Implementare la rete della tua zona di destinazione Google Cloud

Questo documento fornisce la procedura e le indicazioni per implementare la progettazione di rete che hai scelto dopo aver esaminato Decidere la progettazione della rete per la tua zona di destinazione Google Cloud. Se non lo hai già fatto, consulta Progettazione delle zone di destinazione in Google Cloud prima di scegliere un'opzione.

Queste istruzioni sono rivolte a ingegneri, architetti e professionisti tecnici di rete coinvolti nella progettazione della rete per la zona di destinazione della tua organizzazione.

Opzioni di progettazione della rete

In base alla progettazione della rete scelta, completa una delle seguenti operazioni:

• Crea opzione 1: rete VPC condiviso per ogni ambiente
• Crea l'opzione 2: topologia hub e spoke con appliance centralizzate
• Crea l'opzione 3: topologia hub e spoke senza appliance
• Crea opzione 4: espone i servizi in un modello consumer-producer con Private Service Connect

Crea opzione 1: rete VPC condiviso per ogni ambiente

Se hai scelto di creare la rete VPC condivisa per ogni ambiente in "Decidere la progettazione della rete per la zona di destinazione Google Cloud", segui questa procedura.

I passaggi seguenti creano una singola istanza di una zona di destinazione. Se hai bisogno di più di una zona di destinazione, magari una per lo sviluppo e una per la produzione, ripeti i passaggi per ogni zona di destinazione.

Limitare l'accesso esterno utilizzando un criterio dell'organizzazione

Ti consigliamo di limitare l'accesso diretto a internet solo alle risorse che ne hanno bisogno. Le risorse senza indirizzi esterni possono comunque accedere a molti servizi e API di Google tramite l'accesso privato Google. L'accesso privato Google è abilitato a livello di subnet e consente alle risorse di interagire con i servizi Google chiave, isolandole dalla rete internet pubblica.

Per l'usabilità, la funzionalità predefinita di Google Cloud consente agli utenti di creare risorse in tutti i progetti, a condizione che dispongano delle autorizzazioni IAM corrette. Per una maggiore sicurezza, ti consigliamo di limitare le autorizzazioni predefinite per i tipi di risorse che possono causare accessi a internet indesiderati. Puoi quindi autorizzare progetti specifici solo per consentire la creazione di queste risorse. Utilizza le istruzioni riportate in Creazione e gestione dei criteri dell'organizzazione per impostare i seguenti vincoli.

Limita forwarding di protocollo in base al tipo di indirizzo IP

Il forwarding del protocollo stabilisce una risorsa della regola di forwarding con un indirizzo IP esterno e consente di indirizzare il traffico a una VM.

Il vincolo Limita il forwarding del protocollo in base al tipo di indirizzo IP impedisce la creazione di regole di forwarding con indirizzi IP esterni per l'intera organizzazione. Per i progetti autorizzati a utilizzare regole di forwarding esterno, puoi modificare il vincolo a livello di cartella o progetto.

Imposta i valori seguenti per configurare questo vincolo:

• Si applica a: Personalizza
• Applicazione dei criteri:sostituisci
• Valori dei criteri: personalizzati
• Tipo di criterio:Rifiuta
• Valore personalizzato: IS:EXTERNAL

Definisci IP esterni consentiti per le istanze VM

Per impostazione predefinita, le singole istanze VM possono acquisire indirizzi IP esterni, il che consente la connettività in uscita e in entrata con internet.

L'applicazione del vincolo Definisci IP esterni consentiti per le istanze VM impedisce l'utilizzo di indirizzi IP esterni con istanze VM. Per i carichi di lavoro che richiedono indirizzi IP esterni su singole istanze VM, modifica il vincolo a livello di cartella o progetto per specificare le singole istanze VM. In alternativa, esegui l'override del vincolo per i progetti pertinenti.

• Si applica a: Personalizza
• Applicazione dei criteri:sostituisci
• Valori dei criteri:Nega tutto

Disabilita l'utilizzo di IPv6 all'esterno di VPC

Il vincolo Disabilita utilizzo di IPv6 all'esterno di VPC, se impostato su True, impedisce la configurazione di subnet VPC con indirizzi IPv6 esterni per le istanze VM.

• Si applica a: Personalizza
• Applicazione:on

Disattiva creazione rete predefinita

Quando viene creato un nuovo progetto, viene creato automaticamente un VPC predefinito. È utile per esperimenti rapidi che non richiedono una configurazione di rete specifica o l'integrazione con un ambiente di networking aziendale più grande.

Configura il vincolo Ignora creazione rete predefinita per disabilitare la creazione di VPC predefinita per nuovi progetti. Puoi creare manualmente la rete predefinita all'interno di un progetto, se necessario.

• Si applica a: Personalizza
• Applicazione:on

Progetta le regole firewall

Le regole firewall consentono di consentire o negare il traffico da o verso le VM in base a una configurazione definita da te. I criteri firewall gerarchici vengono implementati a livello di organizzazione e cartella, mentre i criteri firewall di rete vengono implementati a livello di rete VPC nella gerarchia delle risorse. Insieme, forniscono un'importante funzionalità per proteggere i carichi di lavoro.

Indipendentemente da dove vengono applicati i criteri firewall, segui queste linee guida durante la progettazione e la valutazione delle regole firewall:

• Implementare i principi del privilegio minimo (chiamato anche microsegmentazione). Blocca tutto il traffico per impostazione predefinita e consenti solo il traffico specifico di cui hai bisogno. Ciò include la limitazione delle regole solo ai protocolli e alle porte necessari per ciascun carico di lavoro.
• Abilita il logging delle regole firewall per avere visibilità sul comportamento del firewall e per utilizzare Firewall Insights.
• Definisci una metodologia di numerazione per assegnare le priorità delle regole firewall. Ad esempio, è consigliabile riservare una gamma di numeri bassi in ogni criterio per le regole necessarie durante la risposta agli incidenti. Ti consigliamo inoltre di dare la priorità alle regole più specifiche rispetto a quelle più generali, per avere la certezza che le regole generali non siano con shadowing. L'esempio seguente mostra un possibile approccio per le priorità delle regole firewall:

Intervallo di priorità della regola firewall	Finalità
0-999	Riservato per la risposta agli incidenti
1000-1999	Traffico sempre bloccato
2000-1999999999	Regole specifiche per i carichi di lavoro
2000000000-2100000000	Regole generiche
2100000001-2147483643	Prenotato

Configura criteri firewall gerarchici

I criteri firewall gerarchici ti consentono di creare e applicare un criterio firewall coerente in tutta l'organizzazione. Per esempi sull'utilizzo di criteri firewall gerarchici, consulta Esempi di criteri firewall gerarchici.

Definisci criteri firewall gerarchici per implementare i seguenti controlli di accesso alla rete:

• Identity-Aware Proxy (IAP) per l'inoltro TCP. IAP per l'inoltro TCP è consentito tramite un criterio di sicurezza che consente il traffico in entrata dall'intervallo IP 35.235.240.0/20 per le porte TCP 22 e 3389.
• Controlli di integrità per Cloud Load Balancing. Sono consentiti gli intervalli noti utilizzati per i controlli di integrità.
  • Per la maggior parte delle istanze di Cloud Load Balancing (inclusi bilanciamento del carico TCP/UDP interno, bilanciamento del carico HTTP(S) interno, bilanciamento del carico del proxy TCP esterno, bilanciamento del carico del proxy SSL esterno e bilanciamento del carico HTTP(S), viene definito un criterio di sicurezza che consente il traffico in entrata dagli intervalli IP 35.191.0.0/16 e 130.211.0.0/22 per le porte 80 e 80
  • Per il bilanciamento del carico di rete, viene definito un criterio di sicurezza che abilita i controlli di integrità legacy consentendo il traffico in entrata dagli intervalli IP 35.191.0.0/16, 209.85.152.0/22 e 209.85.204.0/22 per le porte 80 e 443.

Configura l'ambiente VPC condiviso

Prima di implementare una progettazione di VPC condiviso, decidi come condividere le subnet con i progetti di servizio. Puoi collegare un progetto di servizio a un progetto host. Per determinare quali subnet sono disponibili per il progetto di servizio, puoi assegnare autorizzazioni IAM al progetto host o alle singole subnet. Ad esempio, puoi scegliere di dedicare una subnet diversa a ogni progetto di servizio o condividere le stesse subnet tra i progetti di servizio.

1. Crea un nuovo progetto per il VPC condiviso. Più avanti in questo processo, questo progetto diventa il progetto host e contiene le reti e le risorse di networking da condividere con i progetti di servizio.
2. Abilita l'API Compute Engine per il progetto host.
3. Configura il VPC condiviso per il progetto.
4. Crea la rete VPC in modalità personalizzata nel progetto host.
5. Crea subnet nelle regioni in cui prevedi di eseguire il deployment dei carichi di lavoro. Per ogni subnet, abilita l'accesso privato Google per consentire alle istanze VM senza indirizzi IP esterni di raggiungere i servizi Google.

Configurazione di Cloud NAT

Segui questi passaggi se i carichi di lavoro in aree geografiche specifiche richiedono l'accesso a internet in uscita, ad esempio per scaricare pacchetti software o aggiornamenti.

1. Crea un gateway Cloud NAT nelle regioni in cui i carichi di lavoro richiedono l'accesso a internet in uscita. Puoi personalizzare la configurazione di Cloud NAT per consentire la connettività in uscita solo da subnet specifiche, se necessario.
2. Come minimo, abilita il logging di Cloud NAT affinché il gateway registri ERRORS_ONLY. Per includere i log per le traduzioni eseguite da Cloud NAT, configura ciascun gateway in modo da registrare ALL.

Configura la connettività ibrida

Puoi utilizzare Dedicated Interconnect, Partner Interconnect o Cloud VPN per fornire connettività ibrida alla tua zona di destinazione. I seguenti passaggi creano le risorse di connettività ibrida iniziale necessarie per questa opzione di progettazione:

1. Se utilizzi Dedicated Interconnect, procedi nel seguente modo. Se utilizzi Partner Interconnect o Cloud VPN, puoi saltare questi passaggi.
   1. Crea un progetto separato per le porte di interconnessione fisica.
   2. Abilita l'API Compute Engine per il progetto.
   3. Crea connessioni Dedicated Interconnect.
2. Per ogni regione in cui stai terminando la connettività ibrida nella rete VPC:
   1. Crea due collegamenti VLAN dedicati o partner, uno per ogni zona di disponibilità perimetrale. Nell'ambito di questo processo, selezioni i router Cloud e crei sessioni BGP.
   2. Configura i router della rete peer (on-premise o su altri cloud).

Configura progetti dei carichi di lavoro

Crea un progetto di servizio separato per ogni carico di lavoro:

1. Crea un nuovo progetto che funzioni come uno dei progetti di servizio per il VPC condiviso.
2. Abilita l'API Compute Engine per il progetto di servizio.
3. Collega il progetto al progetto host.
4. Configura l'accesso a tutte le subnet nel progetto host o ad alcune subnet nel progetto host.

Configura l'osservabilità

Network Intelligence Center fornisce un modo coerente per monitorare, risolvere i problemi e visualizzare l'ambiente di networking cloud. Utilizzalo per assicurarti che il tuo design funzioni con l'intento desiderato.

Le seguenti configurazioni supportano l'analisi del logging e delle metriche abilitate.

• Devi abilitare l'API Network Management prima di poter eseguire Connectivity Tests. Per utilizzare direttamente l'API, Google Cloud CLI o la console Google Cloud, è necessario abilitare l'API.
• Devi abilitare l'API Firewall Insights prima di poter eseguire qualsiasi attività utilizzando Firewall Insights.

Passaggi successivi

La configurazione iniziale di questa opzione di progettazione della rete è stata completata. Ora puoi ripetere questi passaggi per configurare un'ulteriore istanza dell'ambiente della zona di destinazione, ad esempio un ambiente gestione temporanea o di produzione, oppure continuare con Decidere la sicurezza per la tua zona di destinazione Google Cloud.

Crea l'opzione 2: topologia hub e spoke con appliance centralizzate

Se hai scelto di creare la topologia hub e spoke con appliance centralizzate in "Decidere la progettazione della rete per la zona di destinazione Google Cloud", segui questa procedura.

I passaggi seguenti creano una singola istanza di una zona di destinazione. Se hai bisogno di più di una zona di destinazione, magari una per lo sviluppo e una per la produzione, ripeti i passaggi per ogni zona di destinazione.

Limitare l'accesso esterno utilizzando un criterio dell'organizzazione

Ti consigliamo di limitare l'accesso diretto a internet solo alle risorse che ne hanno bisogno. Le risorse senza indirizzi esterni possono comunque accedere a molti servizi e API di Google tramite l'accesso privato Google. L'accesso privato Google è abilitato a livello di subnet e consente alle risorse di interagire con i servizi Google chiave, isolandole dalla rete internet pubblica.

Per l'usabilità, la funzionalità predefinita di Google Cloud consente agli utenti di creare risorse in tutti i progetti, a condizione che dispongano delle autorizzazioni IAM corrette. Per una maggiore sicurezza, ti consigliamo di limitare le autorizzazioni predefinite per i tipi di risorse che possono causare accessi a internet indesiderati. Puoi quindi autorizzare progetti specifici solo per consentire la creazione di queste risorse. Utilizza le istruzioni riportate in Creazione e gestione dei criteri dell'organizzazione per impostare i seguenti vincoli.

Limita forwarding di protocollo in base al tipo di indirizzo IP

Il forwarding del protocollo stabilisce una risorsa della regola di forwarding con un indirizzo IP esterno e consente di indirizzare il traffico a una VM.

Il vincolo Limita il forwarding del protocollo in base al tipo di indirizzo IP impedisce la creazione di regole di forwarding con indirizzi IP esterni per l'intera organizzazione. Per i progetti autorizzati a utilizzare regole di forwarding esterno, puoi modificare il vincolo a livello di cartella o progetto.

Imposta i valori seguenti per configurare questo vincolo:

• Si applica a: Personalizza
• Applicazione dei criteri:sostituisci
• Valori dei criteri: personalizzati
• Tipo di criterio:Rifiuta
• Valore personalizzato: IS:EXTERNAL

Definisci IP esterni consentiti per le istanze VM

Per impostazione predefinita, le singole istanze VM possono acquisire indirizzi IP esterni, il che consente la connettività in uscita e in entrata con internet.

L'applicazione del vincolo Definisci IP esterni consentiti per le istanze VM impedisce l'utilizzo di indirizzi IP esterni con istanze VM. Per i carichi di lavoro che richiedono indirizzi IP esterni su singole istanze VM, modifica il vincolo a livello di cartella o progetto per specificare le singole istanze VM. In alternativa, esegui l'override del vincolo per i progetti pertinenti.

• Si applica a: Personalizza
• Applicazione dei criteri:sostituisci
• Valori dei criteri:Nega tutto

Disabilita l'utilizzo di IPv6 all'esterno di VPC

Il vincolo Disabilita utilizzo di IPv6 all'esterno di VPC, se impostato su True, impedisce la configurazione di subnet VPC con indirizzi IPv6 esterni per le istanze VM.

• Si applica a: Personalizza
• Applicazione:on

Disattiva creazione rete predefinita

Quando viene creato un nuovo progetto, viene creato automaticamente un VPC predefinito. È utile per esperimenti rapidi che non richiedono una configurazione di rete specifica o l'integrazione con un ambiente di networking aziendale più grande.

Configura il vincolo Ignora creazione rete predefinita per disabilitare la creazione di VPC predefinita per nuovi progetti. Puoi creare manualmente la rete predefinita all'interno di un progetto, se necessario.

• Si applica a: Personalizza
• Applicazione:on

Progetta le regole firewall

Le regole firewall consentono di consentire o negare il traffico da o verso le VM in base a una configurazione definita da te. I criteri firewall gerarchici vengono implementati a livello di organizzazione e cartella, mentre i criteri firewall di rete vengono implementati a livello di rete VPC nella gerarchia delle risorse. Insieme, forniscono un'importante funzionalità per proteggere i carichi di lavoro.

Indipendentemente da dove vengono applicati i criteri firewall, segui queste linee guida durante la progettazione e la valutazione delle regole firewall:

• Implementare i principi del privilegio minimo (chiamato anche microsegmentazione). Blocca tutto il traffico per impostazione predefinita e consenti solo il traffico specifico di cui hai bisogno. Ciò include la limitazione delle regole solo ai protocolli e alle porte necessari per ciascun carico di lavoro.
• Abilita il logging delle regole firewall per avere visibilità sul comportamento del firewall e per utilizzare Firewall Insights.
• Definisci una metodologia di numerazione per assegnare le priorità delle regole firewall. Ad esempio, è consigliabile riservare una gamma di numeri bassi in ogni criterio per le regole necessarie durante la risposta agli incidenti. Ti consigliamo inoltre di dare la priorità alle regole più specifiche rispetto a quelle più generali, per avere la certezza che le regole generali non siano con shadowing. L'esempio seguente mostra un possibile approccio per le priorità delle regole firewall:

Intervallo di priorità della regola firewall	Finalità
0-999	Riservato per la risposta agli incidenti
1000-1999	Traffico sempre bloccato
2000-1999999999	Regole specifiche per i carichi di lavoro
2000000000-2100000000	Regole generiche
2100000001-2147483643	Prenotato

Configura criteri firewall gerarchici

I criteri firewall gerarchici ti consentono di creare e applicare un criterio firewall coerente in tutta l'organizzazione. Per esempi sull'utilizzo di criteri firewall gerarchici, consulta Esempi di criteri firewall gerarchici.

Definisci criteri firewall gerarchici per implementare i seguenti controlli di accesso alla rete:

• Identity-Aware Proxy (IAP) per l'inoltro TCP. IAP per l'inoltro TCP è consentito tramite un criterio di sicurezza che consente il traffico in entrata dall'intervallo IP 35.235.240.0/20 per le porte TCP 22 e 3389.
• Controlli di integrità per Cloud Load Balancing. Sono consentiti gli intervalli noti utilizzati per i controlli di integrità.
  • Per la maggior parte delle istanze di Cloud Load Balancing (inclusi bilanciamento del carico TCP/UDP interno, bilanciamento del carico HTTP(S) interno, bilanciamento del carico del proxy TCP esterno, bilanciamento del carico del proxy SSL esterno e bilanciamento del carico HTTP(S), viene definito un criterio di sicurezza che consente il traffico in entrata dagli intervalli IP 35.191.0.0/16 e 130.211.0.0/22 per le porte 80 e 80
  • Per il bilanciamento del carico di rete, viene definito un criterio di sicurezza che abilita i controlli di integrità legacy consentendo il traffico in entrata dagli intervalli IP 35.191.0.0/16, 209.85.152.0/22 e 209.85.204.0/22 per le porte 80 e 443.

Configura il tuo ambiente VPC

Le reti VPC di transito e hub forniscono le risorse di networking per consentire la connettività tra le reti VPC spoke dei carichi di lavoro e le reti on-premise o multi-cloud.

1. Crea un nuovo progetto per le reti VPC in transito e hub. Entrambe le reti VPC fanno parte dello stesso progetto per supportare la connettività attraverso le appliance di rete virtuale.
2. Abilita l'API Compute Engine per il progetto.
3. Crea la rete VPC in modalità personalizzata per il trasporto pubblico.
4. Nella rete VPC in transito, crea una subnet nelle regioni in cui prevedi di eseguire il deployment delle appliance di rete virtuali.
5. Crea la rete VPC in modalità personalizzata dell'hub.
6. Nella rete VPC hub, crea una subnet nelle regioni in cui prevedi di eseguire il deployment delle appliance di rete virtuali.
7. Configura i criteri firewall di rete globali o a livello di regione per consentire il traffico in entrata e in uscita per le appliance virtuali di rete.
8. Crea un gruppo di istanze gestite per le appliance di rete virtuali.
9. Configura le risorse di bilanciamento del carico TCP/UDP interne per il VPC in transito. Questo bilanciatore del carico viene utilizzato per instradare il traffico dal VPC in transito al VPC hub attraverso le appliance di rete virtuale.
10. Configura le risorse di bilanciamento del carico TCP/UDP interne per il VPC hub. Questo bilanciatore del carico viene utilizzato per instradare il traffico dal VPC hub al VPC in transito attraverso le appliance di rete virtuale.
11. Configura Private Service Connect per le API di Google per il VPC hub.
12. Modifica le route VPC per inviare tutto il traffico attraverso le appliance virtuali di rete:
    1. Elimina la route 0.0.0.0/0 con l'hop successivo default-internet-gateway dal VPC hub.
    2. Configura una nuova route con destinazione 0.0.0.0/0 e un hop successivo della regola di forwarding per il bilanciatore del carico nel VPC dell'hub.

Configurazione di Cloud NAT

Segui questi passaggi se i carichi di lavoro in aree geografiche specifiche richiedono l'accesso a internet in uscita, ad esempio per scaricare pacchetti software o aggiornamenti.

1. Crea un gateway Cloud NAT nelle regioni in cui i carichi di lavoro richiedono l'accesso a internet in uscita. Puoi personalizzare la configurazione di Cloud NAT per consentire la connettività in uscita solo da subnet specifiche, se necessario.
2. Come minimo, abilita il logging di Cloud NAT affinché il gateway registri ERRORS_ONLY. Per includere i log per le traduzioni eseguite da Cloud NAT, configura ciascun gateway in modo da registrare ALL.

Configura la connettività ibrida

Puoi utilizzare Dedicated Interconnect, Partner Interconnect o Cloud VPN per fornire connettività ibrida alla tua zona di destinazione. I seguenti passaggi creano le risorse di connettività ibrida iniziale necessarie per questa opzione di progettazione:

1. Se utilizzi Dedicated Interconnect, procedi nel seguente modo. Se utilizzi Partner Interconnect o Cloud VPN, puoi saltare questi passaggi.
   1. Crea un progetto separato per le porte di interconnessione fisica.
   2. Abilita l'API Compute Engine per il progetto.
   3. Crea connessioni Dedicated Interconnect.
2. Per ogni regione in cui stai terminando la connettività ibrida nella rete VPC:
   1. Crea due collegamenti VLAN dedicati o partner, uno per ogni zona di disponibilità perimetrale. Nell'ambito di questo processo, selezioni i router Cloud e crei sessioni BGP.
   2. Configura i router della rete peer (on-premise o su altri cloud).
   3. Configura annunci di route personalizzati nei router Cloud per gli intervalli di subnet nell'hub e nei VPC dei carichi di lavoro.

Configura progetti dei carichi di lavoro

Crea un VPC spoke separato per ogni carico di lavoro:

1. Crea un nuovo progetto per ospitare il carico di lavoro.
2. Abilita l'API Compute Engine per il progetto.
3. Configura il peering di rete VPC tra il VPC dello spoke del carico di lavoro e il VPC dell'hub con le seguenti impostazioni:
   • Abilita l'esportazione personalizzata delle route sul VPC hub.
   • Abilita l'importazione delle route personalizzate sul VPC dello spoke del carico di lavoro.
4. Crea subnet nelle regioni in cui prevedi di eseguire il deployment dei carichi di lavoro. Per ogni subnet, abilita l'accesso privato Google per consentire alle istanze VM con solo indirizzi IP interni di raggiungere i servizi Google.
5. Configura Private Service Connect per le API di Google.
6. Per instradare tutto il traffico attraverso le appliance di rete virtuali nel VPC dell'hub, elimina la route 0.0.0.0/0 con l'hop successivo default-internet-gateway dal VPC dello spoke del carico di lavoro.
7. Configura i criteri firewall di rete globali o a livello di regione per consentire il traffico in entrata e in uscita per il tuo carico di lavoro.

Configura l'osservabilità

Network Intelligence Center fornisce un modo coerente per monitorare, risolvere i problemi e visualizzare l'ambiente di networking cloud. Utilizzalo per assicurarti che il tuo design funzioni con l'intento desiderato.

Le seguenti configurazioni supportano l'analisi del logging e delle metriche abilitate.

• Devi abilitare l'API Network Management prima di poter eseguire Connectivity Tests. Per utilizzare direttamente l'API, Google Cloud CLI o la console Google Cloud, è necessario abilitare l'API.
• Devi abilitare l'API Firewall Insights prima di poter eseguire qualsiasi attività utilizzando Firewall Insights.

Passaggi successivi

La configurazione iniziale di questa opzione di progettazione della rete è stata completata. Ora puoi ripetere questi passaggi per configurare un'ulteriore istanza dell'ambiente della zona di destinazione, ad esempio un ambiente gestione temporanea o di produzione, oppure continuare con Decidere la sicurezza per la tua zona di destinazione Google Cloud.

Crea l'opzione 3: topologia hub e spoke senza appliance

Se hai scelto di creare la topologia hub e spoke senza appliance in "Decidere la progettazione della rete per la zona di destinazione Google Cloud", segui questa procedura.

I passaggi seguenti creano una singola istanza di una zona di destinazione. Se hai bisogno di più di una zona di destinazione, magari una per lo sviluppo e una per la produzione, ripeti i passaggi per ogni zona di destinazione.

Limitare l'accesso esterno utilizzando un criterio dell'organizzazione

Ti consigliamo di limitare l'accesso diretto a internet solo alle risorse che ne hanno bisogno. Le risorse senza indirizzi esterni possono comunque accedere a molti servizi e API di Google tramite l'accesso privato Google. L'accesso privato Google è abilitato a livello di subnet e consente alle risorse di interagire con i servizi Google chiave, isolandole dalla rete internet pubblica.

Per l'usabilità, la funzionalità predefinita di Google Cloud consente agli utenti di creare risorse in tutti i progetti, a condizione che dispongano delle autorizzazioni IAM corrette. Per una maggiore sicurezza, ti consigliamo di limitare le autorizzazioni predefinite per i tipi di risorse che possono causare accessi a internet indesiderati. Puoi quindi autorizzare progetti specifici solo per consentire la creazione di queste risorse. Utilizza le istruzioni riportate in Creazione e gestione dei criteri dell'organizzazione per impostare i seguenti vincoli.

Limita forwarding di protocollo in base al tipo di indirizzo IP

Il forwarding del protocollo stabilisce una risorsa della regola di forwarding con un indirizzo IP esterno e consente di indirizzare il traffico a una VM.

Il vincolo Limita il forwarding del protocollo in base al tipo di indirizzo IP impedisce la creazione di regole di forwarding con indirizzi IP esterni per l'intera organizzazione. Per i progetti autorizzati a utilizzare regole di forwarding esterno, puoi modificare il vincolo a livello di cartella o progetto.

Imposta i valori seguenti per configurare questo vincolo:

• Si applica a: Personalizza
• Applicazione dei criteri:sostituisci
• Valori dei criteri: personalizzati
• Tipo di criterio:Rifiuta
• Valore personalizzato: IS:EXTERNAL

Definisci IP esterni consentiti per le istanze VM

Per impostazione predefinita, le singole istanze VM possono acquisire indirizzi IP esterni, il che consente la connettività in uscita e in entrata con internet.

L'applicazione del vincolo Definisci IP esterni consentiti per le istanze VM impedisce l'utilizzo di indirizzi IP esterni con istanze VM. Per i carichi di lavoro che richiedono indirizzi IP esterni su singole istanze VM, modifica il vincolo a livello di cartella o progetto per specificare le singole istanze VM. In alternativa, esegui l'override del vincolo per i progetti pertinenti.

• Si applica a: Personalizza
• Applicazione dei criteri:sostituisci
• Valori dei criteri:Nega tutto

Disabilita l'utilizzo di IPv6 all'esterno di VPC

Il vincolo Disabilita utilizzo di IPv6 all'esterno di VPC, se impostato su True, impedisce la configurazione di subnet VPC con indirizzi IPv6 esterni per le istanze VM.

• Si applica a: Personalizza
• Applicazione:on

Disattiva creazione rete predefinita

Quando viene creato un nuovo progetto, viene creato automaticamente un VPC predefinito. È utile per esperimenti rapidi che non richiedono una configurazione di rete specifica o l'integrazione con un ambiente di networking aziendale più grande.

Configura il vincolo Ignora creazione rete predefinita per disabilitare la creazione di VPC predefinita per nuovi progetti. Puoi creare manualmente la rete predefinita all'interno di un progetto, se necessario.

• Si applica a: Personalizza
• Applicazione:on

Progetta le regole firewall

Le regole firewall consentono di consentire o negare il traffico da o verso le VM in base a una configurazione definita da te. I criteri firewall gerarchici vengono implementati a livello di organizzazione e cartella, mentre i criteri firewall di rete vengono implementati a livello di rete VPC nella gerarchia delle risorse. Insieme, forniscono un'importante funzionalità per proteggere i carichi di lavoro.

Indipendentemente da dove vengono applicati i criteri firewall, segui queste linee guida durante la progettazione e la valutazione delle regole firewall:

• Implementare i principi del privilegio minimo (chiamato anche microsegmentazione). Blocca tutto il traffico per impostazione predefinita e consenti solo il traffico specifico di cui hai bisogno. Ciò include la limitazione delle regole solo ai protocolli e alle porte necessari per ciascun carico di lavoro.
• Abilita il logging delle regole firewall per avere visibilità sul comportamento del firewall e per utilizzare Firewall Insights.
• Definisci una metodologia di numerazione per assegnare le priorità delle regole firewall. Ad esempio, è consigliabile riservare una gamma di numeri bassi in ogni criterio per le regole necessarie durante la risposta agli incidenti. Ti consigliamo inoltre di dare la priorità alle regole più specifiche rispetto a quelle più generali, per avere la certezza che le regole generali non siano con shadowing. L'esempio seguente mostra un possibile approccio per le priorità delle regole firewall:

Intervallo di priorità della regola firewall	Finalità
0-999	Riservato per la risposta agli incidenti
1000-1999	Traffico sempre bloccato
2000-1999999999	Regole specifiche per i carichi di lavoro
2000000000-2100000000	Regole generiche
2100000001-2147483643	Prenotato

Configura criteri firewall gerarchici

I criteri firewall gerarchici ti consentono di creare e applicare un criterio firewall coerente in tutta l'organizzazione. Per esempi sull'utilizzo di criteri firewall gerarchici, consulta Esempi di criteri firewall gerarchici.

Definisci criteri firewall gerarchici per implementare i seguenti controlli di accesso alla rete:

• Identity-Aware Proxy (IAP) per l'inoltro TCP. IAP per l'inoltro TCP è consentito tramite un criterio di sicurezza che consente il traffico in entrata dall'intervallo IP 35.235.240.0/20 per le porte TCP 22 e 3389.
• Controlli di integrità per Cloud Load Balancing. Sono consentiti gli intervalli noti utilizzati per i controlli di integrità.
  • Per la maggior parte delle istanze di Cloud Load Balancing (inclusi bilanciamento del carico TCP/UDP interno, bilanciamento del carico HTTP(S) interno, bilanciamento del carico del proxy TCP esterno, bilanciamento del carico del proxy SSL esterno e bilanciamento del carico HTTP(S), viene definito un criterio di sicurezza che consente il traffico in entrata dagli intervalli IP 35.191.0.0/16 e 130.211.0.0/22 per le porte 80 e 80
  • Per il bilanciamento del carico di rete, viene definito un criterio di sicurezza che abilita i controlli di integrità legacy consentendo il traffico in entrata dagli intervalli IP 35.191.0.0/16, 209.85.152.0/22 e 209.85.204.0/22 per le porte 80 e 443.

Configura l'ambiente VPC hub

Il VPC hub fornisce le risorse di networking per abilitare la connettività tra reti VPC spoke del carico di lavoro e reti on-premise o multi-cloud.

1. Crea un nuovo progetto per la rete VPC hub.
2. Abilita l'API Compute Engine per il progetto.
3. Crea la rete VPC in modalità personalizzata dell'hub.
4. Configura Private Service Connect per le API di Google per il VPC hub.

Configura la connettività ibrida

Puoi utilizzare Dedicated Interconnect, Partner Interconnect o Cloud VPN per fornire connettività ibrida alla tua zona di destinazione. I seguenti passaggi creano le risorse di connettività ibrida iniziale necessarie per questa opzione di progettazione:

1. Se utilizzi Dedicated Interconnect, procedi nel seguente modo. Se utilizzi Partner Interconnect o Cloud VPN, puoi saltare questi passaggi.
   1. Crea un progetto separato per le porte di interconnessione fisica.
   2. Abilita l'API Compute Engine per il progetto.
   3. Crea connessioni Dedicated Interconnect.
2. Per ogni regione in cui stai terminando la connettività ibrida nella rete VPC:
   1. Crea due collegamenti VLAN dedicati o partner, uno per ogni zona di disponibilità perimetrale. Nell'ambito di questo processo, selezioni i router Cloud e crei sessioni BGP.
   2. Configura i router della rete peer (on-premise o su altri cloud).
   3. Configura annunci di route personalizzati nei router Cloud per gli intervalli di subnet nell'hub e nei VPC dei carichi di lavoro.

Configura progetti dei carichi di lavoro

Crea un VPC spoke separato per ogni carico di lavoro:

1. Crea un nuovo progetto per ospitare il carico di lavoro.
2. Abilita l'API Compute Engine per il progetto.
3. Configura il peering di rete VPC tra il VPC dello spoke del carico di lavoro e il VPC dell'hub, con le seguenti impostazioni:
   • Abilita l'esportazione personalizzata delle route sul VPC hub.
   • Abilita l'importazione delle route personalizzate sul VPC dello spoke del carico di lavoro.
4. Crea subnet nelle regioni in cui prevedi di eseguire il deployment dei carichi di lavoro. Per ogni subnet, abilita l'accesso privato Google per consentire alle istanze VM con solo indirizzi IP interni di raggiungere i servizi Google.
5. Configura Private Service Connect per le API di Google.

Configurazione di Cloud NAT

Segui questi passaggi se i carichi di lavoro in aree geografiche specifiche richiedono l'accesso a internet in uscita, ad esempio per scaricare pacchetti software o aggiornamenti.

1. Crea un gateway Cloud NAT nelle regioni in cui i carichi di lavoro richiedono l'accesso a internet in uscita. Puoi personalizzare la configurazione di Cloud NAT per consentire la connettività in uscita solo da subnet specifiche, se necessario.
2. Come minimo, abilita il logging di Cloud NAT affinché il gateway registri ERRORS_ONLY. Per includere i log per le traduzioni eseguite da Cloud NAT, configura ciascun gateway in modo da registrare ALL.

Configura l'osservabilità

Network Intelligence Center fornisce un modo coerente per monitorare, risolvere i problemi e visualizzare l'ambiente di networking cloud. Utilizzalo per assicurarti che il tuo design funzioni con l'intento desiderato.

Le seguenti configurazioni supportano l'analisi del logging e delle metriche abilitate.

• Devi abilitare l'API Network Management prima di poter eseguire Connectivity Tests. Per utilizzare direttamente l'API, Google Cloud CLI o la console Google Cloud, è necessario abilitare l'API.
• Devi abilitare l'API Firewall Insights prima di poter eseguire qualsiasi attività utilizzando Firewall Insights.

Passaggi successivi

La configurazione iniziale di questa opzione di progettazione della rete è stata completata. Ora puoi ripetere questi passaggi per configurare un'ulteriore istanza dell'ambiente della zona di destinazione, ad esempio un ambiente gestione temporanea o di produzione, oppure continuare con Decidere la sicurezza per la tua zona di destinazione Google Cloud.

Crea opzione 4: espone i servizi in un modello consumer-producer con Private Service Connect

Se hai scelto di esporre i servizi in un modello consumer-producer con Private Service Connect per la tua zona di destinazione, come descritto in "Decidere la progettazione della rete per la zona di destinazione Google Cloud", segui questa procedura.

I passaggi seguenti creano una singola istanza di una zona di destinazione. Se hai bisogno di più di una zona di destinazione, magari una per lo sviluppo e una per la produzione, ripeti i passaggi per ogni zona di destinazione.

Limitare l'accesso esterno utilizzando un criterio dell'organizzazione

Ti consigliamo di limitare l'accesso diretto a internet solo alle risorse che ne hanno bisogno. Le risorse senza indirizzi esterni possono comunque accedere a molti servizi e API di Google tramite l'accesso privato Google. L'accesso privato Google è abilitato a livello di subnet e consente alle risorse di interagire con i servizi Google chiave, isolandole dalla rete internet pubblica.

Per l'usabilità, la funzionalità predefinita di Google Cloud consente agli utenti di creare risorse in tutti i progetti, a condizione che dispongano delle autorizzazioni IAM corrette. Per una maggiore sicurezza, ti consigliamo di limitare le autorizzazioni predefinite per i tipi di risorse che possono causare accessi a internet indesiderati. Puoi quindi autorizzare progetti specifici solo per consentire la creazione di queste risorse. Utilizza le istruzioni riportate in Creazione e gestione dei criteri dell'organizzazione per impostare i seguenti vincoli.

Limita forwarding di protocollo in base al tipo di indirizzo IP

Il forwarding del protocollo stabilisce una risorsa della regola di forwarding con un indirizzo IP esterno e consente di indirizzare il traffico a una VM.

Il vincolo Limita il forwarding del protocollo in base al tipo di indirizzo IP impedisce la creazione di regole di forwarding con indirizzi IP esterni per l'intera organizzazione. Per i progetti autorizzati a utilizzare regole di forwarding esterno, puoi modificare il vincolo a livello di cartella o progetto.

Imposta i valori seguenti per configurare questo vincolo:

• Si applica a: Personalizza
• Applicazione dei criteri:sostituisci
• Valori dei criteri: personalizzati
• Tipo di criterio:Rifiuta
• Valore personalizzato: IS:EXTERNAL

Definisci IP esterni consentiti per le istanze VM

Per impostazione predefinita, le singole istanze VM possono acquisire indirizzi IP esterni, il che consente la connettività in uscita e in entrata con internet.

L'applicazione del vincolo Definisci IP esterni consentiti per le istanze VM impedisce l'utilizzo di indirizzi IP esterni con istanze VM. Per i carichi di lavoro che richiedono indirizzi IP esterni su singole istanze VM, modifica il vincolo a livello di cartella o progetto per specificare le singole istanze VM. In alternativa, esegui l'override del vincolo per i progetti pertinenti.

• Si applica a: Personalizza
• Applicazione dei criteri:sostituisci
• Valori dei criteri:Nega tutto

Disabilita l'utilizzo di IPv6 all'esterno di VPC

Il vincolo Disabilita utilizzo di IPv6 all'esterno di VPC, se impostato su True, impedisce la configurazione di subnet VPC con indirizzi IPv6 esterni per le istanze VM.

• Si applica a: Personalizza
• Applicazione:on

Disattiva creazione rete predefinita

Quando viene creato un nuovo progetto, viene creato automaticamente un VPC predefinito. È utile per esperimenti rapidi che non richiedono una configurazione di rete specifica o l'integrazione con un ambiente di networking aziendale più grande.

Configura il vincolo Ignora creazione rete predefinita per disabilitare la creazione di VPC predefinita per nuovi progetti. Puoi creare manualmente la rete predefinita all'interno di un progetto, se necessario.

• Si applica a: Personalizza
• Applicazione:on

Progetta le regole firewall

Le regole firewall consentono di consentire o negare il traffico da o verso le VM in base a una configurazione definita da te. I criteri firewall gerarchici vengono implementati a livello di organizzazione e cartella, mentre i criteri firewall di rete vengono implementati a livello di rete VPC nella gerarchia delle risorse. Insieme, forniscono un'importante funzionalità per proteggere i carichi di lavoro.

Indipendentemente da dove vengono applicati i criteri firewall, segui queste linee guida durante la progettazione e la valutazione delle regole firewall:

• Implementare i principi del privilegio minimo (chiamato anche microsegmentazione). Blocca tutto il traffico per impostazione predefinita e consenti solo il traffico specifico di cui hai bisogno. Ciò include la limitazione delle regole solo ai protocolli e alle porte necessari per ciascun carico di lavoro.
• Abilita il logging delle regole firewall per avere visibilità sul comportamento del firewall e per utilizzare Firewall Insights.
• Definisci una metodologia di numerazione per assegnare le priorità delle regole firewall. Ad esempio, è consigliabile riservare una gamma di numeri bassi in ogni criterio per le regole necessarie durante la risposta agli incidenti. Ti consigliamo inoltre di dare la priorità alle regole più specifiche rispetto a quelle più generali, per avere la certezza che le regole generali non siano con shadowing. L'esempio seguente mostra un possibile approccio per le priorità delle regole firewall:

Intervallo di priorità della regola firewall	Finalità
0-999	Riservato per la risposta agli incidenti
1000-1999	Traffico sempre bloccato
2000-1999999999	Regole specifiche per i carichi di lavoro
2000000000-2100000000	Regole generiche
2100000001-2147483643	Prenotato

Configura criteri firewall gerarchici

I criteri firewall gerarchici ti consentono di creare e applicare un criterio firewall coerente in tutta l'organizzazione. Per esempi sull'utilizzo di criteri firewall gerarchici, consulta Esempi di criteri firewall gerarchici.

Definisci criteri firewall gerarchici per implementare i seguenti controlli di accesso alla rete:

• Identity-Aware Proxy (IAP) per l'inoltro TCP. IAP per l'inoltro TCP è consentito tramite un criterio di sicurezza che consente il traffico in entrata dall'intervallo IP 35.235.240.0/20 per le porte TCP 22 e 3389.
• Controlli di integrità per Cloud Load Balancing. Sono consentiti gli intervalli noti utilizzati per i controlli di integrità.
  • Per la maggior parte delle istanze di Cloud Load Balancing (inclusi bilanciamento del carico TCP/UDP interno, bilanciamento del carico HTTP(S) interno, bilanciamento del carico del proxy TCP esterno, bilanciamento del carico del proxy SSL esterno e bilanciamento del carico HTTP(S), viene definito un criterio di sicurezza che consente il traffico in entrata dagli intervalli IP 35.191.0.0/16 e 130.211.0.0/22 per le porte 80 e 80
  • Per il bilanciamento del carico di rete, viene definito un criterio di sicurezza che abilita i controlli di integrità legacy consentendo il traffico in entrata dagli intervalli IP 35.191.0.0/16, 209.85.152.0/22 e 209.85.204.0/22 per le porte 80 e 443.

Configura l'ambiente VPC

Il VPC in transito fornisce le risorse di networking per abilitare la connettività tra reti VPC spoke dei carichi di lavoro e reti on-premise o multi-cloud.

1. Crea un nuovo progetto per la rete VPC in transito.
2. Abilita l'API Compute Engine per il progetto.
3. Crea la rete VPC in modalità personalizzata per il trasporto pubblico.
4. Crea una subnet Private Service Connect in ogni regione in cui prevedi di pubblicare servizi in esecuzione nel VPC hub o nell'ambiente on-premise. Quando decidi il piano di indirizzamento IP, valuta la possibilità di dimensioni delle subnet di Private Service Connect.
5. Per ogni servizio on-premise che vuoi esporre ai carichi di lavoro in esecuzione in Google Cloud, crea un bilanciatore del carico HTTP(S) o proxy TCP interno ed esponi i servizi utilizzando Private Service Connect.
6. Configura Private Service Connect per le API di Google per il VPC per il trasporto pubblico.

Configura la connettività ibrida

Puoi utilizzare Dedicated Interconnect, Partner Interconnect o Cloud VPN per fornire connettività ibrida alla tua zona di destinazione. I seguenti passaggi creano le risorse di connettività ibrida iniziale necessarie per questa opzione di progettazione:

1. Se utilizzi Dedicated Interconnect, procedi nel seguente modo. Se utilizzi Partner Interconnect o Cloud VPN, puoi saltare questi passaggi.
   1. Crea un progetto separato per le porte di interconnessione fisica.
   2. Abilita l'API Compute Engine per il progetto.
   3. Crea connessioni Dedicated Interconnect.
2. Per ogni regione in cui stai terminando la connettività ibrida nella rete VPC:
   1. Crea due collegamenti VLAN dedicati o partner, uno per ogni zona di disponibilità perimetrale. Nell'ambito di questo processo, selezioni i router Cloud e crei sessioni BGP.
   2. Configura i router della rete peer (on-premise o su altri cloud).

Configura progetti dei carichi di lavoro

Crea un VPC separato per ogni carico di lavoro:

1. Crea un nuovo progetto per ospitare il carico di lavoro.
2. Abilita l'API Compute Engine per il progetto.
3. Crea una rete VPC in modalità personalizzata.
4. Crea subnet nelle regioni in cui prevedi di eseguire il deployment dei carichi di lavoro. Per ogni subnet, abilita l'accesso privato Google per consentire alle istanze VM con solo indirizzi IP interni di raggiungere i servizi Google.
5. Configura Private Service Connect per le API di Google.
6. Per ogni carico di lavoro utilizzato da un VPC diverso o dal tuo ambiente on-premise, crea un endpoint consumer Private Service Connect.
7. Per ogni carico di lavoro prodotto per un diverso VPC o per il tuo ambiente on-premise, crea un bilanciatore del carico interno e un collegamento al servizio per il servizio. Quando decidi il piano di indirizzamento IP, valuta la possibilità di dimensioni delle subnet di Private Service Connect.
8. Se il servizio deve essere raggiungibile dal tuo ambiente on-premise, crea un endpoint consumer Private Service Connect nel VPC di transito.

Configurazione di Cloud NAT

Segui questi passaggi se i carichi di lavoro in aree geografiche specifiche richiedono l'accesso a internet in uscita, ad esempio per scaricare pacchetti software o aggiornamenti.

1. Crea un gateway Cloud NAT nelle regioni in cui i carichi di lavoro richiedono l'accesso a internet in uscita. Puoi personalizzare la configurazione di Cloud NAT per consentire la connettività in uscita solo da subnet specifiche, se necessario.
2. Come minimo, abilita il logging di Cloud NAT affinché il gateway registri ERRORS_ONLY. Per includere i log per le traduzioni eseguite da Cloud NAT, configura ciascun gateway in modo da registrare ALL.

Configura l'osservabilità

Network Intelligence Center fornisce un modo coerente per monitorare, risolvere i problemi e visualizzare l'ambiente di networking cloud. Utilizzalo per assicurarti che il tuo design funzioni con l'intento desiderato.

Le seguenti configurazioni supportano l'analisi del logging e delle metriche abilitate.

• Devi abilitare l'API Network Management prima di poter eseguire Connectivity Tests. Per utilizzare direttamente l'API, Google Cloud CLI o la console Google Cloud, è necessario abilitare l'API.
• Devi abilitare l'API Firewall Insights prima di poter eseguire qualsiasi attività utilizzando Firewall Insights.

Passaggi successivi

La configurazione iniziale di questa opzione di progettazione della rete è stata completata. Ora puoi ripetere questi passaggi per configurare un'ulteriore istanza dell'ambiente della zona di destinazione, ad esempio un ambiente gestione temporanea o di produzione, oppure continuare con Decidere la sicurezza per la tua zona di destinazione Google Cloud.

Passaggi successivi

• Stabilisci la sicurezza per la tua zona di destinazione Google Cloud (prossimo documento di questa serie).
• Leggi le best practice per la progettazione di reti VPC.
• Scopri come utilizzare appliance di rete centralizzate su Google Cloud.
• Scopri di più su Private Service Connect.