本文档提供了一个参考架构,您可以使用该架构在 Google Cloud中部署跨云网络 inter-VPC 网络拓扑。这种网络设计支持在 Google Cloud 和外部网络(例如本地数据中心或其他云服务提供商 [CSP])中部署软件服务。
本文档的目标受众群体包括将构建网络连接的网络管理员、云架构师和企业架构师。还包括规划工作负载部署方式的云架构师。本文档假定读者对路由和互联网连接有基本的了解。
此设计支持多个外部连接、包含服务和服务访问点的多个服务访问虚拟私有云 (VPC) 网络,以及多个工作负载 VPC 网络。
在本文档中,服务接入点是指使用 Google Cloud 专用服务访问通道和 Private Service Connect 提供的服务的接入点。Network Connectivity Center 是Google Cloud中网络连接管理的中心辐射型控制平面模型。hub 资源可为 Network Connectivity Center VPC spoke 提供集中式连接管理。
Network Connectivity Center hub 是一个全球控制平面,用于学习和分发连接到它的各种 spoke 类型之间的路由。VPC spoke 通常会将子网路由注入到集中式 hub 路由表中。混合 spoke 通常会将动态路由注入到集中式 hub 路由表中。使用 Network Connectivity Center hub 的控制平面信息, Google Cloud自动在 Network Connectivity Center spoke 之间建立数据平面连接。
Network Connectivity Center 是在 Google Cloud上互连 VPC 以实现可伸缩增长的推荐方法。如果您必须在流量路径中插入网络虚拟设备 (NVA),则可以使用路由器设备功能来实现动态路由,或者使用静态路由或基于政策的路由以及 VPC 网络对等互连来互连 VPC。如需了解详情,请参阅使用 VPC 网络对等互连的跨云网络 VPC 间连接。
架构
下图高度概括地展示了网络架构以及该架构支持的不同数据包流。
该架构包含以下高级元素:
| 组件 | 用途 | 互动次数 |
|---|---|---|
| 外部网络(本地网络或其他 CSP 网络) | 托管在工作负载 VPC 和服务访问 VPC 中运行的工作负载的客户端。外部网络还可以托管服务。 | 通过中转网络与 Google Cloud的 VPC 网络交换数据。使用 Cloud Interconnect 或高可用性 VPN 连接到中转网络。 终止以下流程的一端:
|
| 中转 VPC 网络(在 Network Connectivity Center 中也称为 路由 VPC 网络) | 充当外部网络、服务访问 VPC 网络和工作负载 VPC 网络的枢纽。 | 通过 Cloud Interconnect、高可用性 VPN 和 Network Connectivity Center 的组合,将外部网络、服务访问 VPC 网络、Private Service Connect 使用方网络和工作负载 VPC 网络连接在一起。 |
| 服务访问 VPC 网络 | 提供对工作负载 VPC 网络或外部网络中运行的工作负载所需服务的访问权限。还提供对托管在其他网络中的受管服务的接入点。 | 通过传输网络与外部网络、工作负载网络和 Private Service Connect 使用方网络交换数据。使用高可用性 VPN 连接到中转 VPC。高可用性 VPN 提供的传递路由功能允许外部流量通过服务访问 VPC 网络到达受管理的服务 VPC。 终止以下流程的一端:
|
| 受管服务 VPC 网络 | 托管其他网络中的客户端所需的托管式服务。 | 与外部网络、服务访问网络、Private Service Connect 使用方网络和工作负载网络交换数据。使用 专用服务访问通道连接到服务访问 VPC 网络,该访问通道使用 VPC 网络对等互连。托管式服务 VPC 还可以使用 Private Service Connect 或专用服务访问通道连接到 Private Service Connect 使用方 VPC。 终止来自所有其他网络的流量的一端。 |
| Private Service Connect 使用方 VPC | 托管可从其他网络访问的 Private Service Connect 端点。此 VPC 也可能是工作负载 VPC。 | 通过中转 VPC 网络与外部 VPC 网络和服务访问 VPC 网络交换数据。使用 Network Connectivity Center VPC spoke 连接到中转网络和其他工作负载 VPC 网络。 |
| 工作负载 VPC 网络 | 托管其他网络中的客户端所需的工作负载。此架构支持多个工作负载 VPC 网络。 | 通过中转 VPC 网络与外部 VPC 网络和服务访问 VPC 网络交换数据。使用 Network Connectivity Center VPC spoke 连接到中转网络、Private Service Connect 使用方网络和其他工作负载 VPC 网络。 终止以下流程的一端:
|
| Network Connectivity Center | Network Connectivity Center hub 包含一个全球路由数据库,该数据库可作为任何 Google Cloud 区域的 VPC 子网和混合连接路由的网络控制平面。 | 通过构建使用控制平面路由表的数据路径,以任意到任意拓扑互连多个 VPC 网络和混合网络。 |
下图展示了此架构的详细视图,重点突出了组件之间的四种连接:
连接说明
本部分介绍了上图所示的四种连接。Network Connectivity Center 文档将中转 VPC 网络称为路由 VPC。虽然这些网络的名称不同,但用途相同。
连接 1:外部网络与中转 VPC 网络之间的连接
外部网络与传输 VPC 网络之间的连接通过 Cloud Interconnect 或高可用性 VPN 实现。路由通过 BGP 在传输 VPC 网络中的 Cloud Router 之间以及外部网络中的外部路由器之间进行交换。
- 外部网络中的路由器会向传输 VPC Cloud Router 路由器通告外部子网的路由。一般来说,给定位置的外部路由器会通告来自同一外部位置的路由,这些路由比其他外部位置的路由更受青睐。可以使用 BGP 指标和属性来表示路由的偏好。
- 中转 VPC 网络中的 Cloud Router 路由器会将 Google Cloud的 VPC 中的前缀的路由通告给外部网络。这些路由必须使用 Cloud Router 自定义路由通告进行通告。
- 借助 Network Connectivity Center,您可以使用 Google 骨干网在不同的本地网络之间传输数据。将互连 VLAN 连接配置为 Network Connectivity Center 混合 spoke 时,您必须启用站点到站点数据传输。
- 如果 Cloud Interconnect VLAN 连接的来源是相同的外部网络前缀,则这些连接会配置为单个 Network Connectivity Center spoke。
连接 2:在传输 VPC 网络与服务访问 VPC 网络之间
中转 VPC 网络与服务访问 VPC 网络之间的这种连接通过高可用性 VPN 实现,每个区域都有单独的隧道。通过 BGP 在传输 VPC 网络和服务访问 VPC 网络中的区域 Cloud Router 之间交换路由。
- 中转 VPC 高可用性 VPN Cloud Router 会向服务访问 VPC Cloud Router 通告外部网络前缀、工作负载 VPC 和其他服务访问 VPC 的路由。这些路由必须使用 Cloud Router 自定义路由通告进行通告。
- 服务访问 VPC 会将其子网以及任何附加的托管式服务 VPC 网络的子网通告给传输 VPC 网络。必须使用 Cloud Router 自定义路由通告来通告受管服务 VPC 路由和服务访问 VPC 子网路由。
连接 3:在传输 VPC 网络、工作负载 VPC 网络和 Private Service Connect 服务访问 VPC 网络之间
当使用 Network Connectivity Center 交换子网和前缀路由时,中转 VPC 网络、工作负载 VPC 网络和 Private Service Connect 使用方 VPC 网络之间会建立连接。此连接可实现工作负载 VPC 网络、作为 Network Connectivity Center VPC spoke 连接的服务访问 VPC 网络以及作为 Network Connectivity Center 混合 spoke 连接的其他网络之间的通信。这些其他网络包括分别使用连接 1 和连接 2 的外部网络和服务访问 VPC 网络。
- 中转 VPC 网络中的 Cloud Interconnect 或高可用性 VPN 连接使用 Network Connectivity Center 将动态路由导出到工作负载 VPC 网络。
- 将工作负载 VPC 网络配置为 Network Connectivity Center hub 的 spoke 后,工作负载 VPC 网络会自动将其子网导出到传输 VPC 网络。您可以选择将中转 VPC 网络设置为 VPC spoke。不会从工作负载 VPC 网络向传输 VPC 网络导出任何静态路由。没有静态路由从传输 VPC 网络导出到工作负载 VPC 网络。
连接 4:具有 Network Connectivity Center 传播功能的 Private Service Connect 使用方 VPC
- Private Service Connect 端点位于一个通用 VPC 中,可让使用方访问第一方和第三方代管式服务。
- Private Service Connect 使用方 VPC 网络配置为 Network Connectivity Center VPC Spoke。此 spoke 可在 Network Connectivity Center hub 上启用 Private Service Connect 传播。Private Service Connect 传播会将 Private Service Connect 端点的主机前缀作为路由通告到 Network Connectivity Center hub 路由表中。
- Private Service Connect 服务访问使用方 VPC 网络可连接到工作负载 VPC 网络和传输 VPC 网络。这些连接可实现与 Private Service Connect 端点的传递连接。Network Connectivity Center hub 必须启用 Private Service Connect 连接传播。
- Network Connectivity Center 会自动构建从所有 Spoke 到 Private Service Connect 端点的数据路径。
流量
下图展示了此参考架构支持的流程。
下表介绍了图中的流程:
| 来源 | 目的地 | 说明 |
|---|---|---|
| 外部网络 | 服务访问 VPC 网络 |
|
| 服务访问 VPC 网络 | 外部网络 |
|
| 外部网络 | 工作负载 VPC 网络或 Private Service Connect 使用方 VPC 网络 |
|
| 工作负载 VPC 网络或 Private Service Connect 使用方 VPC 网络 | 外部网络 |
|
| 工作负载 VPC 网络 | 服务访问 VPC 网络 |
|
| 服务访问 VPC 网络 | 工作负载 VPC 网络 |
|
| 工作负载 VPC 网络 | 工作负载 VPC 网络 | 离开一个工作负载 VPC 的流量会通过 Network Connectivity Center 遵循更具体的路由到达另一个工作负载 VPC。返回流量会反向执行此路径。 |
使用的产品
- Virtual Private Cloud (VPC):为您的 Google Cloud 工作负载提供全球可扩缩的网络功能的虚拟系统。VPC 包括 VPC 网络对等互连、Private Service Connect、专用服务访问通道和共享 VPC。
- Network Connectivity Center:一个编排框架,用于简化连接到名为 hub 的集中管理资源的 spoke 资源之间的网络连接。
- Cloud Interconnect:一种通过高可用性、低延迟的连接将您的外部网络扩展到 Google 网络的服务。
- Cloud VPN:一种服务,可通过 IPsec VPN 隧道将您的对等网络安全地扩展到 Google 的网络。
- Cloud Router:一项分布式全托管式服务,可提供边界网关协议 (BGP) 发言者和响应者功能。Cloud Router 可与 Cloud Interconnect、Cloud VPN 和路由器设备配合使用,根据收到的 BGP 路由和自定义已知路由在 VPC 网络中创建动态路由。
- Cloud 新一代防火墙:一种完全分布式的防火墙服务,具有高级保护功能、微细分和简化的管理功能,可帮助保护您的 Google Cloud 工作负载免遭内部和外部攻击。
设计考虑事项
本部分介绍在使用此参考架构开发满足特定安全、可靠性和性能要求的拓扑时应考虑的设计因素、最佳实践和设计建议。
安全与合规性
以下列表介绍了此参考架构的安全性和合规性注意事项:
- 出于合规性考虑,您可能只想在单个区域中部署工作负载。如果您希望将所有流量保留在单个区域内,可以使用 99.9% 的拓扑。
- 使用 Cloud 新一代防火墙 (Cloud NGFW) 来保护进出服务访问和工作负载 VPC 网络的流量。如需检查通过传输网络在混合网络之间或在外部网络与 Google 管理的服务之间传递的流量,您需要使用外部防火墙或 NVA 防火墙。
- 如果您需要 L7 流量检查,请启用入侵检测和防御服务(可以选择启用 TLS 检查支持),以阻止恶意活动并保护工作负载免受威胁,支持漏洞、反间谍软件和防病毒。该服务的工作原理是创建 Google 管理的可用区级防火墙端点,这些端点使用数据包拦截技术以透明方式检查工作负载,而无需重新设计任何路由。Cloud Next Generation Firewall Enterprise 会产生可用区级防火墙端点和数据处理费用。
- 如果您想根据 Google Threat Intelligence 数据允许或阻止流量,请使用 Google Threat Intelligence。您需要支付 Cloud 新一代防火墙标准数据处理费用。
- 启用防火墙规则日志记录,并使用防火墙数据分析来审核、验证效果、了解和优化防火墙规则。防火墙规则日志记录可能会产生费用,因此您可能需要考虑选择性地使用它。
- 启用连接测试,确保流量按预期运行。
- 根据流量和合规性需求启用日志记录和监控。如需深入了解流量模式,请将 VPC 流日志与 Flow Analyzer 搭配使用。
- 使用 Cloud IDS 或 Cloud NGFW Enterprise 入侵防御服务(处于提醒模式)来深入了解流量。
可靠性
以下列表介绍了此参考架构的可靠性注意事项:
- 如需实现 99.99% 的 Cloud Interconnect 可用性,您必须通过两个不同的区域从不同的都市圈连接到两个不同的可用区。 Google Cloud
- 为了提高可靠性并最大限度地减少区域性故障的影响,您可以跨多个区域分布工作负载和其他云资源。
- 为了处理预期流量,请创建足够数量的 VPN 隧道。单个 VPN 隧道具有带宽限制。
性能优化
以下列表介绍了此参考架构的性能注意事项:
- 您或许可以通过增加网络和连接的最大传输单元 (MTU) 来提高网络性能。如需了解详情,请参阅最大传输单元。
- 中转 VPC 与工作负载资源之间的通信通过 Network Connectivity Center 连接进行。此连接可为网络中的所有虚拟机提供全线速吞吐量,且无需额外付费。您可以选择多种方式将外部网络连接到传输网络。如需详细了解如何平衡成本和性能方面的考虑因素,请参阅选择 Network Connectivity。
部署
本部分讨论如何使用本文档中描述的 Network Connectivity Center 架构部署跨云网络 VPC 间连接。
本文档中的架构可创建与中央传输 VPC 的三种类型的连接,以及工作负载 VPC 网络与工作负载 VPC 网络之间的连接。Network Connectivity Center 完全配置完毕后,会在所有网络之间建立通信。
此部署假设您要在两个区域中的外部网络和传输网络之间创建连接,但工作负载子网可以位于其他区域。如果工作负载仅位于一个区域中,则只需在该区域中创建子网。
如需部署此参考架构,请完成以下任务:
- 使用 Network Connectivity Center 创建网络分段
- 确定放置连接和工作负载的区域
- 创建 VPC 网络和子网
- 在外部网络与传输 VPC 网络之间创建连接
- 在中转 VPC 网络与服务访问 VPC 网络之间创建连接
- 在传输 VPC 网络和工作负载 VPC 网络之间建立连接
- 配置 Cloud NGFW 政策
- 测试与工作负载的连接
使用 Network Connectivity Center 创建网络分段
首次创建 Network Connectivity Center hub 之前,您必须决定是使用全网状拓扑还是星形拓扑。决定采用互连 VPC 的全网状拓扑还是 VPC 的星形拓扑后,就无法再更改。请遵循以下一般准则来做出此不可逆的决定:
- 如果贵组织的业务架构允许在任何 VPC 网络之间传输流量,请使用 Network Connectivity Center 网格。
- 如果某些不同的 VPC spoke 之间的流量不允许流动,但这些 VPC spoke 可以连接到一组核心 VPC spoke,请使用 Network Connectivity Center 星形拓扑。
确定放置连接和工作负载的区域
一般来说,您希望将连接和 Google Cloud 工作负载放置在靠近本地网络或其他云客户的位置。如需详细了解如何放置工作负载,请参阅Google Cloud 区域选择器和 Compute Engine 区域选择最佳实践。
创建 VPC 网络和子网
如需创建 VPC 网络和子网,请完成以下任务:
创建或确定要在其中创建 VPC 网络的项目。如需相关指导,请参阅网络分段和项目结构。 如果您打算使用共享 VPC 网络,请将您的项目配置为共享 VPC 宿主项目。
规划网络的 IP 地址分配。您可以通过创建内部范围来预先分配和预留范围。这样做可简化后续的配置和操作。
创建启用了全局路由的中转网络 VPC。
创建服务访问 VPC 网络。如果您计划在多个区域中运行工作负载,请启用全局路由。
创建工作负载 VPC 网络。如果您要在多个区域中运行工作负载,请启用全球路由。
在外部网络与传输 VPC 网络之间创建连接
本部分假设两个区域之间存在连接,并且假设外部位置已连接,可以彼此进行故障转移。它还假设外部位置的客户端优先访问外部位置所在区域中的服务。
- 设置外部网络与传输网络之间的连接。如需了解如何考虑此问题,请参阅外部和混合连接。如需有关选择连接产品的指导,请参阅选择 Network Connectivity 产品。
在每个连接的区域中配置 BGP,如下所示:
- 按如下方式配置指定外部位置中的路由器:
- 在两个接口上使用相同的 BGP MED(例如 100)通告相应外部位置的所有子网。如果两个接口通告相同的 MED,则 Google Cloud 可以使用 ECMP 在两个连接之间进行流量负载平衡。
- 使用比第一个区域低的优先级 MED(例如 200)通告来自其他外部位置的所有子网。通过两个接口通告相同的 MED。
- 按如下方式配置连接区域的传输 VPC 中的面向外部的 Cloud Router 路由器:
- 为 Cloud Router 设置专用 ASN。
- 使用自定义路由通告,通过面向外部的两个 Cloud Router 接口通告所有区域中的所有子网范围。尽可能聚合这些数据。在两个接口上使用相同的 MED,例如 100。
- 按如下方式配置指定外部位置中的路由器:
使用 Network Connectivity Center hub 和混合 spoke,使用默认参数。
- 创建 Network Connectivity Center hub。如果您的组织允许在所有 VPC 网络之间传输流量,请使用默认的全网状配置。
- 如果您使用合作伙伴互连、专用互连、高可用性 VPN 或路由器设备来访问本地前缀,请将这些组件配置为不同的 Network Connectivity Center 混合 spoke。
- 如需向远程 BGP 邻居通告 Network Connectivity Center hub 路由表子网,请设置一个过滤条件以包含所有 IPv4 地址范围。
- 如果混合连接在支持数据传输的区域中的 Cloud Router 上终止,请配置已启用站点到站点数据传输的混合 spoke。 这样做可支持使用 Google 主干网络的站点到站点数据传输。
在传输 VPC 网络与服务访问 VPC 网络之间创建连接
为了在外部网络与服务访问 VPC 之间以及工作负载 VPC 与服务访问 VPC 之间提供传递性路由,服务访问 VPC 使用高可用性 VPN 进行连接。
- 估算每个区域中需要在传输 VPC 和服务访问 VPC 之间传输的流量。相应地调整预期隧道数量。
按照创建高可用性 VPN 网关来连接 VPC 网络中的说明,在区域 A 中的传输 VPC 网络和服务访问 VPC 网络之间配置高可用性 VPN。在传输 VPC 网络中创建专用高可用性 VPN Cloud Router。将面向外部网络的路由器用于外部网络连接。
- 传输 VPC Cloud Router 配置:
- 如需向服务访问 VPC 通告外部网络和工作负载 VPC 子网,请在传输 VPC 中的 Cloud Router 上使用自定义路由通告。
- 服务访问 VPC Cloud Router 配置:
- 如需向传输 VPC 通告服务访问 VPC 网络子网,请在服务访问 VPC 网络 Cloud Router 上使用自定义路由通告。
- 如果您使用专用服务访问通道将托管式服务 VPC 网络连接到服务访问 VPC,请使用自定义路由来通告这些子网。
- 在高可用性 VPN 隧道的传输 VPC 侧,将这对隧道配置为 Network Connectivity Center 混合 spoke:
- 如需支持区域间数据传输,请配置启用了站点到站点数据传输的混合 spoke。
- 如需向远程 BGP 邻居通告 Network Connectivity Center hub 路由表子网,请设置一个过滤条件以包含所有 IPv4 地址范围。此操作会向邻居通告所有 IPv4 子网路由。
- 如果外部路由器的容量有限,您可将 Cloud Router 配置为通过自定义路由通告来通告汇总路由,以便安装动态路由。请使用此方法,而不是通告 Network Connectivity Center hub 的完整路由表。
- 传输 VPC Cloud Router 配置:
如果您在建立 VPC 网络对等互连连接后,使用专用服务访问通道将受管服务 VPC 连接到服务访问 VPC,则还必须更新 VPC 网络对等互连连接的服务访问 VPC 端,以导出自定义路由。
在传输 VPC 网络与工作负载 VPC 网络之间建立连接
如需大规模建立 VPC 间连接,请将 Network Connectivity Center 与 VPC spoke 搭配使用。 Network Connectivity Center 支持两种不同的数据平面模型:全网状数据平面模型或星形拓扑数据平面模型。
建立全网状连接
Network Connectivity Center VPC spoke 包括中转 VPC、Private Service Connect 使用方 VPC 和所有工作负载 VPC。
- 虽然 Network Connectivity Center 会构建一个全网状的 VPC spoke 网络,但网络运营商必须使用防火墙规则或防火墙政策来允许源网络和目标网络之间的流量。
- 将所有工作负载、中转和 Private Service Connect 使用方 VPC 配置为 Network Connectivity Center VPC spoke。VPC spoke 之间不得存在子网重叠。
- 配置 VPC spoke 时,请向 Network Connectivity Center hub 路由表通告不重叠的 IP 地址子网范围:
- 包含导出子网范围。
- 排除导出子网范围。
- 配置 VPC spoke 时,请向 Network Connectivity Center hub 路由表通告不重叠的 IP 地址子网范围:
- 如果 VPC spoke 位于不同的项目中,并且这些 spoke 由 Network Connectivity Center hub 管理员以外的其他管理员管理,则 VPC spoke 管理员必须发起请求,以加入其他项目中的 Network Connectivity Center hub。
- 在 Network Connectivity Center 中心项目中使用 Identity and Access Management (IAM) 权限向该用户授予
roles/networkconnectivity.groupUser角色。
- 在 Network Connectivity Center 中心项目中使用 Identity and Access Management (IAM) 权限向该用户授予
- 如需允许从其他 Network Connectivity Center spoke 对专用服务连接进行传递性和全局性的访问,请在 Network Connectivity Center hub 上启用 Private Service Connect 连接传播。
如果不允许工作负载 VPC 之间进行完全网状的 VPC 间通信,请考虑使用 Network Connectivity Center 星形拓扑。
建立星形拓扑连接
需要点到多点拓扑的集中式业务架构可以使用 Network Connectivity Center 星形拓扑。
如需使用 Network Connectivity Center 星形拓扑,请完成以下任务:
- 在 Network Connectivity Center 中,创建 Network Connectivity Center hub 并指定星形拓扑。
- 如需允许从其他 Network Connectivity Center spoke 对专用服务连接进行传递性和全局性的访问,请在 Network Connectivity Center hub 上启用 Private Service Connect 连接传播。
- 为 Network Connectivity Center hub 配置星形拓扑时,您可以将 VPC 分组到两个预先确定的群组之一:中心群组或边缘群组。
如需对中心群组中的 VPC 进行分组,请将传输 VPC 和 Private Service Connect 使用方 VPC 配置为 Network Connectivity Center VPC spoke,作为中心群组的一部分。
Network Connectivity Center 会在放置在中心群组中的 VPC spoke 之间构建全网状网络。
如需将工作负载 VPC 分组到边缘群组中,请将每个网络配置为该群组中的 Network Connectivity Center VPC Spoke。
Network Connectivity Center 会为每个 Network Connectivity Center VPC spoke 构建一条从其到中心群组中所有 VPC 的点对点数据路径。
配置 Cloud NGFW 政策
除了安全性和合规性方面的指导之外,还应考虑防火墙规则方面的最佳实践。
其他注意事项:
- 如果您的工作负载在 Compute Engine 虚拟机上运行,我们建议您使用网络防火墙政策,而不是 VPC 防火墙规则。网络防火墙政策具有诸多优势,例如通过使用标记实现精细的安全和访问权限控制、简化规则管理、易于操作、提供更丰富的功能集以及灵活的数据驻留。如果您已拥有 VPC 防火墙规则,可以使用 VPC 防火墙规则迁移工具来帮助您迁移到全球网络防火墙政策。
- Google Kubernetes Engine 会自动创建和管理某些 VPC 防火墙规则,以允许必要的流量,因此我们建议您不要修改或删除这些规则。不过,网络防火墙政策仍可与 VPC 防火墙规则搭配使用,并且可以选择更改政策强制执行顺序。
- 我们建议您使用标记而不是将网络标记与防火墙规则搭配使用,因为标记具有 IAM 控制功能,可提高可伸缩性,并支持网络防火墙政策。不过,分层防火墙政策不支持标记,也不支持通过 Network Connectivity Center 对等互连的网络,因此在这些情况下,您需要根据 CIDR 范围创建规则。
- 如果您想在 Cloud NGFW 上启用 L7 检查,请配置入侵防御服务,包括安全配置文件、防火墙端点和 VPC 关联。
- 创建全球网络防火墙政策和所有必需的防火墙规则。请考虑每个 VPC 网络中现有的允许出站流量和拒绝入站流量的隐式规则。
- 将政策与 VPC 网络关联。
- 如果您已在网络中使用 VPC 防火墙规则,则可能需要更改政策和规则评估顺序,以便先评估新规则,然后再评估 VPC 防火墙规则。
- (可选)启用防火墙规则日志记录。
测试与工作负载的连接
如果您已在 VPC 网络中部署工作负载,请立即测试对这些工作负载的访问权限。如果您在部署工作负载之前连接了网络,则现在可以部署工作负载并进行测试。
后续步骤
- 详细了解本设计指南中使用的 Google Cloud 产品:
- 如需查看更多参考架构、图表和最佳实践,请浏览 Cloud 架构中心。
贡献者
作者:
- Eric Yu | 网络专家客户工程师
- Deepak Michael | 网络专家客户工程师
- Victor Morno | Cloud 网络产品经理
- Osvaldo Costa | 网络专家客户工程师
其他贡献者:
- Mark Schlagenhauf | 网络技术文档工程师
- Ammett Williams | 开发者关系工程师
- Ghaleb Al-habian | 网络专家
- Tony Sarathchandra | 高级产品经理