在设计和配置云身份、资源层次结构和着陆区网络时,请考虑 Google Cloud中的着陆区设计以及企业基础蓝图中介绍的 Google Cloud 安全最佳实践。根据以下文档验证所选设计:
另请考虑以下一般最佳实践:
选择混合或多云网络连接选项时,请考虑业务和应用要求,例如 SLA、性能、安全性、费用、可靠性和带宽。如需了解详情,请参阅选择 Network Connectivity 产品和其他云服务提供商与 Google Cloud的连接模式。
如果合适且符合资源层次结构设计要求,请在 Google Cloud 上使用共享 VPC,而不是多个 VPC。如需了解详情,请参阅决定是否创建多个 VPC 网络。
遵循规划账号和组织的最佳实践。
在适用的情况下,在环境之间建立通用标识,以便系统能够跨环境边界安全地进行身份验证。
为了在混合设置中安全地向企业用户公开应用,并选择最符合您要求的方法,您应按照建议的方式与身份管理系统 Google Cloud 集成。
- 另请参阅在混合环境中对员工用户进行身份验证的模式。
在设计本地和云端环境时,请尽早考虑 IPv6 寻址,并考虑哪些服务支持 IPv6。如需了解详情,请参阅 Google Cloud上的 IPv6 简介。其中总结了撰写该博文时支持的服务。
在设计、部署和管理 VPC 防火墙规则时,您可以:
- 如果您需要严格控制防火墙规则应用于虚拟机的方式,请使用基于服务账号的过滤而非基于网络标记的过滤。
- 如果您要对多条防火墙规则进行分组,请使用防火墙政策,以便一次性更新所有这些规则。您还可以使政策具有层次结构。如需了解分层防火墙政策规范和详细信息,请参阅分层防火墙政策。
- 如果您需要根据特定地理位置或区域过滤外部 IPv4 和外部 IPv6 流量,请在防火墙政策中使用地理位置对象。
- 如果您需要根据威胁情报数据(例如已知恶意 IP 地址)或根据公有云 IP 地址范围允许或阻止流量,从而保护您的网络,请使用适用于防火墙政策规则的威胁情报 。例如,如果您的服务只需要与特定的公有云通信,则可以允许来自特定公有云 IP 地址范围的流量。如需了解详情,请参阅防火墙规则最佳实践。
您应始终采用多层安全方法设计云和网络安全,并考虑添加以下安全层:
这些额外的层可帮助您在网络层和应用层过滤、检查和监控各种威胁,以便进行分析和防范。
在混合设置中决定应在何处执行 DNS 解析时,我们建议您使用两个权威 DNS 系统:一个用于私有Google Cloud 环境,另一个用于本地环境中由现有 DNS 服务器托管的本地资源。如需了解详情,请参阅选择执行 DNS 解析的位置。
尽可能始终通过使用 API 网关或负载均衡器的 API 公开应用。我们建议您考虑使用 Apigee 等 API 平台。Apigee 可充当后端服务 API 的抽象或 Facade,并提供安全功能、速率限制、配额和分析功能。
API 平台(网关或代理)和应用负载平衡器并不互斥。有时,将 API 网关和负载平衡器一起使用可以提供更强大且安全的解决方案,以便大规模管理和分发 API 流量。使用 Cloud Load Balancing API 网关,您可以完成以下操作:
借助 Apigee 和 Cloud CDN 提供高性能 API,以:
- 缩短延迟时间
- 在全球范围内托管 API
在流量高峰季提高房源的供应情况
如需了解详情,请观看 YouTube 上的使用 Apigee 和 Cloud CDN 提供高性能 API。
实现高级流量管理。
使用 Cloud Armor 作为 DDoS 攻击防护、WAF 和网络安全服务来保护您的 API。
在多个区域中的网关之间实现高效的负载均衡。如需了解详情,请观看使用 PSC 和 Apigee 保护 API 并实现多区域故障切换。
如需确定要使用的 Cloud Load Balancing 产品,您必须先确定负载均衡器必须处理的流量类型。如需了解详情,请参阅选择负载均衡器。
使用 Cloud Load Balancing 时,您应在适用的情况下使用其应用容量优化功能。这样做可帮助您应对全球分布式应用中可能出现的一些容量挑战。
- 如需深入了解延迟,请参阅通过负载均衡优化应用延迟。
虽然 Cloud VPN 会对环境之间的流量进行加密,但使用 Cloud Interconnect 时,您需要使用 MACsec 或通过 Cloud Interconnect 实现的高可用性 VPN 来加密传输中的流量(在连接层)。如需了解详情,请参阅如何加密通过 Cloud Interconnect 传输的流量。
- 您还可以考虑使用 TLS 进行服务层加密。如需了解详情,请参阅确定如何满足传输加密的合规性要求。
如果您需要通过 VPN 混合连接传输的流量量超过单个 VPN 隧道所能支持的流量量,可以考虑使用主动/主动高可用性 VPN 路由选项。
- 对于出站数据传输量较大的长期混合或多云设置,请考虑使用 Cloud Interconnect 或跨云互连。这些连接选项有助于优化连接性能,并可能降低满足特定条件的流量的出站数据传输费用。如需了解详情,请参阅 Cloud Interconnect 价格。
在连接到 Google Cloud资源并尝试在 Cloud Interconnect、直接对等互连或运营商对等互连之间做出选择时,我们建议使用 Cloud Interconnect,除非您需要访问 Google Workspace 应用。如需了解详情,您可以比较直接对等互连与 Cloud Interconnect 和运营商对等互连与 Cloud Interconnect 的功能。
在现有 RFC 1918 IP 地址空间中留出足够的 IP 地址空间,用于容纳云托管的系统。
如果您有技术限制,需要保留 IP 地址范围,则可以:
在将本地工作负载迁移到 Google Cloud时,使用混合子网,以便为本地工作负载使用相同的内部 IP 地址。
使用自带 IP (BYOIP) 将您自己的公共 IPv4 地址预配给Google Cloud 资源并使用这些地址。
如果解决方案的设计需要将基于Google Cloud的应用公开给公共互联网,请考虑适用于面向互联网的应用交付的网络中讨论的设计建议。
在适用的情况下,使用 Private Service Connect 端点,以便 Google Cloud、本地或具有混合连接的其他云环境中的工作负载能够以精细的方式使用内部 IP 地址私密地访问 Google API 或已发布的服务。
使用 Private Service Connect 时,您必须控制以下内容:
- 谁可以部署 Private Service Connect 资源。
- 是否可以在使用方和提供方之间建立连接。
- 哪些网络流量可以访问这些连接。
如需了解详情,请参阅 Private Service Connect 安全性。
为了在混合云和多云架构中实现稳健的云设置,请执行以下操作:
- 全面评估不同环境中不同应用所需的可靠性级别。这样做有助于您实现可用性和恢复能力目标。
- 了解云服务提供商的可靠性功能和设计原则。如需了解详情,请参阅Google Cloud 基础架构可靠性。
云网络可见性和监控对于保持可靠的通信至关重要。 Network Intelligence Center 提供了一个控制台,用于管理网络可见性、监控和问题排查。