使用集中式裝置的 VMware Engine 網路安全性

Last reviewed 2024-08-14 UTC

為了實行貴機構的多層防護策略,您可能會設定安全性政策,要求使用集中式網路設備,以便在線上偵測並封鎖可疑的網路活動。本文件可協助您為 Google Cloud VMware Engine 工作負載設計下列進階網路防護功能:

  • 緩解分散式阻斷服務 (DDoS) 攻擊
  • SSL 卸載
  • 新一代防火牆 (NGFW)
  • 入侵防禦系統 (IPS) 和入侵偵測系統 (IDS)
  • 深度封包檢測 (DPI)

本文件中的架構使用 Google Cloud Marketplace 提供的 Cloud Load Balancing 和網路設備。Cloud Marketplace 提供 Google Cloud 安全性合作夥伴的網路設備,可滿足企業 IT 需求,並已準備好投入實際作業,並由供應商提供支援。

本文件的指引適用於為 VMware Engine 工作負載設計、佈建及管理網路連線的安全架構師和網路管理員。本文假設您熟悉虛擬私有雲 (VPC)、VMware vSphere、VMware NSX、網路位址轉譯 (NAT) 和 Cloud Load Balancing。

架構

下圖顯示從地端網路和網際網路連線至 VMware Engine 工作負載的網路架構。在本文件後面,我們會擴充這個架構,以符合特定用途的需求。

連線至 VMware Engine 工作負載的網路基本架構。
圖 1. 與 VMware Engine 工作負載建立網路連線的基本架構。

圖 1 顯示架構的下列主要元件:

  1. VMware Engine 私有雲:由虛擬機器 (VM)、儲存空間、網路基礎架構和 VMware vCenter Server 組成的隔離 VMware 堆疊。VMware NSX-T 提供網路和安全性功能,例如微型區隔和防火牆政策。VMware Engine VM 會使用您在私有雲中建立的網路區段 IP 位址。
  2. 公開 IP 位址服務:為 VMware Engine VM 提供外部 IP 位址,以便透過網際網路存取。網路閘道預設會為 VMware Engine VM 提供出口存取權。
  3. VMware Engine 租用戶虛擬私有雲網路:這是由 Google 管理的專用虛擬私有雲網路,可與每個 VMware Engine 私有雲搭配使用,以便與Google Cloud 服務通訊。

  4. 客戶虛擬私有雲網路:

    • 客戶 VPC 網路 1 (外部):代管網路設備和負載平衡器的對外介面,屬於 VPC 網路。
    • 客戶 VPC 網路 2 (內部):這個 VPC 網路會代管網路裝置的內部介面,並使用私人服務存取權模式與 VMware Engine 租用戶 VPC 網路對等互連。

  5. 私人服務存取權:私人存取權模式,可透過虛擬私有雲網路對等互連,在 Google 管理的服務與您的虛擬私有雲網路之間建立連線。

  6. 網路裝置:您從 Cloud Marketplace 中選擇並在 Compute Engine 執行個體上部署的網路軟體。

  7. Cloud Load Balancing:Google 代管服務,可用於管理 Google Cloud中高可用性分散式工作負載的流量。您可以選擇符合流量通訊協定和存取需求的負載平衡器類型。本文中的架構不會使用內建的 NSX-T 負載平衡器。

設定注意事項

下圖顯示為 VMware Engine 工作負載提供網路連線所需的資源:

連線至 VMware Engine 工作負載所需的網路資源。
圖 2. 連線至 VMware Engine 工作負載所需的網路資源。

圖 2 顯示您必須完成的任務,才能設定及設定此架構中的資源。以下是各項工作的說明,包括提供更多資訊和詳細操作說明的文件連結。

  1. 請按照「建立自訂模式的私人虛擬雲端網路」一文的操作說明,建立外部和內部虛擬私有雲網路與子網路。

    • 針對每個子網路,選擇在虛擬私有雲網路中不重複的 IP 位址範圍。
    • 架構圖中顯示的管理 VPC 網路為選用項目。必要時,您可以使用它來代管網路設備的管理 NIC 介面。

  2. Cloud Marketplace 部署必要的網路設備。

    • 為確保網路設備的高可用性,請在兩個區域中分散的 VM 中部署每個設備。

      您可以在執行個體群組中部署網路設備。執行個體群組可以是代管執行個體群組 (MIG) 或非代管執行個體群組,這取決於您的管理或供應商支援需求。

    • 請按照下列步驟佈建網路介面:

      • nic0 在外部 VPC 網路中,將流量轉送至公開來源。
      • nic1 (如果裝置供應商有此需求)。
      • nic2 在內部虛擬私有雲網路中,用於與 VMware Engine 資源進行內部通訊。

      在不同的虛擬私有雲網路中部署網路介面,有助於確保在介面層級區隔公開和內部部署網路連線的安全區。

  3. 設定 VMware Engine:

  4. 使用私人服務存取權設定 VPC 網路對等互連,將內部 VPC 網路連線至 VMware Engine 管理的 VPC 網路。

  5. 如果您需要與內部部署網路建立混合式連線,請使用 Cloud VPNCloud Interconnect

您可以針對下列使用案例擴充圖 2 中的架構:

用途 使用的產品和服務
適用於面向公眾的 VMware Engine 工作負載的 NGFW
  • Cloud Marketplace 中的網路設備
  • 外部直通式網路負載平衡器
針對面向公開的 VMware Engine 工作負載提供 NGFW、DDoS 緩解、SSL 卸載和內容傳遞網路 (CDN)
  • Cloud Marketplace 中的網路設備
  • 外部應用程式負載平衡器
NGFW,用於 VMware Engine 工作負載與內部資料中心或其他雲端供應商之間的私人通訊
  • Cloud Marketplace 中的網路設備
  • 內部直通式網路負載平衡器
為 VMware Engine 工作負載提供連往網際網路的集中式輸出點
  • Cloud Marketplace 中的網路設備
  • 內部直通式網路負載平衡器

以下各節將說明這些用途,並概略說明實作這些用途的設定工作。

面向公眾的工作負載的 NGFW

此應用實例有以下需求:

  • 混合式架構,由 VMware Engine 和 Compute Engine 執行個體組成,並以 L4 負載平衡器做為通用前端。
  • 使用 IPS/IDS、NGFW、DPI 或 NAT 解決方案,保護公開的 VMware Engine 工作負載。
  • 公開 IP 位址數量超過 VMware Engine 公開 IP 位址服務支援的數量。

下圖顯示為面向公眾的 VMware Engine 工作負載調用 NGFW 所需的資源:

為面向公眾的 VMware Engine 工作負載佈建 NGFW 所需的資源。
圖 3. 為面向公眾的 VMware Engine 工作負載佈建 NGFW 所需的資源。

圖 3 顯示您必須完成的任務,才能設定及設定此架構中的資源。以下是各項工作的說明,包括提供更多資訊和詳細操作說明的文件連結。

  1. 在外部 VPC 網路中佈建外部直通式網路負載平衡器,做為 VMware Engine 工作負載的公開入口進入點。

    • 建立多個轉送規則,以支援多個 VMware Engine 工作負載。
    • 為每個轉送規則設定不重複的 IP 位址和 TCP 或 UDP 通訊埠號碼。
    • 將網路設備設為負載平衡器的後端。

  2. 設定網路設備,針對轉送規則的公開 IP 位址執行目的地網路位址轉譯 (DNAT),將其轉譯為 VMware Engine 中代管公開應用程式的 VM 內部 IP 位址。

    • 網路設備必須針對 nic2 介面中的流量執行來源 NAT (SNAT),以確保對稱的傳回路徑。
    • 網路設備也必須將 VMware Engine 網路的流量,透過 nic2 介面轉送至子網路的閘道 (子網路的第一個 IP 位址)。
    • 如要通過健康狀態檢查,網路設備必須使用次要或迴圈介面回應轉送規則的 IP 位址。

  3. 設定內部 VPC 網路的路由表,將 VMware Engine 流量轉送至 VPC 網路對等互連,做為下一個躍點。

在這種情況下,VMware Engine VM 會使用 VMware Engine 的網路閘道服務,以便將資料傳送至網路資源。不過,網路設備會管理 VM 對應的公開 IP 位址入站流量。

NGFW、DDoS 緩解、SSL 卸載和 CDN

此應用實例有下列需求:

  • 混合式架構,包含 VMware Engine 和 Compute Engine 執行個體,其中 L7 負載平衡器是通用前端,網址對應則可將流量轉送至適當的後端。
  • 使用 IPS/IDS、NGFW、DPI 或 NAT 解決方案,保護公開的 VMware Engine 工作負載。
  • 使用 Google Cloud Armor,針對公開的 VMware Engine 工作負載採取 L3 至 L7 分散式阻斷服務攻擊緩解措施。
  • 使用Google 代管的 SSL 憑證SSL 政策來終止 SSL,以便控管與面向公眾的 VMware Engine 工作負載建立 HTTPS 或 SSL 連線時使用的 SSL 版本和加密方式。
  • 使用 Cloud CDN 從靠近使用者的位置提供內容,加快 VMware Engine 工作負載的網路傳遞速度。

下圖顯示為公開對應的 VMware Engine 工作負載調配 NGFW 功能、DDoS 緩解、SSL 卸載和 CDN 所需的資源:

為面向公眾的 VMware Engine 工作負載,提供 NGFW、DDoS 緩解、SSL 卸載和 CDN 所需的資源。
圖 4. 為面向公眾的 VMware Engine 工作負載佈建 NGFW、DDoS 緩解、SSL 卸載和 CDN 所需的資源。

圖 4 顯示您必須完成的任務,才能設定及設定此架構中的資源。以下是各項工作的說明,包括提供更多資訊和詳細操作說明的文件連結。

  1. 在外部 VPC 網路中佈建全域外部應用程式負載平衡器,做為 VMware Engine 工作負載的公開入口進入點。

    • 建立多個轉送規則,以支援多個 VMware Engine 工作負載。
    • 為每個轉送規則設定專屬的公開 IP 位址,並設定監聽 HTTP(S) 流量。
    • 將網路設備設為負載平衡器的後端。

    此外,您可以執行下列操作:

    • 如要保護網路設備,請在負載平衡器上設定 Google Cloud Armor 安全性政策
    • 如要為充當 CDN 後端的網路設備提供轉送、健康狀態檢查和 Anycast IP 位址支援,請為代管網路設備的 MIG 設定 Cloud CDN
    • 如要將要求轉送至不同的後端,請在負載平衡器上設定網址對應。例如,將對 /api 的要求轉送至 Compute Engine VM,將對 /images 的要求轉送至 Cloud Storage 值區,並透過網路設備將對 /app 的要求轉送至 VMware Engine VM。

  2. 設定每個網路裝置,針對其 nic0 介面的內部 IP 位址,執行目標 NAT (DNAT) 至 VMware Engine 中公開應用程式主機 VM 的內部 IP 位址。

    • 網路裝置必須針對來自 nic2 介面 (內部 IP 位址) 的來源流量執行 SNAT,以確保對稱的傳回路徑。
    • 此外,網路設備必須將傳送至 VMware Engine 網路的流量,透過 nic2 介面轉送至子網路閘道 (子網路的第一個 IP 位址)。

    負載平衡器是一種以 Proxy 為基礎的服務,已在 Google Front End (GFE) 服務上導入,因此必須執行 DNAT 步驟。視用戶端的位置而定,多個 GFE 可以啟動 HTTP(S) 連線,連線至後端網路裝置的內部 IP 位址。來自 GFE 的封包來源 IP 位址來自用於健康狀態檢查探測的相同範圍 (35.191.0.0/16 和 130.211.0.0/22),而非原始用戶端 IP 位址。負載平衡器會使用 X-Forwarded-For 標頭附加用戶端 IP 位址。

    如要讓健康狀態檢查通過,請設定網路設備,以便使用次要或迴圈介面回應轉送規則的 IP 位址。

  3. 設定內部虛擬私有雲網路的路由表,將 VMware Engine 流量轉送至 VPC 網路對等互連。

    在這種情況下,VMware Engine VM 會使用 VMware Engine 的網際網路閘道服務,以便連往網際網路。不過,VM 的公開 IP 位址會由網路設備管理入站流量。

私人連線的 NGFW

此應用實例有以下需求:

  • 混合式架構,由 VMware Engine 和 Compute Engine 執行個體組成,並以 L4 負載平衡器做為通用前端。
  • 使用 IPS/IDS、NGFW、DPI 或 NAT 解決方案,保護私人 VMware Engine 工作負載。
  • Cloud Interconnect 或 Cloud VPN,用於連線至內部部署網路。

下圖顯示為 VMware Engine 工作負載與內部部署網路或其他雲端服務供應商之間的私人連線,佈建 NGFW 所需的資源:

為私人連線佈建 NGFW 所需的資源。
圖 5. 提供 NGFW 所需的資源,以便與 VMware Engine 工作負載建立私人連線。

圖 5 顯示您必須完成的任務,才能設定及設定此架構中的資源。以下是各項工作的說明,包括提供更多資訊和詳細操作說明的文件連結。

  1. 在外部 VPC 網路中佈建內部直通式網路負載平衡器,並設定單一轉送規則,以監聽所有流量。將網路設備設為負載平衡器的後端。

  2. 設定外部 VPC 網路的路由表,將轉送規則設為 VMware Engine 網路流量的下一個躍點。

  3. 請按照下列步驟設定網路裝置:

    • 將目的地為 VMware Engine 網路的流量,透過 nic2 介面轉送至子網路閘道 (子網路的第一個 IP 位址)。
    • 如要讓健康狀態檢查通過,請設定網路設備,以便使用次要或迴圈介面回應轉送規則的 IP 位址。
    • 如要讓內部負載平衡器通過健康狀態檢查,請設定多個虛擬路由網域,確保正確的路由。這個步驟是必要的,因為您必須執行這項操作,才能讓 nic2 介面傳回來自公開範圍 (35.191.0.0/16 和 130.211.0.0/22) 的健康狀態檢查流量,同時網路設備的預設路由會指向 nic0 介面。如要進一步瞭解負載平衡器健康狀態檢查的 IP 範圍,請參閱「探測 IP 範圍和防火牆規則」。

  4. 設定內部虛擬私人雲端網路的路徑表,將 VMware Engine 流量轉送至 VPC 網路對等互連,做為下一個躍點。

  5. 針對傳回的流量,或是從 VMware Engine 傳送至遠端網路的流量,請將內部傳送網路負載平衡器設為透過虛擬私有雲網路對等互連宣傳至私人服務存取虛擬私有雲網路的下一個躍點。

集中式輸出至網際網路

此應用實例有以下需求:

  • 針對網路輸出集中管理網址篩選、記錄和流量執行。
  • 使用 Cloud Marketplace 提供的網路設備,為 VMware Engine 工作負載提供客製化防護。

下圖顯示從 VMware Engine 工作負載提供至網際網路的集中出口點所需的資源:

佈建網際網路集中輸出所需的資源。
圖 6. 為 VMware Engine 工作負載提供集中式網際網路出口所需的資源。

圖 6 顯示您必須完成的任務,才能設定及設定此架構中的資源。以下是各項工作的說明,包括提供更多資訊和詳細操作說明的文件連結。

  1. 在內部 VPC 網路中佈建內部直通式網路負載平衡器,做為 VMware Engine 工作負載的傳出端進入點。

  2. 請將網路設備設為 SNAT 來自其公開 IP 位址 (nic0) 的流量。如要通過健康狀態檢查,網路設備必須使用次要或迴圈介面回應轉送規則的 IP 位址。

  3. 設定內部虛擬私有雲網路,透過虛擬私有雲網路對等互連宣傳預設路徑,並將內部負載平衡器的轉送規則設為下一個躍點。

  4. 如要讓流量透過網路裝置 (而非網際網路閘道) 傳出,請按照啟用透過內部部署連線轉送網際網路流量的程序操作。

後續步驟