要将 Unified Access Gateway 部署到 Google Cloud Platform,必须使用 Google Cloud 项目,并且必须为该项目配置 VPC 网络、相应的子网网络和防火墙规则。

前提条件

  • 确保您了解 Google Cloud Platform 的概念。
  • 确保您具有在 Google Cloud 项目中创建或修改资源(如映像、VPC 网络、子网、防火墙规则等)所需的权限。
  • 必须启用 Compute Engine API。

过程

  1. 使用 Google Cloud 项目。
    选项 操作
    新建项目
    1. Google Cloud Console 中,导航到项目选择器页面。
    2. 创建一个 Google Cloud 项目。
    现有项目 如果已有项目可用且处于活动状态,则可以使用该现有项目。
  2. 为每个网卡创建一个 Virtual Private Cloud (VPC) 网络。

    Unified Access Gateway 上的每个网卡都使用唯一的 VPC 网络和该网络内的子网。

    如果选择不创建 VPC 网络,则只能部署单个网卡 Unified Access Gateway。当 Unified Access Gateway 设备部署在 Compute Engine 中时,它将使用 Google Cloud Platform 中提供的默认 VPC 网络。

    例如,在下图中,在 Google Cloud Console 中创建了两个 VPC 网络: uag-front-vpcuag-back-vpc。这两个 VPC 网络分别将 uag-front-networkuag-back-network 作为子网。此时可以部署一个双网卡 Unified Access Gateway 设备,以便将这两个子网用于面向 Internet 的前端,并将单独的子网网络用于后端连接。

    在 Google Cloud Console 中创建两个 VPC 网络:uag-back-vpc 和 uag-front-vpc。这两个 VPC 网络分别将 uag-back-network 和 uag-front-network 作为子网。
    注: 您还可以为 Unified Access Gateway 配置共享 VPC 网络。在这种情况下,在服务项目上部署的 Unified Access Gateway 实例将连接到在主机项目上创建和管理的共享 VPC 网络。可以将 Unified Access Gateway 上的每个网络接口 (NIC) 单独配置为使用共享 VPC 网络或本地 VPC 网络。有关更多信息,请参阅 Google Cloud 文档上的 配置共享 VPC
  3. 记下创建的子网名称。
    使用 PowerShell 部署 Unified Access Gateway 时,将在 .ini 文件中使用 VPC 网络中的子网名称。
  4. 要允许 TCP 和 UDP 端口访问可通过 Internet 访问的 VPC 中的 Unified Access Gateway 设备,请创建所需数量的防火墙条目。
    重要说明: 必须在防火墙上仔细限制 TCP 端口 22 上从 Internet 对 Unified Access Gateway 的 SSH 远程访问。如果需要 SSH 访问,防火墙规则必须仅允许从特定的源 IP 地址或从云中可以控制访问的 jump box 虚拟机进行此访问。
    例如,在以下 Google Cloud Console 映像中,在面向 Internet 的 VPC 网络 uag-front-vpc 中创建了一个名为 uag-horizon-protocols 的防火墙规则。此防火墙规则适用于连接到 uag-front-vpc 网络的所有实例,并允许指定端口上来自公共 Internet 的入站 TCP 和 UDP 流量。

    Google Cloud Console 显示了 Horizon Edge Service 的一个防火墙条目,其中配置了 TCP 和 UDP 端口。