資訊科普系列(14) — Google Cloud Platform Networking（一）

Google Cloud Platform（GCP）的網路服務，是由平台提供一系列工具和功能，旨在幫助用戶於雲端環境中建立、管理和優化其網路架構，以實現高性能、安全和可擴展等功能。

圖片來源：https://cloud.google.com/about/locations

而 GCP 網路服務提供的基本功能有：

1. 虛擬私有雲（VPC）：VPC 是 GCP 的核心概念，提供一個可自定義的虛擬網路環境，用戶能在其中部署其雲端資源並進行 network isolation 和配置。
2. 子網路（Subnets）：在 VPC 中，用戶可創建多個 subnet，每個 subnet 都能有自己的 IP 位址範圍，並可位於不同的區域（Region）或可用區（Zone）。這有助於管理資源，同時提高可用性和容錯性。
3. 防火牆與安全性：GCP 提供了強大的防火牆服務，用戶可根據需求制定安全規則，控制網路的進出流量。此外，GCP 還提供身份驗證、加密、監控等安全功能，以保護用戶的資料和系統。

以下我們將分別介紹 GCP 中 VPC、Subnets、Cloud Router、Cloud NAT 和防火牆的功能。

GCP 的 VPC 是一種在 Google 雲端平台上建立的專屬網路環境，用於管理和控制用戶的雲端資源。VPC 允許用戶在其 applications 和服務之間建立私密且可靠的連線，同時提供了更高的安全性和可配置性。

VPC 主要有以下幾項特點：

1. 隔離性（Isolation）：VPC 提供獨立的網路空間，用戶可以在其中部署其雲端資源，這些資源彼此之間可以隔離。這種隔離性有助於保護資料和 applications 免受未經授權的訪問。
2. 自定義網路：用戶可以根據自己的需求設計和配置網路架構，包括 IP 範圍、子網路、路由和防火牆等。這使得用戶能夠按照自己的要求建立、管理和拓展網路環境。
3. 連線選項：VPC 允許用戶透過不同的方式連線到其地端環境或其他雲端服務，像是透過 VPN 或專用網路等服務。
4. 安全性：VPC 提供多層次的安全措施，包括網路層級的防火牆、身份驗證和授權機制，以及加密傳輸等功能，用戶可根據需要加強其資料的安全保護。
5. 可擴展性：用戶可根據需要拓展其 VPC 環境，包括增加新的子網路、增加 IP 位址範圍或調整網路配置，從而應對 applications 增長和變化後的需求。

圖片來源：https://cloud.google.com/vpc/docs/overview

子網路是 VPC 的一部分，它是用來劃分和管理 IP 位址範圍的單獨區塊。子網路有助於管理雲端網路，使用戶能有效配置其雲端資源，同時具備更好的可用性和安全性。

以下是 VPC 子網路的幾項特點：

1. IP 位址範圍分配：每個子網路都有其 IP 位址範圍，用戶可根據需求從主要 IP 位址範圍中分配子網路的 IP 位址範圍。這使得用戶可將不同的資源分配到不同的子網路中，有助於管理和隔離。
2. 區域和可用區：子網路可設定到特定的區域或可用區。這意味著用戶可在不同區域或可用區配置子網路，從而具備更好的可用性和容錯性。
3. 網路隔離：每個子網路都可擁有自己的網路設置和防火牆規則。這使得用戶可根據所需設置不同的安全規則，控制進出該子網路的流量，從而提高資源的安全性。
4. 彈性擴展：GCP 允許用戶根據需要動態調整和擴展其子網路的範圍，像是添加新的子網路或擴大現有子網路的 IP 範圍，從而適應 applications 的增長和變化。

Cloud Router 是一種用於 VPC 內部的重要元件，用於提供 VPC 網路的動態且可擴展路由功能。以下是 Cloud Router 的介紹：

1. 動態路由：Cloud Router 使用動態路由協議如 BGP，自動交換路由。它有助於在 VPC 網路、地端網路環境以及與 Cloud Router 連接的其他網路之間傳播路由。
2. 與地端環境的網路連接：Cloud Router 允許建立 VPN 或專用網路來連接 GCP VPC 網路和地端網路環境。它有助於在 VPC 網路和地端路由器之間動態傳播路由。
3. 高可用性：Cloud Router 具備冗餘和高可用性，在變異或故障時能自動調整路由，以確保在任何時候路由都是最佳可用路徑。
4. 與 VPC 網路的整合：Cloud Router 與 VPC 網路整合，提供在 VPC 網路之間、跨區域以及與地端網路環境之間，建立和管理動態路由的機制。

圖片來源：https://cloud.google.com/blog/products/networking/cloud-nat-deep-dive-into-our-new-network-address-translation-service

GCP Cloud NAT 是一種技術，用於將內部私有網路的 IP 位址轉譯為外部公開網路的 IP 位址，以實現內部資源與外部網路通訊的功能。

以下是關於 Cloud NAT 的介紹：

1. IP 位址轉譯：NAT 技術在 GCP 中允許私有網路中的資源（通常是 VM 或 container）使用特定的 NAT gateway 將其內部私有 IP 位址轉譯為一個公開 IP 位址，以便與外部網路進行通訊。
2. IP 位址轉譯類型：在 GCP 中，NAT 主要有兩種類型：Dynamic NAT 和Static NAT。Dynamic NAT 將內部資源的 IP 位址 mapping 到單個公開 IP 位址，而 Static NAT 則可將特定的內部 IP 位址轉換為指定公開 IP 位址。
3. 節省 IP 位址資源：NAT 可幫助節省公開 IP 位址資源，因為多個內部資源能共享同一個公開 IP 位址。
4. 安全性與隱私性：NAT 技術有助於提高內部資源的安全性，因為它隱藏了內部資源的真實 IP 位址，防止外界直接訪問內部網路，從而增加了安全性和隱私性。

GCP 的網路防火牆是一種安全性功能，用於保護用戶在雲端環境中的 VPC 內部資源免受未經授權的訪問和網路攻擊。網路防火牆透過控制網路流量來管理和過濾封包，從而確保安全性和隱私性。

圖片來源：https://cloud.google.com/firewall/docs/firewalls

以下是 GCP 網路防火牆的詳細介紹：

1. 流量控制：網路防火牆允許用戶根據特定的規則和條件來控制進出 VPC 的網路流量。用戶可設定規則來允許或拒絕特定 IP 位址、協議、port 或特定類型的流量。
2. 安全策略：防火牆允許用戶根據特定的安全策略設定訪問控制，例如根據需求設置白名單或黑名單，從而限制特定 IP 位址或 IP 位址範圍的訪問。
3. 應用層防火牆：Google Cloud Platform 的網路防火牆不僅限於基於 IP 和 port 的控制，還支持應用層防火牆，能夠檢測和阻止特定 applications 或協議的流量，提高安全性。
4. VPC 網路規則：防火牆設置基於 VPC 網路規則，這些規則允許用戶對特定的 VPC 子網路設定安全規則，從而控制和管理安全性。
5. 日誌和監控：GCP 的防火牆提供了監控和日誌記錄功能，用戶能查看和分析網路流量，檢測可能的安全風險或攻擊，並及時採取相應的措施。
6. 彈性和自定義性：用戶可根據自身需求靈活配置防火牆規則，允許或阻止特定類型的流量，並根據需要調整安全策略。

GCP 的網路防火牆是用戶保護其 VPC 內部資源安全的重要工具。透過控制網路流量、設定安全策略和規則，防火牆幫助用戶確保其雲端環境中的資料和系統免受未經授權的訪問和網路攻擊，從而提高安全性和隱私性。

https://cloudacademy.com/lab/creating-outbound-connections-using-cloud-nat/

我們在實務上能結合 Google Compute Engine、VPC、Subnets、Cloud Router、Cloud NAT 等功能，在 Google Cloud Platform 構成上圖的架構，和公開網路進行通訊。再搭配防火牆設定，我們就能確保雲端環境的內部網路安全。

資料來源：https://cloud.google.com/