實作 Google Cloud 目標區網路設計

本文提供相關步驟和指引，協助您在查看「決定登陸區的網路設計 Google Cloud 」後，實作所選的網路設計。如果您尚未這麼做，請先查看登陸區設計 Google Cloud，再選擇選項。

這些操作說明適用於網路工程師、架構師和技術人員，他們負責為貴機構的登陸區建立網路設計。

網路設計選項

根據您選擇的網路設計，完成下列其中一個步驟：

• 建立選項 1：為每個環境建立共用虛擬私有雲網路
• 建立選項 2：中樞輻輪拓撲，搭配集中式裝置
• 建立選項 3：不含設備的輻射狀拓撲
• 建立選項 4：透過 Private Service Connect 在消費者/生產者模型中公開服務

建立選項 1：為每個環境建立共用虛擬私有雲網路

如果您已選擇在「決定登陸區的網路設計」 Google Cloud 中，為每個環境建立共用虛擬私有雲網路，請按照下列程序操作。

下列步驟會建立單一虛擬私有雲執行個體。如需多個 VPC 執行個體 (例如開發和生產環境)，請針對每個 VPC 重複執行上述步驟。

使用組織政策限制外部存取權

建議您限制只讓需要網際網路的資源直接存取網際網路。沒有外部位址的資源仍然可以透過私人 Google 存取權存取許多 Google API 和服務。您可以在子網路層級啟用 Private Google Access，讓資源與主要的 Google 服務互動，同時與公開網際網路隔絕。

為方便使用， Google Cloud 的預設功能是讓使用者在所有專案中建立資源，只要他們擁有正確的 IAM 權限即可。為提升安全性，建議您限制可能導致非預期網際網路存取的資源類型預設權限。接著，您只能授權特定專案建立這些資源。請按照「建立及管理機構政策」一文中的操作說明，設定下列限制。

依據 IP 位址類型限制通訊協定轉送

通訊協定轉送會建立具有外部 IP 位址的轉送規則資源，並讓您將流量導向 VM。

「依據 IP 位址類型限制通訊協定轉送」限制會禁止整個機構建立含有外部 IP 位址的轉送規則。對於獲授權使用外部轉送規則的專案，您可以在資料夾或專案層級修改限制。

設定下列值來設定這項限制：

• 適用於：自訂
• 政策強制執行：取代
• 政策值：自訂
• 政策類型：拒絕
• 自訂值： IS:EXTERNAL

為 VM 執行個體定義允許的外部 IP

根據預設，個別 VM 執行個體可以取得外部 IP 位址，與網際網路建立傳出和傳入連線。

強制執行「為 VM 執行個體定義允許的外部 IP」限制，可防止 VM 執行個體使用外部 IP 位址。如果工作負載需要在個別 VM 執行個體上使用外部 IP 位址，請在資料夾或專案層級修改限制，指定個別 VM 執行個體。或者，為相關專案覆寫限制。

• 適用於：自訂
• 政策強制執行：取代
• 政策值：拒絕所有值

停用虛擬私有雲外部 IPv6

如果將「停用虛擬私有雲外部 IPv6 用量」限制設為 True，系統會禁止為 VM 執行個體設定具有外部 IPv6 位址的虛擬私有雲子網路。

• 適用於：自訂
• 強制執行：開啟

停用預設網路建立作業

建立新專案時，系統會自動建立預設的 VPC。這項功能適用於快速實驗，不需要特定網路設定，也不必與大型企業網路環境整合。

設定「略過預設網路的建立作業」限制，停用新專案的預設 VPC 建立作業。如有需要，您可以在專案中手動建立預設網路。

• 適用於：自訂
• 強制執行：開啟

設計防火牆規則

防火牆規則可讓您根據定義的設定，允許或拒絕 VM 的傳入與傳出流量。階層式防火牆政策是在機構和資料夾層級實作，網路防火牆政策則是在資源階層的虛擬私有雲網路層級實作。這些功能共同提供重要功能，有助於保護工作負載。

無論防火牆政策套用至何處，設計及評估防火牆規則時，請遵循下列準則：

• 實施最低權限原則 (也稱為微區隔)。預設封鎖所有流量，只允許必要的特定流量。包括將規則限制在每個工作負載所需的通訊協定和通訊埠。
• 啟用防火牆規則記錄功能，即可瞭解防火牆行為並使用防火牆洞察。
• 定義編號方法，以分配防火牆規則優先順序。 舉例來說，最佳做法是在每項政策中保留一組較小的數字，供事件應變期間使用的規則使用。此外，我們也建議您將較明確的規則優先順序設為高於較一般的規則，確保明確規則不會被一般規則遮蔽。以下範例顯示防火牆規則優先順序的可能做法：

防火牆規則優先順序範圍	用途
0-999	保留給事件回應使用
1000-1999	一律封鎖的流量
2000-1999999999	工作負載專屬規則
2000000000-2100000000	適用所有情況的規則
2100000001-2147483643	預留

設定階層式防火牆政策

階層式防火牆政策可讓您在整個機構中建立及強制執行一致的防火牆政策。如需使用階層式防火牆政策的範例，請參閱「階層式防火牆政策範例」。

定義階層式防火牆政策，實作下列網路存取控管：

• 適用於 TCP 轉送的 Identity-Aware Proxy (IAP)。透過允許來自 IP 範圍 35.235.240.0/20 的輸入流量，即可使用 TCP 通訊埠 22 和 3389 轉送 TCP 的 IAP。
• Cloud Load Balancing 的健康狀態檢查。允許用於健康狀態檢查的知名範圍。
  • 對於大多數的 Cloud Load Balancing 執行個體 (包括內部 TCP/UDP 負載平衡、內部 HTTP(S) 負載平衡、外部 TCP Proxy 負載平衡、外部 SSL Proxy 負載平衡和 HTTP(S) 負載平衡)，系統會定義安全政策，允許來自 IP 範圍 35.191.0.0/16 和 130.211.0.0/22 的輸入流量，適用於 80 和 443 埠。
  • 如果是網路負載平衡，則會定義安全政策，允許來自 IP 範圍 35.191.0.0/16、209.85.152.0/22 和 209.85.204.0/22 的輸入流量，以啟用通訊埠 80 和 443 的舊版健康狀態檢查。

設定共用虛擬私有雲環境

實作共用虛擬私有雲設計前，請先決定如何與服務專案共用子網路。將服務專案附加到主專案。如要判斷服務專案可用的子網路，請將 IAM 權限指派給主專案或個別子網路。舉例來說，您可以選擇為每個服務專案指派不同的子網路，或在服務專案之間共用相同的子網路。

1. 為共用虛擬私有雲建立新專案。稍後，這項專案會成為主專案，並包含要與服務專案共用的網路和網路資源。
2. 為主專案啟用 Compute Engine API。
3. 設定專案的共用虛擬私有雲。
4. 在主專案中建立自訂模式虛擬私有雲網路。
5. 在您打算部署工作負載的區域中建立子網路。針對每個子網路啟用私人 Google 存取權，允許沒有外部 IP 位址的 VM 執行個體連線至 Google 服務。

設定 Cloud NAT

如果特定區域的工作負載需要網際網路連出存取權 (例如下載軟體套件或更新)，請按照下列步驟操作。

1. 在工作負載需要連出網際網路存取權的區域中，建立 Cloud NAT 閘道。如有需要，您可以自訂 Cloud NAT 設定，只允許特定子網路的連出連線。
2. 至少要啟用 Cloud NAT 記錄，閘道才能記錄 ERRORS_ONLY。如要納入 Cloud NAT 執行的轉譯記錄，請將每個閘道設定為記錄 ALL。

設定混合式連線

您可以使用專屬互連網路、合作夥伴互連網路或 Cloud VPN，為登陸區提供混合式連線。下列步驟會建立這個設計選項所需的初始混合式連線資源：

1. 如果您使用專屬互連網路，請按照下列步驟操作。如果您使用合作夥伴互連網路或 Cloud VPN，可以略過這些步驟。
   1. 為實體互連網路埠建立個別專案。
   2. 為專案啟用 Compute Engine API。
   3. 建立專屬互連網路連線。
2. 針對要在虛擬私有雲網路中終止混合式連線的每個區域，請執行下列操作：
   1. 建立兩個專屬或合作夥伴 VLAN 連結，每個邊緣可用區各一個。在這個過程中，您會選取 Cloud Router 並建立 BGP 工作階段。
   2. 設定對等網路 (地端部署或其他雲端) 路由器。

設定工作負載專案

為每項工作負載建立個別的服務專案：

1. 建立新專案，做為共用虛擬私有雲的服務專案。
2. 為服務專案啟用 Compute Engine API。
3. 將專案附加至主專案。
4. 設定主專案中所有子網路的存取權， 或主專案中部分子網路的存取權。

設定可觀測性

Network Intelligence Center 提供整合式的雲端網路環境監控、疑難排解及視覺化功能。確保設計符合預期意圖。

下列設定支援分析已啟用的記錄和指標。

• 您必須先啟用 Network Management API，才能執行連線測試。如要直接使用 API、Google Cloud CLI 或 Google Cloud 控制台，必須先啟用 API。
• 您必須先啟用 Firewall Insights API，才能使用 Firewall Insights 執行任何工作。

後續步驟

這個網路設計選項的初始設定現已完成。現在您可以重複這些步驟，設定登陸區環境的其他執行個體 (例如預先發布或實際工作環境)，也可以繼續決定登陸區的安全性 Google Cloud 。

建立選項 2：採用集中式裝置的輪輻拓撲

如果您已選擇使用集中式設備建立中樞輻射拓撲，請按照下列程序操作。 Google Cloud

下列步驟會建立單一虛擬私有雲執行個體。如需多個 VPC 執行個體 (例如開發和生產環境)，請針對每個 VPC 重複執行這些步驟。

使用組織政策限制外部存取權

建議您限制只讓需要網際網路的資源直接存取網際網路。沒有外部位址的資源仍然可以透過私人 Google 存取權存取許多 Google API 和服務。您可以在子網路層級啟用 Private Google Access，讓資源與主要的 Google 服務互動，同時與公開網際網路隔絕。

為方便使用， Google Cloud 的預設功能是讓使用者在所有專案中建立資源，只要他們擁有正確的 IAM 權限即可。為提升安全性，建議您限制可能導致非預期網際網路存取的資源類型預設權限。接著，您只能授權特定專案建立這些資源。請按照「建立及管理機構政策」一文中的操作說明，設定下列限制。

依據 IP 位址類型限制通訊協定轉送

通訊協定轉送會建立具有外部 IP 位址的轉送規則資源，並讓您將流量導向 VM。

「依據 IP 位址類型限制通訊協定轉送」限制會禁止整個機構建立含有外部 IP 位址的轉送規則。對於獲授權使用外部轉送規則的專案，您可以在資料夾或專案層級修改限制。

設定下列值來設定這項限制：

• 適用於：自訂
• 政策強制執行：取代
• 政策值：自訂
• 政策類型：拒絕
• 自訂值： IS:EXTERNAL

為 VM 執行個體定義允許的外部 IP

根據預設，個別 VM 執行個體可以取得外部 IP 位址，與網際網路建立傳出和傳入連線。

強制執行「為 VM 執行個體定義允許的外部 IP」限制，可防止 VM 執行個體使用外部 IP 位址。如果工作負載需要在個別 VM 執行個體上使用外部 IP 位址，請在資料夾或專案層級修改限制，指定個別 VM 執行個體。或者，為相關專案覆寫限制。

• 適用於：自訂
• 政策強制執行：取代
• 政策值：拒絕所有值

停用虛擬私有雲外部 IPv6

如果將「停用虛擬私有雲外部 IPv6 用量」限制設為 True，系統會禁止為 VM 執行個體設定具有外部 IPv6 位址的虛擬私有雲子網路。

• 適用於：自訂
• 強制執行：開啟

停用預設網路建立作業

建立新專案時，系統會自動建立預設的 VPC。這項功能適用於快速實驗，不需要特定網路設定，也不必與大型企業網路環境整合。

設定「略過預設網路的建立作業」限制，停用新專案的預設 VPC 建立作業。如有需要，您可以在專案中手動建立預設網路。

• 適用於：自訂
• 強制執行：開啟

設計防火牆規則

防火牆規則可讓您根據定義的設定，允許或拒絕 VM 的傳入與傳出流量。階層式防火牆政策是在機構和資料夾層級實作，網路防火牆政策則是在資源階層的虛擬私有雲網路層級實作。這些功能共同提供重要功能，有助於保護工作負載。

無論防火牆政策套用至何處，設計及評估防火牆規則時，請遵循下列準則：

• 實施最低權限原則 (也稱為微區隔)。預設封鎖所有流量，只允許必要的特定流量。包括將規則限制在每個工作負載所需的通訊協定和通訊埠。
• 啟用防火牆規則記錄功能，即可瞭解防火牆行為並使用防火牆洞察。
• 定義編號方法，以分配防火牆規則優先順序。 舉例來說，最佳做法是在每項政策中保留一組較小的數字，供事件應變期間使用的規則使用。此外，我們也建議您將較明確的規則優先順序設為高於較一般的規則，確保明確規則不會被一般規則遮蔽。以下範例顯示防火牆規則優先順序的可能做法：

防火牆規則優先順序範圍	用途
0-999	保留給事件回應使用
1000-1999	一律封鎖的流量
2000-1999999999	工作負載專屬規則
2000000000-2100000000	適用所有情況的規則
2100000001-2147483643	預留

設定階層式防火牆政策

階層式防火牆政策可讓您在整個機構中建立及強制執行一致的防火牆政策。如需使用階層式防火牆政策的範例，請參閱「階層式防火牆政策範例」。

定義階層式防火牆政策，實作下列網路存取控管：

• 適用於 TCP 轉送的 Identity-Aware Proxy (IAP)。透過允許來自 IP 範圍 35.235.240.0/20 的輸入流量，即可使用 TCP 通訊埠 22 和 3389 轉送 TCP 的 IAP。
• Cloud Load Balancing 的健康狀態檢查。允許用於健康狀態檢查的知名範圍。
  • 對於大多數的 Cloud Load Balancing 執行個體 (包括內部 TCP/UDP 負載平衡、內部 HTTP(S) 負載平衡、外部 TCP Proxy 負載平衡、外部 SSL Proxy 負載平衡和 HTTP(S) 負載平衡)，系統會定義安全政策，允許來自 IP 範圍 35.191.0.0/16 和 130.211.0.0/22 的輸入流量，適用於 80 和 443 埠。
  • 如果是網路負載平衡，則會定義安全政策，允許來自 IP 範圍 35.191.0.0/16、209.85.152.0/22 和 209.85.204.0/22 的輸入流量，以啟用通訊埠 80 和 443 的舊版健康狀態檢查。

設定虛擬私有雲環境

中繼和中樞虛擬私有雲網路提供網路資源，可讓工作負載輪輻虛擬私有雲網路與內部部署或多雲端網路連線。

1. 為中繼和中心虛擬私有雲網路建立新專案。兩個 VPC 網路都屬於同一個專案，可支援透過虛擬網路設備建立連線。
2. 為專案啟用 Compute Engine API。
3. 建立中轉自訂模式虛擬私有雲網路。
4. 在 Transit 虛擬私有雲網路中，於您打算部署虛擬網路裝置的區域建立子網路。
5. 建立中心自訂模式虛擬私有雲網路。
6. 在中心虛擬私有雲網路中，於您打算部署虛擬網路設備的區域建立子網路。
7. 設定全域或區域網路防火牆政策，允許網路虛擬設備的傳入和傳出流量。
8. 為虛擬網路設備建立代管執行個體群組。
9. 設定中繼虛擬私有雲的內部 TCP/UDP 負載平衡資源。這個負載平衡器用於透過虛擬網路設備，將流量從傳輸虛擬私有雲路由至中心虛擬私有雲。
10. 設定軸式 VPC 的內部 TCP/UDP 負載平衡資源。這個負載平衡器用於透過虛擬網路設備，將流量從中心虛擬私有雲路由至傳輸虛擬私有雲。
11. 為中樞 VPC 設定 Google API 的 Private Service Connect。
12. 修改虛擬私有雲路徑，透過網路虛擬設備傳送所有流量：
    1. 從中心 VPC 刪除下一個躍點為 default-internet-gateway 的 0.0.0.0/0 路徑。
    2. 設定新路徑，目的地為 0.0.0.0/0，下一躍點為軸式虛擬私有雲中負載平衡器的轉送規則。

設定 Cloud NAT

如果特定區域的工作負載需要網際網路連出存取權 (例如下載軟體套件或更新)，請按照下列步驟操作。

1. 在工作負載需要連出網際網路存取權的區域中，建立 Cloud NAT 閘道。如有需要，您可以自訂 Cloud NAT 設定，只允許特定子網路的連出連線。
2. 至少要啟用 Cloud NAT 記錄，閘道才能記錄 ERRORS_ONLY。如要納入 Cloud NAT 執行的轉譯記錄，請將每個閘道設定為記錄 ALL。

設定混合式連線

您可以使用專屬互連網路、合作夥伴互連網路或 Cloud VPN，為登陸區提供混合式連線。下列步驟會建立這個設計選項所需的初始混合式連線資源：

1. 如果您使用專屬互連網路，請按照下列步驟操作。如果您使用合作夥伴互連網路或 Cloud VPN，可以略過這些步驟。
   1. 為實體互連網路埠建立個別專案。
   2. 為專案啟用 Compute Engine API。
   3. 建立專屬互連網路連線。
2. 針對要在虛擬私有雲網路中終止混合式連線的每個區域，請執行下列操作：
   1. 建立兩個專屬或合作夥伴 VLAN 連結，每個邊緣可用區各一個。在這個過程中，您會選取 Cloud Router 並建立 BGP 工作階段。
   2. 設定對等網路 (地端部署或其他雲端) 路由器。
   3. 在 Cloud Router 中，為中心和工作負載 VPC 中的子網路範圍設定自訂通告路徑。

設定工作負載專案

為每個工作負載建立個別的輻射虛擬私有雲：

1. 建立新專案來代管工作負載。
2. 為專案啟用 Compute Engine API。
3. 設定工作負載輪輻虛擬私有雲與中樞虛擬私有雲之間的虛擬私有雲網路對等互連，並使用下列設定：
   • 在中樞 VPC 上啟用自訂路徑匯出功能。
   • 在工作負載 Spoke VPC 上啟用自訂路徑匯入功能。
4. 在您打算部署工作負載的區域中建立子網路。為每個子網路啟用私人 Google 存取權，允許只有內部 IP 位址的 VM 執行個體連上 Google 服務。
5. 設定適用於 Google API 的 Private Service Connect。
6. 如要透過軸式虛擬私有雲中的虛擬網路設備轉送所有流量，請從工作負載輻式虛擬私有雲中刪除下一個躍點為 default-internet-gateway 的 0.0.0.0/0 路由。
7. 設定全域或區域網路防火牆政策，允許工作負載的傳入和傳出流量。

設定可觀測性

Network Intelligence Center 提供整合式的雲端網路環境監控、疑難排解及視覺化功能。確保設計符合預期意圖。

下列設定支援分析已啟用的記錄和指標。

• 您必須先啟用 Network Management API，才能執行連線測試。如要直接使用 API、Google Cloud CLI 或 Google Cloud 控制台，必須先啟用 API。
• 您必須先啟用 Firewall Insights API，才能使用 Firewall Insights 執行任何工作。

後續步驟

這個網路設計選項的初始設定現已完成。現在您可以重複這些步驟，設定登陸區環境的其他執行個體 (例如預先發布或實際工作環境)，也可以繼續決定登陸區的安全性 Google Cloud 。

建立選項 3：不含裝置的輪輻拓撲

如果您選擇建立不含裝置的輪輻拓撲，請按照下列程序操作。 Google Cloud

下列步驟會建立單一虛擬私有雲執行個體。如需多個 VPC 執行個體 (例如開發和生產環境)，請針對每個 VPC 重複執行這些步驟。

使用組織政策限制外部存取權

建議您限制只有需要的資源才能直接存取網際網路。沒有外部位址的資源仍然可以透過私人 Google 存取權存取許多 Google API 和服務。您可以在子網路層級啟用 Private Google Access，讓資源與主要的 Google 服務互動，同時與公開網際網路隔絕。

為方便使用， Google Cloud 的預設功能是讓使用者在所有專案中建立資源，只要他們擁有正確的 IAM 權限即可。為提升安全性，建議您限制可能導致非預期網際網路存取的資源類型預設權限。接著，您只能授權特定專案建立這些資源。請按照「建立及管理機構政策」一文中的操作說明，設定下列限制。

依據 IP 位址類型限制通訊協定轉送

通訊協定轉送會建立具有外部 IP 位址的轉送規則資源，並讓您將流量導向 VM。

「依據 IP 位址類型限制通訊協定轉送」限制會禁止整個機構建立含有外部 IP 位址的轉送規則。對於獲授權使用外部轉送規則的專案，您可以在資料夾或專案層級修改限制。

設定下列值來設定這項限制：

• 適用於：自訂
• 政策強制執行：取代
• 政策值：自訂
• 政策類型：拒絕
• 自訂值： IS:EXTERNAL

為 VM 執行個體定義允許的外部 IP

根據預設，個別 VM 執行個體可以取得外部 IP 位址，與網際網路建立傳出和傳入連線。

強制執行「為 VM 執行個體定義允許的外部 IP」限制，可防止 VM 執行個體使用外部 IP 位址。如果工作負載需要在個別 VM 執行個體上使用外部 IP 位址，請在資料夾或專案層級修改限制，指定個別 VM 執行個體。或者，為相關專案覆寫限制。

• 適用於：自訂
• 政策強制執行：取代
• 政策值：拒絕所有值

停用虛擬私有雲外部 IPv6

如果將「停用虛擬私有雲外部 IPv6 用量」限制設為 True，系統會禁止為 VM 執行個體設定具有外部 IPv6 位址的虛擬私有雲子網路。

• 適用於：自訂
• 強制執行：開啟

停用預設網路建立作業

建立新專案時，系統會自動建立預設的 VPC。這項功能適用於快速實驗，不需要特定網路設定，也不必與大型企業網路環境整合。

設定「略過預設網路的建立作業」限制，停用新專案的預設 VPC 建立作業。如有需要，您可以在專案中手動建立預設網路。

• 適用於：自訂
• 強制執行：開啟

設計防火牆規則

防火牆規則可讓您根據定義的設定，允許或拒絕 VM 的傳入與傳出流量。階層式防火牆政策是在機構和資料夾層級實作，網路防火牆政策則是在資源階層的虛擬私有雲網路層級實作。這些功能共同提供重要功能，有助於保護工作負載。

無論防火牆政策套用至何處，設計及評估防火牆規則時，請遵循下列準則：

• 實施最低權限原則 (也稱為微區隔)。預設封鎖所有流量，只允許必要的特定流量。包括將規則限制在每個工作負載所需的通訊協定和通訊埠。
• 啟用防火牆規則記錄功能，即可瞭解防火牆行為並使用防火牆洞察。
• 定義編號方法，以分配防火牆規則優先順序。 舉例來說，最佳做法是在每項政策中保留一組較小的數字，供事件應變期間使用的規則使用。此外，我們也建議您將較明確的規則優先順序設為高於較一般的規則，確保明確規則不會被一般規則遮蔽。以下範例顯示防火牆規則優先順序的可能做法：

防火牆規則優先順序範圍	用途
0-999	保留給事件回應使用
1000-1999	一律封鎖的流量
2000-1999999999	工作負載專屬規則
2000000000-2100000000	適用所有情況的規則
2100000001-2147483643	預留

設定階層式防火牆政策

階層式防火牆政策可讓您在整個機構中建立及強制執行一致的防火牆政策。如需使用階層式防火牆政策的範例，請參閱「階層式防火牆政策範例」。

定義階層式防火牆政策，實作下列網路存取控管：

• 適用於 TCP 轉送的 Identity-Aware Proxy (IAP)。透過允許來自 IP 範圍 35.235.240.0/20 的輸入流量，即可使用 TCP 通訊埠 22 和 3389 轉送 TCP 的 IAP。
• Cloud Load Balancing 的健康狀態檢查。允許用於健康狀態檢查的知名範圍。
  • 對於大多數的 Cloud Load Balancing 執行個體 (包括內部 TCP/UDP 負載平衡、內部 HTTP(S) 負載平衡、外部 TCP Proxy 負載平衡、外部 SSL Proxy 負載平衡和 HTTP(S) 負載平衡)，系統會定義安全政策，允許來自 IP 範圍 35.191.0.0/16 和 130.211.0.0/22 的輸入流量，適用於 80 和 443 埠。
  • 如果是網路負載平衡，則會定義安全政策，允許來自 IP 範圍 35.191.0.0/16、209.85.152.0/22 和 209.85.204.0/22 的輸入流量，以啟用通訊埠 80 和 443 的舊版健康狀態檢查。

設定中樞虛擬私有雲環境

中樞 VPC 提供網路資源，可讓工作負載輪輻 VPC 網路與內部部署或多雲端網路之間建立連線。

1. 為中心虛擬私有雲網路建立新專案。
2. 為專案啟用 Compute Engine API。
3. 建立中樞自訂模式虛擬私有雲網路。
4. 為中樞 VPC 設定 Google API 的 Private Service Connect。

設定混合式連線

您可以使用專屬互連網路、合作夥伴互連網路或 Cloud VPN，為登陸區提供混合式連線。下列步驟會建立這個設計選項所需的初始混合式連線資源：

1. 如果您使用專屬互連網路，請按照下列步驟操作。如果您使用合作夥伴互連網路或 Cloud VPN，可以略過這些步驟。
   1. 為實體互連網路埠建立個別專案。
   2. 為專案啟用 Compute Engine API。
   3. 建立專屬互連網路連線。
2. 針對要在虛擬私有雲網路中終止混合式連線的每個區域，請執行下列操作：
   1. 建立兩個專屬或合作夥伴 VLAN 連結，每個邊緣可用區各一個。在這個過程中，您會選取 Cloud Router 並建立 BGP 工作階段。
   2. 設定對等網路 (地端部署或其他雲端) 路由器。
   3. 在 Cloud Router 中，為中心和工作負載 VPC 中的子網路範圍設定自訂通告路徑。

設定工作負載專案

為每個工作負載建立個別的輻射虛擬私有雲：

1. 建立新專案來代管工作負載。
2. 為專案啟用 Compute Engine API。
3. 設定虛擬私有雲網路對等互連，在工作負載輪輻虛擬私有雲和中樞虛擬私有雲之間，使用下列設定：
   • 在中樞 VPC 上啟用自訂路徑匯出功能。
   • 在工作負載 Spoke VPC 上啟用自訂路徑匯入功能。
4. 在您打算部署工作負載的區域中建立子網路。為每個子網路啟用私人 Google 存取權，允許只有內部 IP 位址的 VM 執行個體連上 Google 服務。
5. 設定適用於 Google API 的 Private Service Connect。

設定 Cloud NAT

如果特定區域的工作負載需要網際網路連出存取權 (例如下載軟體套件或更新)，請按照下列步驟操作。

1. 在工作負載需要連出網際網路存取權的區域中，建立 Cloud NAT 閘道。如有需要，您可以自訂 Cloud NAT 設定，只允許特定子網路的連出連線。
2. 至少要啟用 Cloud NAT 記錄，閘道才能記錄 ERRORS_ONLY。如要納入 Cloud NAT 執行的轉譯記錄，請將每個閘道設定為記錄 ALL。

設定可觀測性

Network Intelligence Center 提供整合式的雲端網路環境監控、疑難排解及視覺化功能。確保設計符合預期意圖。

下列設定支援分析已啟用的記錄和指標。

• 您必須先啟用 Network Management API，才能執行連線測試。如要直接使用 API、Google Cloud CLI 或 Google Cloud 控制台，必須先啟用 API。
• 您必須先啟用 Firewall Insights API，才能使用 Firewall Insights 執行任何工作。

後續步驟

這個網路設計選項的初始設定現已完成。現在您可以重複這些步驟，設定登陸區環境的其他執行個體 (例如預先發布或實際工作環境)，也可以繼續決定登陸區的安全性 Google Cloud 。

建立選項 4：在消費者/生產者模型中，透過 Private Service Connect 公開服務

如要在消費者-生產者模型中透過 Private Service Connect 公開服務，請按照「決定登陸區的網路設計」Google Cloud 一文所述，為登陸區執行下列程序。

下列步驟會建立單一虛擬私有雲執行個體。如需多個 VPC 執行個體 (例如開發和生產環境)，請針對每個 VPC 重複執行這些步驟。

使用組織政策限制外部存取權

建議您限制只有需要的資源才能直接存取網際網路。沒有外部位址的資源仍然可以透過私人 Google 存取權存取許多 Google API 和服務。您可以在子網路層級啟用 Private Google Access，讓資源與主要的 Google 服務互動，同時與公開網際網路隔絕。

為方便使用， Google Cloud 的預設功能是讓使用者在所有專案中建立資源，只要他們擁有正確的 IAM 權限即可。為提升安全性，建議您限制可能導致非預期網際網路存取的資源類型預設權限。接著，您只能授權特定專案建立這些資源。請按照「建立及管理機構政策」一文中的操作說明，設定下列限制。

依據 IP 位址類型限制通訊協定轉送

通訊協定轉送會建立具有外部 IP 位址的轉送規則資源，並讓您將流量導向 VM。

「依據 IP 位址類型限制通訊協定轉送」限制會禁止整個機構建立含有外部 IP 位址的轉送規則。對於獲授權使用外部轉送規則的專案，您可以在資料夾或專案層級修改限制。

設定下列值來設定這項限制：

• 適用於：自訂
• 政策強制執行：取代
• 政策值：自訂
• 政策類型：拒絕
• 自訂值： IS:EXTERNAL

為 VM 執行個體定義允許的外部 IP

根據預設，個別 VM 執行個體可以取得外部 IP 位址，與網際網路建立傳出和傳入連線。

強制執行「為 VM 執行個體定義允許的外部 IP」限制，可防止 VM 執行個體使用外部 IP 位址。如果工作負載需要在個別 VM 執行個體上使用外部 IP 位址，請在資料夾或專案層級修改限制，指定個別 VM 執行個體。或者，為相關專案覆寫限制。

• 適用於：自訂
• 政策強制執行：取代
• 政策值：拒絕所有值

停用虛擬私有雲外部 IPv6

如果將「停用虛擬私有雲外部 IPv6 用量」限制設為 True，系統會禁止為 VM 執行個體設定具有外部 IPv6 位址的虛擬私有雲子網路。

• 適用於：自訂
• 強制執行：開啟

停用預設網路建立作業

建立新專案時，系統會自動建立預設的 VPC。這項功能適用於快速實驗，不需要特定網路設定，也不必與大型企業網路環境整合。

設定「略過預設網路的建立作業」限制，停用新專案的預設 VPC 建立作業。如有需要，您可以在專案中手動建立預設網路。

• 適用於：自訂
• 強制執行：開啟

設計防火牆規則

防火牆規則可讓您根據定義的設定，允許或拒絕 VM 的傳入與傳出流量。階層式防火牆政策是在機構和資料夾層級實作，網路防火牆政策則是在資源階層的虛擬私有雲網路層級實作。這些功能共同提供重要功能，有助於保護工作負載。

無論防火牆政策套用至何處，設計及評估防火牆規則時，請遵循下列準則：

• 實施最低權限原則 (也稱為微區隔)。預設封鎖所有流量，只允許必要的特定流量。包括將規則限制在每個工作負載所需的通訊協定和通訊埠。
• 啟用防火牆規則記錄功能，即可瞭解防火牆行為並使用防火牆洞察。
• 定義編號方法，以分配防火牆規則優先順序。 舉例來說，最佳做法是在每項政策中保留一組較小的數字，供事件應變期間使用的規則使用。此外，我們也建議您將較明確的規則優先順序設為高於較一般的規則，確保明確規則不會被一般規則遮蔽。以下範例顯示防火牆規則優先順序的可能做法：

防火牆規則優先順序範圍	用途
0-999	保留給事件回應使用
1000-1999	一律封鎖的流量
2000-1999999999	工作負載專屬規則
2000000000-2100000000	適用所有情況的規則
2100000001-2147483643	預留

設定階層式防火牆政策

階層式防火牆政策可讓您在整個機構中建立及強制執行一致的防火牆政策。如需使用階層式防火牆政策的範例，請參閱「階層式防火牆政策範例」。

定義階層式防火牆政策，實作下列網路存取控管：

• 適用於 TCP 轉送的 Identity-Aware Proxy (IAP)。透過允許來自 IP 範圍 35.235.240.0/20 的輸入流量，即可使用 TCP 通訊埠 22 和 3389 轉送 TCP 的 IAP。
• Cloud Load Balancing 的健康狀態檢查。允許用於健康狀態檢查的知名範圍。
  • 對於大多數的 Cloud Load Balancing 執行個體 (包括內部 TCP/UDP 負載平衡、內部 HTTP(S) 負載平衡、外部 TCP Proxy 負載平衡、外部 SSL Proxy 負載平衡和 HTTP(S) 負載平衡)，系統會定義安全政策，允許來自 IP 範圍 35.191.0.0/16 和 130.211.0.0/22 的輸入流量，適用於 80 和 443 埠。
  • 如果是網路負載平衡，則會定義安全政策，允許來自 IP 範圍 35.191.0.0/16、209.85.152.0/22 和 209.85.204.0/22 的輸入流量，以啟用通訊埠 80 和 443 的舊版健康狀態檢查。

設定虛擬私有雲環境

中繼虛擬私有雲提供網路資源，可讓工作負載輪輻虛擬私有雲網路與地端部署或多雲端網路連線。

1. 為中繼虛擬私有雲網路建立新專案。
2. 為專案啟用 Compute Engine API。
3. 建立中轉自訂模式虛擬私有雲網路。
4. 在您打算發布服務的每個區域中，建立 Private Service Connect 子網路 ，這些服務會在您的中樞虛擬私有雲或地端環境中執行。決定 IP 位址規劃時，請考量私人服務連線子網路大小。
5. 如要將每個地端服務公開給Google Cloud中執行的工作負載，請建立內部 HTTP(S) 或 TCP Proxy 負載平衡器，並使用 Private Service Connect 公開服務。
6. 為中轉 VPC 設定 Google API 的 Private Service Connect。

設定混合式連線

您可以使用專屬互連網路、合作夥伴互連網路或 Cloud VPN，為登陸區提供混合式連線。下列步驟會建立這個設計選項所需的初始混合式連線資源：

1. 如果您使用專屬互連網路，請按照下列步驟操作。如果您使用合作夥伴互連網路或 Cloud VPN，可以略過這些步驟。
   1. 為實體互連網路埠建立個別專案。
   2. 為專案啟用 Compute Engine API。
   3. 建立專屬互連網路連線。
2. 針對要在虛擬私有雲網路中終止混合式連線的每個區域，請執行下列操作：
   1. 建立兩個專屬或合作夥伴 VLAN 連結，每個邊緣可用區各一個。在這個過程中，您會選取 Cloud Router 並建立 BGP 工作階段。
   2. 設定對等網路 (地端部署或其他雲端) 路由器。

設定工作負載專案

為每個工作負載建立個別的虛擬私有雲：

1. 建立新專案來代管工作負載。
2. 為專案啟用 Compute Engine API。
3. 建立自訂模式虛擬私有雲網路。
4. 在您打算部署工作負載的區域中建立子網路。為每個子網路啟用私人 Google 存取權，允許只有內部 IP 位址的 VM 執行個體連上 Google 服務。
5. 設定適用於 Google API 的 Private Service Connect。
6. 針對您從其他 VPC 或地端環境取用的每個工作負載，建立 Private Service Connect 用戶端端點。
7. 針對您為不同 VPC 或地端環境產生的每個工作負載，請為服務建立內部負載平衡器和服務連結。決定 IP 位址規劃時，請考量私人服務連線子網路大小。
8. 如要從內部部署環境存取服務，請在 Transit VPC 中建立 Private Service Connect 消費者端點。

設定 Cloud NAT

如果特定區域的工作負載需要網際網路連出存取權 (例如下載軟體套件或更新)，請按照下列步驟操作。

1. 在工作負載需要連出網際網路存取權的區域中，建立 Cloud NAT 閘道。如有需要，您可以自訂 Cloud NAT 設定，只允許特定子網路的連出連線。
2. 至少要啟用 Cloud NAT 記錄，閘道才能記錄 ERRORS_ONLY。如要納入 Cloud NAT 執行的轉譯記錄，請將每個閘道設定為記錄 ALL。

設定可觀測性

Network Intelligence Center 提供整合式的雲端網路環境監控、疑難排解及視覺化功能。確保設計符合預期意圖。

下列設定支援分析已啟用的記錄和指標。

• 您必須先啟用 Network Management API，才能執行連線測試。如要直接使用 API、Google Cloud CLI 或 Google Cloud 控制台，必須先啟用 API。
• 您必須先啟用 Firewall Insights API，才能使用 Firewall Insights 執行任何工作。

後續步驟

這個網路設計選項的初始設定現已完成。現在您可以重複這些步驟，設定登陸區環境的其他執行個體 (例如預先發布或實際工作環境)，也可以繼續決定登陸區的安全性 Google Cloud 。

後續步驟

• 決定登陸區的安全性 Google Cloud (本系列下一份文件)。
• 請參閱「虛擬私有雲網路設計最佳做法」。
• 進一步瞭解 Private Service Connect。