Einrichten der Netzwerkkonnektivität zwischen VPCs in Google Cloud

In diesem Blog erkläre ich Ihnen in groben Zügen drei Netzwerkfunktionen, die Ihnen bei Ihren Architekturentscheidungen helfen, wenn Sie VPCs in der Google Cloud verbinden müssen.

Was ist ein VPC?

Eine Virtual Private Cloud (VPC) in Google Cloud ist eine virtuelle Darstellung eines physischen Netzwerks. Es handelt sich um eine globale Ressource, die sich über alle Regionen in der Google Cloud erstreckt und Ihnen die Möglichkeit bietet, Ihr Netzwerk in der Cloud in großem Umfang aufzubauen. Mit einer VPC können Sie Ihre Subnetze, Firewalls, Routing, IP-Zuweisung und andere Netzwerkkonzepte konfigurieren, die Sie auch in physischen Netzwerken finden.

Warum sollten wir eine Verbindung zwischen VPCs herstellen müssen?

In einigen Szenarien kann es erforderlich sein, die Kommunikation zwischen VPCs zuzulassen, unabhängig davon, ob es sich um dasselbe Google Cloud-Projekt handelt oder nicht. Zum Beispiel, wenn ein Unternehmen übernommen wird und Sie die Konnektivität zwischen der VPC Ihres Unternehmens und der VPC des übernommenen Unternehmens zulassen müssen. Oder wenn Sie bestimmte Sicherheitsanforderungen haben, bei denen Sie Ihre VPCs ausdrücklich voneinander isolieren müssen. Es gibt viele andere Szenarien, in denen Sie die Verbindung von VPCs in Betracht ziehen könnten.

VPC-Konnektivitätsoptionen

Google Cloud bietet mehrere Netzwerkfunktionen, um Google Cloud VPCs miteinander zu verbinden. Jede hat ihre eigenen Merkmale. Ich werde drei häufig genutzte Architekturen in groben Zügen vorstellen.

VPC-Peering

VPC-Peering ist ein Netzwerkverbindungsdienst, mit dem Sie VPCs verbinden können. Sobald er aktiviert ist, machen die VPCs die Subnetz-Routen untereinander über eine sogenannte Peering-Verbindung bekannt. Dadurch können beide VPCs in beide Richtungen miteinander kommunizieren.

Bei der Verwendung von VPC-Peering müssen Sie darauf achten, dass Sie kein Peering mit IP-Überschneidung konfigurieren. Sie müssen zunächst alle IP-Überschneidungen zwischen VPC-Netzwerken auflösen, bevor Sie eine VPC-Peering-Verbindung konfigurieren können.

Berücksichtigen Sie auch, dass VPC-Peering in Google Cloud nicht transitiv ist. Das bedeutet, dass eine gepeerte VPC nicht als Transit-VPC für andere Peering-Verbindungen verwendet werden kann.

In der folgenden Architektur ist ein Beispiel dafür dargestellt, wie eine Peering-Verbindung zwischen zwei VPCs aussieht.

Quelle: Google Cloud

Privater Dienst verbinden

Vielleicht suchen Sie nach einem detaillierteren Ansatz für die Verbindung mit anderen VPCs, z.B. um eine Verbindung mit einer einzelnen HTTPS-Anwendung von einer anderen VPC herzustellen. Oder wenn Sie nur eine Einwegverbindung zu einer anderen VPC herstellen möchten. Private Service Connect könnte ein besserer Ansatz sein, da Sie Dienste sicher von VPCs aus zugänglich machen können und nicht das gesamte Netzwerk.

Private Service Connect ist eine Cloud-native Netzwerkfunktion, die Network Address Translation (NAT) über das private Netzwerk von Google Cloud zwischen VPCs nutzt. Sie basiert auf einem Konsumenten/Produzenten-Muster, bei dem der Produzent der exponierte Service und der Konsument der Client ist oder umgekehrt, je nach Konfiguration. Es wird mit einem Autorisierungsmodell ausgeliefert, in dem Sie steuern können, welche Projekte sich miteinander verbinden dürfen und wie viele Verbindungen pro Projekt erlaubt sind.

Wenn Sie Private Service Connect verwenden, sollten Sie bedenken, dass die IP-Adresse des Clients standardmäßig übersetzt wird. Die Client-IP-Adresse wird nicht in der Anfrage an den von Ihnen bereitgestellten Dienst enthalten sein. Wenn Sie die ursprüngliche Client-IP-Adresse an den exponierten Dienst senden möchten, können Sie die PROXY-Protokolloption aktivieren, um die Client-IP-Adresse in der Anfrage zu behalten. Voraussetzung dafür ist, dass der exponierte Dienst so konfiguriert ist, dass er PROXY-Protokoll-Anfragen akzeptiert.

Nachfolgend eine Beispielarchitektur, die VPCs mit Private Service Connect Endpunkten verbindet

Quelle: Google Cloud

Proxy für virtuelle Maschinen

Eine dritte Option könnten Virtual Machine (VM) Proxies mit mehreren Netzwerkschnittstellen sein. Mit VM Proxies können Sie Ihre Konnektivitätsoptionen vollständig auf Ihre Bedürfnisse abstimmen. Sie konfigurieren die Compute Engine VMs mit Proxy-Software. Zum Beispiel Squid oder NGINX. Die VMs verfügen jeweils über mehrere Netzwerkschnittstellen in der gewünschten VPC, mit denen sie sich verbinden können, und haben die Routing-Tabellen und den Proxy innerhalb der VMs konfiguriert.

Beachten Sie, dass bei diesem Ansatz die virtuelle Maschine als NAT-Gateway fungiert und die IP-Adresse des Clients möglicherweise in die Netzwerkschnittstelle der VM übersetzt wird. Wenn Sie möchten, dass die IP-Adresse des Clients in der Anfrage enthalten ist, müssen Sie die Proxy-Software so konfigurieren, dass sie das PROXY-Protokoll unterstützt, wenn es sich um einen Layer 4-Proxy handelt, oder wenn Sie einen Layer 7-Proxy erstellen, müssen Sie die ursprüngliche IP-Adresse als Header hinzufügen.

Nachfolgend eine High-Level-Architektur mit einer VM mit zwei Netzwerkschnittstellen (nic0 und nic1) zur Verbindung von VPCs.

VM Proxy - IP-Weiterleitung

Alternativ können Sie auch die IP-Weiterleitung aktivieren. Bei der IP-Weiterleitung kann die virtuelle Maschine als nächster Anlaufpunkt im Cloud Router konfiguriert werden, um Pakete an andere Ziele weiterzuleiten.

Hinweis: Wenn Sie die IP-Weiterleitung aktivieren, werden die Firewall-Regeln auf VM-Ebene anders ausgewertet und die strengen Quell-/Zielprüfungen deaktiviert. Daher kann die IP-Weiterleitung auch als Sicherheitsrisiko betrachtet werden.

Welche Fähigkeit sollte ich wählen?

Die kurze Antwort lautet: Das hängt von Ihrem Anwendungsfall ab. Um es Ihnen etwas leichter zu machen, finden Sie unten eine Liste mit Vor- und Nachteilen, die Ihnen bei Ihren Designentscheidungen helfen soll:

VPC-Peering

Profis

1. Einfach einzurichten
2. Bidirektionale Kommunikation durch automatische Routenanzeige.

Nachteile

1. IP-Speicherplatz wird gemeinsam genutzt und kann zu IP-Überschneidungen führen
2. Nicht-transitiv zu anderen Peering-Verbindungen

Privater Dienst verbinden

Profis

1. Granulare Konfiguration für die Verbindung bestimmter Anwendungen und Endpunkte zwischen VPCs
2. Nutzt NAT, um mit IP-Überschneidungen umzugehen
3. Ausgestattet mit einem Autorisierungsmodell zur Durchsetzung von Zugriffskontrollen zusätzlich zu den Firewall-Regeln.
4. Kann für transitive Verbindungen konfiguriert werden

Nachteile

1. Zeigt Dienste innerhalb eines Netzwerks an, nicht das Netzwerk selbst. Daher eignet es sich in manchen Szenarien nicht für die Verbindung ganzer Netzwerke oder einer Vielzahl von Diensten untereinander .

VM-Proxys

Profis

1. Passen Sie es an Ihre eigenen Bedürfnisse an. Konfigurieren Sie bestimmte Endpunkte, Protokolle, Zugangskontrollen und/oder Netzwerkkonnektivität zwischen VPCs.
2. Keine IP-Überschneidung, da die VM als NAT-Gateway fungiert
3. Bidirektionale Kommunikation
4. Kann für transitive Verbindungen konfiguriert werden

Nachteile

1. Sie sind für die Sicherung, Konfiguration und den Betrieb der Proxy-Software verantwortlich.
2. Bei IP-Weiterleitung - Firewall-Regeln werden anders ausgewertet und strenge Host-/Destination-Prüfungen werden deaktiviert.

Fazit

Sie haben einen Einblick in drei häufig verwendete Google Cloud-Netzwerkarchitekturen zur Verbindung von VPCs erhalten. Jede mit ihren eigenen Vor- und Nachteilen. Überlegen Sie in jedem Szenario sorgfältig, welche Art von Konnektivität Sie in Ihrer Cloud-Architektur implementieren möchten. Sie können alle funktionieren, aber einige funktionieren besser als andere:

• VPC Network Peering ermöglicht die Verbindung von VPCs mit wenig Konfiguration, verfügt aber über keine granularen Kontrollen, um bestimmte Dienste freizugeben. Außerdem können sich die IP-Bereiche nicht überschneiden.
• Mit Private Service Connect können Sie bestimmte Dienste so konfigurieren, dass sie sicher zwischen VPCs verbunden werden, ohne dass es zu Überschneidungen beim IP-Raum kommt. Dies erfordert jedoch im Vergleich zum VPC-Peering mehr Konfiguration und ist möglicherweise nicht geeignet, wenn Sie viele Dienste zwischen den VPCs in mehreren Richtungen verbinden müssen.
• Mit VM Proxies können Sie Ihre Konnektivität zwischen VPCs an Ihre eigenen Bedürfnisse anpassen, indem Sie die Proxy-Software Ihrer Wahl implementieren oder eine IP-Weiterleitung konfigurieren. Allerdings müssen Sie den Proxy selbst konfigurieren, sichern und warten.

In meinem nächsten Blog werde ich näher auf Private Service Connect eingehen, wie es unter der Haube funktioniert und wie Sie es in Ihren Projekten einsetzen können.

---

Foto von Alina Grubnyak auf Unsplash