Путь к Google Cloud Platform: журналы, мониторинг и настройки безопасности

Опубликовано: 28 Февраля, 2023
Путь к Google Cloud Platform: журналы, мониторинг и настройки безопасности

В этой последней главе нашего путешествия по Google Cloud Platform, написанной специалистом по Azure, мы проверим некоторые интересные функции Google Cloud Platform, а именно сетевой компонент, журналы и мониторинг, а также настройки безопасности для приложений и данных. Предыдущие статьи о путешествии можно найти здесь, здесь, здесь и здесь.

Общие сведения о виртуальном частном облаке GCP (VPC)

Прежде чем вернуться к мастеру, нам нужно понять сетевой стек при использовании GCP. У Google есть программно определяемая сеть под названием Andromeda, а виртуальное частное облако (VPC) является одним из подпродуктов сетевого стека. VPC обеспечивает подключение для IaaS (VM), GKE (Google Kubernetes Engine), гибкой среды App Engine и других облачных сервисов Google. Он обеспечивает высокую доступность благодаря балансировщикам нагрузки и возможностям подключения.

Проект GCP не ограничивается одним VPC. По умолчанию любые новые проекты начинаются с сети по умолчанию и содержат одну подсеть в каждом регионе. Одна из замечательных функций GCP заключается в том, что VPC расширяется по регионам, в то время как в Azure у нас есть ограничение, когда виртуальная сеть привязана к подписке/региону.

Шаг 8: Настройте конфигурацию сети

(Небольшое напоминание: шаги 1–7 по настройке вашей организации можно найти в наших предыдущих статьях о путешествии по Google Cloud Platform. Проверьте ссылки внизу страницы.) Мастер поможет нам понять архитектуру VPC и проинструктирует нам создать общий VPC. Общий VPC помогает размещать ресурсы из нескольких проектов в одном VPC. Этот дизайн идеально подходит для сетевой команды с основной сетью в качестве проекта, и все другие проекты будут использовать это совместное VPC для размещения своих IaaS, GKE и т. д.

В рамках настройки сети мастер поможет нам создать VPC, настроить его как общий VPC, управлять подключением к локальным и другим облачным провайдерам, настроить внешний трафик, правила брандмауэра и входящий трафик (включая балансировку нагрузки).

Мастер имеет интерактивные кнопки. Когда мы выбираем проект (элемент 1) для размещения VPC, и если данный проект не имеет возможностей для предоставления виртуальных машин, мастер поможет включить API (элемент 2) для данного типа рабочей нагрузки. Это новшество для таких администраторов облачных вычислений Azure, как я, поскольку подписка Azure поддерживает виртуальные сети и IaaS без какого-либо одобрения или взаимодействия с облачным администратором.

Создание VPC закончится в сетевой области VPC (игра в пинг-понг между мастером с документацией, только документацией и фактической страницей для настройки функции, уже упомянутой дважды) консоли GCP. Мы видим мастер, который позволяет создать нашу сеть VPC, содержащую подсети и маршрутизацию, и мы также можем настроить их как часть процесса.

Результат создания нового VPC изображен на изображении ниже. Мы создали по одной подсети в каждом регионе Канады, доступной на GCP. Сеть по умолчанию также присутствует, и мы видим, что она имеет 28 подсетей и по одной в каждом регионе глобального облака GCP (прикольно, а?).

На шаге 3 настройте подключение между внешними поставщиками и разделом GCP. Он будет использовать шлюз и туннель. Мастер позволяет нам создать VPN-подключение из локального или другого облака к GCP и включить гибридную сеть между средами.

Аналог Azure будет создавать VPN-шлюз/ExpressRoute для поддержки трафика в гибридном облаке. В настоящее время мы не будем использовать это подключение и нажмем «Продолжить».

На шаге 4 настройте путь для раздела внешнего исходящего трафика. Мы можем создать облачную службу NAT из GCP, функции программно-определяемой управляемой службы Google (Andromeda Software). Он предоставляет SNAT (преобразование исходных сетевых адресов) для виртуальных машин без общедоступных IP-адресов.

Мы можем настроить облачный NAT. Позже его можно будет найти в разделе «Сетевые службы» в консоли GCP.

По сравнению с Azure этот раздел будет похож на NAT виртуальной сети Azure, который предоставляет исходящий общедоступный IP-адрес для ресурсов Azure.

На шаге 5 внедрите элементы управления сетевой безопасностью, где мы можем настроить правила брандмауэра. Правила межсетевого экрана применяются на уровне VPC, что означает конкретный проект или сеть. У нас может быть политика брандмауэра, которая применяется к нескольким сетям VPC внутри организации.

Правила брандмауэра в GCP аналогичны группам безопасности сети в Azure и имеют следующие параметры: приоритет, действие, применение, цель, источник, протоколы и порты.

На шаге 6 выберите параметр входящего трафика. Здесь мы можем настроить балансировщик нагрузки для поддержки наших будущих приложений и обеспечения высокой доступности с платформы GCP.

Шаг 9. Настройте ведение журнала и мониторинг

Мы можем настроить мониторинг, выбрав проект, который будет размещать весь мониторинг в GCP или любом другом дизайне, который у вас может быть (например, один проект мониторинга на среду). Мастер помогает выбрать проект и создать рабочее пространство (для каждой функции своя кнопка).

Всем мониторингом можно централизованно управлять из области мониторинга консоли GCP. Мы также можем добавлять новые проекты. Мы можем получать журналы из разных источников и пересылать их во внешние приемники данных (например, в сервис Google BigQuery).

Вход в Microsoft Azure проще. У нас есть диагностические настройки для всех ресурсов Azure, и они направляются в Log Analytics (аналогично Google Workspace).

Шаг 10. Настройте параметры безопасности Google Cloud для приложений и данных

Наконец, мы добрались до последнего шага! Теперь пришло время защитить среду, и мы можем сделать это, перейдя в Центр управления безопасностью облачной платформы Google, как рекомендовано мастером.

При первом посещении нам будет предложено выполнить небольшую пошаговую настройку безопасности на уровне организации, как показано на изображении ниже.

Центру управления безопасностью Google требуется отдельная серия статей. Это решение, которое защищает GCP и не может быть объяснено в одном разделе. Тем не менее, следующие шаги помогут защитить вас с настройками по умолчанию. По сравнению с Azure, с моей точки зрения, Центр безопасности Azure значительно упрощает отслеживание и защиту среды, в которой у Google слишком много параметров, а некоторые параметры скрыты в разделах и иногда находятся на расстоянии более двух щелчков мыши.

Путь к Google Cloud Platform: мы сделали это!

В этой последней статье нашей серии мы завершаем настройку нашей организации в соответствии с рекомендациями Google. Их процесс гарантирует, что мы понимаем высокоуровневую архитектуру платформы и реализуем некоторые основные элементы, необходимые для вашей среды.

Теоретически вы готовы исследовать свою среду GCP. На пути к Google Cloud Platform мы настроили идентификацию, безопасность и базовую инфраструктуру для поддержки новых рабочих нагрузок.

Облачные вычисления

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Вопросы безопасности для облачных вычислений (часть 5) — быстрая эластичность
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 6)
9 Марта, 2023
Начало работы с VMware vCloud Director (часть 1)
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 4) — объединение ресурсов
9 Марта, 2023
Сценарии развертывания облачной сетевой инфраструктуры Microsoft с Windows Server 8 (часть 1) — традиционный центр обработки данных
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 3) — широкий доступ к сети
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 5)
9 Марта, 2023
System Center 2012 и управление облаком
9 Марта, 2023