作為貴組織的深度防禦策略的一部分,您可能設有安全政策,它們要求使用集中式網路設備進行內嵌檢測和阻止可疑行為網路活動。本文檔説明您為 Google Cloud VMware Engine 工作負載設計以下高級網路保護功能:
分散式拒絕服務 (DDoS) 攻擊緩解
SSL 分流
下一代防火牆 (NGFW)
入侵防禦系統 (IPS) 和入侵偵測系統 (IDS)
深度資料包檢測 (DPI)
本文檔中的架構使用 Google Cloud Marketplace 中的 Cloud Load Balancing 和網路設備。Cloud Marketplace 提供來自 Google Cloud 安全合作夥伴、支援生產環境且供應商支援的網路設備,以滿足您的企業 IT 需求。
本文檔中的指導適用於為 VMware Engine 工作負載設計、預配和管理網路連接的安全架構師和網路系統管理員。本文檔假定您熟悉 Virtual Private Cloud (VPC)、VMware vSphere、VMware NSX、網路位址轉譯 (NAT) 和 Cloud Load Balancing。
下圖顯示了從本地網路和互聯網連接到 VMware Engine 工作負載的架構。在本文檔的稍後部分,此架構進行了擴展,以滿足特定用例的要求。
圖 1 顯示了此架構的以下主要組成部分:
VMware Engine 私有雲:一個獨立的 VMware 堆疊,由虛擬機器 (VM)、存儲、網路基礎架構和 VMware vCenter Server 組成。VMware NSX-T 提供網路和安全特性,例如微分段和防火牆政策。VMware Engine 虛擬機器使用您在私有雲中創建的網路分段中的 IP 地址。
公共 IP 位址服務:向 VMware Engine 虛擬機器提供外部 IP 位址,以啟用來自互聯網的入站流量訪問。互聯網閘道為 VMware Engine 虛擬機器默認提供出站流量存取權限。
VMware Engine 租戶 VPC 網路:Google 託管的專用 VPC 網路,用於每個 VMware Engine 私有雲,以實現與 Google Cloud 服務的通信。
客戶 VPC 網路:
客戶 VPC 網路 1(外部):託管網路設備和負載等化器的公開介面的 VPC 網路。
客戶 VPC 網路 2(內部):託管網路設備的內部介面,並使用專用服務訪問模型與 VMware Engine 租戶 VPC 網路對等互連的 VPC 網路。
注意:客戶 VPC 網路也可以是共用 VPC 網路,本文檔不對此作講解。
專用服務訪問通道:一種專用訪問模式,使用 VPC 網路對等互連實現 Google 代管式服務與您的 VPC 網路之間的連接。
網路設備:您從 Cloud Marketplace 中選擇並在 Compute Engine 實例上部署的網路軟體。如需詳細瞭解如何在 Google Cloud 上部署協力廠商網路設備,請參閱 Google Cloud 上的集中式網路設備。
Cloud Load Balancing:一種 Google 代管式服務,可用於管理流向 Google Cloud 中高可用性分散式工作負載的流量。您可以選擇遵從流量協定和訪問要求的負載等化器類型。本文檔中的架構不使用內置的 NSX-T 負載等化器。
配置說明
下圖顯示了為 VMware Engine 工作負載提供網路連接所需的資源:
圖 2 展示了設置和配置此架構中的資源時必須完成的任務。以下是每項任務的說明,包括指向提供更多資訊和詳細說明的文檔的連結。
按照創建自訂模式 VPC 網路中的說明,創建外部和內部 VPC 網路和子網。
對於每個子網,選擇 VPC 網路中唯一的 IP 位址範圍。
架構圖中顯示的管理 VPC 網路是可選的。如有必要,您可用它來託管網路設備的管理 NIC 介面。
從 Cloud Marketplace 部署所需的網路設備。
為了實現網路設備的高可用性,請在分佈於兩個區域中的一對虛擬機器中部署每台設備。您可以在實例組中部署網路設備。這些實例組可以是代管式實例組 (MIG) 或非代管式實例組,具體取決於您的管理或供應商支持要求。
按如下方式預配網路介面:
外部 VPC 網路中的 nic0 將流量路由到公共來源。
nic1 用於管理設備(如果設備供應商需要)。
內部 VPC 網路中的 nic2 用於與 VMware Engine 資源進行內部通信。
在單獨的 VPC 網路中部署網路介面有助於確保在公共和本地連接的介面級層隔離安全區域。
設置 VMware Engine:
為 VMware Engine 虛擬機器創建網路分段。
使用專用服務訪問通道設置 VPC 網路對等互連,將內部 VPC 網路連接到 VMware Engine 管理的 VPC 網路。
如果您需要與本地網路進行混合連接,請使用 Cloud VPN 或 Cloud Interconnect。
您可以針對以下用例擴展圖 2 中的架構:
用例 | 使用的產品和服務 |
● Cloud Marketplace 中的網路設備 ● 外部 TCP/UDP 網路負載均衡 | |
● Cloud Marketplace 中的網路設備 ● 外部 HTTP(S) 負載均衡 | |
● Cloud Marketplace 中的網路設備 ● 內部 TCP/UDP 負載均衡 | |
● Cloud Marketplace 中的網路設備 ● 內部 TCP/UDP 負載均衡 |
以下部分介紹了這些用例,並簡要介紹了實現這些用例的配置任務。
面向公共的工作負載的 NGFW
此用例具有以下要求:
由 VMware Engine 和 Compute Engine 實例組成的混合架構,使用 L4 負載等化器作為通用前端。
使用 IPS/IDS、NGFW、DPI 或 NAT 解決方案保護公共 VMware Engine 工作負載。
公共 IP 位址多於 VMware Engine 公共 IP 位址服務支援的此類位址數量。
下圖顯示了為面向公共的 VMware Engine 工作負載預配 NGFW 所需的資源:
圖 3 展示了設置和配置此架構中的資源時必須完成的任務。以下是每項任務的說明,包括指向提供更多資訊和詳細說明的文檔的連結。
在外部 VPC 網路中預配網路負載等化器,作為 VMware Engine 工作負載面向公共的入口點。
創建多個轉發規則以支援多項 VMware Engine 工作負載。
使用唯一 IP 位址和 TCP 或 UDP 埠號配置每個轉發規則。
將網路設備配置為負載等化器的後端。
配置網路設備,使其對轉發規則的公共 IP 位址執行到虛擬機器的內部 IP 位址的目標 NAT (DNAT),其中這些虛擬器在 VMware Engine 中託管面向公共的應用。
網路設備必須對來自 nic2 介面的流量執行源 NAT (SNAT),以確保對稱返回路徑。
網路設備還必須通過 nic2 介面將流向 VMware Engine 網路的流量路由到子網的閘道(子網的第一個 IP 位址)。
為了通過健康檢查,網路設備必須使用次要或環回介面來回應轉發規則的 IP 位址。
設置內部 VPC 網路的路由表,將 VMware Engine 流量轉發到 VPC 網路對等互連作為下一個躍點。
在此配置中,VMware Engine 虛擬機器使用 VMware Engine 的互聯網閘道服務來出站流向互聯網資源。但是,入站流量由映射到虛擬機器的公共 IP 位址的網路設備管理。
NGFW、DDoS 緩解措施、SSL 分流和 CDN
此用例具有以下要求:
由 VMware Engine 和 Compute Engine 實例組成的混合架構,使用 L7 負載等化器作為通用前端,並使用網址映射將流量路由到相應的後端。
使用 IPS/IDS、NGFW、DPI 或 NAT 解決方案保護公共 VMware Engine 工作負載。
使用 Google Cloud Armor 針對公共 VMware Engine 工作負載的 L3—L7 DDoS 緩解措施。
使用 Google 管理的 SSL 證書或 SSL 政策終止 SSL,以控制用於 HTTPS 的 SSL 版本和加密,或者控制面向公共的 VMware Engine 工作負載的 SSL 連接。
使用 Cloud CDN 從靠近使用者的位置傳送內容,從而加快 VMware Engine 工作負載的網路傳送。
下圖顯示了為面向公共的 VMware Engine 工作負載預配 NGFW 功能、DDoS 緩解措施、SSL 分流和 CDN 所需的資源:
圖 4 展示了設置和配置此架構中的資源時必須完成的任務。以下是每項任務的說明,包括指向提供更多資訊和詳細說明的文檔的連結。
在外部 VPC 網路中預配一個全域外部 HTTP(S) 負載等化器,作為 VMware Engine 工作負載面向公共的公共入口點。
創建多個轉發規則以支援多項 VMware Engine 工作負載。
使用唯一的公共 IP 位址配置每個轉發規則,並將其設置為偵聽 HTTP(S) 流量。
將網路設備配置為負載等化器的後端。
此外,您還可以執行以下操作:
要保護網路設備,請在負載等化器上設置 Google Cloud Armor 安全政策。
如需支援充當 CDN 後端的網路設備的路由、健康檢查和任播 IP 位址,請為託管網路的 MIG 設置 Cloud CDN。
如需將請求路由到其他後端,請在負載等化器上設置網址映射。例如,將對 /api 的請求路由到 Compute Engine 虛擬機器,將對 /images 的請求路由到 Cloud Storage 存儲桶,通過網路設備將對 /app 的請求路由到 VMware Engine 虛擬機器。
配置每台網路設備,為其 nic0 介面的內部 IP 位址執行到虛擬機器的內部 IP 位址的目標 NAT (DNAT),其中這些虛擬機器在 VMware Engine 中託管面向公共的應用。
網路設備必須對來自 nic2 介面(內部 IP 位址)的源流量執行 SNAT,以確保對稱返回路徑。
此外,網路設備必須通過 nic2 介面將流向 VMware Engine 網路的流量路由到子網閘道(子網的第一個 IP 位址)。
DNAT 步驟是必要的,因為負載等化器是在 Google Front End (GFE) 服務上實現的基於代理的服務。根據用戶端的位置,多個 GFE 可以發起與後端網路設備的內部 IP 位址的 HTTP(S) 連接。來自 GFE 的資料包的源 IP 位址與健康檢查探測所使用的範圍相同(35.191.0.0/16 和 130.211.0.0/22),而不是原始用戶端 IP 地址。負載等化器使用 X-Forwarded-For 標頭附加用戶端 IP 地址。
為了通過健康檢查,請將網路設備配置為使用次要或環回介面來回應轉發規則的 IP 位址。
設置內部 VPC 網路的路由表,將 VMware Engine 流量轉發到 VPC 網路對等互連。
在此配置中,VMware Engine 虛擬機器使用 VMware Engine 的互聯網閘道服務出站流向互聯網。但是,入站流量由虛擬機器的公共 IP 位址的網路設備管理。
用於專用連接的 NGFW
此用例具有以下要求:
由 VMware Engine 和 Compute Engine 實例組成的混合架構,使用 L4 負載等化器作為通用前端。
使用 IPS/IDS、NGFW、DPI 或 NAT 解決方案保護您的專用 VMware Engine 工作負載。
Cloud Interconnect 或 Cloud VPN,用於與本地網路連接。
下圖顯示了預配 NGFW 來實現 VMware Engine 工作負載與本地網路或其他雲提供商之間的專用連接所需的資源:
圖 5 展示了設置和配置此架構中的資源時必須完成的任務。以下是每項任務的說明,包括指向提供更多資訊和詳細說明的文檔的連結。
在外部 VPC 網路中預配內部 TCP/UDP 負載等化器,並使用一條轉發規則偵聽所有流量。將網路設備配置為負載等化器的後端。
設置外部 VPC 網路的路由表,使其指向轉發規則作為流向 VMware Engine 網路的流量的下一個躍點。
按如下方式配置網路設備:
通過 nic2 介面將流向 VMware Engine 網路的流量路由到子網閘道(子網的第一個 IP 位址)。
為了通過健康檢查,請將網路設備配置為使用次要或環回介面來回應轉發規則的 IP 位址。
為了使內部負載等化器通過健康檢查,請配置多個虛擬路由網域來確保正確路由。必須執行此步驟,以允許 nic2 介面返回源自公共範圍(35.191.0.0/16 和 130.211.0.0/22)的健康檢查流量,同時網路設備的預設路由指向 nic0 介面。如需詳細瞭解負載等化器健康檢查的 IP 地址範圍,請參閱探測 IP 位址範圍和防火牆規則。
注意:內部 TCP/UDP 負載均衡支援對稱雜湊。您無需在網路設備上配置 SNAT,就可確保 NGFW 功能有對稱返回路徑。
設置內部 VPC 網路的路由表,將 VMware Engine 流量轉發到 VPC 網路對等互連作為下一個躍點。
對於返回的流量或從 VMware Engine 發起流向遠端網路的流量,請將內部 TCP/UDP 負載等化器配置為下一個躍點,該躍點通過 VPC 網路對等互連通告到專用服務訪問通道 VPC 網路。
到互聯網的集中出站流量
此用例具有以下要求:
針對互聯網出站流量的集中式網址過濾、日誌記錄和流量強制執行。
使用 Cloud Marketplace 中的網路設備為 VMware Engine 工作負載自訂保護。
下圖顯示了預配從 VMware Engine 工作負載到互聯網的集中出站流量點所需的資源:
圖 6 展示了設置和配置此架構中的資源時必須完成的任務。以下是每項任務的說明,包括指向提供更多資訊和詳細說明的文檔的連結。
在內部 VPC 網路中預配一個內部 TCP/UDP 負載等化器,作為 VMware Engine 工作負載的出站流量入口點。
配置網路設備,讓其對來自其公共 IP 位址 (nic0) 的流量進行 SNAT 處理。為了通過健康檢查,網路設備必須使用次要或環回介面回應轉發規則的 IP 位址。
配置內部 VPC 網路,通過 VPC 網路對等互連向專用服務訪問通道 VPC 網路通告預設路由,並將內部負載等化器的轉發規則用作下一個躍點。
如需允許流量通過網路設備(而不是互聯網閘道)傳出,請停用 VMware Engine 集群上的互聯網存取權限和公共 IP 服務。
Comments