使用集中式裝置的 VMware Engine 網路安全性

Last reviewed 2024-08-14 UTC

根據貴機構的 深度防禦策略,您可能已設定安全性政策,要求使用集中式網路設備,以便即時偵測及封鎖可疑的網路活動。本文將協助您為 Google Cloud VMware Engine 工作負載設計下列進階網路防護功能:

  • 防範分散式阻斷服務 (DDoS) 攻擊
  • SSL 卸載
  • 新一代防火牆 (NGFW)
  • 入侵防禦系統 (IPS) 和入侵偵測系統 (IDS)
  • 深度封包檢查 (DPI)

本文件中的架構使用 Cloud Load Balancing 和Google Cloud Marketplace 的網路設備。Cloud Marketplace 提供由 Google Cloud 安全合作夥伴支援的網路設備,可直接用於正式環境,滿足企業 IT 需求。

本文的目標讀者是安全架構師和網路管理員,他們負責設計、佈建及管理 VMware Engine 工作負載的網路連線。本文假設您熟悉虛擬私有雲 (VPC)、VMware vSphere、VMware NSX、網路位址轉譯 (NAT) 和 Cloud Load Balancing。

架構

下圖顯示從地端部署網路和網際網路連線至 VMware Engine 工作負載的網路架構。本文稍後會擴充這個架構,以符合特定用途的需求。

網路連線至 VMware Engine 工作負載的基本架構。
圖 1. 網路連線至 VMware Engine 工作負載的基本架構。

圖 1 顯示架構的下列主要元件:

  1. VMware Engine 私有雲: 由虛擬機器 (VM)、儲存空間、網路基礎架構和 VMware vCenter Server 組成的獨立 VMware 堆疊。VMware NSX-T 提供網路和安全防護功能,例如微區隔和防火牆政策。VMware Engine VM 會使用您在私有雲中建立的網路區隔 IP 位址。
  2. 公開 IP 位址服務: 為 VMware Engine VM 提供外部 IP 位址,以便從網際網路存取。網際網路閘道預設會為 VMware Engine VM 提供輸出存取權。
  3. VMware Engine 租戶虛擬私有雲網路:專用的 Google 管理虛擬私有雲網路,可與每個 VMware Engine 私有雲搭配使用,以便與Google Cloud 服務通訊。

  4. 客戶虛擬私有雲網路:

    • 客戶虛擬私有雲網路 1 (外部):虛擬私有雲網路,用於代管網路設備和負載平衡器的面向公眾介面。
    • 客戶虛擬私有雲網路 2 (內部):虛擬私有雲網路,用於代管網路設備的內部介面,並透過私人服務存取權模型與 VMware Engine 租戶虛擬私有雲網路對等互連。

  5. 私人服務存取權:使用虛擬私有雲網路對等互連的私人存取模式,可在 Google 代管的服務與您的虛擬私有雲網路之間建立連線。

  6. 網路設備:從 Cloud Marketplace 選擇並部署在 Compute Engine 執行個體的網路軟體。

  7. Cloud Load Balancing:Google 管理的服務,可用於管理 Google Cloud中高可用性分散式工作負載的流量。您可以選擇符合流量通訊協定和存取需求的負載平衡器類型。本文中的架構不會使用內建的 NSX-T 負載平衡器。

設定注意事項

下圖顯示為 VMware Engine 工作負載提供網路連線所需的資源:

連線至 VMware Engine 工作負載所需的網路資源。
圖 2. 連線至 VMware Engine 工作負載所需的網路資源。

圖 2 顯示您必須完成的作業,才能設定及配置這個架構中的資源。以下說明各項工作,並提供文件連結,內含更多資訊和詳細操作說明。

  1. 按照「建立自訂模式的虛擬私有雲網路」一文中的操作說明,建立外部和內部虛擬私有雲網路與子網路。

    • 為每個子網路選擇在虛擬私有雲網路中不重複的 IP 位址範圍。
    • 架構圖中顯示的管理 VPC 網路為選用項目。如有需要,您可以使用此子網路,為網路設備代管管理 NIC 介面。

  2. Cloud Marketplace 部署必要的網路設備。

    • 如要確保網路設備的高可用性,請將每個設備部署在兩個可用區之間,以一對 VM 的形式分散部署。

      您可以在執行個體群組中部署網路設備。 視管理或供應商支援需求而定,執行個體群組可以是代管執行個體群組 (MIG) 或非代管執行個體群組。

    • 佈建網路介面,方法如下:

      • 外部虛擬私有雲網路中的 nic0,將流量轉送至公開來源。
      • nic1 (如果設備供應商要求)。
      • nic2,在內部虛擬私有雲網路中,與 VMware Engine 資源進行內部通訊。

      在不同的虛擬私有雲網路中部署網路介面,有助於確保公開和內部部署連線的介面層級安全區域隔離。

  3. 設定 VMware Engine:

  4. 使用私人服務存取權設定虛擬私有雲網路對等互連,將內部虛擬私有雲網路連線至 VMware Engine 管理的虛擬私有雲網路。

  5. 如要與內部部署網路建立混合式連線,請使用 Cloud VPNCloud Interconnect

您可以針對下列用途擴充圖 2 中的架構:

用途 使用的產品和服務
適用於面向公眾的 VMware Engine 工作負載的 NGFW
  • Cloud Marketplace 中的網路設備
  • 外部直通式網路負載平衡器
NGFW、DDoS 緩解、SSL 卸載,以及適用於面向大眾的 VMware Engine 工作負載的內容傳遞網路 (CDN)
  • Cloud Marketplace 中的網路設備
  • 外部應用程式負載平衡器
NGFW,用於 VMware Engine 工作負載與地端資料中心或其他雲端供應商之間的私人通訊
  • Cloud Marketplace 中的網路設備
  • 內部直通式網路負載平衡器
VMware Engine 工作負載的網際網路集中輸出點
  • Cloud Marketplace 中的網路設備
  • 內部直通式網路負載平衡器

以下各節將說明這些用途,並概述實作這些用途的設定工作。

適用於面向公眾工作負載的 NGFW

此應用實例有下列需求:

  • 混合式架構,由 VMware Engine 和 Compute Engine 執行個體組成,並以 L4 負載平衡器做為通用前端。
  • 使用 IPS/IDS、NGFW、DPI 或 NAT 解決方案,保護公開的 VMware Engine 工作負載。
  • 公開 IP 位址數量超出 VMware Engine 公開 IP 位址服務的支援上限。

下圖顯示為面向公眾的 VMware Engine 工作負載佈建 NGFW 時所需的資源:

為面向公眾的 VMware Engine 工作負載佈建 NGFW 時所需的資源。
圖 3. 為面向公眾的 VMware Engine 工作負載佈建 NGFW 時所需的資源。

圖 3 顯示您必須完成的作業,才能設定及配置此架構中的資源。以下說明各項工作,並提供文件連結,內含更多資訊和詳細操作說明。

  1. 在外部 VPC 網路中佈建外部直通式網路負載平衡器,做為 VMware Engine 工作負載的公開對外連入進入點。

    • 建立多個轉送規則,支援多個 VMware Engine 工作負載。
    • 為每個轉送規則設定專屬的 IP 位址和 TCP 或 UDP 通訊埠號碼。
    • 將網路設備設為負載平衡器的後端。

  2. 設定網路設備,針對轉送規則的公開 IP 位址執行目的地 NAT (DNAT),將流量轉送至 VMware Engine 中代管公開應用程式的 VM 內部 IP 位址。

    • 網路設備必須對來自 nic2 介面的流量執行來源 NAT (SNAT),確保傳回路徑對稱。
    • 網路設備也必須透過 nic2 介面,將傳送至 VMware Engine 網路的流量,路由至子網路的閘道 (子網路的第一個 IP 位址)。
    • 如要讓健康狀態檢查通過,網路設備必須使用次要或迴路介面,回應轉送規則的 IP 位址。

  3. 設定內部虛擬私有雲網路的路徑表,將 VMware Engine 流量轉送至虛擬私有雲網路對等互連,做為下一個躍點。

在此設定中,VMware Engine VM 會使用 VMware Engine 的網際網路閘道服務,將流量輸出至網際網路資源。不過,對應至 VM 的公開 IP 位址的連入流量,是由網路設備管理。

NGFW、DDoS 緩解、SSL 卸載和 CDN

此應用實例有下列需求:

  • 混合式架構,由 VMware Engine 和 Compute Engine 執行個體組成,並以第 7 層負載平衡器做為通用前端,以及網址對應關係,將流量轉送至適當的後端。
  • 使用 IPS/IDS、NGFW、DPI 或 NAT 解決方案,保護公開的 VMware Engine 工作負載。
  • 使用 Google Cloud Armor,為公開 VMware Engine 工作負載提供 L3 至 L7 層級的 DDoS 攻擊防護。
  • 使用 Google 代管的 SSL 憑證終止 SSL,或使用 SSL 政策控管 HTTPS 或 SSL 連線至面向公眾的 VMware Engine 工作負載時所用的 SSL 版本和加密方式。
  • 使用 Cloud CDN 從靠近使用者的位置提供內容,加快 VMware Engine 工作負載的網路傳輸速度。

下圖顯示為面向公眾的 VMware Engine 工作負載佈建 NGFW 功能、DDoS 緩解、SSL 卸載和 CDN 所需的資源:

為面向大眾的 VMware Engine 工作負載佈建 NGFW、DDoS 緩解、SSL 停用和 CDN 所需的資源。
圖 4. 為面向公眾的 VMware Engine 工作負載佈建 NGFW、DDoS 緩解、SSL 卸載和 CDN 所需的資源。

圖 4 顯示您必須完成的作業,才能設定及配置此架構中的資源。以下說明各項工作,並提供文件連結,內含更多資訊和詳細操作說明。

  1. 在外部 VPC 網路中佈建全域外部應用程式負載平衡器,做為 VMware Engine 工作負載的公開對外連入進入點。

    • 建立多個轉送規則,支援多個 VMware Engine 工作負載。
    • 為每個轉送規則設定專屬的公開 IP 位址,並設定監聽 HTTP(S) 流量。
    • 將網路設備設為負載平衡器的後端。

    此外,您還可以執行下列操作:

    • 如要保護網路設備,請在負載平衡器上設定 Cloud Armor 安全性政策
    • 如要支援網路設備的轉送、健康狀態檢查和 Anycast IP 位址,請為代管網路設備的 MIG 設定 Cloud CDN
    • 如要將要求轉送至不同後端,請在負載平衡器上設定網址對應。舉例來說,將對 /api 的要求轉送至 Compute Engine VM,將對 /images 的要求轉送至 Cloud Storage bucket,並透過網路設備將對 /app 的要求轉送至 VMware Engine VM。

  2. 設定每個網路設備,對 nic0 介面的內部 IP 位址執行目標 NAT (DNAT),以對應至 VMware Engine 中代管公開應用程式的 VM 內部 IP 位址。

    • 網路設備必須對來自 nic2 介面 (內部 IP 位址) 的來源流量執行 SNAT,確保返回路徑對稱。
    • 此外,網路設備必須透過 nic2 介面,將傳送至 VMware Engine 網路的流量,導向至子網路閘道 (子網路的第一個 IP 位址)。

    負載平衡器是以 Proxy 為基礎的服務,實作於 Google Front End (GFE) 服務,因此必須執行 DNAT 步驟。視用戶端位置而定,多個 GFE 可以啟動與後端網路設備內部 IP 位址的 HTTP(S) 連線。來自 GFE 的封包具有與健康狀態檢查探測器相同的來源 IP 位址範圍 (35.191.0.0/16 和 130.211.0.0/22),而非原始用戶端 IP 位址。負載平衡器會使用 X-Forwarded-For 標頭附加用戶端 IP 位址。

    如要讓健康狀態檢查通過,請設定網路設備,使用次要或迴路介面回應轉送規則的 IP 位址。

  3. 設定內部虛擬私有雲網路的路徑表,將 VMware Engine 流量轉送至虛擬私有雲網路對等互連。

    在此設定中,VMware Engine VM 會使用 VMware Engine 的網際網路閘道服務,連出至網際網路。不過,VM 公開 IP 位址的連入流量是由網路設備管理。

適用於私人連線的 NGFW

此應用實例有下列需求:

  • 混合式架構,由 VMware Engine 和 Compute Engine 執行個體組成,並以 L4 負載平衡器做為通用前端。
  • 使用 IPS/IDS、NGFW、DPI 或 NAT 解決方案,保護私有 VMware Engine 工作負載。
  • Cloud Interconnect 或 Cloud VPN,用於與內部部署網路連線。

下圖顯示佈建 NGFW 時所需的資源,以便在 VMware Engine 工作負載與地端部署網路或其他雲端供應商之間建立私有連線:

為私人連線佈建 NGFW 時所需的資源。
圖 5. 為 VMware Engine 工作負載的私人連線佈建 NGFW 時所需的資源。

圖 5 顯示您必須完成的作業,才能設定及配置此架構中的資源。以下說明各項工作,並提供文件連結,內含更多資訊和詳細操作說明。

  1. 在外部 VPC 網路中佈建內部直通式網路負載平衡器,並使用單一轉送規則監聽所有流量。將網路設備設為負載平衡器的後端。

  2. 設定外部虛擬私有雲網路的路徑表,將轉送規則指向為傳送至 VMware Engine 網路的流量的下一個躍點。

  3. 請按照下列步驟設定網路設備:

    • 透過 nic2 介面將目的地為 VMware Engine 網路的流量,導向至子網路閘道 (子網路的第一個 IP 位址)。
    • 如要讓健康狀態檢查通過,請設定網路設備,使用次要或迴路介面回應轉送規則的 IP 位址。
    • 如要讓內部負載平衡器通過健康狀態檢查,請設定多個虛擬路由網域,確保路由正確。這個步驟是必要的,因為網路設備的預設路徑會指向 nic0 介面,因此必須允許 nic2 介面傳回來自公開範圍 (35.191.0.0/16 和 130.211.0.0/22) 的健康狀態檢查流量。如要進一步瞭解負載平衡器健康狀態檢查的 IP 範圍,請參閱「探測 IP 範圍和防火牆規則」。

  4. 設定內部虛擬私有雲網路的路徑表,將 VMware Engine 流量轉送至虛擬私有雲網路對等互連,做為下一個躍點。

  5. 如要處理回傳流量,或是從 VMware Engine 傳送至遠端網路的流量,請將內部直通網路負載平衡器設為下一個躍點,並透過虛擬私有雲網路對等互連,向私有服務存取虛擬私有雲網路發布。

集中式網際網路輸出

此應用實例有下列需求:

  • 集中管理網址篩選、記錄和流量強制執行,以利網際網路輸出。
  • 使用 Cloud Marketplace 的網路設備,為 VMware Engine 工作負載提供客製化保護。

下圖顯示從 VMware Engine 工作負載佈建集中式輸出點至網際網路所需的資源:

佈建網際網路集中輸出功能所需的資源。
圖 6. 為 VMware Engine 工作負載集中式輸出至網際網路佈建所需的資源。

圖 6 顯示您必須完成的作業,才能設定及配置此架構中的資源。以下說明各項工作,並提供文件連結,內含更多資訊和詳細操作說明。

  1. 在內部 VPC 網路中佈建內部直通式網路負載平衡器,做為 VMware Engine 工作負載的出站進入點。

  2. 將網路設備設定為對來自公開 IP 位址 (nic0) 的流量執行 SNAT。如要通過健康狀態檢查,網路設備必須使用次要或迴路介面,回應轉送規則的 IP 位址。

  3. 將內部虛擬私有雲網路設為透過虛擬私有雲網路對等互連,向私人服務存取虛擬私有雲網路宣傳預設路徑,並將內部負載平衡器的轉送規則設為下一個躍點。

  4. 如要允許流量透過網路設備輸出,而非透過網際網路閘道,請按照啟用透過內部部署連線轉送網際網路流量的相同程序操作。

後續步驟