設計及導入雲端身分、資源階層和登陸區網路時,請參考「 Google Cloud中的登陸區設計」一文中的設計建議,以及企業基礎藍圖中的 Google Cloud 安全性最佳做法。請根據下列文件驗證所選設計:
此外,請考慮採用下列一般最佳做法:
選擇混合式或多雲端網路連線選項時,請考量業務和應用程式需求,例如服務水準協議、效能、安全性、成本、可靠性和頻寬。詳情請參閱「選擇網路連線產品」和「將其他雲端服務供應商連結至 Google Cloud的模式」。
在適當情況下,請使用 Google Cloud 共用虛擬私有雲端,而非多個虛擬私有雲端,且須符合資源階層設計需求。詳情請參閱「決定是否建立多個虛擬私有雲網路」。
請遵循規劃帳戶和機構的最佳做法。
在適用情況下,請在環境之間建立通用身分識別,讓系統能夠跨越環境界線以安全的方式進行驗證。
如要安全地向混合式設定中的企業使用者提供應用程式,並選擇最符合需求的方法,請按照建議的方式整合 Google Cloud 身分管理系統。
- 另請參閱「在混合環境中驗證工作人力使用者的模式」。
設計地端部署和雲端環境時,請提早考慮 IPv6 位址,並考量哪些服務支援 IPv6。詳情請參閱「 Google Cloud上的 IPv6 簡介」。這份文件會概述撰寫本部落格時支援的服務。
設計、部署及管理虛擬私有雲防火牆規則時,您可以:
- 如需對防火牆規則套用至 VM 的方式嚴加控管,請使用以服務帳戶為基礎的篩選,而非以網路標記為基礎的篩選。
- 將多項防火牆規則組成群組時,請使用防火牆政策,這樣您就能一次更新所有規則。您也可以將政策設為階層式。如要瞭解階層式防火牆政策的規格和詳細資訊,請參閱「階層式防火牆政策」。
- 如需根據特定地理區域或區域篩選外部 IPv4 和外部 IPv6 流量,請在防火牆政策中使用地理位置物件。
- 如果您需要根據 Threat Intelligence 資料 (例如已知的惡意 IP 位址或公開雲端 IP 位址範圍) 允許或封鎖流量,以保護網路安全,請使用防火牆政策規則的 Threat Intelligence 。舉例來說,如果您的服務只需要與特定公用雲端通訊,您可以允許來自特定公用雲端 IP 位址範圍的流量。詳情請參閱「防火牆規則的最佳做法」。
您應一律採用多層安全性做法來設計雲端和網路安全性,並考量額外的安全性層,例如:
這些額外的層級可協助您在網路和應用程式層級篩選、檢查及監控各種威脅,以便進行分析和防範。
在決定混合式設定中應在何處執行 DNS 解析時,建議您為私人Google Cloud 環境和內部部署環境中由現有 DNS 伺服器代管的內部部署資源,使用兩個權威 DNS 系統。詳情請參閱「選擇 DNS 解析執行位置」。
盡可能使用 API 閘道或負載平衡器,透過 API 公開應用程式。建議您考慮使用 Apigee 等 API 平台。Apigee 可做為後端服務 API 的抽象化或外觀,並結合安全性功能、速率限制、配額和分析。
API 平台 (閘道或 Proxy) 和應用程式負載平衡器 並非互斥。有時,同時使用 API 閘道和負載平衡器,可以提供更可靠且安全的解決方案,用於大規模管理及分配 API 流量。使用 Cloud Load Balancing API 閘道可讓您完成下列工作:
使用 Apigee 和 Cloud CDN 提供高效能的 API,以便:
- 減少延遲時間
- 在全球代管 API
在流量高峰期增加供應量
如需更多資訊,請觀看 YouTube 上的「使用 Apigee 和 Cloud CDN 提供效能優異的 API」影片。
實施進階流量管理。
使用 Google Cloud Armor 做為 DDoS 防護、WAF 和網路安全防護服務,保護您的 API。
管理多個區域中閘道的負載平衡效率。詳情請參閱「使用 PSC 和 Apigee 保護 API 並實作多區域故障轉移」。
如要決定要使用哪種 Cloud Load Balancing 產品,您必須先決定負載平衡器必須處理的流量類型。詳情請參閱「選擇負載平衡器」。
使用 Cloud Load Balancing 時,請在適用情況下使用其應用程式容量最佳化功能。這麼做有助於解決全球分散式應用程式可能發生的部分容量問題。
- 如要深入瞭解延遲相關資訊,請參閱「透過負載平衡改善應用程式延遲」。
雖然 Cloud VPN 會加密環境之間的流量,但在使用 Cloud Interconnect 時,您需要透過 Cloud Interconnect 使用 MACsec 或高可用性 VPN,才能在連線層加密傳輸中的流量。詳情請參閱「如何加密 Cloud Interconnect 上的流量」。
- 您也可以考慮使用 TLS 進行服務層加密。詳情請參閱「決定如何遵守傳輸中資料加密的法規要求」。
如果您需要透過 VPN 混合式連線傳輸的流量量超過單一 VPN 通道可支援的流量量,可以考慮使用主動/主動高可用性 VPN 轉送選項。
- 如果是長期混合雲或多雲端設定,且傳出資料量高,建議使用 Cloud Interconnect 或跨雲端互連服務。這些連線選項有助於提升連線效能,並可降低符合特定條件的傳出資料傳輸費用。詳情請參閱 Cloud Interconnect 定價。
當您連線至 Google Cloud資源,並嘗試在 Cloud Interconnect、直接對等互連或電信業者互連網路之間進行選擇時,建議您使用 Cloud Interconnect,除非您需要存取 Google Workspace 應用程式。如需更多資訊,請比較 直接對等互連與 Cloud Interconnect 和 電信業者對等互連與 Cloud Interconnect 的功能。
請在現有的 RFC 1918 IP 位址空間中保留足夠的 IP 位址空間,以容納雲端託管系統。
如果您有技術限制,必須保留 IP 位址範圍,您可以:
使用混合子網路,為內部工作負載使用相同的內部 IP 位址,並將工作負載遷移至 Google Cloud。
使用自備 IP (BYOIP) 服務,為Google Cloud 資源配置及使用自己的公開 IPv4 位址。
如果解決方案的設計需要將以Google Cloud為基礎的應用程式公開給網際網路,請參考「網路功能,可將應用程式發布至網際網路」一文中討論的設計建議。
在適用情況下,請使用 Private Service Connect 端點,讓 Google Cloud、內部部署或其他混合連線雲端環境的工作負載,以精細的方式使用內部 IP 位址,私下存取 Google API 或發布的服務。
使用 Private Service Connect 時,您必須控制下列項目:
- 誰可以部署 Private Service Connect 資源。
- 是否可以在消費者和生產者之間建立連線。
- 允許哪些網路流量存取這些連線。
詳情請參閱「Private Service Connect 安全性」。
如要在混合式雲端和多雲端架構中建立健全的雲端設定,請按照下列步驟操作:
- 針對不同環境中不同應用程式,評估所需的可靠度等級。這麼做有助於您達成可用性和彈性目標。
- 瞭解雲端服務供應商的可靠性功能和設計原則。詳情請參閱「Google Cloud 基礎架構可靠性」。
雲端網路可視性和監控功能對於維持可靠的通訊至關重要。Network Intelligence Center 提供單一控制台,方便管理網路瀏覽權限、監控網路和疑難排解。