一般最佳实践

在设计和初始配置云身份、资源层次结构和着陆区网络时，请考虑 Google Cloud 中的着陆区设计中的设计建议，以及企业基础蓝图中介绍的 Google Cloud 安全最佳实践。请根据以下文档验证您选择的设计：

• VPC 设计的最佳做法与参考架构
• 确定您的 Google Cloud 着陆区的资源层次结构
• Google Cloud 架构框架：安全性、隐私权和合规性

此外，请考虑以下一般最佳实践：

• 选择混合云或多云网络连接选项时，请考虑业务和应用要求，例如服务等级协议 (SLA)、性能、安全性、费用、可靠性和带宽。如需了解详情，请参阅选择 Network Connectivity 产品和其他云服务提供商与 Google Cloud 的连接模式。

• 在适当情况下，并符合您的资源层次结构设计要求时，请在 Google Cloud 上使用共享 VPC，而不是多个 VPC。如需了解详情，请参阅决定是否创建多个 VPC 网络。

• 遵循规划账号和组织的最佳实践。

• 在适用的情况下，在环境之间建立通用标识，以便系统能够跨环境边界安全地进行身份验证。

• 如需在混合设置中安全地向企业用户公开应用，并选择最符合您需求的方法，您应按照建议的方式将 Google Cloud 与身份管理系统集成。

  • 另请参阅在混合环境中对员工用户进行身份验证的模式。

• 在设计本地环境和云环境时，请尽早考虑 IPv6 地址，并考虑哪些服务支持 IPv6。如需了解详情，请参阅 Google Cloud 上的 IPv6 简介。该文档总结了撰写博文时支持的服务。

• 在设计、部署和管理 VPC 防火墙规则时，您可以：

  • 如果您需要严格控制防火墙规则应用于虚拟机的方式，请使用基于服务账号的过滤而非基于网络标记的过滤。
  • 对多条防火墙规则进行分组时，请使用防火墙政策，以便一次性更新所有这些规则。您还可以将政策设置为分层。如需了解分层防火墙政策规范和详细信息，请参阅分层防火墙政策。
  • 当您需要根据特定地理位置或区域过滤外部 IPv4 和外部 IPv6 流量时，请在防火墙政策中使用地理位置对象。
  • 如果您需要根据威胁情报数据（例如已知恶意 IP 地址）或公有云 IP 地址范围允许或阻止流量，从而保护您的网络，请使用适用于防火墙政策规则的威胁情报 。例如，如果您的服务只需要与特定公有云进行通信，您可以允许来自特定公有云 IP 地址范围的流量。如需了解详情，请参阅防火墙规则的最佳实践。

• 您应始终采用多层安全方法来设计云和网络安全，即考虑额外的安全层，例如：

  • Google Cloud Armor
  • Cloud Intrusion Detection System
  • Cloud 新一代防火墙 IPS
  • 防火墙政策规则的威胁情报

  这些额外的层可以帮助您在网络层和应用层过滤、检查和监控各种威胁，以便进行分析和防范。

• 在确定混合设置中应在何处执行 DNS 解析时，我们建议为专用 Google Cloud 环境以及由本地环境中的现有 DNS 服务器托管的本地资源使用两个权威 DNS 系统。如需了解详情，请参阅选择执行 DNS 解析的位置。

• 请尽可能使用 API 网关或负载均衡器通过 API 公开应用。我们建议您考虑使用 Apigee 等 API 平台。Apigee 可用作后端服务 API 的抽象或 Facade，并提供安全功能、速率限制、配额和分析。

• API 平台（网关或代理）和应用负载平衡器并不互斥。有时，将 API 网关和负载平衡器搭配使用，可以提供更强大且安全的解决方案，以便大规模管理和分发 API 流量。使用 Cloud Load Balancing API 网关，您可以实现以下目标：

  • 使用 Apigee 和 Cloud CDN 提供高性能 API，以便：

    • 缩短延迟时间
    • 在全球范围内托管 API

    • 在流量高峰季节增加空房数

      如需了解详情，请观看 YouTube 上的使用 Apigee 和 Cloud CDN 提供高性能 API。

  • 实现高级流量管理。

  • 将 Google Cloud Armor 用作 DDoS 攻击防护、WAF 和网络安全服务来保护您的 API。

  • 在多个区域的网关之间高效管理负载均衡。如需了解详情，请观看使用 PSC 和 Apigee 保护 API 并实现多区域故障切换。

• 如需确定要使用的 Cloud Load Balancing 产品，您必须先确定负载均衡器必须处理的流量类型。如需了解详情，请参阅选择负载均衡器。

• 使用 Cloud Load Balancing 时，您应在适用的情况下使用其应用容量优化功能。这样做可帮助您应对全球分布式应用中可能出现的一些容量挑战。

  • 如需深入了解延迟，请参阅通过负载均衡优化应用延迟。

• 虽然 Cloud VPN 会对环境之间的流量进行加密，但对于 Cloud Interconnect，您需要使用 MACsec 或通过 Cloud Interconnect 实现的高可用性 VPN 在连接层对传输流量进行加密。如需了解详情，请参阅如何加密通过 Cloud Interconnect 传输的流量。

  • 您还可以考虑使用 TLS 进行服务层加密。如需了解详情，请参阅确定如何满足传输加密的合规性要求。

• 如果您需要通过 VPN 混合连接传输的流量量超过单个 VPN 隧道支持的流量，可以考虑使用主动/主动高可用性 VPN 路由选项。

  • 对于出站数据传输量较大的长期混合或多云设置，请考虑使用 Cloud Interconnect 或跨云互连。这些连接选项有助于优化连接性能，并可能降低满足特定条件的流量的出站数据传输费用。如需了解详情，请参阅 Cloud Interconnect 价格。

• 在连接到 Google Cloud 资源时，如果您尝试在 Cloud Interconnect、直接对等互连或运营商对等互连之间进行选择，除非您需要访问 Google Workspace 应用，否则我们建议您使用 Cloud Interconnect。如需了解详情，您可以比较直接对等互连与 Cloud Interconnect 和通过 Cloud Interconnect 建立运营商对等互连的功能。

• 在现有 RFC 1918 IP 地址空间中留出足够的 IP 地址空间，用于容纳您的云托管系统。

• 如果您因技术限制而需要保留 IP 地址范围，可以执行以下操作：

  • 在将本地工作负载迁移到 Google Cloud 时，使用混合子网为本地工作负载使用相同的内部 IP 地址。

  • 使用自备 IP (BYOIP) 向 Google 提供公共 IPv4 地址，为 Google Cloud 资源预配和使用您自己的公共 IPv4 地址。

• 如果解决方案的设计需要将基于 Google Cloud 的应用公开给公共互联网，请考虑适用于面向互联网的应用交付的网络中讨论的设计建议。

• 在适用的情况下，使用 Private Service Connect 端点，让 Google Cloud、本地环境或其他具有混合连接的云环境中的工作负载能够以精细的方式使用内部 IP 地址私下访问 Google API 或已发布服务。

• 使用 Private Service Connect 时，您必须控制以下各项：

  • 哪些人可以部署 Private Service Connect 资源。
  • 是否可以在使用方和提供方之间建立连接。
  • 哪些网络流量可以访问这些连接。

  如需了解详情，请参阅 Private Service Connect 安全。

• 如需在混合云和多云架构中实现强大的云端设置，请执行以下操作：

  • 全面评估不同环境中不同应用所需的可靠性级别。这样做有助于您实现可用性和弹性目标。
  • 了解云服务提供商的可靠性功能和设计原则。如需了解详情，请参阅 Google Cloud 基础架构可靠性。

• 为了保持可靠的通信，云网络可见性和监控至关重要。Network Intelligence Center 提供了一个控制台，用于管理网络可见性、监控和问题排查。