實作 Google Cloud 目標區網路設計

在您查看「決定 Google Cloud 目標網頁的網路設計」後，本文件會提供實作所選網路設計的步驟和指引。如果您尚未選擇選項，請先參閱「到達區設計 Google Cloud」一節。

本說明書適用於為貴機構的指定區域建立網路設計的網路工程師、架構師和技術實務人員。

網路設計選項

根據所選的網路設計，完成下列其中一種做法：

• 建立選項 1：為每個環境建立共用虛擬私有雲網路
• 建立選項 2：使用集中式裝置的軸輻式拓撲
• 建立選項 3：不含裝置的樞紐式拓撲
• 建立選項 4：使用 Private Service Connect 在消費者-生產端模式中公開服務

建立選項 1：為每個環境建立共用虛擬私有雲網路

如果您已在「決定 Google Cloud 目標區的網路設計」中選擇建立每個環境的共用虛擬私有雲網路，請按照下列程序操作。

下列步驟會建立單一 VPC 執行個體。如果您需要多個 VPC 執行個體 (例如開發和實際工作環境)，請針對每個 VPC 重複執行這些步驟。

使用組織政策限制外部存取

建議您只讓需要網際網路的資源存取網際網路。沒有外部位址的資源仍然可以透過私人 Google 存取權存取使用許多 Google API 和服務。您可以在子網路層級啟用私人 Google 存取權，讓資源與主要 Google 服務互動，同時又能與公開網際網路隔絕。

為了提升可用性， Google Cloud 的預設功能可讓使用者在擁有正確 IAM 權限的情況下，在所有專案中建立資源。為提升安全性，建議您限制可能導致意外存取網際網路的資源類型預設權限。接著，您可以授權特定專案，只允許建立這些資源。請按照「建立及管理機構政策」一文的操作說明，設定下列限制。

依據 IP 位址類型限制通訊協定轉送

通訊協定轉送會建立具有外部 IP 位址的轉送規則資源，並讓您將流量導向 VM。

「依據 IP 位址類型限制通訊協定轉送」限制可防止為整個機構建立含有外部 IP 位址的轉送規則。如果專案已獲授權使用外部轉送規則，您可以在資料夾或專案層級修改限制。

設定下列值，即可設定此限制：

• 適用於：自訂
• 政策違規處置：取代
• 政策值：自訂
• 政策類型：拒絕
• 自訂值： IS:EXTERNAL

為 VM 執行個體定義允許的外部 IP

根據預設，個別 VM 執行個體可以取得外部 IP 位址，以便與網際網路建立傳出和傳入連線。

強制執行「Define allowed external IPs for VM instances」限制，即可防止 VM 執行個體使用外部 IP 位址。如果工作負載需要個別 VM 執行個體上的外部 IP 位址，請在資料夾或專案層級修改限制，指定個別 VM 執行個體。或者，您也可以覆寫相關專案的限制條件。

• 適用於：自訂
• 政策違規處置：取代
• 政策值：拒絕全部

停用虛擬私有雲外部 IPv6

當「停用虛擬私有雲外部 IPv6」限制設為 True 時，就會防止為 VM 執行個體設定具有外部 IPv6 位址的 VPC 子網路。

• 適用於：自訂
• 違規處置：開啟

停用預設網路建立作業

建立新專案時，系統會自動建立預設的 VPC。這項功能適用於不需要特定網路設定或與大型企業網路環境整合的快速實驗。

設定「略過預設網路的建立作業」限制，即可停用新專案的預設虛擬私有雲建立作業。如有需要，您可以手動在專案中建立預設網路。

• 適用於：自訂
• 違規處置：開啟

設計防火牆規則

防火牆規則可讓您根據自訂的設定，允許或拒絕虛擬機器的傳入與傳出流量。階層式防火牆政策會在機構和資料夾層級實作，網路防火牆政策則會在資源階層中的虛擬私有雲網路層級實作。這兩項功能結合起來，可提供重要的功能，協助您保護工作負載。

無論防火牆政策套用在何處，設計和評估防火牆規則時，請遵循下列規範：

• 實施最低權限 (也稱為微型區隔) 原則。預設會封鎖所有流量，只允許您需要的特定流量。包括將規則限制為僅適用於各工作負載所需的通訊協定和通訊埠。
• 啟用防火牆規則記錄功能，瞭解防火牆行為並使用防火牆深入分析。
• 定義分配防火牆規則優先順序的編號方法。舉例來說，最佳做法是在每項政策中保留一組低數字，以便在事件回應期間使用。我們也建議您將較具體的規則優先於較一般規則，確保特定規則不會遭到一般規則遮蔽。以下範例說明防火牆規則優先順序的可能做法：

防火牆規則優先順序範圍	目的
0-999	保留給事件回應使用
1000-1999	一律封鎖的流量
2000-1999999999	工作負載專屬規則
2000000000-2100000000	萬用規則
2100000001-2147483643	保留

設定階層式防火牆政策

階層式防火牆政策可讓您在整個機構中建立並強制執行一致的防火牆政策。如需階層式防火牆政策的使用範例，請參閱「階層式防火牆政策範例」。

定義階層式防火牆政策，實施下列網路存取控制項：

• 適用於 TCP 轉送的 Identity-Aware Proxy (IAP)。透過安全性政策允許 TCP 轉送的 IAP，可允許來自 IP 範圍 35.235.240.0/20 的 TCP 22 和 3389 通訊埠輸入流量。
• Cloud Load Balancing 的健康檢查。系統允許使用用於健康檢查的已知範圍。
  • 對於大多數 Cloud Load Balancing 執行個體 (包括內部 TCP/UDP 負載平衡、內部 HTTP(S) 負載平衡、外部 TCP Proxy 負載平衡、外部 SSL Proxy 負載平衡和 HTTP(S) 負載平衡)，我們會定義安全性政策，允許來自 IP 範圍 35.191.0.0/16 和 130.211.0.0/22 的流量，透過 80 和 443 連接埠進入。
  • 針對網路負載平衡，我們定義了安全性政策，允許來自 IP 範圍 35.191.0.0/16、209.85.152.0/22 和 209.85.204.0/22 的輸入流量，針對通訊埠 80 和 443 啟用舊版健康狀態檢查。

設定共用虛擬私有雲環境

在實作共用虛擬私有雲設計前，請決定如何與服務專案共用子網路。將服務專案附加到主專案。如要決定服務專案可使用的子網路，請將 IAM 權限指派給主專案或個別子網路。舉例來說，您可以為每個服務專案指定不同的子網路，或是在服務專案之間共用相同的子網路。

1. 為共用虛擬私有雲建立新專案。稍後在這個程序中，這項專案會成為主專案，並包含要與服務專案共用的網路和網路資源。
2. 為主機專案啟用 Compute Engine API。
3. 為專案設定共用虛擬私有雲。
4. 在主專案中建立自訂模式 VPC 網路。
5. 在您計畫部署工作負載的區域中建立子網路。針對每個子網路啟用私人 Google 存取權，讓沒有外部 IP 位址的 VM 執行個體也能存取 Google 服務。

設定 Cloud NAT

如果特定區域的工作負載需要連出網際網路 (例如下載軟體套件或更新)，請按照下列步驟操作。

1. 在工作負載需要連出網際網路存取權的區域中建立 Cloud NAT 閘道。您可以自訂 Cloud NAT 設定，讓系統只允許特定子網路的傳出連線 (視需要)。
2. 至少啟用 Cloud NAT 記錄，讓閘道記錄 ERRORS_ONLY。如要納入 Cloud NAT 執行的翻譯記錄，請將每個閘道設為記錄 ALL。

設定混合式連線

您可以使用專屬互連網路、合作夥伴互連網路或 Cloud VPN，為目的地提供混合式連線。下列步驟會建立這個設計選項所需的初始混合式連線資源：

1. 如果您使用的是專屬互連網路，請按照下列步驟操作。如果您使用的是合作夥伴互連網路或 Cloud VPN，可以略過這些步驟。
   1. 為實體互連網路連接埠建立單獨專案。
   2. 為專案啟用 Compute Engine API。
   3. 建立專屬互連網路連線。
2. 針對您在 VPC 網路中終止混合式連線的每個區域，請執行下列操作：
   1. 建立兩個專屬或合作夥伴 VLAN 連結，每個邊緣可用性區域一個。在這個程序中，您需要選取 Cloud Router 並建立 BGP 工作階段。
   2. 設定對等網路 (內部部署或其他雲端) 路由器。

設定工作負載專案

為每項工作負載建立單獨的服務專案：

1. 建立新專案，做為共用虛擬私有雲的其中一個服務專案。
2. 為服務專案啟用 Compute Engine API。
3. 將專案附加至主專案。
4. 設定存取權，以便存取主專案中的所有子網路或主專案中的部分子網路。

設定可觀察性

Network Intelligence Center 提供整合式網路監控、疑難排解及視覺化功能，方便您掌握雲端網路環境。使用這項功能，確保您的設計功能可執行所需意圖。

下列設定可支援啟用記錄和指標的分析功能。

• 您必須先啟用 Network Management API，才能執行連線能力測試。您必須啟用 API，才能直接使用 API、Google Cloud CLI 或 Google Cloud 控制台。
• 您必須先啟用 Firewall Insights API，才能使用 Firewall Insights 執行任何工作。

後續步驟

這個網路設計選項的初始設定現已完成。您現在可以重複執行這些步驟，設定其他的目標區環境例項 (例如測試或實際工作環境)，或是繼續決定 Google Cloud 目標區的安全性。

建立選項 2：使用集中式裝置的軸輻式拓撲

如果您已選擇在「決定網域的網路設計」中使用集中式裝置建立樞紐和輻輳拓撲，請按照下列程序操作。 Google Cloud

下列步驟會建立單一 VPC 執行個體。如果您需要多個 VPC 執行個體 (例如開發和實際工作環境)，請針對每個 VPC 重複執行這些步驟。

使用組織政策限制外部存取

建議您只讓需要網際網路的資源存取網際網路。沒有外部位址的資源仍然可以透過私人 Google 存取權存取使用許多 Google API 和服務。您可以在子網路層級啟用私人 Google 存取權，讓資源與主要 Google 服務互動，同時又能與公開網際網路隔絕。

為了提升可用性， Google Cloud 的預設功能可讓使用者在擁有正確 IAM 權限的情況下，在所有專案中建立資源。為提升安全性，建議您限制可能導致意外存取網際網路的資源類型預設權限。接著，您可以授權特定專案，只允許建立這些資源。請按照「建立及管理機構政策」一文的操作說明，設定下列限制。

依據 IP 位址類型限制通訊協定轉送

通訊協定轉送會建立具有外部 IP 位址的轉送規則資源，並讓您將流量導向 VM。

「依據 IP 位址類型限制通訊協定轉送」限制可防止為整個機構建立含有外部 IP 位址的轉送規則。如果專案已獲授權使用外部轉送規則，您可以在資料夾或專案層級修改限制。

設定下列值，即可設定此限制：

• 適用於：自訂
• 政策違規處置：取代
• 政策值：自訂
• 政策類型：拒絕
• 自訂值： IS:EXTERNAL

為 VM 執行個體定義允許的外部 IP

根據預設，個別 VM 執行個體可以取得外部 IP 位址，以便與網際網路建立傳出和傳入連線。

強制執行「Define allowed external IPs for VM instances」限制，即可防止 VM 執行個體使用外部 IP 位址。如果工作負載需要個別 VM 執行個體上的外部 IP 位址，請在資料夾或專案層級修改限制，指定個別 VM 執行個體。或者，您也可以覆寫相關專案的限制條件。

• 適用於：自訂
• 政策違規處置：取代
• 政策值：拒絕全部

停用虛擬私有雲外部 IPv6

當「停用虛擬私有雲外部 IPv6」限制設為 True 時，就會防止為 VM 執行個體設定具有外部 IPv6 位址的 VPC 子網路。

• 適用於：自訂
• 違規處置：開啟

停用預設網路建立作業

建立新專案時，系統會自動建立預設的 VPC。這項功能適用於不需要特定網路設定或與大型企業網路環境整合的快速實驗。

設定「略過預設網路的建立作業」限制，即可停用新專案的預設虛擬私有雲建立作業。如有需要，您可以手動在專案中建立預設網路。

• 適用於：自訂
• 違規處置：開啟

設計防火牆規則

防火牆規則可讓您根據自訂的設定，允許或拒絕虛擬機器的傳入與傳出流量。階層式防火牆政策會在機構和資料夾層級實作，網路防火牆政策則會在資源階層中的虛擬私有雲網路層級實作。這些功能結合起來，可提供重要的功能，協助您保護工作負載。

無論防火牆政策套用在何處，設計和評估防火牆規則時，請遵循下列規範：

• 實施最低權限 (也稱為微型區隔) 原則。預設會封鎖所有流量，只允許您需要的特定流量。包括將規則限制為僅適用於各工作負載所需的通訊協定和通訊埠。
• 啟用防火牆規則記錄功能，瞭解防火牆行為並使用防火牆深入分析。
• 定義分配防火牆規則優先順序的編號方法。舉例來說，最佳做法是在每項政策中保留一組低數字，以便在事件回應期間使用。我們也建議您將較具體的規則優先於較一般規則，確保特定規則不會遭到一般規則遮蔽。以下範例說明防火牆規則優先順序的可能做法：

防火牆規則優先順序範圍	目的
0-999	保留給事件回應使用
1000-1999	一律封鎖的流量
2000-1999999999	工作負載專屬規則
2000000000-2100000000	萬用規則
2100000001-2147483643	保留

設定階層式防火牆政策

階層式防火牆政策可讓您在機構中建立並強制執行一致的防火牆政策。如需階層式防火牆政策的使用範例，請參閱「階層式防火牆政策範例」。

定義階層式防火牆政策，實施下列網路存取控制項：

• 適用於 TCP 轉送的 Identity-Aware Proxy (IAP)。透過安全性政策允許 TCP 轉送的 IAP，可允許來自 IP 範圍 35.235.240.0/20 的 TCP 22 和 3389 通訊埠輸入流量。
• Cloud Load Balancing 的健康檢查。系統允許使用用於健康檢查的已知範圍。
  • 對於大多數 Cloud Load Balancing 執行個體 (包括內部 TCP/UDP 負載平衡、內部 HTTP(S) 負載平衡、外部 TCP Proxy 負載平衡、外部 SSL Proxy 負載平衡和 HTTP(S) 負載平衡)，我們會定義安全性政策，允許來自 IP 範圍 35.191.0.0/16 和 130.211.0.0/22 的流量，透過 80 和 443 連接埠進入。
  • 針對網路負載平衡，我們定義了安全性政策，允許來自 IP 範圍 35.191.0.0/16、209.85.152.0/22 和 209.85.204.0/22 的輸入流量，針對通訊埠 80 和 443 啟用舊版健康狀態檢查。

設定虛擬私有雲環境

轉接和中樞 VPC 網路會提供網路資源，讓工作負載輪輻 VPC 網路與內部部署或多雲端網路之間建立連線。

1. 建立新的專案，用於轉接和樞紐虛擬私有雲網路。這兩個 VPC 網路都屬於同一個專案，可透過虛擬網路設備支援連線。
2. 為專案啟用 Compute Engine API。
3. 建立轉接自訂模式 VPC 網路。
4. 在要部署虛擬網路設備的地區，於轉接虛擬私有雲網路中建立子網路。
5. 建立中樞自訂模式 VPC 網路。
6. 在樞紐虛擬私有雲網路中，在您打算部署虛擬網路設備的地區建立子網路。
7. 設定全域或區域性網路防火牆政策，允許網路虛擬設備的傳入和傳出流量。
8. 為虛擬網路設備建立代管執行個體群組。
9. 為轉接 VPC 設定內部 TCP/UDP 負載平衡資源。這個負載平衡器可透過虛擬網路設備，將流量從傳輸虛擬私有雲端路由至中樞虛擬私有雲端。
10. 為樞紐 VPC 設定內部 TCP/UDP 負載平衡資源。這個負載平衡器會透過虛擬網路設備，將從中樞虛擬私有雲傳送的流量路由至傳輸虛擬私有雲。
11. 為樞紐虛擬私有雲設定適用於 Google API 的 Private Service Connect。
12. 修改 VPC 路徑，將所有流量都傳送至網路虛擬設備：
    1. 從中樞 VPC 刪除具有下一個躍點 default-internet-gateway 的 0.0.0.0/0 路由。
    2. 設定新的路徑，其中目的地為 0.0.0.0/0，並為軸心虛擬私有雲中的負載平衡器設定轉送規則的下一躍點。

設定 Cloud NAT

如果特定區域的工作負載需要連出網際網路 (例如下載軟體套件或更新)，請按照下列步驟操作。

1. 在工作負載需要連出網際網路存取權的區域中建立 Cloud NAT 閘道。您可以自訂 Cloud NAT 設定，讓系統只允許特定子網路的傳出連線 (視需要)。
2. 至少啟用 Cloud NAT 記錄，讓閘道記錄 ERRORS_ONLY。如要納入 Cloud NAT 執行的翻譯記錄，請將每個閘道設為記錄 ALL。

設定混合式連線

您可以使用專屬互連網路、合作夥伴互連網路或 Cloud VPN，為目的地提供混合式連線。下列步驟會建立這個設計選項所需的初始混合式連線資源：

1. 如果您使用的是專屬互連網路，請按照下列步驟操作。如果您使用的是合作夥伴互連網路或 Cloud VPN，可以略過這些步驟。
   1. 為實體互連網路連接埠建立單獨專案。
   2. 為專案啟用 Compute Engine API。
   3. 建立專屬互連網路連線。
2. 針對您在 VPC 網路中終止混合式連線的每個區域，請執行下列操作：
   1. 建立兩個專屬或合作夥伴 VLAN 連結，每個邊緣可用性區域一個。在這個程序中，您需要選取 Cloud Router 並建立 BGP 工作階段。
   2. 設定對等網路 (內部部署或其他雲端) 路由器。
   3. 針對軸心和工作負載 VPC 中的子網路範圍，在 Cloud Router 中設定自訂的廣告路徑。

設定工作負載專案

為每個工作負載建立個別的輻射狀虛擬私有雲端：

1. 建立新專案來代管工作負載。
2. 為專案啟用 Compute Engine API。
3. 使用下列設定，在工作負載輻射狀 VPC 和中樞 VPC 之間設定 VPC 網路對等互連：
   • 在中樞 VPC 上啟用自訂路徑匯出功能。
   • 在工作負載輻射狀虛擬私有雲網路上啟用自訂路徑匯入功能。
4. 在您要部署工作負載的區域中建立子網路。針對每個子網路啟用私人 Google 存取權，讓僅有內部 IP 位址的 VM 執行個體能夠連上 Google 服務。
5. 為 Google API 設定 Private Service Connect。
6. 如要將所有流量都透過軸心 VPC 中的虛擬網路設備轉送，請從工作負載輻射狀 VPC 中刪除具有下一個躍點 default-internet-gateway 的 0.0.0.0/0 路徑。
7. 設定全域或區域性網路防火牆政策，允許工作負載的入站和出站流量。

設定可觀察性

Network Intelligence Center 提供整合式網路監控、疑難排解及視覺化功能，方便您掌握雲端網路環境。使用這項功能，確保您的設計功能可執行所需意圖。

下列設定可支援啟用記錄和指標的分析功能。

• 您必須先啟用 Network Management API，才能執行連線能力測試。您必須啟用 API，才能直接使用 API、Google Cloud CLI 或 Google Cloud 控制台。
• 您必須先啟用 Firewall Insights API，才能使用 Firewall Insights 執行任何工作。

後續步驟

這個網路設計選項的初始設定現已完成。您現在可以重複執行這些步驟，設定其他的目標區環境例項 (例如測試或實際工作環境)，或是繼續決定 Google Cloud 目標區的安全性。

建立選項 3：不含裝置的輻射狀拓撲

如果您已在「決定目標區的網路設計」中選擇不使用裝置建立 hub-and-spoke 拓撲，請按照下列程序操作。 Google Cloud

下列步驟會建立單一 VPC 執行個體。如果您需要多個 VPC 執行個體 (例如開發和實際工作環境)，請針對每個 VPC 重複執行這些步驟。

使用組織政策限制外部存取

建議您只讓需要網際網路的資源存取網際網路。沒有外部位址的資源仍然可以透過私人 Google 存取權存取使用許多 Google API 和服務。您可以在子網路層級啟用私人 Google 存取權，讓資源與主要 Google 服務互動，同時又能與公開網際網路隔絕。

為了提升可用性， Google Cloud 的預設功能可讓使用者在擁有正確 IAM 權限的情況下，在所有專案中建立資源。為提升安全性，建議您限制可能導致意外存取網際網路的資源類型預設權限。接著，您可以授權特定專案，只允許建立這些資源。請按照「建立及管理機構政策」一文的操作說明，設定下列限制。

依據 IP 位址類型限制通訊協定轉送

通訊協定轉送會建立具有外部 IP 位址的轉送規則資源，並讓您將流量導向 VM。

「依據 IP 位址類型限制通訊協定轉送」限制可防止為整個機構建立含有外部 IP 位址的轉送規則。如果專案已獲授權使用外部轉送規則，您可以在資料夾或專案層級修改限制。

設定下列值，即可設定此限制：

• 適用於：自訂
• 政策違規處置：取代
• 政策值：自訂
• 政策類型：拒絕
• 自訂值： IS:EXTERNAL

為 VM 執行個體定義允許的外部 IP

根據預設，個別 VM 執行個體可以取得外部 IP 位址，以便與網際網路建立傳出和傳入連線。

強制執行「Define allowed external IPs for VM instances」限制，即可防止 VM 執行個體使用外部 IP 位址。如果工作負載需要個別 VM 執行個體上的外部 IP 位址，請在資料夾或專案層級修改限制，指定個別 VM 執行個體。或者，您也可以覆寫相關專案的限制條件。

• 適用於：自訂
• 政策違規處置：取代
• 政策值：拒絕全部

停用虛擬私有雲外部 IPv6

當「停用虛擬私有雲外部 IPv6」限制設為 True 時，就會防止為 VM 執行個體設定具有外部 IPv6 位址的 VPC 子網路。

• 適用於：自訂
• 違規處置：開啟

停用預設網路建立作業

建立新專案時，系統會自動建立預設的 VPC。這項功能適用於不需要特定網路設定或與大型企業網路環境整合的快速實驗。

設定「略過預設網路的建立作業」限制，即可停用新專案的預設虛擬私有雲建立作業。如有需要，您可以手動在專案中建立預設網路。

• 適用於：自訂
• 違規處置：開啟

設計防火牆規則

防火牆規則可讓您根據自訂的設定，允許或拒絕虛擬機器的傳入與傳出流量。階層式防火牆政策會在機構和資料夾層級實作，網路防火牆政策則會在資源階層中的虛擬私有雲網路層級實作。這些功能搭配使用，可提供重要的功能，協助保護工作負載。

無論防火牆政策套用在何處，設計和評估防火牆規則時，請遵循下列規範：

• 實施最低權限 (也稱為微型區隔) 原則。預設會封鎖所有流量，只允許您需要的特定流量。包括將規則限制為僅適用於各工作負載所需的通訊協定和通訊埠。
• 啟用防火牆規則記錄功能，瞭解防火牆行為並使用防火牆深入分析。
• 定義分配防火牆規則優先順序的編號方法。舉例來說，最佳做法是在每項政策中保留一組低數字，以便在事件回應期間使用。我們也建議您將較具體的規則優先於較一般規則，確保特定規則不會遭到一般規則遮蔽。以下範例說明防火牆規則優先順序的可能做法：

防火牆規則優先順序範圍	目的
0-999	保留給事件回應使用
1000-1999	一律封鎖的流量
2000-1999999999	工作負載專屬規則
2000000000-2100000000	萬用規則
2100000001-2147483643	保留

設定階層式防火牆政策

階層式防火牆政策可讓您在整個機構中建立並強制執行一致的防火牆政策。如需階層式防火牆政策的使用範例，請參閱「階層式防火牆政策範例」。

定義階層式防火牆政策，實施下列網路存取控制項：

• 適用於 TCP 轉送的 Identity-Aware Proxy (IAP)。透過安全性政策允許 TCP 轉送的 IAP，可允許來自 IP 範圍 35.235.240.0/20 的 TCP 22 和 3389 通訊埠輸入流量。
• Cloud Load Balancing 的健康檢查。系統允許使用用於健康檢查的已知範圍。
  • 對於大多數 Cloud Load Balancing 執行個體 (包括內部 TCP/UDP 負載平衡、內部 HTTP(S) 負載平衡、外部 TCP Proxy 負載平衡、外部 SSL Proxy 負載平衡和 HTTP(S) 負載平衡)，我們會定義安全性政策，允許來自 IP 範圍 35.191.0.0/16 和 130.211.0.0/22 的流量，透過 80 和 443 連接埠進入。
  • 針對網路負載平衡，我們定義了安全性政策，允許來自 IP 範圍 35.191.0.0/16、209.85.152.0/22 和 209.85.204.0/22 的輸入流量，針對通訊埠 80 和 443 啟用舊版健康狀態檢查。

設定中樞虛擬私有雲環境

中樞 VPC 會提供網路資源，讓工作負載輻輳虛擬私有雲網路與內部部署或多雲端網路之間建立連線。

1. 為樞紐虛擬私有雲網路建立新專案。
2. 為專案啟用 Compute Engine API。
3. 建立中樞的自訂模式虛擬私有雲網路。
4. 為樞紐虛擬私有雲設定適用於 Google API 的 Private Service Connect。

設定混合式連線

您可以使用專屬互連網路、合作夥伴互連網路或 Cloud VPN，為目的地提供混合式連線。下列步驟會建立這個設計選項所需的初始混合式連線資源：

1. 如果您使用的是專屬互連網路，請按照下列步驟操作。如果您使用的是合作夥伴互連網路或 Cloud VPN，可以略過這些步驟。
   1. 為實體互連網路連接埠建立單獨專案。
   2. 為專案啟用 Compute Engine API。
   3. 建立專屬互連網路連線。
2. 針對您在 VPC 網路中終止混合式連線的每個區域，請執行下列操作：
   1. 建立兩個專屬或合作夥伴 VLAN 連結，每個邊緣可用性區域一個。在這個程序中，您需要選取 Cloud Router 並建立 BGP 工作階段。
   2. 設定對等網路 (內部部署或其他雲端) 路由器。
   3. 針對軸心和工作負載 VPC 中的子網路範圍，在 Cloud Router 中設定自訂的廣告路徑。

設定工作負載專案

為每個工作負載建立個別的輻射狀虛擬私有雲端：

1. 建立新專案來代管工作負載。
2. 為專案啟用 Compute Engine API。
3. 在工作負載輻射狀虛擬私有雲和中樞虛擬私有雲之間設定 VPC 網路對等互連，並使用下列設定：
   • 在中樞 VPC 上啟用自訂路徑匯出功能。
   • 在工作負載輻射狀虛擬私有雲網路中啟用自訂路徑匯入功能。
4. 在您要部署工作負載的區域中建立子網路。針對每個子網路啟用私人 Google 存取權，讓僅有內部 IP 位址的 VM 執行個體能夠連上 Google 服務。
5. 為 Google API 設定 Private Service Connect。

設定 Cloud NAT

如果特定區域的工作負載需要連出網際網路 (例如下載軟體套件或更新)，請按照下列步驟操作。

1. 在工作負載需要連出網際網路存取權的區域中建立 Cloud NAT 閘道。您可以自訂 Cloud NAT 設定，讓系統只允許特定子網路的傳出連線 (視需要)。
2. 至少啟用 Cloud NAT 記錄，讓閘道記錄 ERRORS_ONLY。如要納入 Cloud NAT 執行的翻譯記錄，請將每個閘道設為記錄 ALL。

設定可觀察性

Network Intelligence Center 提供整合式網路監控、疑難排解及視覺化功能，方便您掌握雲端網路環境。使用這項功能，確保您的設計功能可執行所需意圖。

下列設定可支援啟用記錄和指標的分析功能。

• 您必須先啟用 Network Management API，才能執行連線能力測試。您必須啟用 API，才能直接使用 API、Google Cloud CLI 或 Google Cloud 控制台。
• 您必須先啟用 Firewall Insights API，才能使用 Firewall Insights 執行任何工作。

後續步驟

這個網路設計選項的初始設定現已完成。您現在可以重複執行這些步驟，設定其他的目標區環境例項 (例如測試或實際工作環境)，或是繼續決定 Google Cloud 目標區的安全性。

建立選項 4：使用 Private Service Connect 在消費者-生產者模型中公開服務

如果您選擇透過 Private Service Connect 在用戶端-生產端模型中公開服務，請按照「決定Google Cloud 目標區的網路設計」一節所述的步驟操作。

下列步驟會建立單一 VPC 執行個體。如果您需要多個 VPC 執行個體 (例如開發和實際工作環境)，請針對每個 VPC 重複執行這些步驟。

使用組織政策限制外部存取

建議您只讓需要網際網路的資源存取網際網路。沒有外部位址的資源仍然可以透過私人 Google 存取權存取使用許多 Google API 和服務。您可以在子網路層級啟用私人 Google 存取權，讓資源與主要 Google 服務互動，同時又能與公開網際網路隔絕。

為了提升可用性， Google Cloud 的預設功能可讓使用者在擁有正確 IAM 權限的情況下，在所有專案中建立資源。為提升安全性，建議您限制可能導致意外存取網際網路的資源類型預設權限。接著，您可以授權特定專案，只允許建立這些資源。請按照「建立及管理機構政策」一文的操作說明，設定下列限制。

依據 IP 位址類型限制通訊協定轉送

通訊協定轉送會建立具有外部 IP 位址的轉送規則資源，並讓您將流量導向 VM。

「依據 IP 位址類型限制通訊協定轉送」限制可防止為整個機構建立含有外部 IP 位址的轉送規則。如果專案已獲授權使用外部轉送規則，您可以在資料夾或專案層級修改限制。

設定下列值，即可設定此限制：

• 適用於：自訂
• 政策違規處置：取代
• 政策值：自訂
• 政策類型：拒絕
• 自訂值： IS:EXTERNAL

為 VM 執行個體定義允許的外部 IP

根據預設，個別 VM 執行個體可以取得外部 IP 位址，以便與網際網路建立傳出和傳入連線。

強制執行「Define allowed external IPs for VM instances」限制，即可防止 VM 執行個體使用外部 IP 位址。如果工作負載需要個別 VM 執行個體上的外部 IP 位址，請在資料夾或專案層級修改限制，指定個別 VM 執行個體。或者，您也可以覆寫相關專案的限制條件。

• 適用於：自訂
• 政策違規處置：取代
• 政策值：拒絕全部

停用虛擬私有雲外部 IPv6

當「停用虛擬私有雲外部 IPv6」限制設為 True 時，就會防止為 VM 執行個體設定具有外部 IPv6 位址的 VPC 子網路。

• 適用於：自訂
• 違規處置：開啟

停用預設網路建立作業

建立新專案時，系統會自動建立預設的 VPC。這項功能適用於不需要特定網路設定或與大型企業網路環境整合的快速實驗。

設定「略過預設網路的建立作業」限制，即可停用新專案的預設虛擬私有雲建立作業。如有需要，您可以手動在專案中建立預設網路。

• 適用於：自訂
• 違規處置：開啟

設計防火牆規則

防火牆規則可讓您根據自訂的設定，允許或拒絕虛擬機器的傳入與傳出流量。階層式防火牆政策會在機構和資料夾層級實作，網路防火牆政策則會在資源階層中的虛擬私有雲網路層級實作。這些功能結合起來，可提供重要的功能，協助您保護工作負載。

無論防火牆政策套用在何處，設計和評估防火牆規則時，請遵循下列規範：

• 實施最低權限 (也稱為微型區隔) 原則。預設會封鎖所有流量，只允許您需要的特定流量。包括將規則限制為僅適用於各工作負載所需的通訊協定和通訊埠。
• 啟用防火牆規則記錄功能，瞭解防火牆行為並使用防火牆深入分析。
• 定義分配防火牆規則優先順序的編號方法。舉例來說，最佳做法是在每項政策中保留一組低數字，以便在事件回應期間使用。我們也建議您將較具體的規則優先於較一般規則，確保特定規則不會遭到一般規則遮蔽。以下範例說明防火牆規則優先順序的可能做法：

防火牆規則優先順序範圍	目的
0-999	保留給事件回應使用
1000-1999	一律封鎖的流量
2000-1999999999	工作負載專屬規則
2000000000-2100000000	萬用規則
2100000001-2147483643	保留

設定階層式防火牆政策

階層式防火牆政策可讓您在機構中建立並強制執行一致的防火牆政策。如需階層式防火牆政策的使用範例，請參閱「階層式防火牆政策範例」。

定義階層式防火牆政策，實施下列網路存取控制項：

• 適用於 TCP 轉送的 Identity-Aware Proxy (IAP)。透過安全性政策允許 TCP 轉送的 IAP，可允許來自 IP 範圍 35.235.240.0/20 的 TCP 22 和 3389 通訊埠輸入流量。
• Cloud Load Balancing 的健康檢查。系統允許使用用於健康檢查的已知範圍。
  • 對於大多數 Cloud Load Balancing 執行個體 (包括內部 TCP/UDP 負載平衡、內部 HTTP(S) 負載平衡、外部 TCP Proxy 負載平衡、外部 SSL Proxy 負載平衡和 HTTP(S) 負載平衡)，我們會定義安全性政策，允許來自 IP 範圍 35.191.0.0/16 和 130.211.0.0/22 的流量，透過 80 和 443 連接埠進入。
  • 針對網路負載平衡，我們定義了安全性政策，允許來自 IP 範圍 35.191.0.0/16、209.85.152.0/22 和 209.85.204.0/22 的輸入流量，針對通訊埠 80 和 443 啟用舊版健康狀態檢查。

設定虛擬私有雲環境

轉接 VPC 可提供網路資源，讓工作負載輪輻虛擬私有雲網路與內部部署或多雲端網路之間建立連線。

1. 為中繼虛擬私有雲網路建立新專案。
2. 為專案啟用 Compute Engine API。
3. 建立轉接自訂模式 VPC 網路。
4. 在您打算在中樞虛擬私有雲或內部環境中發布服務的每個區域中，建立 Private Service Connect 子網路 。決定 IP 位址規劃時，請考量 Private Service Connect 子網路大小。
5. 針對您要公開給在Google Cloud中執行的工作負載的每項內部服務，請建立內部 HTTP(S) 或 TCP Proxy 負載平衡器，並使用 Private Service Connect 公開服務。
6. 為轉接虛擬私有雲設定 適用於 Google API 的 Private Service Connect。

設定混合式連線

您可以使用專屬互連網路、合作夥伴互連網路或 Cloud VPN，為目的地提供混合式連線。下列步驟會建立這個設計選項所需的初始混合式連線資源：

1. 如果您使用的是專屬互連網路，請按照下列步驟操作。如果您使用的是合作夥伴互連網路或 Cloud VPN，可以略過這些步驟。
   1. 為實體互連網路連接埠建立單獨專案。
   2. 為專案啟用 Compute Engine API。
   3. 建立專屬互連網路連線。
2. 針對您在 VPC 網路中終止混合式連線的每個區域，請執行下列操作：
   1. 建立兩個專屬或合作夥伴 VLAN 連結，每個邊緣可用性區域一個。在這個程序中，您需要選取 Cloud Router 並建立 BGP 工作階段。
   2. 設定對等網路 (內部部署或其他雲端) 路由器。

設定工作負載專案

為每個工作負載建立個別的虛擬私有雲：

1. 建立新專案來代管工作負載。
2. 為專案啟用 Compute Engine API。
3. 建立自訂模式 VPC 網路。
4. 在您要部署工作負載的區域中建立子網路。針對每個子網路啟用私人 Google 存取權，讓僅有內部 IP 位址的 VM 執行個體能夠連上 Google 服務。
5. 設定適用於 Google API 的 Private Service Connect。
6. 針對從不同 VPC 或內部環境消耗的每個工作負載，建立 Private Service Connect 消費者端點。
7. 針對您為不同 VPC 或內部部署環境產生的每項工作負載，為服務建立內部負載平衡器和服務連結。決定 IP 位址規劃時，請考量 Private Service Connect 子網路大小。
8. 如果服務必須從內部部署環境存取，請在轉接 VPC 中建立 Private Service Connect 消費者端點。

設定 Cloud NAT

如果特定區域的工作負載需要連出網際網路 (例如下載軟體套件或更新)，請按照下列步驟操作。

1. 在工作負載需要連出網際網路存取權的區域中建立 Cloud NAT 閘道。您可以自訂 Cloud NAT 設定，在必要時只允許特定子網路的傳出連線。
2. 至少啟用 Cloud NAT 記錄功能，讓閘道記錄 ERRORS_ONLY。如要納入 Cloud NAT 執行的翻譯記錄，請將每個閘道設為記錄 ALL。

設定可觀察性

Network Intelligence Center 提供整合式網路監控、疑難排解及視覺化功能，方便您掌握雲端網路環境。使用這項功能，確保您的設計功能可執行所需意圖。

下列設定可支援啟用記錄和指標的分析功能。

• 您必須先啟用 Network Management API，才能執行連線能力測試。您必須啟用 API，才能直接使用 API、Google Cloud CLI 或 Google Cloud 控制台。
• 您必須先啟用 Firewall Insights API，才能使用 Firewall Insights 執行任何工作。

後續步驟

這個網路設計選項的初始設定現已完成。您現在可以重複執行這些步驟，設定其他的目標區環境例項 (例如測試或實際工作環境)，或是繼續決定 Google Cloud 目標區的安全性。

後續步驟

• 決定 Google Cloud 登陸區的安全性 (本系列的下一篇文件)。
• 請參閱虛擬私有雲網路設計最佳做法。
• 進一步瞭解 Private Service Connect。