurazione di Cloud NAT in modo da consentire la connettività in uscita solo da subnet specifiche.
  2. Come minimo, abilita il logging Cloud NAT perché il gateway registri ERRORS_ONLY. Per includere i log per le traduzioni eseguite da Cloud NAT, configura ogni gateway in modo che registri ALL.

Configura la connettività ibrida

Puoi utilizzare Dedicated Interconnect, Partner Interconnect o Cloud VPN per fornire connettività ibrida alla tua landing zone. I passaggi che seguono creano le risorse di connettività ibrida iniziali necessarie per questa opzione di progettazione:

  1. Se utilizzi Dedicated Interconnect: Se utilizzi Partner Interconnect o Cloud VPN, puoi saltare questi passaggi.
    1. Crea un progetto separato per le porte di interconnessione fisiche.
    2. Abilita l'API Compute Engine per il progetto.
    3. Crea le connessioni Dedicated Interconnect.
  2. Per ogni regione in cui termini la connettività ibrida nella rete VPC, svolgi i seguenti passaggi:
    1. Crea due collegamenti VLAN dedicati o partner, uno per ogni zona di disponibilità dell'edge. Nell'ambito di questa procedura, selezioni i router Cloud e crei sessioni BGP.
    2. Configura i router della rete peer (on-premise o di un altro cloud).

Configurare i progetti di workload

Crea un progetto di servizio separato per ogni carico di lavoro:

  1. Crea un nuovo progetto da utilizzare come uno dei progetti di servizio per il VPC condiviso.
  2. Abilita l'API Compute Engine per il progetto di servizio.
  3. Collega il progetto al progetto host.
  4. Configura l'accesso a tutte le subnet nel progetto host o ad alcune subnet nel progetto host.

Configurare l'osservabilità

Network Intelligence Center fornisce un modo coerente per monitorare, risolvere i problemi e visualizzare il tuo ambiente di rete cloud. Utilizzalo per assicurarti che il design funzioni con l'intenzione desiderata.

Le seguenti configurazioni supportano l'analisi del logging e delle metriche attivate.

Passaggi successivi

La configurazione iniziale per questa opzione di progettazione di rete è stata completata. Ora puoi ripetere questi passaggi per configurare un'altra istanza dell'ambiente della zona di destinazione, ad esempio un ambiente di staging o di produzione, oppure continuare a decidere la sicurezza per la tua zona di destinazione Google Cloud.

Crea l'opzione 2: topologia hub and spoke con appliance centralizzati

Se hai scelto di creare la topologia hub-and-spoke con appliance centralizzati in "Decide the network design for your Google Cloud landing zone", segui questa procedura.

I passaggi seguenti consentono di creare una singola istanza di una VPC. Quando hai bisogno di più istanze di un VPC, ad esempio per gli ambienti di sviluppo e di produzione, ripeti i passaggi per ogni VPC.

Limitare l'accesso esterno utilizzando un criterio dell'organizzazione

Ti consigliamo di limitare l'accesso diretto a internet solo alle risorse che ne hanno bisogno. Le risorse senza indirizzi esterni possono comunque accedere a molte API e a molti servizi Google tramite l'accesso privato Google. L'accesso privato Google viene abilitato a livello di subnet e consente alle risorse di interagire con i principali servizi Google, isolandole al contempo dalla rete internet pubblica.

Per motivi di usabilità, la funzionalità predefinita di Google Cloud consente agli utenti di creare risorse in tutti i progetti, a condizione che dispongano delle autorizzazioni IAM corrette. Per una maggiore sicurezza, ti consigliamo di limitare le autorizzazioni predefinite per i tipi di risorse che possono causare un accesso a internet indesiderato. Puoi quindi autorizzare progetti specifici solo per consentire la creazione di queste risorse. Segui le istruzioni riportate in Creazione e gestione dei criteri dell'organizzazione per impostare i seguenti vincoli.

Limita forwarding di protocollo in base al tipo di indirizzo IP

L'inoltro del protocollo stabilisce una risorsa regola di forwarding con un indirizzo IP esterno e ti consente di indirizzare il traffico a una VM.

Il vincolo Limita il forwarding di protocollo in base al tipo di indirizzo IP impedisce la creazione di regole di inoltro con indirizzi IP esterni per l'intera organizzazione. Per i progetti autorizzati a utilizzare regole di inoltro esterno, puoi modificare la limitazione a livello di cartella o progetto.

Imposta i seguenti valori per configurare questo vincolo:

  • Si applica a: Personalizza
  • Applicazione delle norme: Sostituisci
  • Valori criterio: Personalizzato
  • Tipo di criterio: Rifiuta
  • Valore personalizzato: IS:EXTERNAL

Definisci IP esterni consentiti per le istanze VM

Per impostazione predefinita, le singole istanze VM possono acquisire indirizzi IP esterni, il che consente la connettività in entrata e in uscita con internet.

L'applicazione del vincolo Definisci IP esterni consentiti per le istanze VM impedisce l'utilizzo di indirizzi IP esterni con le istanze VM. Per i carichi di lavoro che richiedono indirizzi IP esterni su singole istanze VM, modifica la limitazione a livello di cartella o progetto per specificare le singole istanze VM. In alternativa, override il vincolo per i progetti pertinenti.

  • Si applica a: Personalizza
  • Applicazione delle norme: Sostituisci
  • Valori dei criteri: Rifiuta tutto

Disabilita l'utilizzo di IPv6 all'esterno di VPC

Il vincolo Disattiva l'utilizzo di IPv6 all'esterno di VPC, se impostato su True, impedisce la configurazione di subnet VPC con indirizzi IPv6 esterni per le istanze VM.

  • Si applica a: Personalizza
  • Applicazione forzata:On

Disattivare la creazione della rete predefinita

Quando viene creato un nuovo progetto, viene creata automaticamente una VPC predefinita. Questo è utile per esperimenti rapidi che non richiedono una configurazione di rete specifica o l'integrazione con un ambiente di rete aziendale più grande.

Configura il vincolo Ignora creazione rete predefinita per disattivare la creazione della VPC predefinita per i nuovi progetti. Se necessario, puoi creare manualmente la rete predefinita all'interno di un progetto.

  • Si applica a: Personalizza
  • Applicazione forzata:On

Progettare le regole del firewall

Le regole firewall ti consentono di consentire o negare il traffico verso o dalle tue VM in base a una configurazione da te definita. I criteri firewall gerarchici vengono implementati a livello di organizzazione e di cartella, mentre i criteri firewall di rete vengono implementati a livello di rete VPC nella gerarchia delle risorse. Insieme, offrono una funzionalità importante per contribuire a proteggere i tuoi carichi di lavoro.

Indipendentemente da dove vengono applicati i criteri firewall, segui le linee guida riportate di seguito per progettare e valutare le regole del firewall:

  • Implementa i principi del privilegio minimo (chiamati anche microsegmentazione). Blocca tutto il traffico per impostazione predefinita e consenti solo il traffico specifico di cui hai bisogno. Ciò include la limitazione delle regole solo ai protocolli e alle porte necessari per ogni carico di lavoro.
  • Abilita il logging delle regole firewall per avere visibilità sul comportamento del firewall e per utilizzare Firewall Insights.
  • Definisci una metodologia di numerazione per l'assegnazione delle priorità delle regole firewall. Ad esempio, è buona norma riservare un intervallo di numeri bassi in ogni norma per le regole necessarie durante la risposta agli incidenti. Ti consigliamo inoltre di dare la priorità alle regole più specifiche rispetto a quelle più generali per assicurarti che le regole specifiche non vengano ignorate da quelle generali. L'Esempio seguente mostra un possibile approccio per le priorità delle regole firewall:

Intervallo di priorità delle regole firewall
Scopo

0-999
Riservato per la risposta agli incidenti

1000-1999
Traffico sempre bloccato

2000-1999999999
Regole specifiche per il carico di lavoro

2000000000-2100000000
Regole generiche

2100000001-2147483643
Riservato

Configura i criteri firewall gerarchici

I criteri firewall gerarchici ti consentono di creare e applicare un criterio firewall coerente in tutta la organizzazione. Per esempi di utilizzo dei criteri firewall gerarchici, consulta Esempi di criteri firewall gerarchici.

Definisci criteri firewall gerarchici per implementare i seguenti controlli di accesso alla rete:

  • Identity-Aware Proxy (IAP) per l'inoltro TCP. L'IAP per l'inoltro TCP è consentito tramite un criterio di sicurezza che consente il traffico in entrata dall'intervallo IP 35.235.240.0/20 per le porte TCP 22 e 3389.
  • Controlli di integrità per Cloud Load Balancing. Sono consentiti gli intervalli noti utilizzati per i controlli di integrità.
    • Per la maggior parte delle istanze di Cloud Load Balancing (incluso il bilanciamento del carico TCP/UDP interno, il bilanciamento del carico HTTP(S) interno, il bilanciamento del carico proxy TCP esterno, il bilanciamento del carico proxy SSL esterno e il bilanciamento del carico HTTP(S)), è definito un criterio di sicurezza che consente il traffico in entrata dagli intervalli IP 35.191.0.0/16 e 130.211.0.0/22 per le porte 80 e 443.
    • Per il bilanciamento del carico della rete, è definito un criterio di sicurezza che attiva i controlli di integrità precedenti consentendo il traffico in entrata dagli intervalli IP 35.191.0.0/16, 209.85.152.0/22 e 209.85.204.0/22 per le porte 80 e 443.

Configurare l'ambiente VPC

Le reti VPC di transito e hub forniscono le risorse di rete per abilitare la connettività tra le reti VPC spoke del carico di lavoro e le reti on-premise o multi-cloud.

  1. Crea un nuovo progetto per le reti VPC di transito e hub. Entrambe le reti VPC fanno parte dello stesso progetto per supportare la connettività tramite le appliance di rete virtuale.
  2. Abilita l'API Compute Engine per il progetto.
  3. Crea la rete VPC in modalità personalizzata di transito.
  4. Nella rete VPC di transito, crea una subnet nelle regioni in cui prevedi di implementare le appliance di rete virtuale.
  5. Crea la rete VPC in modalità personalizzata dell'hub.
  6. Nella rete VPC dell'hub, crea una subnet nelle regioni in cui prevedi di implementare le appliance di rete virtuale.
  7. Configura criteri firewall di rete globali o regionali per consentire il traffico in entrata e in uscita per le appliance virtuali di rete.
  8. Crea un gruppo di istanze gestite per le appliance di rete virtuali.
  9. Configura le risorse di bilanciamento del carico TCP/UDP interno per la VPC di transito. Questo bilanciatore del carico viene utilizzato per instradare il traffico dalla VPC di transito alla VPC hub tramite le appliance di rete virtuale.
  10. Configura le risorse di bilanciamento del carico TCP/UDP interno per la VPC hub. Questo bilanciatore del carico viene utilizzato per instradare il traffico dalla VPC hub alla VPC di transito tramite le appliance di rete virtuale.
  11. Configura Private Service Connect per le API di Google per la VPC hub.
  12. Modifica le route VPC per inviare tutto il traffico tramite le appliance virtuali di rete:
    1. Elimina la route 0.0.0.0/0 con hop successivodefault-internet-gateway dalla VPC hub.
    2. Configura una nuova route con destinazione 0.0.0.0/0 e un next-hop della regola di forwarding per il bilanciatore del carico nella VPC hub.

Configurazione di Cloud NAT

Segui questi passaggi se i carichi di lavoro in regioni specifiche richiedono accesso in uscita a internet, ad esempio per scaricare pacchetti o aggiornamenti software.

  1. Crea un gateway Cloud NAT nelle regioni in cui i workload richiedono l'accesso a internet in uscita. Se necessario, puoi personalizzare la configurazione di Cloud NAT per consentire la connettività in uscita solo da subnet specifiche.
  2. Come minimo, abilita il logging Cloud NAT perché il gateway registri ERRORS_ONLY. Per includere i log per le traduzioni eseguite da Cloud NAT, configura ogni gateway in modo che registri ALL.

Configura la connettività ibrida

Puoi utilizzare Dedicated Interconnect, Partner Interconnect o Cloud VPN per fornire connettività ibrida alla tua landing zone. I passaggi che seguono creano le risorse di connettività ibrida iniziali necessarie per questa opzione di progettazione:

  1. Se utilizzi Dedicated Interconnect: Se utilizzi Partner Interconnect o Cloud VPN, puoi saltare questi passaggi.
    1. Crea un progetto separato per le porte di interconnessione fisiche.
    2. Abilita l'API Compute Engine per il progetto.
    3. Crea le connessioni Dedicated Interconnect.
  2. Per ogni regione in cui termini la connettività ibrida nella rete VPC, svolgi i seguenti passaggi:
    1. Crea due collegamenti VLAN dedicati o partner, uno per ogni zona di disponibilità dell'edge. Nell'ambito di questa procedura, selezioni i router Cloud e crei sessioni BGP.
    2. Configura i router della rete peer (on-premise o di un altro cloud).
    3. Configura le route annunciate personalizzate nei router Cloud per gli intervalli di subnet nei VPC hub e di lavoro.

Configurare i progetti di workload

Crea una VPC spoke separata per ogni carico di lavoro:

  1. Crea un nuovo progetto per ospitare il tuo carico di lavoro.
  2. Abilita l'API Compute Engine per il progetto.
  3. Configura il peering di rete VPC tra la VPC spoke del workload e la VPC hub con le seguenti impostazioni:
    • Abilita l'esportazione delle route personalizzate nella VPC hub.
    • Abilita l'importazione di route personalizzate nella VPC spoke del workload.
  4. Crea subnet nelle regioni in cui prevedi di eseguire il deployment dei carichi di lavoro. Per ogni subnet, abilita l'accesso privato Google per consentire alle istanze VM con solo indirizzi IP interni di raggiungere i servizi Google.
  5. Configura Private Service Connect per le API di Google.
  6. Per instradare tutto il traffico tramite le appliance di rete virtuale nel VPC hub, elimina la route 0.0.0.0/0 con hop successivo default-internet-gateway dal VPC spoke del carico di lavoro.
  7. Configura criteri firewall di rete globali o regionali per consentire il traffico in entrata e in uscita per il tuo workload.

Configurare l'osservabilità

Network Intelligence Center fornisce un modo coerente per monitorare, risolvere i problemi e visualizzare il tuo ambiente di rete cloud. Utilizzalo per assicurarti che il design funzioni con l'intenzione desiderata.

Le seguenti configurazioni supportano l'analisi del logging e delle metriche attivate.

Passaggi successivi

La configurazione iniziale per questa opzione di progettazione di rete è stata completata. Ora puoi ripetere questi passaggi per configurare un'altra istanza dell'ambiente della zona di destinazione, ad esempio un ambiente di staging o di produzione, oppure continuare a decidere la sicurezza per la tua zona di destinazione Google Cloud.

Opzione di creazione 3: topologia hub and spoke senza appliance

Se hai scelto di creare la topologia hub-and-spoke senza appliance in "Decidere il design di rete per la zona di destinazione Google Cloud", segui questa procedura.

I passaggi seguenti consentono di creare una singola istanza di una VPC. Quando hai bisogno di più istanze di un VPC, ad esempio per gli ambienti di sviluppo e di produzione, ripeti i passaggi per ogni VPC.

Limitare l'accesso esterno utilizzando un criterio dell'organizzazione

Ti consigliamo di limitare l'accesso diretto a internet solo alle risorse che ne hanno bisogno. Le risorse senza indirizzi esterni possono comunque accedere a molte API e a molti servizi Google tramite l'accesso privato Google. L'accesso privato Google viene abilitato a livello di subnet e consente alle risorse di interagire con i principali servizi Google, isolandole al contempo dalla rete internet pubblica.

Per motivi di usabilità, la funzionalità predefinita di Google Cloud consente agli utenti di creare risorse in tutti i progetti, a condizione che dispongano delle autorizzazioni IAM corrette. Per una maggiore sicurezza, ti consigliamo di limitare le autorizzazioni predefinite per i tipi di risorse che possono causare un accesso a internet indesiderato. Puoi quindi autorizzare progetti specifici solo per consentire la creazione di queste risorse. Segui le istruzioni riportate in Creazione e gestione dei criteri dell'organizzazione per impostare i seguenti vincoli.

Limita forwarding di protocollo in base al tipo di indirizzo IP

L'inoltro del protocollo stabilisce una risorsa regola di forwarding con un indirizzo IP esterno e ti consente di indirizzare il traffico a una VM.

Il vincolo Limita il forwarding di protocollo in base al tipo di indirizzo IP impedisce la creazione di regole di inoltro con indirizzi IP esterni per l'intera organizzazione. Per i progetti autorizzati a utilizzare regole di inoltro esterno, puoi modificare la limitazione a livello di cartella o progetto.

Imposta i seguenti valori per configurare questo vincolo:

  • Si applica a: Personalizza
  • Applicazione delle norme: Sostituisci
  • Valori criterio: Personalizzato
  • Tipo di criterio: Rifiuta
  • Valore personalizzato: IS:EXTERNAL

Definisci IP esterni consentiti per le istanze VM

Per impostazione predefinita, le singole istanze VM possono acquisire indirizzi IP esterni, il che consente la connettività in entrata e in uscita con internet.

L'applicazione del vincolo Definisci IP esterni consentiti per le istanze VM impedisce l'utilizzo di indirizzi IP esterni con le istanze VM. Per i carichi di lavoro che richiedono indirizzi IP esterni su singole istanze VM, modifica la limitazione a livello di cartella o progetto per specificare le singole istanze VM. In alternativa, override il vincolo per i progetti pertinenti.

  • Si applica a: Personalizza
  • Applicazione delle norme: Sostituisci
  • Valori dei criteri: Rifiuta tutto

Disabilita l'utilizzo di IPv6 all'esterno di VPC

Il vincolo Disattiva l'utilizzo di IPv6 all'esterno di VPC, se impostato su True, impedisce la configurazione di subnet VPC con indirizzi IPv6 esterni per le istanze VM.

  • Si applica a: Personalizza
  • Applicazione forzata:On

Disattivare la creazione della rete predefinita

Quando viene creato un nuovo progetto, viene creata automaticamente una VPC predefinita. Questo è utile per esperimenti rapidi che non richiedono una configurazione di rete specifica o l'integrazione con un ambiente di rete aziendale più grande.

Configura il vincolo Ignora creazione rete predefinita per disattivare la creazione della VPC predefinita per i nuovi progetti. Se necessario, puoi creare manualmente la rete predefinita all'interno di un progetto.

  • Si applica a: Personalizza
  • Applicazione forzata:On

Progettare le regole del firewall

Le regole firewall ti consentono di consentire o negare il traffico verso o dalle tue VM in base a una configurazione da te definita. I criteri firewall gerarchici vengono implementati a livello di organizzazione e di cartella, mentre i criteri firewall di rete vengono implementati a livello di rete VPC nella gerarchia delle risorse. Insieme, offrono una funzionalità importante per contribuire a proteggere i tuoi carichi di lavoro.

Indipendentemente da dove vengono applicati i criteri firewall, segui le linee guida riportate di seguito per progettare e valutare le regole del firewall:

  • Implementa i principi del privilegio minimo (chiamati anche microsegmentazione). Blocca tutto il traffico per impostazione predefinita e consenti solo il traffico specifico di cui hai bisogno. Ciò include la limitazione delle regole solo ai protocolli e alle porte necessari per ogni carico di lavoro.
  • Abilita il logging delle regole firewall per avere visibilità sul comportamento del firewall e per utilizzare Firewall Insights.
  • Definisci una metodologia di numerazione per l'assegnazione delle priorità delle regole firewall. Ad esempio, è buona norma riservare un intervallo di numeri bassi in ogni norma per le regole necessarie durante la risposta agli incidenti. Ti consigliamo inoltre di dare la priorità alle regole più specifiche rispetto a quelle più generali per assicurarti che le regole specifiche non vengano ignorate da quelle generali. L'Esempio seguente mostra un possibile approccio per le priorità delle regole firewall:

Intervallo di priorità delle regole firewall
Scopo

0-999
Riservato per la risposta agli incidenti

1000-1999
Traffico sempre bloccato

2000-1999999999
Regole specifiche per il carico di lavoro

2000000000-2100000000
Regole generiche

2100000001-2147483643
Riservato

Configura i criteri firewall gerarchici

I criteri firewall gerarchici ti consentono di creare e applicare un criterio firewall coerente in tutta la organizzazione. Per esempi di utilizzo dei criteri firewall gerarchici, consulta Esempi di criteri firewall gerarchici.

Definisci criteri firewall gerarchici per implementare i seguenti controlli di accesso alla rete:

  • Identity-Aware Proxy (IAP) per l'inoltro TCP. L'IAP per l'inoltro TCP è consentito tramite un criterio di sicurezza che consente il traffico in entrata dall'intervallo IP 35.235.240.0/20 per le porte TCP 22 e 3389.
  • Controlli di integrità per Cloud Load Balancing. Sono consentiti gli intervalli noti utilizzati per i controlli di integrità.
    • Per la maggior parte delle istanze di Cloud Load Balancing (incluso il bilanciamento del carico TCP/UDP interno, il bilanciamento del carico HTTP(S) interno, il bilanciamento del carico proxy TCP esterno, il bilanciamento del carico proxy SSL esterno e il bilanciamento del carico HTTP(S)), è definito un criterio di sicurezza che consente il traffico in entrata dagli intervalli IP 35.191.0.0/16 e 130.211.0.0/22 per le porte 80 e 443.
    • Per il bilanciamento del carico della rete, è definito un criterio di sicurezza che attiva i controlli di integrità precedenti consentendo il traffico in entrata dagli intervalli IP 35.191.0.0/16, 209.85.152.0/22 e 209.85.204.0/22 per le porte 80 e 443.

Configura l'ambiente VPC dell'hub

La VPC hub fornisce le risorse di rete per abilitare la connettività tra le reti VPC spoke dei carichi di lavoro e le reti on-premise o multi-cloud.

  1. Crea un nuovo progetto per la rete VPC dell'hub.
  2. Abilita l'API Compute Engine per il progetto.
  3. Crea la rete VPC in modalità personalizzata dell'hub.
  4. Configura Private Service Connect per le API di Google per la VPC hub.

Configura la connettività ibrida

Puoi utilizzare Dedicated Interconnect, Partner Interconnect o Cloud VPN per fornire connettività ibrida alla tua landing zone. I passaggi che seguono creano le risorse di connettività ibrida iniziali necessarie per questa opzione di progettazione:

  1. Se utilizzi Dedicated Interconnect: Se utilizzi Partner Interconnect o Cloud VPN, puoi saltare questi passaggi.
    1. Crea un progetto separato per le porte di interconnessione fisiche.
    2. Abilita l'API Compute Engine per il progetto.
    3. Crea le connessioni Dedicated Interconnect.
  2. Per ogni regione in cui termini la connettività ibrida nella rete VPC:
    1. Crea due collegamenti VLAN dedicati o partner, uno per ogni zona di disponibilità dell'edge. Nell'ambito di questa procedura, selezioni i router Cloud e crei sessioni BGP.
    2. Configura i router della rete peer (on-premise o di un altro cloud).
    3. Configura le route annunciate personalizzate nei router Cloud per gli intervalli di subnet nei VPC hub e di lavoro.

Configurare i progetti di workload

Crea una VPC spoke separata per ogni carico di lavoro:

  1. Crea un nuovo progetto per ospitare il tuo carico di lavoro.
  2. Abilita l'API Compute Engine per il progetto.
  3. Configura il peering di rete VPC tra la VPC spoke del workload e la VPC hub, con le seguenti impostazioni:
    • Abilita l'esportazione delle route personalizzate nella VPC hub.
    • Abilita l'importazione di route personalizzate nella VPC spoke del workload.
  4. Crea subnet nelle regioni in cui prevedi di eseguire il deployment dei carichi di lavoro. Per ogni subnet, abilita l'accesso privato Google per consentire alle istanze VM con solo indirizzi IP interni di raggiungere i servizi Google.
  5. Configura Private Service Connect per le API di Google.

Configurazione di Cloud NAT

Segui questi passaggi se i carichi di lavoro in regioni specifiche richiedono accesso in uscita a internet, ad esempio per scaricare pacchetti o aggiornamenti software.

  1. Crea un gateway Cloud NAT nelle regioni in cui i workload richiedono l'accesso a internet in uscita. Se necessario, puoi personalizzare la configurazione di Cloud NAT in modo da consentire la connettività in uscita solo da subnet specifiche.
  2. Come minimo, abilita il logging Cloud NAT perché il gateway registri ERRORS_ONLY. Per includere i log per le traduzioni eseguite da Cloud NAT, configura ogni gateway in modo che registri ALL.

Configurare l'osservabilità

Network Intelligence Center fornisce un modo coerente per monitorare, risolvere i problemi e visualizzare il tuo ambiente di rete cloud. Utilizzalo per assicurarti che il design funzioni con l'intenzione desiderata.

Le seguenti configurazioni supportano l'analisi del logging e delle metriche attivate.

Passaggi successivi

La configurazione iniziale per questa opzione di progettazione di rete è stata completata. Ora puoi ripetere questi passaggi per configurare un'altra istanza dell'ambiente della zona di destinazione, ad esempio un ambiente di staging o di produzione, oppure continuare a decidere la sicurezza per la tua zona di destinazione Google Cloud.

Opzione di creazione 4: esponi i servizi in un modello consumer-producer con Private Service Connect

Se hai scelto di esporre i servizi in un modello consumer-producer con Private Service Connect per la tua area di destinazione, come descritto in "Decidere il design di rete per la tua area di destinazione Google Cloud", segui questa procedura.

I passaggi seguenti consentono di creare una singola istanza di una VPC. Quando hai bisogno di più istanze di un VPC, ad esempio per gli ambienti di sviluppo e di produzione, ripeti i passaggi per ogni VPC.

Limitare l'accesso esterno utilizzando un criterio dell'organizzazione

Ti consigliamo di limitare l'accesso diretto a internet solo alle risorse che ne hanno bisogno. Le risorse senza indirizzi esterni possono comunque accedere a molte API e a molti servizi Google tramite l'accesso privato Google. L'accesso privato Google viene abilitato a livello di subnet e consente alle risorse di interagire con i principali servizi Google, isolandole al contempo dalla rete internet pubblica.

Per motivi di usabilità, la funzionalità predefinita di Google Cloud consente agli utenti di creare risorse in tutti i progetti, a condizione che dispongano delle autorizzazioni IAM corrette. Per una maggiore sicurezza, ti consigliamo di limitare le autorizzazioni predefinite per i tipi di risorse che possono causare un accesso a internet indesiderato. Puoi quindi autorizzare progetti specifici solo per consentire la creazione di queste risorse. Segui le istruzioni riportate in Creazione e gestione dei criteri dell'organizzazione per impostare i seguenti vincoli.

Limita forwarding di protocollo in base al tipo di indirizzo IP

L'inoltro del protocollo stabilisce una risorsa regola di forwarding con un indirizzo IP esterno e ti consente di indirizzare il traffico a una VM.

Il vincolo Limita il forwarding di protocollo in base al tipo di indirizzo IP impedisce la creazione di regole di inoltro con indirizzi IP esterni per l'intera organizzazione. Per i progetti autorizzati a utilizzare regole di inoltro esterno, puoi modificare la limitazione a livello di cartella o progetto.

Imposta i seguenti valori per configurare questo vincolo:

  • Si applica a: Personalizza
  • Applicazione delle norme: Sostituisci
  • Valori criterio: Personalizzato
  • Tipo di criterio: Rifiuta
  • Valore personalizzato: IS:EXTERNAL

Definisci IP esterni consentiti per le istanze VM

Per impostazione predefinita, le singole istanze VM possono acquisire indirizzi IP esterni, il che consente la connettività in entrata e in uscita con internet.

L'applicazione del vincolo Definisci IP esterni consentiti per le istanze VM impedisce l'utilizzo di indirizzi IP esterni con le istanze VM. Per i carichi di lavoro che richiedono indirizzi IP esterni su singole istanze VM, modifica la limitazione a livello di cartella o progetto per specificare le singole istanze VM. In alternativa, override il vincolo per i progetti pertinenti.

  • Si applica a: Personalizza
  • Applicazione delle norme: Sostituisci
  • Valori dei criteri: Rifiuta tutto

Disabilita l'utilizzo di IPv6 all'esterno di VPC

Il vincolo Disattiva l'utilizzo di IPv6 all'esterno di VPC, se impostato su True, impedisce la configurazione di subnet VPC con indirizzi IPv6 esterni per le istanze VM.

  • Si applica a: Personalizza
  • Applicazione forzata:On

Disattivare la creazione della rete predefinita

Quando viene creato un nuovo progetto, viene creata automaticamente una VPC predefinita. Questo è utile per esperimenti rapidi che non richiedono una configurazione di rete specifica o l'integrazione con un ambiente di rete aziendale più grande.

Configura il vincolo Ignora creazione rete predefinita per disattivare la creazione della VPC predefinita per i nuovi progetti. Se necessario, puoi creare manualmente la rete predefinita all'interno di un progetto.

  • Si applica a: Personalizza
  • Applicazione forzata:On

Progettare le regole del firewall

Le regole firewall ti consentono di consentire o negare il traffico verso o dalle tue VM in base a una configurazione da te definita. I criteri firewall gerarchici vengono implementati a livello di organizzazione e di cartella, mentre i criteri firewall di rete vengono implementati a livello di rete VPC nella gerarchia delle risorse. Insieme, offrono una funzionalità importante per contribuire a proteggere i tuoi carichi di lavoro.

Indipendentemente da dove vengono applicati i criteri firewall, segui le linee guida riportate di seguito per progettare e valutare le regole del firewall:

  • Implementa i principi del privilegio minimo (chiamati anche microsegmentazione). Blocca tutto il traffico per impostazione predefinita e consenti solo il traffico specifico di cui hai bisogno. Ciò include la limitazione delle regole solo ai protocolli e alle porte necessari per ogni carico di lavoro.
  • Abilita il logging delle regole firewall per avere visibilità sul comportamento del firewall e per utilizzare Firewall Insights.
  • Definisci una metodologia di numerazione per l'assegnazione delle priorità delle regole firewall. Ad esempio, è buona norma riservare un intervallo di numeri bassi in ogni norma per le regole necessarie durante la risposta agli incidenti. Ti consigliamo inoltre di dare la priorità alle regole più specifiche rispetto a quelle più generali per assicurarti che le regole specifiche non vengano ignorate da quelle generali. L'Esempio seguente mostra un possibile approccio per le priorità delle regole firewall:

Intervallo di priorità delle regole firewall
Scopo

0-999
Riservato per la risposta agli incidenti

1000-1999
Traffico sempre bloccato

2000-1999999999
Regole specifiche per il carico di lavoro

2000000000-2100000000
Regole generiche

2100000001-2147483643
Riservato

Configura i criteri firewall gerarchici

I criteri firewall gerarchici ti consentono di creare e applicare un criterio firewall coerente in tutta la organizzazione. Per esempi di utilizzo dei criteri firewall gerarchici, consulta Esempi di criteri firewall gerarchici.

Definisci criteri firewall gerarchici per implementare i seguenti controlli di accesso alla rete:

  • Identity-Aware Proxy (IAP) per l'inoltro TCP. L'IAP per l'inoltro TCP è consentito tramite un criterio di sicurezza che consente il traffico in entrata dall'intervallo IP 35.235.240.0/20 per le porte TCP 22 e 3389.
  • Controlli di integrità per Cloud Load Balancing. Sono consentiti gli intervalli noti utilizzati per i controlli di integrità.
    • Per la maggior parte delle istanze di Cloud Load Balancing (incluso il bilanciamento del carico TCP/UDP interno, il bilanciamento del carico HTTP(S) interno, il bilanciamento del carico proxy TCP esterno, il bilanciamento del carico proxy SSL esterno e il bilanciamento del carico HTTP(S)), è definito un criterio di sicurezza che consente il traffico in entrata dagli intervalli IP 35.191.0.0/16 e 130.211.0.0/22 per le porte 80 e 443.
    • Per il bilanciamento del carico della rete, è definito un criterio di sicurezza che attiva i controlli di integrità precedenti consentendo il traffico in entrata dagli intervalli IP 35.191.0.0/16, 209.85.152.0/22 e 209.85.204.0/22 per le porte 80 e 443.

Configura l'ambiente VPC

La VPC di transito fornisce le risorse di rete per abilitare la connettività tra le reti VPC spoke del carico di lavoro e le reti on-premise o multi-cloud.

  1. Crea un nuovo progetto per la rete VPC di transito.
  2. Abilita l'API Compute Engine per il progetto.
  3. Crea la rete VPC in modalità personalizzata di transito.
  4. Crea una sottorete Private Service Connect in ogni regione in cui prevedi di pubblicare servizi in esecuzione nella VPC dell'hub o nell'ambiente on-premise. Valuta il dimensionamento delle sottoreti Private Service Connect quando decidi il piano di indirizzamento IP.
  5. Per ogni servizio on-premise che vuoi esporre ai carichi di lavoro in esecuzione su Google Cloud, crea un bilanciatore del carico proxy HTTP(S) o TCP interno e esponi i servizi utilizzando Private Service Connect.
  6. Configura Private Service Connect per le API di Google per la VPC di transito.

Configura la connettività ibrida

Puoi utilizzare Dedicated Interconnect, Partner Interconnect o Cloud VPN per fornire connettività ibrida alla tua landing zone. I passaggi che seguono creano le risorse di connettività ibrida iniziali necessarie per questa opzione di progettazione:

  1. Se utilizzi Dedicated Interconnect: Se utilizzi Partner Interconnect o Cloud VPN, puoi saltare questi passaggi.
    1. Crea un progetto separato per le porte di interconnessione fisiche.
    2. Abilita l'API Compute Engine per il progetto.
    3. Crea le connessioni Dedicated Interconnect.
  2. Per ogni regione in cui termini la connettività ibrida nella rete VPC:
    1. Crea due collegamenti VLAN dedicati o partner, uno per ogni zona di disponibilità dell'edge. Nell'ambito di questa procedura, selezioni i router Cloud e crei sessioni BGP.
    2. Configura i router della rete peer (on-premise o di un altro cloud).

Configurare i progetti di workload

Crea un VPC separato per ogni workload:

  1. Crea un nuovo progetto per ospitare il tuo carico di lavoro.
  2. Abilita l'API Compute Engine per il progetto.
  3. Crea una rete VPC in modalità personalizzata.
  4. Crea subnet nelle regioni in cui prevedi di eseguire il deployment dei carichi di lavoro. Per ogni subnet, abilita l'accesso privato Google per consentire alle istanze VM con solo indirizzi IP interni di raggiungere i servizi Google.
  5. Configura Private Service Connect per le API di Google.
  6. Per ogni carico di lavoro che utilizzi da un VPC diverso o dal tuo ambiente on-premise, crea un endpoint consumer Private Service Connect.
  7. Per ogni carico di lavoro che produci per un VPC diverso o per il tuo ambiente on-premise, crea un bilanciatore del carico interno e un collegamento a un servizio per il servizio. Prendi in considerazione il dimensionamento delle sottoreti Private Service Connect quando decidi il piano di indirizzamento IP.
  8. Se il servizio deve essere raggiungibile dal tuo ambiente on-premise, crea un endpoint consumer Private Service Connect nella VPC di transito.

Configurazione di Cloud NAT

Segui questi passaggi se i carichi di lavoro in regioni specifiche richiedono accesso in uscita a internet, ad esempio per scaricare pacchetti o aggiornamenti software.

  1. Crea un gateway Cloud NAT nelle regioni in cui i workload richiedono l'accesso a internet in uscita. Se necessario, puoi personalizzare la configurazione di Cloud NAT in modo da consentire la connettività in uscita solo da subnet specifiche.
  2. Come minimo, abilita il logging Cloud NAT perché il gateway registri ERRORS_ONLY. Per includere i log per le traduzioni eseguite da Cloud NAT, configura ogni gateway in modo che registri ALL.

Configurare l'osservabilità

Network Intelligence Center fornisce un modo coerente per monitorare, risolvere i problemi e visualizzare il tuo ambiente di rete cloud. Utilizzalo per assicurarti che il design funzioni con l'intenzione desiderata.

Le seguenti configurazioni supportano l'analisi del logging e delle metriche attivate.

Passaggi successivi

La configurazione iniziale per questa opzione di progettazione di rete è stata completata. Ora puoi ripetere questi passaggi per configurare un'altra istanza dell'ambiente della zona di destinazione, ad esempio un ambiente di staging o di produzione, oppure continuare a decidere la sicurezza per la tua zona di destinazione Google Cloud.

Passaggi successivi