本文档提供了一个参考架构,该架构可用于在 Google Cloud中部署跨云网络的 VPC 网络拓扑。通过这种网络设计,您可以跨 Google Cloud 和外部网络部署软件服务,例如本地数据中心或其他云服务提供商 (CSP)。
本文档的目标受众包括将构建网络连接的网络管理员、云架构师和企业架构师。还包括规划工作负载部署方式的云架构师。本文档假定您对路由和互联网连接有基本的了解。
此设计支持多个外部连接、多个包含服务和服务接入点的虚拟私有云 (VPC) 网络,以及多个工作负载 VPC 网络。
在本文档中,“服务接入点”是指使用 Google Cloud 专用服务访问通道和 Private Service Connect 提供的服务的接入点。 Network Connectivity Center 是一个中心辐射型控制平面模型,用于在Google Cloud中进行网络连接管理。hub 资源可为 Network Connectivity Center VPC spoke 提供集中式连接管理。
Network Connectivity Center hub 是一个全局控制平面,可以在连接到它的各种 spoke 类型之间学习和分配路由。VPC spoke 通常会将子网路由注入集中式中心路由表中。混合 spoke 通常会将动态路由注入集中式中心路由表中。使用 Network Connectivity Center hub 的控制平面信息, Google Cloud自动在 Network Connectivity Center spoke 之间建立数据平面连接。
建议使用 Network Connectivity Center 互连 VPC,以便在 Google Cloud上实现可扩缩的增长。如果您必须在流量路径中插入网络虚拟设备 (NVA),则可以将路由器设备功能用于动态路由,或者将静态或基于政策的路由与 VPC 网络对等互连结合使用来互连 VPC。如需了解详情,请参阅使用 VPC 网络对等互连的跨云网络 VPC 间连接。
架构
下图简要展示了网络架构以及此架构支持的不同数据包流。
该架构包含以下概要元素:
| 组件 | 用途 | 互动次数 |
|---|---|---|
| 外部网络(本地或其他 CSP 网络) | 托管工作负载 VPC 和服务访问 VPC 中运行的工作负载的客户端。外部网络也可以托管服务。 | 通过中转网络与 Google Cloud的 VPC 网络交换数据。使用 Cloud Interconnect 或高可用性 VPN 连接到中转网络。 终止以下流的一端:
|
| 传输 VPC 网络(在 Network Connectivity Center 中也称为 路由 VPC 网络) | 充当外部网络、服务访问 VPC 网络和工作负载 VPC 网络的中心。 | 通过 Cloud Interconnect、高可用性 VPN 和 Network Connectivity Center 的组合,将外部网络、服务访问通道 VPC 网络、Private Service Connect 使用方网络和工作负载 VPC 网络连接在一起。 |
| 服务访问 VPC 网络 | 提供对工作负载 VPC 网络或外部网络中运行的工作负载所需的服务的访问权限。此外,它还提供其他网络中托管的托管服务的接入点。 | 通过中转网络与外部、工作负载和 Private Service Connect 使用方网络交换数据。使用高可用性 VPN 连接到传输 VPC。高可用性 VPN 提供的传递性路由允许外部流量通过服务访问 VPC 网络访问代管式服务 VPC。 终止以下流的一端:
|
| 托管式服务 VPC 网络 | 托管其他网络中的客户端所需的托管式服务。 | 与外部服务、Private Service Connect 使用方和工作负载网络交换数据。使用专用服务访问通道连接到服务访问 VPC 网络,该通道使用 VPC 网络对等互连。托管式服务 VPC 还可以使用 Private Service Connect 或专用服务访问通道连接到 Private Service Connect 使用方 VPC。 终止来自所有其他网络的流的一端。 |
| Private Service Connect 使用方 VPC | 托管可从其他网络访问的 Private Service Connect 端点。此 VPC 也可能是工作负载 VPC。 | 通过中转 VPC 网络与外部 VPC 网络和服务访问 VPC 网络交换数据。使用 Network Connectivity Center VPC spoke 连接到传输网络和其他工作负载 VPC 网络。 |
| 工作负载 VPC 网络 | 托管其他网络中的客户端所需的工作负载。此架构支持多个工作负载 VPC 网络。 | 通过中转 VPC 网络与外部 VPC 网络和服务访问 VPC 网络交换数据。使用 Network Connectivity Center VPC spoke 连接到传输网络、Private Service Connect 使用方网络和其他工作负载 VPC 网络。 终止以下流的一端:
|
| Network Connectivity Center | Network Connectivity Center hub 包含一个全局路由数据库,该数据库可充当跨任何 Google Cloud 区域的 VPC 子网和混合连接路由的网络控制平面。 | 通过构建使用控制平面路由表的数据路径,在任意对任意拓扑中互连多个 VPC 和混合网络。 |
下图显示了该架构的详细视图,突出显示了组件之间的四个连接:
连接说明
本部分介绍了上图中显示的四个连接。Network Connectivity Center 文档将传输 VPC 网络称为路由 VPC。虽然这些网络具有不同的名称,但它们的用途相同。
连接 1:在外部网络与中转 VPC 网络之间
外部网络与传输 VPC 网络之间的这种连接通过 Cloud Interconnect 或高可用性 VPN 进行。路由在传输 VPC 网络中的 Cloud Router 路由器之间以及外部网络中的外部路由器之间使用 BGP 进行交换。
- 外部网络中的路由器会通告外部子网到传输 VPC Cloud Router 路由器的路由。通常,给定位置的外部路由器通告的来自同一外部位置的路由优于其他外部位置的路由。路由的偏好设置可以使用 BGP 指标和属性来表示。
- 传输 VPC 网络中的 Cloud Router 路由器会将 Google Cloud的 VPC 中前缀的路由通告给外部网络。必须使用 Cloud Router 路由器自定义路由通告来通告这些路由。
- 借助 Network Connectivity Center,您可以使用 Google 骨干网络在不同的本地网络之间转移数据。将互连 VLAN 连接配置为 Network Connectivity Center 混合 spoke 时,您必须启用站点到站点数据传输。
- 来源相同的外部网络前缀的 Cloud Interconnect VLAN 连接被配置为单个 Network Connectivity Center spoke。
连接 2:在传输 VPC 网络与服务访问 VPC 网络之间
传输 VPC 网络与服务访问 VPC 网络之间的这种连接通过高可用性 VPN 进行,每个区域都有单独的隧道。路由在传输 VPC 网络和服务访问 VPC 网络中的区域性 Cloud Router 路由器之间使用 BGP 进行交换。
- 传输 VPC 高可用性 VPN Cloud Router 路由器会通告外部网络前缀、工作负载 VPC 和其他服务访问 VPC Cloud Router 路由器的路由。必须使用 Cloud Router 路由器自定义路由通告来通告这些路由。
- 服务访问 VPC 向传输 VPC 网络通告其子网以及任何连接的托管式服务 VPC 网络的子网。托管式服务 VPC 路由和服务访问 VPC 子网路由必须使用 Cloud Router 路由器自定义路由通告来通告。
连接 3:在传输 VPC 网络、工作负载 VPC 网络和 Private Service Connect 服务访问 VPC 网络之间
使用 Network Connectivity Center 交换子网和前缀路由时,传输 VPC 网络、工作负载 VPC 网络和 Private Service Connect 使用方 VPC 网络之间会建立连接。此连接支持工作负载 VPC 网络、作为 Network Connectivity Center VPC spoke 连接的服务访问 VPC 网络,以及其他作为 Network Connectivity Center 混合 spoke 连接的网络。这些其他网络分别包括使用连接 1 和连接 2 的外部网络和服务访问 VPC 网络。
- 传输 VPC 网络中的 Cloud Interconnect 连接或高可用性 VPN 连接使用 Network Connectivity Center 将动态路由导出到工作负载 VPC 网络。
- 当您将工作负载 VPC 网络配置为 Network Connectivity Center 中心的 spoke 时,工作负载 VPC 网络会自动将其子网导出到传输 VPC 网络。(可选)您可以将传输 VPC 网络设置为 VPC spoke。系统不会将任何静态路由从工作负载 VPC 网络导出到传输 VPC 网络。不会将静态路由从传输 VPC 网络导出到工作负载 VPC 网络。
连接 4:通过 Network Connectivity Center 传播的 Private Service Connect 使用方 VPC
- Private Service Connect 端点组织在公用 VPC 中,允许使用方访问第一方和第三方托管式服务。
- Private Service Connect 使用方 VPC 网络配置为 Network Connectivity Center VPC spoke。此 spoke 可在 Network Connectivity Center hub 上启用 Private Service Connect 传播。Private Service Connect 传播会将 Private Service Connect 端点的主机前缀通告为 Network Connectivity Center hub 路由表中的路由。
- Private Service Connect Services 访问使用方 VPC 网络可连接到工作负载 VPC 网络和传输 VPC 网络。这些连接可实现与 Private Service Connect 端点的传递连接。Network Connectivity Center hub 必须启用 Private Service Connect 连接传播。
- Network Connectivity Center 会自动构建从所有 spoke 到 Private Service Connect 端点的数据路径。
流量
下图显示了此参考架构启用的流程。
下表介绍了图中的流:
| 来源 | 目的地 | 说明 |
|---|---|---|
| 外部网络 | 服务访问 VPC 网络 |
|
| 服务访问 VPC 网络 | 外部网络 |
|
| 外部网络 | 工作负载 VPC 网络或 Private Service Connect 使用方 VPC 网络 |
|
| 工作负载 VPC 网络或 Private Service Connect 使用方 VPC 网络 | 外部网络 |
|
| 工作负载 VPC 网络 | 服务访问 VPC 网络 |
|
| 服务访问 VPC 网络 | 工作负载 VPC 网络 |
|
| 工作负载 VPC 网络 | 工作负载 VPC 网络 | 离开一个工作负载 VPC 的流量通过 Network Connectivity Center 遵循更具体的路由,转到另一个工作负载 VPC。返回流量会反转此路径。 |
使用的产品
- Virtual Private Cloud (VPC):为您的 Google Cloud 工作负载提供全球可扩缩的网络功能的虚拟系统。VPC 包括 VPC 网络对等互连、Private Service Connect、专用服务访问通道和共享 VPC。
- Network Connectivity Center:一个编排框架,可简化连接到称为“hub”的集中管理资源的 spoke 资源之间的网络连接。
- Cloud Interconnect:这项服务可通过高可用性、低延迟的连接将您的外部网络扩展到 Google 网络。
- Cloud VPN:这项服务可通过 IPsec VPN 隧道将您的对等网络安全地扩展到 Google 的网络。
- Cloud Router:分布式、全代管式产品,提供边界网关协议 (BGP) 扬声器和响应器功能。Cloud Router 路由器可与 Cloud Interconnect、Cloud VPN 和路由器设备搭配使用,根据 BGP 收到的路由和已知已知路由在 VPC 网络中创建动态路由。
- Cloud Next Generation Firewall:完全分布式防火墙服务,具有高级保护功能、微分段和简化的管理,可帮助保护您的 Google Cloud 工作负载免受内部和外部攻击。
设计考虑事项
本部分介绍了使用此参考架构来开发可满足安全性、可靠性和性能的特定要求的拓扑时应考虑的设计因素、最佳实践和设计建议。
安全与合规性
以下列表介绍了此参考架构的安全性和合规性注意事项:
- 出于合规性原因,您可能希望仅在单个区域中部署工作负载。如果您想将所有流量都保留在单个区域中,可以使用 99.9% 拓扑。
- 使用 Cloud Next Generation Firewall (Cloud NGFW) 来保护进出服务访问通道和工作负载 VPC 网络的流量。如需检查通过传输网络在混合网络之间传递的流量,或者检查在外部网络与 Google 代管式服务之间传递的流量,您需要使用外部防火墙或 NVA 防火墙。
- 如果您需要 L7 流量检查,请启用入侵检测和防御服务(可选择使用 TLS 检查支持),以阻止恶意活动并保护您的工作负载免受威胁,从而支持漏洞、反间谍软件和杀毒软件。该服务的工作原理是创建 Google 管理的可用区级防火墙端点,这些端点使用数据包拦截技术透明地检查工作负载,而无需重新构建任何路由。Cloud Next Generation Firewall Enterprise 会产生可用区级防火墙端点和数据处理费用。
- 如果您想根据 Google 威胁情报数据允许或阻止流量,请使用 Google 威胁情报。您需要支付 Cloud Next Generation Firewall Standard 数据处理费用。
- 启用防火墙规则日志记录,并使用防火墙数据分析来审核、验证防火墙规则的效果、了解和优化。防火墙规则日志记录可能会产生费用,因此您可能需要选择性地使用它。
- 启用 Connectivity Tests,确保流量的行为符合预期。
- 根据您的流量和合规性需求,启用日志记录和监控功能。如需深入了解您的流量模式,请将 VPC 流日志与 Flow Analyzer 搭配使用。
- 使用 Cloud IDS 或提醒模式下的 Cloud NGFW Enterprise 入侵防护服务,收集有关流量的其他数据分析。
可靠性
以下列表介绍了此参考架构的可靠性注意事项:
- 要使 Cloud Interconnect 获得 99.99% 的可用性,您必须从位于两个不同地区的不同都市圈的 Google Cloud 连接到两个不同的区域。
- 为了提高可靠性并最大限度地减少地区性故障的风险,您可以跨地区分配工作负载和其他云资源。
- 为了处理预期流量,请创建足够数量的 VPN 隧道。各个 VPN 隧道都有带宽限制。
性能优化
以下列表介绍了此参考架构的性能注意事项:
- 您可以通过增加网络和连接的最大传输单元 (MTU) 来提高网络性能。如需了解详情,请参阅最大传输单元。
- 传输 VPC 与工作负载资源之间的通信通过 Network Connectivity Center 连接进行。此连接可为网络中的所有虚拟机提供全线速率吞吐量,无需额外费用。您可以通过多种方式将外部网络连接到公交网络。如需详细了解如何在费用与性能之间取得平衡,请参阅选择网络连接产品。
部署
本部分介绍如何使用本文档中介绍的 Network Connectivity Center 架构部署跨云网络的 VPC 间连接。
本文档中的架构创建三种到中央传输 VPC 的连接,以及工作负载 VPC 网络和工作负载 VPC 网络之间的连接。Network Connectivity Center 完全配置后,它会在所有网络之间建立通信。
此部署假定您在两个区域的外部和传输网络之间创建连接,但工作负载子网可能位于其他区域。如果工作负载仅放置在一个区域,则只需在该区域中创建子网。
如需部署此参考架构,请完成以下任务:
- 使用 Network Connectivity Center 创建网络分段
- 确定要放置连接和工作负载的区域
- 创建 VPC 网络和子网
- 在外部网络与传输 VPC 网络之间创建连接
- 在传输 VPC 网络与服务访问 VPC 网络之间创建连接
- 在传输 VPC 网络和工作负载 VPC 网络之间建立连接
- 配置 Cloud NGFW 政策
- 测试与工作负载的连接
使用 Network Connectivity Center 创建网络分段
首次创建 Network Connectivity Center hub 之前,您必须决定是使用全网状拓扑还是星形拓扑。承诺使用互连 VPC 的完整网格或 VPC 星形拓扑的决定是不可逆转的。请根据以下一般准则来做出这一不可逆转的决定:
- 如果您组织的业务架构允许在任何 VPC 网络之间传输流量,请使用 Network Connectivity Center 网格。
- 如果流量不允许在某些不同的 VPC spoke 之间流动,但这些 VPC spoke 可以连接到 VPC spoke 的核心组,请使用 Network Connectivity Center 星形拓扑。
确定要放置连接和工作负载的区域
通常,您需要将连接和 Google Cloud 工作负载布置在靠近本地网络或其他云客户端的位置。如需详细了解如何放置工作负载,请参阅Google Cloud 区域选择器和 Compute Engine 区域选择最佳做法。
创建 VPC 网络和子网
如需创建 VPC 网络和子网,请完成以下任务:
创建或确定要在其中创建 VPC 网络的项目。如需获取指导,请参阅网络分段和项目结构。如果您打算使用共享 VPC 网络,请将项目预配为共享 VPC 宿主项目。
规划网络的 IP 地址分配。您可以通过创建内部范围来预分配和预留范围。这样做可以使后续的配置和操作更加简单明了。
创建启用了全局路由的传输网络 VPC。
创建服务访问 VPC 网络。如果您计划在多个区域中使用工作负载,请启用全局路由。
创建工作负载 VPC 网络。如果您的工作负载位于多个区域,请启用全局路由。
在外部网络和传输 VPC 网络之间创建连接
本部分假定在两个区域有连接,并假设外部位置已连接并且可以相互进行故障切换。它还假定外部位置中的客户端偏好访问外部位置所在区域中的服务。
- 在外部网络和您的中转网络之间设置连接。如需了解如何对此进行思考,请参阅外部和混合连接。如需有关选择连接产品的指导,请参阅选择网络连接产品。
在每个连接的区域中配置 BGP,如下所示:
- 在给定的外部位置配置路由器,如下所示:
- 在两个接口上使用相同的 BGP MED(例如 100)通告该外部位置的所有子网。如果两个接口通告相同的 MED,则 Google Cloud 可以使用 ECMP 对两个连接之间的流量进行负载均衡。
- 使用比第一个区域优先级较低的 MED(例如 200)通告其他外部位置的所有子网。从两个接口公布相同的 MED。
- 在已连接区域的传输 VPC 中配置面向外部的 Cloud Router 路由器,如下所示:
- 使用专用 ASN 设置 Cloud Router 路由器。
- 使用自定义路由通告通过两个面向外部的 Cloud Router 接口通告所有区域中的所有子网范围。如有可能,请汇总这些信息。对两个接口使用相同的 MED,例如 100。
- 在给定的外部位置配置路由器,如下所示:
使用 Network Connectivity Center hub 和混合 spoke,使用默认参数。
- 创建 Network Connectivity Center hub。如果您的组织允许所有 VPC 网络之间的流量,请使用默认的全网状配置。
- 如果您使用合作伙伴互连、专用互连、高可用性 VPN 或路由器设备来访问本地前缀,请将这些组件配置为不同的 Network Connectivity Center 混合 spoke。
- 如需向远程 BGP 邻居公告 Network Connectivity Center hub 路由表子网,请设置过滤条件以包含所有 IPv4 地址范围。
- 如果混合连接在支持数据传输的区域中的 Cloud Router 路由器上终止,请配置混合 Spoke,并启用站点到站点数据传输。这样支持使用 Google 骨干网的站点到站点数据传输。
在传输 VPC 网络与服务访问 VPC 网络之间创建连接
为了在外部网络与服务访问 VPC 之间以及工作负载 VPC 与服务访问 VPC 之间提供传递性路由,服务访问 VPC 使用高可用性 VPN 进行连接。
- 估算每个区域中传输 VPC 与服务访问 VPC 之间需要传输的流量。请相应地扩缩您预期的隧道数量。
按照创建高可用性 VPN 网关以连接 VPC 网络中的说明,在区域 A 中的传输 VPC 网络与服务访问 VPC 网络之间配置高可用性 VPN。在传输 VPC 网络中创建专用高可用性 VPN Cloud Router 路由器。保留面向外部网络的路由器以进行外部网络连接。
- 传输 VPC Cloud Router 路由器配置:
- 要向服务访问 VPC 通告外部网络和工作负载 VPC 子网,请在传输 VPC 的 Cloud Router 上使用自定义路由通告。
- 服务访问 VPC Cloud Router 路由器配置:
- 如需向传输 VPC 公布服务访问 VPC 网络子网,请在服务访问 VPC 网络 Cloud Router 上使用自定义路由通告。
- 如果您使用专用服务访问通道将托管式服务 VPC 网络连接到服务访问 VPC,则也使用自定义路由通告这些子网。
- 在高可用性 VPN 隧道的传输 VPC 端,将隧道对配置为 Network Connectivity Center 混合 spoke:
- 如需支持区域间数据传输,请配置混合 Spoke,并启用站点到站点数据传输。
- 如需向远程 BGP 邻居公告 Network Connectivity Center hub 路由表子网,请设置过滤条件以包含所有 IPv4 地址范围。此操作会向邻居通告所有 IPv4 子网路由。
- 如需在外部路由器的容量受限时安装动态路由,请配置 Cloud Router 路由器,以通告使用自定义路由通告的摘要路由。使用此方法,而不是公布 Network Connectivity Center hub 的完整路由表。
- 传输 VPC Cloud Router 路由器配置:
如果在建立 VPC 网络对等互连连接后使用 private services-access 将托管式服务 VPC 连接到服务访问 VPC,则还必须更新 VPC 网络对等互连连接的服务访问 VPC 端以导出自定义路由。
在传输 VPC 网络和工作负载 VPC 网络之间建立连接
如需大规模建立 VPC 间的连接,请使用具有 VPC spoke 的 Network Connectivity Center。Network Connectivity Center 支持两种不同类型的数据平面模型:全网状数据平面模型和星形拓扑数据平面模型。
建立全网状连接
Network Connectivity Center VPC spoke 包括传输 VPC、Private Service Connect 使用方 VPC 和所有工作负载 VPC。
- 虽然 Network Connectivity Center 构建了 VPC spoke 的全网状网络,但网络运营商必须使用防火墙规则或防火墙政策允许来源网络和目标网络之间的流量流动。
- 将所有工作负载、传输和 Private Service Connect 使用方 VPC 配置为 Network Connectivity Center VPC spoke。VPC spoke 之间不能存在子网重叠。
- 配置 VPC spoke 时,请向 Network Connectivity Center hub 路由表公布不重叠的 IP 地址子网范围:
- 包括导出子网范围。
- 排除导出子网范围。
- 配置 VPC spoke 时,请向 Network Connectivity Center hub 路由表公布不重叠的 IP 地址子网范围:
- 如果 VPC spoke 位于不同的项目中,并且 spoke 由 Network Connectivity Center hub 管理员以外的管理员管理,则 VPC spoke 管理员必须发起请求以加入其他项目中的 Network Connectivity Center hub。
- 使用 Network Connectivity Center hub 项目中的 Identity and Access Management (IAM) 权限向该用户授予
roles/networkconnectivity.groupUser角色。
- 使用 Network Connectivity Center hub 项目中的 Identity and Access Management (IAM) 权限向该用户授予
- 如需允许专用服务连接从其他 Network Connectivity Center spoke 传递性并全局访问,请在 Network Connectivity Center hub 上启用 Private Service Connect 连接传播。
如果不允许在工作负载 VPC 之间实现完全网格化的 VPC 间通信,请考虑使用 Network Connectivity Center 星形拓扑。
建立星形拓扑连接
需要点到多点拓扑的集中式业务架构可以使用 Network Connectivity Center 星形拓扑。
如需使用 Network Connectivity Center 星形拓扑,请完成以下任务:
- 在 Network Connectivity Center 中,创建 Network Connectivity Center hub 并指定星形拓扑。
- 如需允许专用服务连接从其他 Network Connectivity Center spoke 传递性并全局访问,请在 Network Connectivity Center hub 上启用 Private Service Connect 连接传播。
- 为星形拓扑配置 Network Connectivity Center hub 时,您可以将 VPC 分组到以下两个预定组之一:中心组或边缘组。
如需对中心组中的 VPC 进行分组,请将传输 VPC 和 Private Service Connect 使用方 VPC 配置为作为中心组的 Network Connectivity Center VPC spoke。
Network Connectivity Center 在位于中心组的 VPC spoke 之间构建全网状网络。
如需对边缘组中的工作负载 VPC 进行分组,请将每个网络配置为该组内的 Network Connectivity Center VPC spoke。
Network Connectivity Center 从每个 Network Connectivity Center VPC 对中心组中的所有 VPC 构建点到点数据路径。
配置 Cloud NGFW 政策
其他注意事项:
- 如果您的工作负载在 Compute Engine 虚拟机上运行,我们建议您使用网络防火墙政策而不是 VPC 防火墙规则。网络防火墙政策具有诸多优势,例如通过使用标记实现精细的安全性和访问权限控制、简化的规则管理、易于操作、更丰富的功能集和数据驻留。如果您已有 VPC 防火墙规则,可以使用 VPC 防火墙规则迁移工具来帮助迁移到全球网络防火墙政策。
- Google Kubernetes Engine 会自动创建和管理某些 VPC 防火墙规则来允许必要的流量,因此我们建议您不要修改或删除这些规则。但是,网络防火墙政策仍然可以与 VPC 防火墙规则一起使用,并且可以选择性地更改政策执行顺序。
- 由于 IAM 控件、经过改进的扩缩功能以及对网络防火墙政策的支持,我们建议您使用标记而非具有防火墙规则的网络标记。但是,分层防火墙政策或 Network Connectivity Center 对等互连网络不支持标记,因此在这些情况下,您需要根据 CIDR 范围创建规则。
- 如果要在 Cloud NGFW 上启用 L7 检查,请配置入侵防护服务,包括安全配置文件、防火墙端点和 VPC 关联。
- 创建全球网络防火墙政策和任何所需的防火墙规则。考虑每个 VPC 网络中存在的现有允许出站流量和拒绝入站流量的隐式规则。
- 将政策与 VPC 网络相关联。
- 如果您已在网络中使用 VPC 防火墙规则,则可能需要更改政策和规则评估顺序,以便在 VPC 防火墙规则之前评估新规则。
- (可选)启用防火墙规则日志记录。
测试与工作负载的连接
如果您的 VPC 网络中已部署工作负载,请立即测试对这些工作负载的访问权限。如果在部署工作负载之前连接了网络,则可以立即部署工作负载并进行测试。
后续步骤
- 详细了解本设计指南中使用的 Google Cloud 产品:
- 如需查看更多参考架构、图表和最佳实践,请浏览 Cloud 架构中心。
贡献者
作者:
- Eric Yu | 网络专家客户工程师
- Deepak Michael | 网络专家客户工程师
- Victor Morno | Cloud 网络产品经理
- Osvaldo Costa | 网络专家客户工程师
其他贡献者:
- Mark Schlagenhauf | 网络技术文档工程师
- Ammett Williams | 开发者关系工程师
- Ghaleb Al-habian | 网络专家
- Tony Sarathchandra | 高级产品经理