本文提供參考架構,可用於在 Google Cloud中部署Cross-Cloud Network 虛擬私有雲間網路拓撲。這項網路設計可讓您在內部部署和外部網路 (例如內部部署資料中心或其他雲端服務供應商 (CSP)) 中部署軟體服務。 Google Cloud
本文的目標對象包括網路管理員、雲端架構師和企業架構師,他們將負責建立網路連線。也包括規劃工作負載部署方式的雲端架構師。本文假設讀者對路由和網際網路連線有基本瞭解。
這項設計支援多個外部連線、多個包含服務和服務存取點的服務存取虛擬私有雲 (VPC) 網路,以及多個工作負載 VPC 網路。
在本文件中,服務存取點一詞是指使用 Google Cloud 私人服務存取權和 Private Service Connect 提供的服務存取點。Network Connectivity Center 是Google Cloud中管理網路連線的中樞與輪輻控制平面模式。中樞資源可為 Network Connectivity Center 虛擬私有雲輪輻提供集中連線管理。
Network Connectivity Center 中樞是全域控制層,可在連結至中樞的不同輻條類型之間學習及分發路由。虛擬私有雲輪輻通常會將子網路路由插入集中式中樞路徑表。混合型輻條通常會將動態路徑插入集中式中樞路徑表。 Google Cloud會使用 Network Connectivity Center 集線的控制平面資訊,自動在 Network Connectivity Center 輻條之間建立資料層連線。
Google Cloud建議使用 Network Connectivity Center 連結虛擬私有雲,以便擴充規模。如果您必須在流量路徑中插入網路虛擬機架 (NVA),可以使用路由器機架功能處理動態路徑,或是使用靜態或依據政策的路徑,搭配 VPC 網路對等互連功能來連結 VPC。詳情請參閱「透過虛擬私人雲端網路對等互連,連結跨雲端網路的虛擬私有雲網路間連線」。
架構
下圖概略呈現網路架構,以及此架構支援的不同封包流量。
此架構包含下列高階元素:
| 元件 | 目的 | 互動 |
|---|---|---|
| 外部網路 (內部部署或其他 CSP 網路) | 主機可託管在工作負載虛擬私有雲和服務存取虛擬私有雲中執行的工作負載用戶端。外部網路也可以代管服務。 | 透過轉接網路,與 Google Cloud的虛擬私有雲網路交換資料。使用 Cloud Interconnect 或 HA VPN 連線至轉接網路。 終止下列流程的一端:
|
| 傳遞 VPC 網路 (在 Network Connectivity Center 中也稱為「路由虛擬私有雲網路」) | 可做為外部網路、服務存取 VPC 網路和工作負載 VPC 網路的樞紐。 | 透過 Cloud Interconnect、高可用性 VPN 和 Network Connectivity Center 的組合,將外部網路、服務存取權虛擬私有雲網路、Private Service Connect 用戶端網路和工作負載虛擬私有雲網路連結在一起。 |
| 服務存取虛擬私有雲網路 | 提供工作負載在工作負載虛擬私有雲網路或外部網路中執行時所需的服務存取權。也提供存放於其他網路的代管服務存取點。 | 透過轉接網路,與外部、工作負載和 Private Service Connect 消費者網路交換資料。使用 HA VPN 連線至傳輸虛擬私有雲端。HA VPN 提供的轉介路由可讓外部流量透過服務存取虛擬私有雲網路,連上代管服務虛擬私有雲。 終止下列流程的一端:
|
| 代管服務 VPC 網路 | 代管其他網路中用戶端所需的代管服務。 | 與外部、服務存取、Private Service Connect 消費者和工作負載網路交換資料。使用私人服務存取權 (使用虛擬私有雲端網路對等互連) 連線至服務存取權 VPC 網路。代管服務 VPC 也可以使用 Private Service Connect 或私人服務存取權,連線至 Private Service Connect 用戶虛擬私有雲網路。 終止所有其他網路的流量一端。 |
| Private Service Connect 用戶虛擬私有雲 | 代管可從其他網路存取的 Private Service Connect 端點。這個 VPC 也可能是工作負載 VPC。 | 透過轉接 VPC 網路,與外部和服務存取 VPC 網路交換資料。使用 Network Connectivity Center VPC 輻條連線至傳輸網路和其他工作負載 VPC 網路。 |
| 工作負載虛擬私有雲網路 | 託管其他網路中客戶所需的工作負載。此架構可支援多個工作負載虛擬私有雲網路。 | 透過轉接 VPC 網路,與外部和服務存取 VPC 網路交換資料。使用 Network Connectivity Center VPC 輪輻連線至轉接網路、Private Service Connect 使用者網路和其他工作負載 VPC 網路。 終止下列流程的一端:
|
| Network Connectivity Center | Network Connectivity Center 中樞整合了全域路由資料庫,可做為跨任何 Google Cloud 區域的 VPC 子網路和混合式連線路由的網路控制層。 | 透過建立使用控制平面路由表的資料路徑,在任意對任意拓撲中連結多個虛擬私有雲和混合式網路。 |
下圖顯示架構的詳細視圖,其中標示出元件之間的四個連結:
連線說明
本節將說明上圖所示的四個連線。Network Connectivity Center 說明文件將傳輸虛擬私有雲網路稱為路由虛擬私有雲。雖然這些網路名稱不同,但用途相同。
連線 1:外部網路與轉接虛擬私有雲網路之間
外部網路和轉接虛擬私有雲端網路之間的連線會透過 Cloud Interconnect 或高可用性 VPN 建立。系統會使用 BGP,在轉接 VPC 網路中的 Cloud Router 之間,以及外部網路中的外部路由器之間交換路徑。
- 外部網路中的路由器會將外部子網路的路徑通告給轉接 VPC Cloud Router。一般來說,特定位置的外部路由器會宣告來自相同外部位置的路徑,優先順序高於其他外部位置的路徑。您可以使用 BGP 指標和屬性來表示路徑偏好設定。
- 轉接 VPC 網路中的 Cloud Router 會將 Google Cloud虛擬私有雲網路中前置字元的路徑通告至外部網路。這些路徑必須使用 Cloud Router 自訂路徑通告來宣告。
- Network Connectivity Center 可讓您使用 Google 主幹網路,在不同地端部署網路之間轉移資料。將互連網路 VLAN 連結設為 Network Connectivity Center 混合輪輻時,必須啟用網站對網站資料移轉功能。
- 來源相同外部網路前置字的 Cloud Interconnect VLAN 連結會設為單一 Network Connectivity Center 輪輻。
連線 2:轉接 VPC 網路與服務存取 VPC 網路之間
轉接 VPC 網路和服務存取 VPC 網路之間的連線會透過高可用性 VPN 建立,每個區域都有個別的通道。系統會使用 BGP,在轉接 VPC 網路和服務存取 VPC 網路中的區域 Cloud Router 之間交換路由。
- 轉接 VPC HA VPN Cloud Router 會向服務存取 VPC Cloud Router 宣告外部網路前置字、工作負載 VPC 和其他服務存取 VPC 的路徑。這些路徑必須使用 Cloud Router 自訂路徑通告來宣告。
- 服務存取 VPC 會將其子網路和任何已連結的受管理服務 VPC 網路的子網路,宣告至轉接 VPC 網路。必須使用 Cloud Router 自訂路徑通告,才能宣告受管理服務 VPC 路徑和服務存取 VPC 子網路路徑。
連線 3:傳輸虛擬私有雲網路、工作負載虛擬私有雲網路和 Private Service Connect 服務存取權虛擬私有雲網路之間
使用 Network Connectivity Center 交換子網路和前置字路徑時,會在轉接 VPC 網路、工作負載 VPC 網路和 Private Service Connect 消費者 VPC 網路之間建立連線。這項連線可在工作負載 VPC 網路、以 Network Connectivity Center VPC 輪輻連線的服務存取 VPC 網路,以及以 Network Connectivity Center 混合輪輻連線的其他網路之間,啟用通訊功能。這些其他網路包括分別使用連線 1 和連線 2 的外部網路和服務存取虛擬私有雲網路。
- 轉接 VPC 網路中的 Cloud Interconnect 或高可用性 VPN 附件會使用 Network Connectivity Center,將動態路徑匯出至工作負載 VPC 網路。
- 將工作負載虛擬私有雲網路設為 Network Connectivity Center 中樞的輻條時,工作負載虛擬私有雲網路會自動將其子網路匯出至傳遞虛擬私有雲網路。您可以選擇將傳遞虛擬私有雲網路設為虛擬私有雲輻射網路。不會從工作負載虛擬私人雲端網路匯出任何靜態路徑到傳遞虛擬私人雲端網路。不會從傳遞 VPC 網路匯出任何靜態路徑到工作負載 VPC 網路。
連線 4:Private Service Connect 用戶端虛擬私有雲網路,搭配 Network Connectivity Center 傳播
- Private Service Connect 端點會在共用虛擬私有雲中進行整理,讓消費者存取第一方和第三方代管服務。
- Private Service Connect 用戶端虛擬私有雲網路會設為 Network Connectivity Center 虛擬私有雲輪輻。這個輪輻可在 Network Connectivity Center 中樞上啟用 Private Service Connect 傳播功能。Private Service Connect 傳播功能會將 Private Service Connect 端點的主機前置字串,宣告為 Network Connectivity Center 中樞路由表中的路徑。
- Private Service Connect 服務存取權用戶端虛擬私有雲網路會連線至工作負載虛擬私有雲網路和轉接虛擬私有雲網路。這些連線可讓您透過轉介連線連線至 Private Service Connect 端點。Network Connectivity Center 中樞必須啟用 Private Service Connect 連線傳播。
- Network Connectivity Center 會自動建立從所有輪輻到 Private Service Connect 端點的資料路徑。
流量
下圖顯示此參考架構啟用的流程。
下表說明圖表中的流程:
| 來源 | 目的地 | 說明 |
|---|---|---|
| 外部網路 | 服務存取虛擬私有雲網路 |
|
| 服務存取虛擬私有雲網路 | 外部網路 |
|
| 外部網路 | 工作負載虛擬私有雲網路或 Private Service Connect 用戶虛擬私有雲網路 |
|
| 工作負載虛擬私有雲網路或 Private Service Connect 用戶虛擬私有雲網路 | 外部網路 |
|
| 工作負載虛擬私有雲網路 | 服務存取虛擬私有雲網路 |
|
| 服務存取虛擬私有雲網路 | 工作負載虛擬私有雲網路 |
|
| 工作負載虛擬私有雲網路 | 工作負載虛擬私有雲網路 | 離開一個工作負載虛擬私有雲的流量,會透過 Network Connectivity Center 沿著更明確的路徑,連往其他工作負載虛擬私有雲。回傳流量會反向這個路徑。 |
使用的產品
- 虛擬私有雲 (VPC):虛擬系統,可為您的 Google Cloud 工作負載提供全球可擴充的網路功能。虛擬私有雲 (VPC) 包含虛擬私有雲網路對等互連、Private Service Connect、私人服務存取權和共用 VPC。
- Network Connectivity Center:這項協調架構可簡化輪輻資源之間的網路連線,這些輪輻資源會連線至名為「中樞」的中央管理資源。
- Cloud Interconnect:這項服務可透過高可用性且低延遲的連線,將您的外部網路延伸至 Google 網路。
- Cloud VPN:這項服務可透過 IPsec VPN 通道,安全地將對等網路延伸至 Google 的網路。
- Cloud Router:分散式全代管產品,提供邊界閘道協定 (BGP) 發言者和回應者功能。Cloud Router 可搭配 Cloud Interconnect、Cloud VPN 和 Router 設備,根據 BGP 收到的路徑和自訂已知路徑,在 VPC 網路中建立動態路徑。
- Cloud Next Generation Firewall:提供進階防護功能、微型區隔和簡化管理功能的完全分散式防火牆服務,可保護 Google Cloud 工作負載免受內外部攻擊的侵擾。
設計須知
本節將說明設計因素、最佳做法和設計建議,供您在使用此參考架構開發符合安全性、可靠性和效能等特定需求的拓樸時參考。
安全性與法規遵循
以下清單說明此參考架構的安全性和法規遵循考量:
- 基於法規遵循的考量,您可能只想在單一區域中部署工作負載。如果希望所有流量都保留在單一區域,可以使用 99.9% 拓撲。
- 使用 Cloud Next Generation Firewall (Cloud NGFW),保護進入及離開服務存取和工作負載 VPC 網路的流量。如要檢查透過轉接網路在混合式網路之間傳遞的流量,或是在外部網路和 Google 代管服務之間傳遞的流量,您必須使用外部防火牆或 NVA 防火牆。
- 如果您需要 L7 流量檢查,請啟用入侵偵測和防禦服務 (可選配TLS 檢查支援),藉此封鎖惡意活動,並保護工作負載免受威脅,同時支援漏洞、反間諜軟體和防毒軟體。這項服務會建立 Google 管理的區域防火牆端點,使用封包攔截技術來公開檢查工作負載,不必重新架構路由。Cloud Next Generation Firewall Enterprise 會產生區域式防火牆端點和資料處理費用。
- 如果您想根據 Google Threat Intelligence 資料允許或封鎖流量,請使用 Google Threat Intelligence。您必須支付 Cloud Next Generation Firewall Standard 資料處理費用。
- 啟用防火牆規則記錄功能,並使用防火牆深入分析功能稽核、驗證防火牆規則的效果,瞭解並最佳化防火牆規則。防火牆規則記錄功能可能會產生費用,因此建議您有選擇地使用。
- 啟用 Connectivity Tests,確保流量能正常運作。
- 請視流量和法規遵循需求,啟用記錄和監控功能。如要深入瞭解流量模式,請搭配使用虛擬私有雲流量記錄和 Flow Analyzer。
- 使用 Cloud IDS 或在警示模式下啟用 Cloud NGFW Enterprise 入侵防範服務,進一步瞭解流量。
可靠性
以下清單說明此參考架構的可靠性考量:
- 如要讓 Cloud Interconnect 的可用性達到 99.99%,您必須連線至兩個不同的區域,且兩個區域必須位於不同的區域和都會區。 Google Cloud
- 為提高可靠性並盡量減少區域性故障的影響,您可以將工作負載和其他雲端資源分散在各個區域。
- 如要處理預期流量,請建立足夠數量的 VPN 通道。個別 VPN 通道有頻寬限制。
效能最佳化
以下清單說明此參考架構的效能考量事項:
- 您可以提高網路和連線的最大傳輸單位 (MTU),藉此改善網路效能。詳情請參閱「傳輸單位上限」。
- 轉接 VPC 和工作負載資源之間的通訊,是透過 Network Connectivity Center 連線進行。這個連線可為網路中的所有 VM 提供全線路速率輸送量,且無須額外付費。您可以透過多種方式將外部網路連線至轉接網路。如要進一步瞭解如何平衡成本和效能考量因素,請參閱「選擇網路連線產品」一文。
部署作業
本節將說明如何使用本文件所述的 Network Connectivity Center 架構,部署跨雲端網路的私人雲端網路互連功能。
本文所述架構會建立三種連線,連線至中央傳遞虛擬私有雲,以及工作負載虛擬私有雲網路和工作負載虛擬私有雲網路之間的連線。Network Connectivity Center 設定完成後,就會在所有網路之間建立通訊。
這項部署作業假設您是在兩個區域中的外部和中繼網路之間建立連線,但工作負載子網路可位於其他區域。如果工作負載只位於單一區域,則只需在該區域建立子網路。
如要部署這個參考架構,請完成下列工作:
- 使用 Network Connectivity Center 建立網路區隔
- 找出要放置連線和工作負載的區域
- 建立虛擬私有雲網路和子網路
- 建立外部網路與中繼虛擬私有雲網路之間的連線
- 在轉接 VPC 網路與服務存取 VPC 網路之間建立連線
- 在傳遞網路和工作負載網路之間建立連線
- 設定 Cloud NGFW 政策
- 測試與工作負載的連線狀態
使用 Network Connectivity Center 建立網路分割
首次建立 Network Connectivity Center 中樞時,您必須決定要使用全網狀拓撲還是星狀拓撲。一旦決定採用完整網狀的互連虛擬私有雲或星狀拓撲的虛擬私有雲,就無法再改變。請參考下列一般規範,做出這個不可逆轉的決定:
- 如果貴機構的業務架構允許任何虛擬私有雲網路之間的流量,請使用 Network Connectivity Center 中介網。
- 如果某些不同的虛擬私有雲輪輻之間的流量流動不受允許,但這些虛擬私有雲輪輻可以連線至核心群組的虛擬私有雲輪輻,請使用 Network Connectivity Center 星狀拓撲。
找出要放置連線和工作負載的區域
一般來說,您應該將連線和 Google Cloud 工作負載放在地端網路或其他雲端用戶端附近。如要進一步瞭解如何放置工作負載,請參閱 Google Cloud 「區域挑選器」和選擇 Compute Engine 地區的最佳做法。
建立虛擬私有雲網路和子網路
如要建立虛擬私有雲網路和子網路,請完成下列工作:
建立或識別您要建立虛擬私有雲網路的專案。如需相關指南,請參閱「網路區隔和專案結構」。如果您想使用共用虛擬私人雲端網路,請將專案設為共用虛擬私人雲端主專案。
規劃網路的 IP 位址分配方式。您可以建立內部範圍,預先配置及保留範圍。這樣一來,日後的設定和操作會更簡單。
建立已啟用全域轉送功能的傳遞網路 VPC。
建立服務存取虛擬私有雲網路。如果您打算在多個區域中建立工作負載,請啟用全域路由。
建立工作負載虛擬私有雲網路。如果工作負載會遍及多個區域,請啟用全球路由。
建立外部網路與中繼 VPC 網路之間的連線
本節假設兩個區域之間有連線,且外部位置已連線,且可相互容錯。這也假設外部位置的用戶會偏好使用該區域的服務。
- 設定外部網路和轉接網路之間的連線。如要瞭解如何思考這項問題,請參閱「外部和混合式連線」一文。如需選擇連線產品的相關指南,請參閱「選擇網路連線產品」。
在每個連線的區域中設定 BGP,如下所示:
- 請按照下列步驟,在指定的外部位置設定路由器:
- 在兩個介面上使用相同的 BGP MED (例如 100),為該外部位置宣告所有子網路。如果兩個介面宣告相同的 MED, Google Cloud 便可使用 ECMP 在兩個連線之間負載平衡流量。
- 使用比第一個區域 MED 優先順序低的值 (例如 200),宣告其他外部位置的所有子網路。從兩個介面宣告相同的 MED。
- 在已連線區域的轉接 VPC 中,依下列方式設定外向 Cloud Router:
- 設定 Cloud Router 私人 ASN。
- 使用自訂路徑通告,透過兩個面向外部的 Cloud Router 介面,宣告所有地區的所有子網路範圍。盡可能匯總這些資料。在兩個介面上使用相同的 MED,例如 100。
- 請按照下列步驟,在指定的外部位置設定路由器:
搭配使用 Network Connectivity Center 中樞和混合式輪輻,請使用預設參數。
- 建立 Network Connectivity Center 中樞。如果貴機構允許所有虛擬私有雲網路之間的流量,請使用預設的完整網狀設定。
- 如果您使用合作夥伴互連網路、專屬互連網路、高可用性 VPN 或路由器設備來存取內部部署前置字串,請將這些元件設定為不同的 Network Connectivity Center 混合式輻條。
- 如要將 Network Connectivity Center 中樞路由表子網路宣告給遠端 BGP 鄰居,請設定篩選器,納入所有 IPv4 位址範圍。
- 如果混合式連線在支援資料移轉的區域中終止於 Cloud Router,請設定混合式輻條,並啟用站對站資料移轉功能。這樣做可支援使用 Google 主幹網路的站對站資料移轉。
在轉接 VPC 網路和服務存取 VPC 網路之間建立連線
為了在外部網路和服務存取 VPC 之間,以及工作負載 VPC 和服務存取 VPC 之間提供傳遞式路由,服務存取 VPC 會使用 HA VPN 進行連線。
- 估算在各個區域中,轉接和服務存取虛擬私有雲之間需要多少流量。並據此調整預期的隧道數量。
請按照「建立高可用性 VPN 閘道來連結虛擬私有雲網路」一文中的指示,在區域 A 的轉接虛擬私有雲網路和服務存取虛擬私有雲網路之間設定高可用性 VPN。在轉接 VPC 網路中建立專屬高可用性 VPN Cloud Router。將外部網路路由器留給外部網路連線。
- 轉接 VPC Cloud Router 設定:
- 如要向服務存取 VPC 宣告外部網路和工作負載 VPC 子網路,請在轉接 VPC 的 Cloud Router 上使用自訂路徑通告。
- 服務存取 VPC Cloud Router 設定:
- 如要將服務存取 VPC 網路子網路通告至轉接 VPC,請在服務存取 VPC 網路 Cloud Router 上使用自訂路徑通告。
- 如果您使用私人服務存取權將受管理的服務虛擬私有雲網路連線至服務存取權虛擬私有雲,請使用自訂路徑來宣告這些子網路。
- 在高可用性 VPN 通道的傳遞 VPC 端,將這對通道設為 Network Connectivity Center 混合式輪輻:
- 如要支援區域間資料移轉,請設定混合型輻射狀結構,並啟用站對站資料移轉功能。
- 如要向遠端 BGP 鄰居宣告 Network Connectivity Center 中樞路由表子網路,請設定篩選器,納入所有 IPv4 位址範圍。這項操作會將所有 IPv4 子網路路由宣告給鄰居。
- 如要在外部路由器的容量受限時安裝動態路徑,請設定 Cloud Router 使用自訂路徑廣告宣告摘要路徑。請使用這個方法,而非宣告 Network Connectivity Center 中樞的完整路由表。
- 轉接 VPC Cloud Router 設定:
如果您在建立虛擬私有雲網路對等互連連線後,使用私人服務存取權將代管服務虛擬私有雲網路連線至服務存取權虛擬私有雲網路,則您也必須更新虛擬私有雲網路對等互連連線的服務存取權虛擬私有雲網路端,才能匯出自訂路徑。
在傳遞網路和工作負載網路之間建立連線
如要建立虛擬私有雲間的連線,請使用 Network Connectivity Center 搭配虛擬私有雲輻條。Network Connectivity Center 支援兩種不同類型的資料層模型:全網狀資料層模型或星狀拓樸資料層模型。
建立全網狀連線
Network Connectivity Center 虛擬私有雲輪輻包括傳輸虛擬私有雲、Private Service Connect 用戶虛擬私有雲,以及所有工作負載虛擬私有雲。
- 雖然網路連線中心會建立由虛擬私有雲端輻射線組成的完全網狀網路,但網路操作人員必須使用防火牆規則或防火牆政策,允許來源網路和目的地網路之間的流量。
- 將所有工作負載、傳輸和 Private Service Connect 消費者虛擬私有雲,設為 Network Connectivity Center 虛擬私有雲輪輻。虛擬私有雲輪輻之間的子網路不得重疊。
- 設定 VPC 輪輻時,請將不重疊的 IP 位址子網路範圍宣告至 Network Connectivity Center 中樞路徑表:
- 納入匯出的子網路範圍。
- 排除匯出的子網路範圍。
- 設定 VPC 輪輻時,請將不重疊的 IP 位址子網路範圍宣告至 Network Connectivity Center 中樞路徑表:
- 如果虛擬私有雲輪輻位於不同專案中,且由 Network Connectivity Center 中樞管理員以外的管理員管理,則虛擬私有雲輪輻管理員必須發起要求,加入其他專案中的 Network Connectivity Center 中樞。
- 在 Network Connectivity Center 中樞專案中使用身分與存取權管理 (IAM) 權限,將
roles/networkconnectivity.groupUser角色授予該使用者。
- 在 Network Connectivity Center 中樞專案中使用身分與存取權管理 (IAM) 權限,將
- 如要讓私人服務連線可透過其他 Network Connectivity Center 輪輻,以轉介方式在全球範圍內存取,請在 Network Connectivity Center 中樞上啟用 Private Service Connect 連線的傳播功能。
如果不允許工作負載虛擬私有雲網路之間的完全網狀虛擬私有雲網路通訊,請考慮使用 Network Connectivity Center 星狀拓樸。
建立星型拓撲連線
需要點對多點拓撲的集中式企業架構可使用 Network Connectivity Center 星狀拓撲。
如要使用 Network Connectivity Center 星狀拓樸,請完成下列工作:
- 在 Network Connectivity Center 中建立 Network Connectivity Center 中樞,並指定星狀拓撲。
- 如要讓私人服務連線可透過其他 Network Connectivity Center 輪輻,以轉介方式在全球範圍內存取,請在 Network Connectivity Center 中樞上啟用 Private Service Connect 連線的傳播功能。
- 為星狀拓撲設定 Network Connectivity Center 中樞時,您可以將虛擬私有雲分組成中心群組或邊緣群組。
如要將中心群組中的虛擬私有雲群組,請將中繼虛擬私有雲和 Private Service Connect 用戶虛擬私有雲設為 Network Connectivity Center 虛擬私有雲輪輻,做為中心群組的一部分。
Network Connectivity Center 會在位於中心群組的虛擬私有雲輪輻之間建立完整網狀網路。
如要將邊緣群組中的虛擬私有雲工作負載分組,請將每個網路設為該群組中的 Network Connectivity Center 虛擬私有雲輪輻。
Network Connectivity Center 會建立從各個 Network Connectivity Center VPC 輻條到中心群組中所有 VPC 的點對點資料路徑。
設定 Cloud NGFW 政策
除了參考安全性和法規遵循中的指引外,也請考量防火牆規則的最佳做法。
其他注意事項:
- 如果工作負載是在 Compute Engine VM 上執行,建議您使用網路防火牆政策,而非虛擬私人雲端防火牆規則。網路防火牆政策可帶來多項優點,例如使用標記實現精細的安全性和存取權控管、簡化規則管理、簡化作業、提供更多功能,以及彈性資料儲存地點。如果您已擁有虛擬私有雲防火牆規則,可以使用虛擬私有雲防火牆規則遷移工具,將防火牆規則遷移至全域網路防火牆政策。
- Google Kubernetes Engine 會自動建立及管理特定的 VPC 防火牆規則,以便允許必要的流量,因此建議您不要修改或刪除這些規則。不過,網路防火牆政策仍可與虛擬私有雲防火牆規則搭配使用,並視需要變更政策執行順序。
- 我們建議您使用標記,而非網路標記搭配防火牆規則,因為標記可提供 IAM 控管、改善可擴充性,並支援網路防火牆政策。不過,分層防火牆政策不支援標記,也不支援透過網路連線中心對等網路,因此在這種情況下,您必須根據 CIDR 範圍建立規則。
- 如果您想在 Cloud NGFW 上啟用第 7 層檢查,請設定入侵預防服務,包括安全性設定檔、防火牆端點和 VPC 關聯。
- 建立全域網路防火牆政策和任何必要的防火牆規則。請考量每個 VPC 網路中現有的默示規則,允許輸出流量並拒絕輸入流量。
- 將政策連結至虛擬私有雲網路。
- 如果您在網路中已使用虛擬私有雲防火牆規則,建議您變更政策和規則評估順序,以便在評估 VPC 防火牆規則之前,先評估新的規則。
- 您可以選擇啟用防火牆規則記錄。
測試與工作負載的連線
如果您已在 VPC 網路中部署工作負載,請立即測試存取權。如果您在部署工作負載之前已連線網路,現在可以部署工作負載並進行測試。
後續步驟
- 進一步瞭解本設計指南中使用的 Google Cloud 產品:
- 如需更多參考架構、圖表和最佳做法,請瀏覽 雲端架構中心。
貢獻者
作者:
- Eric Yu | 網路專員客戶工程師
- Deepak Michael | 網路專員客戶工程師
- Victor Moreno | 雲端網路產品經理
- Osvaldo Costa | 網路專家客戶工程師
其他貢獻者:
- Mark Schlagenhauf | 網路技術文件撰稿人
- Ammett Williams | 開發人員關係工程師
- Ghaleb Al-habian | 網路專家
- Tony Sarathchandra | 資深產品經理