Implementa la progettazione di rete della zona di destinazione Google Cloud

Questo documento fornisce i passaggi e le indicazioni per implementare la progettazione di rete scelta dopo aver esaminato Decidere la progettazione di rete per la tua Google Cloud landing zone. Se non l'hai ancora fatto, esamina Progettazione della landing zone in Google Cloud prima di scegliere un'opzione.

Queste istruzioni sono destinate a ingegneri, architetti e professionisti tecnici di rete coinvolti nella creazione della progettazione di rete per la landing zone della tua organizzazione.

Opzioni di progettazione della rete

In base alla progettazione della rete scelta, completa una delle seguenti operazioni:

Opzione di creazione 1: rete VPC condiviso per ogni ambiente

Se hai scelto di creare la rete VPC condivisa per ogni ambiente in "Decidi la progettazione della rete per la tua Google Cloud landing zone", segui questa procedura.

I passaggi seguenti creano una singola istanza di un VPC. Quando hai bisogno di più istanze di un VPC, ad esempio per ambienti di sviluppo e produzione, ripeti i passaggi per ogni VPC.

Limitare l'accesso esterno utilizzando un criterio dell'organizzazione

Ti consigliamo di limitare l'accesso diretto a internet solo alle risorse che ne hanno bisogno. Le risorse senza indirizzi esterni possono comunque accedere a molte API e servizi Google tramite l'accesso privato Google. L'accesso privato Google è abilitato a livello di subnet e consente alle risorse di interagire con i principali servizi Google, isolandoli dalla rete internet pubblica.

Per facilità d'uso, la funzionalità predefinita di Google Cloud consente agli utenti di creare risorse in tutti i progetti, a condizione che dispongano delle autorizzazioni IAM corrette. Per una maggiore sicurezza, ti consigliamo di limitare le autorizzazioni predefinite per i tipi di risorse che possono causare un accesso a internet non intenzionale. Puoi quindi autorizzare solo progetti specifici per consentire la creazione di queste risorse. Segui le istruzioni riportate in Creazione e gestione dei criteri dell'organizzazione per impostare i seguenti vincoli.

Limita forwarding di protocollo in base al tipo di indirizzo IP

L'inoltro del protocollo stabilisce una risorsa di regola di forwarding con un indirizzo IP esterno e ti consente di indirizzare il traffico a una VM.

Il vincolo Limita forwarding di protocollo in base al tipo di indirizzo IP impedisce la creazione di regole di forwarding con indirizzi IP esterni per l'intera organizzazione. Per i progetti autorizzati a utilizzare regole di forwarding esterne, puoi modificare il vincolo a livello di cartella o progetto.

Imposta i seguenti valori per configurare questo vincolo:

  • Si applica a: Personalizza
  • Applicazione delle norme: Sostituisci
  • Valori policy:personalizzato
  • Tipo di policy: Nega
  • Valore personalizzato: IS:EXTERNAL

Definisci IP esterni consentiti per le istanze VM

Per impostazione predefinita, le singole istanze VM possono acquisire indirizzi IP esterni, il che consente la connettività in uscita e in entrata con internet.

L'applicazione del vincolo Definisci IP esterni consentiti per le istanze VM impedisce l'utilizzo di indirizzi IP esterni con le istanze VM. Per i workload che richiedono indirizzi IP esterni su singole istanze VM, modifica il vincolo a livello di cartella o progetto per specificare le singole istanze VM. In alternativa, ignora il vincolo per i progetti pertinenti.

  • Si applica a: Personalizza
  • Applicazione delle norme: Sostituisci
  • Valori della policy: Nega tutto

Disabilita l'utilizzo di IPv6 all'esterno di VPC

Il vincolo Disabilita l'utilizzo di IPv6 all'esterno di VPC, se impostato su True, impedisce la configurazione di subnet VPC con indirizzi IPv6 esterni per le istanze VM.

  • Si applica a: Personalizza
  • Applicazione forzata:On

Disattiva la creazione della rete predefinita

Quando viene creato un nuovo progetto, viene creata automaticamente una rete VPC predefinita. Ciò è utile per esperimenti rapidi che non richiedono una configurazione di rete specifica o l'integrazione con un ambiente di rete aziendale più ampio.

Configura il vincolo Ignora creazione rete predefinita per disattivare la creazione di VPC predefiniti per i nuovi progetti. Se necessario, puoi creare manualmente la rete predefinita all'interno di un progetto.

  • Si applica a: Personalizza
  • Applicazione forzata:On

Progettare regole firewall

Le regole firewall ti consentono di consentire o negare il traffico da o verso le tue VM in base a una configurazione che definisci. I criteri firewall gerarchici vengono implementati a livello di organizzazione e cartella, mentre i criteri firewall di rete vengono implementati a livello di rete VPC nella gerarchia delle risorse. Insieme, forniscono una funzionalità importante per proteggere i tuoi carichi di lavoro.

Indipendentemente da dove vengono applicati i criteri firewall, segui queste linee guida quando progetti e valuti le regole firewall:

  • Implementa i principi del privilegio minimo (chiamato anche microsegmentazione). Blocca tutto il traffico per impostazione predefinita e consenti solo il traffico specifico di cui hai bisogno. Ciò include la limitazione delle regole solo ai protocolli e alle porte necessari per ogni carico di lavoro.
  • Attiva il logging delle regole firewall per ottenere visibilità sul comportamento del firewall e per utilizzare Firewall Insights.
  • Definisci una metodologia di numerazione per l'assegnazione delle priorità delle regole firewall. Ad esempio, è una best practice riservare un intervallo di numeri bassi in ogni norma per le regole necessarie durante la risposta agli incidenti. Ti consigliamo inoltre di dare la priorità alle regole più specifiche rispetto a quelle più generali, per assicurarti che le regole specifiche non vengano oscurate da quelle generali. L'esempio seguente mostra un possibile approccio per le priorità delle regole firewall:

Intervallo di priorità delle regole firewall
Finalità

0-999
Riservato per la risposta agli incidenti

1000-1999
Traffico sempre bloccato

2000-1999999999
Regole specifiche per il workload

2000000000-2100000000
Regole catch-all

2100000001-2147483643
Riservato

Configura i criteri firewall gerarchici

I criteri firewall gerarchici ti consentono di creare e applicare una policy firewall coerente in tutta l'organizzazione. Per esempi di utilizzo dei criteri firewall gerarchici, vedi Esempi di criteri firewall gerarchici.

Definisci criteri firewall gerarchici per implementare i seguenti controlli di accesso alla rete:

  • Identity-Aware Proxy (IAP) per l'inoltro TCP. IAP per l'inoltro TCP è consentito tramite una norma di sicurezza che permette il traffico in entrata dall'intervallo IP 35.235.240.0/20 per le porte TCP 22 e 3389.
  • Controlli di integrità per Cloud Load Balancing. Gli intervalli noti utilizzati per i controlli di integrità sono consentiti.
    • Per la maggior parte delle istanze di Cloud Load Balancing (incluso il bilanciamento del carico TCP/UDP interno, il bilanciamento del carico HTTP(S) interno, il bilanciamento del carico del proxy TCP esterno, il bilanciamento del carico del proxy SSL esterno e il bilanciamento del carico HTTP(S)), viene definita una norma di sicurezza che consente il traffico in entrata dagli intervalli IP 35.191.0.0/16 e 130.211.0.0/22 per le porte 80 e 443.
    • Per il bilanciamento del carico di rete, viene definito un criterio di sicurezza che consente i controlli di integrità legacy consentendo il traffico in entrata dagli intervalli IP 35.191.0.0/16, 209.85.152.0/22 e 209.85.204.0/22 per le porte 80 e 443.

Configura l'ambiente VPC condiviso

Prima di implementare una progettazione VPC condiviso, decidi come condividere le subnet con i progetti di servizio. Collega un progetto di servizio a un progetto host. Per determinare quali subnet sono disponibili per il progetto di servizio, assegna le autorizzazioni IAM al progetto host o alle singole subnet. Ad esempio, puoi scegliere di dedicare una subnet diversa a ogni progetto di servizio o condividere le stesse subnet tra i progetti di servizio.

  1. Crea un nuovo progetto per il VPC condiviso. Più avanti in questo processo, questo progetto diventa il progetto host e contiene le reti e le risorse di networking da condividere con i progetti di servizio.
  2. Abilitare l'API Compute Engine per il progetto host.
  3. Configura il VPC condiviso per il progetto.
  4. Crea la rete VPC in modalità personalizzata nel progetto host.
  5. Crea subnet nella regione in cui prevedi di eseguire il deployment dei carichi di lavoro. Per ogni subnet, abilita l'accesso privato Google per consentire alle istanze VM senza indirizzi IP esterni di raggiungere i servizi Google.

Configurazione di Cloud NAT

Segui questi passaggi se i carichi di lavoro in regioni specifiche richiedono l'accesso a internet in uscita, ad esempio per scaricare pacchetti software o aggiornamenti.

  1. Crea un gateway Cloud NAT nelle regioni in cui i carichi di lavoro richiedono l'accesso a internet in uscita. Se necessario, puoi personalizzare la configurazione di Cloud NAT per consentire solo la connettività in uscita da subnet specifiche.
  2. Come minimo, attiva il logging Cloud NAT per consentire al gateway di registrare ERRORS_ONLY. Per includere i log per le traduzioni eseguite da Cloud NAT, configura ogni gateway per registrare ALL.

Configura la connettività ibrida

Puoi utilizzare Dedicated Interconnect, Partner Interconnect o Cloud VPN per fornire connettività ibrida alla tua zona di destinazione. I seguenti passaggi creano le risorse di connettività ibrida iniziali richieste per questa opzione di progettazione:

  1. Se utilizzi Dedicated Interconnect, segui questi passaggi. Se utilizzi Partner Interconnect o Cloud VPN, puoi saltare questi passaggi.
    1. Crea un progetto separato per le porte di interconnessione fisica.
    2. Abilitare l'API Compute Engine per il progetto.
    3. Crea connessioni Dedicated Interconnect.
  2. Per ogni regione in cui termini la connettività ibrida nella rete VPC, esegui le seguenti operazioni:
    1. Crea due collegamenti VLAN Dedicated o Partner, uno per ogni zona di disponibilità perimetrale. Nell'ambito di questa procedura, seleziona i router Cloud e crea sessioni BGP.
    2. Configura i router della rete peer (on-premise o altro cloud).

Configura i progetti workload

Crea un progetto di servizio separato per ogni carico di lavoro:

  1. Crea un nuovo progetto che funga da progetto di servizio per il VPC condiviso.
  2. Abilitare l'API Compute Engine per il progetto di servizio.
  3. Collega il progetto al progetto host.
  4. Configura l'accesso a tutte le subnet nel progetto host o ad alcune subnet nel progetto host.

Configurare l'osservabilità

Network Intelligence Center fornisce una soluzione unificata per monitorare, risolvere i problemi e visualizzare l'ambiente di rete cloud. Utilizzalo per assicurarti che il tuo design funzioni con l'intento desiderato.

Le seguenti configurazioni supportano l'analisi del logging e delle metriche attivati.

Passaggi successivi

La configurazione iniziale per questa opzione di progettazione della rete è ora completa. Ora puoi ripetere questi passaggi per configurare un'istanza aggiuntiva dell'ambiente di zona di destinazione, ad esempio un ambiente di staging o di produzione, oppure continuare a Decidere la sicurezza per la tua Google Cloud zona di destinazione.

Opzione di creazione 2: topologia hub e spoke con appliance centralizzati

Se hai scelto di creare la topologia hub-and-spoke con appliance centralizzate in "Decidi la progettazione della rete per la tua Google Cloud landing zone", segui questa procedura.

I passaggi seguenti creano una singola istanza di un VPC. Quando hai bisogno di più istanze di un VPC, ad esempio per ambienti di sviluppo e produzione, ripeti i passaggi per ogni VPC.

Limitare l'accesso esterno utilizzando un criterio dell'organizzazione

Ti consigliamo di limitare l'accesso diretto a internet solo alle risorse che ne hanno bisogno. Le risorse senza indirizzi esterni possono comunque accedere a molte API e servizi Google tramite l'accesso privato Google. L'accesso privato Google è abilitato a livello di subnet e consente alle risorse di interagire con i principali servizi Google, isolandoli dalla rete internet pubblica.

Per facilità d'uso, la funzionalità predefinita di Google Cloud consente agli utenti di creare risorse in tutti i progetti, a condizione che dispongano delle autorizzazioni IAM corrette. Per una maggiore sicurezza, ti consigliamo di limitare le autorizzazioni predefinite per i tipi di risorse che possono causare un accesso a internet non intenzionale. Puoi quindi autorizzare solo progetti specifici per consentire la creazione di queste risorse. Segui le istruzioni riportate in Creazione e gestione dei criteri dell'organizzazione per impostare i seguenti vincoli.

Limita forwarding di protocollo in base al tipo di indirizzo IP

L'inoltro del protocollo stabilisce una risorsa di regola di forwarding con un indirizzo IP esterno e ti consente di indirizzare il traffico a una VM.

Il vincolo Limita forwarding di protocollo in base al tipo di indirizzo IP impedisce la creazione di regole di forwarding con indirizzi IP esterni per l'intera organizzazione. Per i progetti autorizzati a utilizzare regole di forwarding esterne, puoi modificare il vincolo a livello di cartella o progetto.

Imposta i seguenti valori per configurare questo vincolo:

  • Si applica a: Personalizza
  • Applicazione delle norme: Sostituisci
  • Valori policy:personalizzato
  • Tipo di policy: Nega
  • Valore personalizzato: IS:EXTERNAL

Definisci IP esterni consentiti per le istanze VM

Per impostazione predefinita, le singole istanze VM possono acquisire indirizzi IP esterni, il che consente la connettività in uscita e in entrata con internet.

L'applicazione del vincolo Definisci IP esterni consentiti per le istanze VM impedisce l'utilizzo di indirizzi IP esterni con le istanze VM. Per i workload che richiedono indirizzi IP esterni su singole istanze VM, modifica il vincolo a livello di cartella o progetto per specificare le singole istanze VM. In alternativa, ignora il vincolo per i progetti pertinenti.

  • Si applica a: Personalizza
  • Applicazione delle norme: Sostituisci
  • Valori della policy: Nega tutto

Disabilita l'utilizzo di IPv6 all'esterno di VPC

Il vincolo Disabilita l'utilizzo di IPv6 all'esterno di VPC, se impostato su True, impedisce la configurazione di subnet VPC con indirizzi IPv6 esterni per le istanze VM.

  • Si applica a: Personalizza
  • Applicazione forzata:On

Disattiva la creazione della rete predefinita

Quando viene creato un nuovo progetto, viene creata automaticamente una rete VPC predefinita. Ciò è utile per esperimenti rapidi che non richiedono una configurazione di rete specifica o l'integrazione con un ambiente di rete aziendale più ampio.

Configura il vincolo Ignora creazione rete predefinita per disattivare la creazione di VPC predefiniti per i nuovi progetti. Se necessario, puoi creare manualmente la rete predefinita all'interno di un progetto.

  • Si applica a: Personalizza
  • Applicazione forzata:On

Progettare regole firewall

Le regole firewall ti consentono di consentire o negare il traffico da o verso le tue VM in base a una configurazione che definisci. I criteri firewall gerarchici vengono implementati a livello di organizzazione e cartella, mentre i criteri firewall di rete vengono implementati a livello di rete VPC nella gerarchia delle risorse. Insieme, forniscono una funzionalità importante per proteggere i tuoi carichi di lavoro.

Indipendentemente da dove vengono applicati i criteri firewall, segui queste linee guida quando progetti e valuti le regole firewall:

  • Implementa i principi del privilegio minimo (chiamato anche microsegmentazione). Blocca tutto il traffico per impostazione predefinita e consenti solo il traffico specifico di cui hai bisogno. Ciò include la limitazione delle regole solo ai protocolli e alle porte necessari per ogni carico di lavoro.
  • Attiva il logging delle regole firewall per ottenere visibilità sul comportamento del firewall e per utilizzare Firewall Insights.
  • Definisci una metodologia di numerazione per l'assegnazione delle priorità delle regole firewall. Ad esempio, è una best practice riservare un intervallo di numeri bassi in ogni norma per le regole necessarie durante la risposta agli incidenti. Ti consigliamo inoltre di dare la priorità alle regole più specifiche rispetto a quelle più generali, per assicurarti che le regole specifiche non vengano oscurate da quelle generali. L'esempio seguente mostra un possibile approccio per le priorità delle regole firewall:

Intervallo di priorità delle regole firewall
Finalità

0-999
Riservato per la risposta agli incidenti

1000-1999
Traffico sempre bloccato

2000-1999999999
Regole specifiche per il workload

2000000000-2100000000
Regole catch-all

2100000001-2147483643
Riservato

Configura i criteri firewall gerarchici

I criteri firewall gerarchici ti consentono di creare e applicare una policy firewall coerente in tutta l'organizzazione. Per esempi di utilizzo dei criteri firewall gerarchici, vedi Esempi di criteri firewall gerarchici.

Definisci criteri firewall gerarchici per implementare i seguenti controlli di accesso alla rete:

  • Identity-Aware Proxy (IAP) per l'inoltro TCP. IAP per l'inoltro TCP è consentito tramite una norma di sicurezza che permette il traffico in entrata dall'intervallo IP 35.235.240.0/20 per le porte TCP 22 e 3389.
  • Controlli di integrità per Cloud Load Balancing. Gli intervalli noti utilizzati per i controlli di integrità sono consentiti.
    • Per la maggior parte delle istanze di Cloud Load Balancing (incluso il bilanciamento del carico TCP/UDP interno, il bilanciamento del carico HTTP(S) interno, il bilanciamento del carico del proxy TCP esterno, il bilanciamento del carico del proxy SSL esterno e il bilanciamento del carico HTTP(S)), viene definita una norma di sicurezza che consente il traffico in entrata dagli intervalli IP 35.191.0.0/16 e 130.211.0.0/22 per le porte 80 e 443.
    • Per il bilanciamento del carico di rete, viene definito un criterio di sicurezza che consente i controlli di integrità legacy consentendo il traffico in entrata dagli intervalli IP 35.191.0.0/16, 209.85.152.0/22 e 209.85.204.0/22 per le porte 80 e 443.

Configura l'ambiente VPC

Le reti VPC di transito e hub forniscono le risorse di networking per abilitare la connettività tra le reti VPC spoke del workload e le reti on-premise o multicloud.

  1. Crea un nuovo progetto per le reti VPC di transito e hub. Entrambe le reti VPC fanno parte dello stesso progetto per supportare la connettività tramite le appliance di rete virtuale.
  2. Abilitare l'API Compute Engine per il progetto.
  3. Crea la rete VPC in modalità personalizzata di transito.
  4. Nella rete VPC di transito, crea una subnet nelle regioni in cui prevedi di eseguire il deployment delle appliance di rete virtuale.
  5. Crea la rete VPC in modalità personalizzata dell'hub.
  6. Nella rete VPC hub, crea una subnet nelle regioni in cui prevedi di eseguire il deployment delle appliance di rete virtuale.
  7. Configura le policy del firewall di rete globali o regionali per consentire il traffico in entrata e in uscita per le appliance virtuali di rete.
  8. Crea un gruppo di istanze gestite per le appliance di rete virtuale.
  9. Configura le risorse di bilanciamento del carico TCP/UDP interno per il VPC di transito. Questo bilanciatore del carico viene utilizzato per instradare il traffico dalla VPC di transito alla VPC hub tramite le appliance di rete virtuale.
  10. Configura le risorse di bilanciamento del carico TCP/UDP interno per il VPC hub. Questo bilanciatore del carico viene utilizzato per il routing del traffico dalla VPC hub alla VPC di transito tramite le appliance di rete virtuale.
  11. Configura Private Service Connect per le API di Google per il VPC hub.
  12. Modifica le route VPC per inviare tutto il traffico tramite le appliance virtuali di rete:
    1. Elimina la route 0.0.0.0/0 con hop successivo default-internet-gateway dal VPC hub.
    2. Configura una nuova route con destinazione 0.0.0.0/0 e un hop successivo della regola di forwarding per il bilanciatore del carico nel VPC hub.

Configurazione di Cloud NAT

Segui questi passaggi se i carichi di lavoro in regioni specifiche richiedono l'accesso a internet in uscita, ad esempio per scaricare pacchetti software o aggiornamenti.

  1. Crea un gateway Cloud NAT nelle regioni in cui i carichi di lavoro richiedono l'accesso a internet in uscita. Se necessario, puoi personalizzare la configurazione di Cloud NAT per consentire solo la connettività in uscita da subnet specifiche.
  2. Come minimo, attiva il logging Cloud NAT per consentire al gateway di registrare ERRORS_ONLY. Per includere i log per le traduzioni eseguite da Cloud NAT, configura ogni gateway per registrare ALL.

Configura la connettività ibrida

Puoi utilizzare Dedicated Interconnect, Partner Interconnect o Cloud VPN per fornire connettività ibrida alla tua zona di destinazione. I seguenti passaggi creano le risorse di connettività ibrida iniziali richieste per questa opzione di progettazione:

  1. Se utilizzi Dedicated Interconnect, segui questi passaggi. Se utilizzi Partner Interconnect o Cloud VPN, puoi saltare questi passaggi.
    1. Crea un progetto separato per le porte di interconnessione fisica.
    2. Abilitare l'API Compute Engine per il progetto.
    3. Crea connessioni Dedicated Interconnect.
  2. Per ogni regione in cui termini la connettività ibrida nella rete VPC, esegui le seguenti operazioni:
    1. Crea due collegamenti VLAN Dedicated o Partner, uno per ogni zona di disponibilità perimetrale. Nell'ambito di questa procedura, seleziona i router Cloud e crea sessioni BGP.
    2. Configura i router della rete peer (on-premise o altro cloud).
    3. Configura route annunciate personalizzate nei router Cloud per gli intervalli di subnet nei VPC hub e workload.

Configura i progetti workload

Crea un VPC spoke separato per ogni workload:

  1. Crea un nuovo progetto per ospitare il tuo carico di lavoro.
  2. Abilitare l'API Compute Engine per il progetto.
  3. Configura il peering di rete VPC tra il VPC spoke del workload e il VPC hub con le seguenti impostazioni:
    • Abilita l'esportazione di route personalizzate nel VPC hub.
    • Abilita l'importazione di route personalizzate nel VPC spoke del workload.
  4. Crea subnet nelle regioni in cui prevedi di eseguire il deployment dei workload. Per ogni subnet, abilita l'accesso privato Google per consentire alle istanze VM con soli indirizzi IP interni di raggiungere i servizi Google.
  5. Configura Private Service Connect per le API di Google.
  6. Per instradare tutto il traffico attraverso le appliance di rete virtuale nel VPC hub, elimina la route 0.0.0.0/0 con hop successivo default-internet-gateway dal VPC spoke del carico di lavoro.
  7. Configura le policy del firewall di rete globali o regionali per consentire il traffico in entrata e in uscita per il tuo workload.

Configurare l'osservabilità

Network Intelligence Center fornisce una soluzione unificata per monitorare, risolvere i problemi e visualizzare l'ambiente di rete cloud. Utilizzalo per assicurarti che il tuo design funzioni con l'intento desiderato.

Le seguenti configurazioni supportano l'analisi del logging e delle metriche attivati.

Passaggi successivi

La configurazione iniziale per questa opzione di progettazione della rete è ora completa. Ora puoi ripetere questi passaggi per configurare un'istanza aggiuntiva dell'ambiente di zona di destinazione, ad esempio un ambiente di staging o di produzione, oppure continuare a Decidere la sicurezza per la tua Google Cloud zona di destinazione.

Crea l'opzione 3: topologia hub-and-spoke senza appliance

Se hai scelto di creare la topologia hub-and-spoke senza appliance nella sezione "Decidi la progettazione della rete per la tua Google Cloud landing zone", segui questa procedura.

I passaggi seguenti creano una singola istanza di un VPC. Quando hai bisogno di più istanze di un VPC, ad esempio per ambienti di sviluppo e produzione, ripeti i passaggi per ogni VPC.

Limitare l'accesso esterno utilizzando un criterio dell'organizzazione

Ti consigliamo di limitare l'accesso diretto a internet solo alle risorse che ne hanno bisogno. Le risorse senza indirizzi esterni possono comunque accedere a molte API e servizi Google tramite l'accesso privato Google. L'accesso privato Google è abilitato a livello di subnet e consente alle risorse di interagire con i principali servizi Google, isolandoli dalla rete internet pubblica.

Per facilità d'uso, la funzionalità predefinita di Google Cloud consente agli utenti di creare risorse in tutti i progetti, a condizione che dispongano delle autorizzazioni IAM corrette. Per una maggiore sicurezza, ti consigliamo di limitare le autorizzazioni predefinite per i tipi di risorse che possono causare un accesso a internet non intenzionale. Puoi quindi autorizzare solo progetti specifici per consentire la creazione di queste risorse. Segui le istruzioni riportate in Creazione e gestione dei criteri dell'organizzazione per impostare i seguenti vincoli.

Limita forwarding di protocollo in base al tipo di indirizzo IP

L'inoltro del protocollo stabilisce una risorsa di regola di forwarding con un indirizzo IP esterno e ti consente di indirizzare il traffico a una VM.

Il vincolo Limita forwarding di protocollo in base al tipo di indirizzo IP impedisce la creazione di regole di forwarding con indirizzi IP esterni per l'intera organizzazione. Per i progetti autorizzati a utilizzare regole di forwarding esterne, puoi modificare il vincolo a livello di cartella o progetto.

Imposta i seguenti valori per configurare questo vincolo:

  • Si applica a: Personalizza
  • Applicazione delle norme: Sostituisci
  • Valori policy:personalizzato
  • Tipo di policy: Nega
  • Valore personalizzato: IS:EXTERNAL

Definisci IP esterni consentiti per le istanze VM

Per impostazione predefinita, le singole istanze VM possono acquisire indirizzi IP esterni, il che consente la connettività in uscita e in entrata con internet.

L'applicazione del vincolo Definisci IP esterni consentiti per le istanze VM impedisce l'utilizzo di indirizzi IP esterni con le istanze VM. Per i workload che richiedono indirizzi IP esterni su singole istanze VM, modifica il vincolo a livello di cartella o progetto per specificare le singole istanze VM. In alternativa, ignora il vincolo per i progetti pertinenti.

  • Si applica a: Personalizza
  • Applicazione delle norme: Sostituisci
  • Valori della policy: Nega tutto

Disabilita l'utilizzo di IPv6 all'esterno di VPC

Il vincolo Disabilita l'utilizzo di IPv6 all'esterno di VPC, se impostato su True, impedisce la configurazione di subnet VPC con indirizzi IPv6 esterni per le istanze VM.

  • Si applica a: Personalizza
  • Applicazione forzata:On

Disattiva la creazione della rete predefinita

Quando viene creato un nuovo progetto, viene creata automaticamente una rete VPC predefinita. Ciò è utile per esperimenti rapidi che non richiedono una configurazione di rete specifica o l'integrazione con un ambiente di rete aziendale più ampio.

Configura il vincolo Ignora creazione rete predefinita per disattivare la creazione di VPC predefiniti per i nuovi progetti. Se necessario, puoi creare manualmente la rete predefinita all'interno di un progetto.

  • Si applica a: Personalizza
  • Applicazione forzata:On

Progettare regole firewall

Le regole firewall ti consentono di consentire o negare il traffico da o verso le tue VM in base a una configurazione che definisci. I criteri firewall gerarchici vengono implementati a livello di organizzazione e cartella, mentre i criteri firewall di rete vengono implementati a livello di rete VPC nella gerarchia delle risorse. Insieme, forniscono una funzionalità importante per proteggere i tuoi carichi di lavoro.

Indipendentemente da dove vengono applicati i criteri firewall, segui queste linee guida quando progetti e valuti le regole firewall:

  • Implementa i principi del privilegio minimo (chiamato anche microsegmentazione). Blocca tutto il traffico per impostazione predefinita e consenti solo il traffico specifico di cui hai bisogno. Ciò include la limitazione delle regole solo ai protocolli e alle porte necessari per ogni carico di lavoro.
  • Attiva il logging delle regole firewall per ottenere visibilità sul comportamento del firewall e per utilizzare Firewall Insights.
  • Definisci una metodologia di numerazione per l'assegnazione delle priorità delle regole firewall. Ad esempio, è una best practice riservare un intervallo di numeri bassi in ogni norma per le regole necessarie durante la risposta agli incidenti. Ti consigliamo inoltre di dare la priorità alle regole più specifiche rispetto a quelle più generali, per assicurarti che le regole specifiche non vengano oscurate da quelle generali. L'esempio seguente mostra un possibile approccio per le priorità delle regole firewall:

Intervallo di priorità delle regole firewall
Finalità

0-999
Riservato per la risposta agli incidenti

1000-1999
Traffico sempre bloccato

2000-1999999999
Regole specifiche per il workload

2000000000-2100000000
Regole catch-all

2100000001-2147483643
Riservato

Configura i criteri firewall gerarchici

I criteri firewall gerarchici ti consentono di creare e applicare una policy firewall coerente in tutta l'organizzazione. Per esempi di utilizzo dei criteri firewall gerarchici, vedi Esempi di criteri firewall gerarchici.

Definisci criteri firewall gerarchici per implementare i seguenti controlli di accesso alla rete:

  • Identity-Aware Proxy (IAP) per l'inoltro TCP. IAP per l'inoltro TCP è consentito tramite una norma di sicurezza che permette il traffico in entrata dall'intervallo IP 35.235.240.0/20 per le porte TCP 22 e 3389.
  • Controlli di integrità per Cloud Load Balancing. Gli intervalli noti utilizzati per i controlli di integrità sono consentiti.
    • Per la maggior parte delle istanze di Cloud Load Balancing (incluso il bilanciamento del carico TCP/UDP interno, il bilanciamento del carico HTTP(S) interno, il bilanciamento del carico del proxy TCP esterno, il bilanciamento del carico del proxy SSL esterno e il bilanciamento del carico HTTP(S)), viene definita una norma di sicurezza che consente il traffico in entrata dagli intervalli IP 35.191.0.0/16 e 130.211.0.0/22 per le porte 80 e 443.
    • Per il bilanciamento del carico di rete, viene definito un criterio di sicurezza che consente i controlli di integrità legacy consentendo il traffico in entrata dagli intervalli IP 35.191.0.0/16, 209.85.152.0/22 e 209.85.204.0/22 per le porte 80 e 443.

Configura l'ambiente VPC hub

Il VPC hub fornisce le risorse di networking per abilitare la connettività tra le reti VPC spoke del workload e le reti on-premise o multi-cloud.

  1. Crea un nuovo progetto per la rete VPC hub.
  2. Abilitare l'API Compute Engine per il progetto.
  3. Crea la rete VPC in modalità personalizzata hub.
  4. Configura Private Service Connect per le API di Google per il VPC hub.

Configura la connettività ibrida

Puoi utilizzare Dedicated Interconnect, Partner Interconnect o Cloud VPN per fornire connettività ibrida alla tua zona di destinazione. I seguenti passaggi creano le risorse di connettività ibrida iniziali richieste per questa opzione di progettazione:

  1. Se utilizzi Dedicated Interconnect, segui questi passaggi. Se utilizzi Partner Interconnect o Cloud VPN, puoi saltare questi passaggi.
    1. Crea un progetto separato per le porte di interconnessione fisica.
    2. Abilitare l'API Compute Engine per il progetto.
    3. Crea connessioni Dedicated Interconnect.
  2. Per ogni regione in cui termini la connettività ibrida nella rete VPC, esegui le seguenti operazioni:
    1. Crea due collegamenti VLAN Dedicated o Partner, uno per ogni zona di disponibilità edge. Nell'ambito di questo processo, selezioni i router Cloud e crei sessioni BGP.
    2. Configura i router della rete peer (on-premise o altro cloud).
    3. Configura route annunciate personalizzate nei router Cloud per gli intervalli di subnet nei VPC hub e workload.

Configura i progetti workload

Crea un VPC spoke separato per ogni workload:

  1. Crea un nuovo progetto per ospitare il tuo carico di lavoro.
  2. Abilitare l'API Compute Engine per il progetto.
  3. Configura il peering di rete VPC tra il VPC spoke del workload e il VPC hub con le seguenti impostazioni:
    • Abilita l'esportazione di route personalizzate nel VPC hub.
    • Abilita l'importazione di route personalizzate nel VPC spoke del workload.
  4. Crea subnet nelle regioni in cui prevedi di eseguire il deployment dei workload. Per ogni subnet, abilita l'accesso privato Google per consentire alle istanze VM con soli indirizzi IP interni di raggiungere i servizi Google.
  5. Configura Private Service Connect per le API di Google.

Configurazione di Cloud NAT

Segui questi passaggi se i carichi di lavoro in regioni specifiche richiedono l'accesso a internet in uscita, ad esempio per scaricare pacchetti software o aggiornamenti.

  1. Crea un gateway Cloud NAT nelle regioni in cui i carichi di lavoro richiedono l'accesso a internet in uscita. Se necessario, puoi personalizzare la configurazione di Cloud NAT per consentire solo la connettività in uscita da subnet specifiche.
  2. Come minimo, attiva il logging Cloud NAT per consentire al gateway di registrare ERRORS_ONLY. Per includere i log per le traduzioni eseguite da Cloud NAT, configura ogni gateway per registrare ALL.

Configurare l'osservabilità

Network Intelligence Center fornisce una soluzione unificata per monitorare, risolvere i problemi e visualizzare l'ambiente di rete cloud. Utilizzalo per assicurarti che il tuo design funzioni con l'intento desiderato.

Le seguenti configurazioni supportano l'analisi del logging e delle metriche attivati.

Passaggi successivi

La configurazione iniziale per questa opzione di progettazione della rete è ora completa. Ora puoi ripetere questi passaggi per configurare un'istanza aggiuntiva dell'ambiente di zona di destinazione, ad esempio un ambiente di staging o di produzione, oppure continuare a Decidere la sicurezza per la tua Google Cloud zona di destinazione.

Opzione di creazione 4: esporre i servizi in un modello consumer-producer con Private Service Connect

Se hai scelto di esporre i servizi in un modello consumer-producer con Private Service Connect per la tua landing zone, come descritto in "Decidi la progettazione di rete per la tua landing zoneGoogle Cloud ", segui questa procedura.

I passaggi seguenti creano una singola istanza di un VPC. Quando hai bisogno di più istanze di un VPC, ad esempio per ambienti di sviluppo e produzione, ripeti i passaggi per ogni VPC.

Limitare l'accesso esterno utilizzando un criterio dell'organizzazione

Ti consigliamo di limitare l'accesso diretto a internet solo alle risorse che ne hanno bisogno. Le risorse senza indirizzi esterni possono comunque accedere a molte API e servizi Google tramite l'accesso privato Google. L'accesso privato Google è abilitato a livello di subnet e consente alle risorse di interagire con i principali servizi Google, isolandoli dalla rete internet pubblica.

Per facilità d'uso, la funzionalità predefinita di Google Cloud consente agli utenti di creare risorse in tutti i progetti, a condizione che dispongano delle autorizzazioni IAM corrette. Per una maggiore sicurezza, ti consigliamo di limitare le autorizzazioni predefinite per i tipi di risorse che possono causare un accesso a internet non intenzionale. Puoi quindi autorizzare solo progetti specifici per consentire la creazione di queste risorse. Segui le istruzioni riportate in Creazione e gestione dei criteri dell'organizzazione per impostare i seguenti vincoli.

Limita forwarding di protocollo in base al tipo di indirizzo IP

L'inoltro del protocollo stabilisce una risorsa di regola di forwarding con un indirizzo IP esterno e ti consente di indirizzare il traffico a una VM.

Il vincolo Limita forwarding di protocollo in base al tipo di indirizzo IP impedisce la creazione di regole di forwarding con indirizzi IP esterni per l'intera organizzazione. Per i progetti autorizzati a utilizzare regole di forwarding esterne, puoi modificare il vincolo a livello di cartella o progetto.

Imposta i seguenti valori per configurare questo vincolo:

  • Si applica a: Personalizza
  • Applicazione delle norme: Sostituisci
  • Valori policy:personalizzato
  • Tipo di policy: Nega
  • Valore personalizzato: IS:EXTERNAL

Definisci IP esterni consentiti per le istanze VM

Per impostazione predefinita, le singole istanze VM possono acquisire indirizzi IP esterni, il che consente la connettività in uscita e in entrata con internet.

L'applicazione del vincolo Definisci IP esterni consentiti per le istanze VM impedisce l'utilizzo di indirizzi IP esterni con le istanze VM. Per i workload che richiedono indirizzi IP esterni su singole istanze VM, modifica il vincolo a livello di cartella o progetto per specificare le singole istanze VM. In alternativa, ignora il vincolo per i progetti pertinenti.

  • Si applica a: Personalizza
  • Applicazione delle norme: Sostituisci
  • Valori della policy: Nega tutto

Disabilita l'utilizzo di IPv6 all'esterno di VPC

Il vincolo Disabilita l'utilizzo di IPv6 all'esterno di VPC, se impostato su True, impedisce la configurazione di subnet VPC con indirizzi IPv6 esterni per le istanze VM.

  • Si applica a: Personalizza
  • Applicazione forzata:On

Disattiva la creazione della rete predefinita

Quando viene creato un nuovo progetto, viene creata automaticamente una rete VPC predefinita. Ciò è utile per esperimenti rapidi che non richiedono una configurazione di rete specifica o l'integrazione con un ambiente di rete aziendale più ampio.

Configura il vincolo Ignora creazione rete predefinita per disattivare la creazione di VPC predefiniti per i nuovi progetti. Se necessario, puoi creare manualmente la rete predefinita all'interno di un progetto.

  • Si applica a: Personalizza
  • Applicazione forzata:On

Progettare regole firewall

Le regole firewall ti consentono di consentire o negare il traffico da o verso le tue VM in base a una configurazione che definisci. I criteri firewall gerarchici vengono implementati a livello di organizzazione e cartella, mentre i criteri firewall di rete vengono implementati a livello di rete VPC nella gerarchia delle risorse. Insieme, forniscono una funzionalità importante per proteggere i tuoi carichi di lavoro.

Indipendentemente da dove vengono applicati i criteri firewall, segui queste linee guida quando progetti e valuti le regole firewall:

  • Implementa i principi del privilegio minimo (chiamato anche microsegmentazione). Blocca tutto il traffico per impostazione predefinita e consenti solo il traffico specifico di cui hai bisogno. Ciò include la limitazione delle regole solo ai protocolli e alle porte necessari per ogni carico di lavoro.
  • Attiva il logging delle regole firewall per ottenere visibilità sul comportamento del firewall e per utilizzare Firewall Insights.
  • Definisci una metodologia di numerazione per l'assegnazione delle priorità delle regole firewall. Ad esempio, è una best practice riservare un intervallo di numeri bassi in ogni norma per le regole necessarie durante la risposta agli incidenti. Ti consigliamo inoltre di dare la priorità alle regole più specifiche rispetto a quelle più generali, per assicurarti che le regole specifiche non vengano oscurate da quelle generali. L'esempio seguente mostra un possibile approccio per le priorità delle regole firewall:

Intervallo di priorità delle regole firewall
Finalità

0-999
Riservato per la risposta agli incidenti

1000-1999
Traffico sempre bloccato

2000-1999999999
Regole specifiche per il workload

2000000000-2100000000
Regole catch-all

2100000001-2147483643
Riservato

Configura i criteri firewall gerarchici

I criteri firewall gerarchici ti consentono di creare e applicare una policy firewall coerente in tutta l'organizzazione. Per esempi di utilizzo dei criteri firewall gerarchici, vedi Esempi di criteri firewall gerarchici.

Definisci criteri firewall gerarchici per implementare i seguenti controlli di accesso alla rete:

  • Identity-Aware Proxy (IAP) per l'inoltro TCP. IAP per l'inoltro TCP è consentito tramite una norma di sicurezza che permette il traffico in entrata dall'intervallo IP 35.235.240.0/20 per le porte TCP 22 e 3389.
  • Controlli di integrità per Cloud Load Balancing. Gli intervalli noti utilizzati per i controlli di integrità sono consentiti.
    • Per la maggior parte delle istanze di Cloud Load Balancing (incluso il bilanciamento del carico TCP/UDP interno, il bilanciamento del carico HTTP(S) interno, il bilanciamento del carico del proxy TCP esterno, il bilanciamento del carico del proxy SSL esterno e il bilanciamento del carico HTTP(S)), viene definita una norma di sicurezza che consente il traffico in entrata dagli intervalli IP 35.191.0.0/16 e 130.211.0.0/22 per le porte 80 e 443.
    • Per il bilanciamento del carico di rete, viene definito un criterio di sicurezza che consente i controlli di integrità legacy consentendo il traffico in entrata dagli intervalli IP 35.191.0.0/16, 209.85.152.0/22 e 209.85.204.0/22 per le porte 80 e 443.

Configura l'ambiente VPC

Il VPC di transito fornisce le risorse di networking per abilitare la connettività tra le reti VPC spoke del carico di lavoro e le reti on-premise o multi-cloud.

  1. Crea un nuovo progetto per la rete VPC di transito.
  2. Abilitare l'API Compute Engine per il progetto.
  3. Crea la rete VPC in modalità personalizzata di transito.
  4. Crea una subnet Private Service Connect in ogni regione in cui prevedi di pubblicare servizi in esecuzione nel VPC hub o nell'ambiente on-premise. Quando decidi il piano di indirizzamento IP, tieni conto del dimensionamento della subnet Private Service Connect.
  5. Per ogni servizio on-premise che vuoi esporre ai workload in esecuzione in Google Cloud, crea un bilanciatore del carico proxy HTTP(S) o TCP e esponi i servizi utilizzando Private Service Connect.
  6. Configura Private Service Connect per le API di Google per il VPC di transito.

Configura la connettività ibrida

Puoi utilizzare Dedicated Interconnect, Partner Interconnect o Cloud VPN per fornire connettività ibrida alla tua zona di destinazione. I seguenti passaggi creano le risorse di connettività ibrida iniziali richieste per questa opzione di progettazione:

  1. Se utilizzi Dedicated Interconnect, segui questi passaggi. Se utilizzi Partner Interconnect o Cloud VPN, puoi saltare questi passaggi.
    1. Crea un progetto separato per le porte di interconnessione fisica.
    2. Abilitare l'API Compute Engine per il progetto.
    3. Crea connessioni Dedicated Interconnect.
  2. Per ogni regione in cui termini la connettività ibrida nella rete VPC, esegui le seguenti operazioni:
    1. Crea due collegamenti VLAN Dedicated o Partner, uno per ogni zona di disponibilità perimetrale. Nell'ambito di questa procedura, seleziona i router Cloud e crea sessioni BGP.
    2. Configura i router della rete peer (on-premise o altro cloud).

Configura i progetti workload

Crea un VPC separato per ogni workload:

  1. Crea un nuovo progetto per ospitare il tuo carico di lavoro.
  2. Abilitare l'API Compute Engine per il progetto.
  3. Crea una rete VPC in modalità personalizzata.
  4. Crea subnet nelle regioni in cui prevedi di eseguire il deployment dei workload. Per ogni subnet, abilita l'accesso privato Google per consentire alle istanze VM con soli indirizzi IP interni di raggiungere i servizi Google.
  5. Configura Private Service Connect per le API di Google.
  6. Per ogni workload che utilizzi da un'altra rete VPC o dal tuo ambiente on-premise, crea un endpoint consumer Private Service Connect.
  7. Per ogni workload che produci per un VPC diverso o per il tuo ambiente on-premise, crea un bilanciatore del carico interno e un collegamento al servizio per il servizio. Quando decidi il piano di indirizzamento IP, tieni conto del dimensionamento della subnet Private Service Connect.
  8. Se il servizio deve essere raggiungibile dal tuo ambiente on-premise, crea un endpoint consumer Private Service Connect nel VPC di transito.

Configurazione di Cloud NAT

Segui questi passaggi se i carichi di lavoro in regioni specifiche richiedono l'accesso a internet in uscita, ad esempio per scaricare pacchetti software o aggiornamenti.

  1. Crea un gateway Cloud NAT nelle regioni in cui i carichi di lavoro richiedono l'accesso a internet in uscita. Se necessario, puoi personalizzare la configurazione di Cloud NAT per consentire solo la connettività in uscita da subnet specifiche.
  2. Come minimo, attiva il logging Cloud NAT per consentire al gateway di registrare ERRORS_ONLY. Per includere i log per le traduzioni eseguite da Cloud NAT, configura ogni gateway per registrare ALL.

Configurare l'osservabilità

Network Intelligence Center fornisce una soluzione unificata per monitorare, risolvere i problemi e visualizzare l'ambiente di rete cloud. Utilizzalo per assicurarti che il tuo design funzioni con l'intento desiderato.

Le seguenti configurazioni supportano l'analisi del logging e delle metriche attivati.

Passaggi successivi

La configurazione iniziale per questa opzione di progettazione della rete è ora completa. Ora puoi ripetere questi passaggi per configurare un'istanza aggiuntiva dell'ambiente di zona di destinazione, ad esempio un ambiente di staging o di produzione, oppure continuare a Decidere la sicurezza per la tua Google Cloud zona di destinazione.

Passaggi successivi