Für die Unified Access Gateway-Bereitstellung auf der Google Cloud Platform muss ein Google Cloud-Projekt verwendet werden, das mit VPC-Netzwerken, den entsprechenden Subnetz-Netzwerken und Firewallregeln konfiguriert werden muss.

Voraussetzungen

  • Stellen Sie sicher, dass Sie mit den Konzepten der Google Cloud Platform vertraut sind.
  • Stellen Sie sicher, dass Sie im Google Cloud-Projekt über die notwendigen Berechtigungen zum Erstellen oder Ändern von Ressourcen verfügen, wie z. B. Images, VPC-Netzwerk, Subnetz, Firewallregeln usw.
  • Die Compute Engine-API muss aktiviert werden.

Prozedur

  1. Verwenden Sie ein Google Cloud-Projekt.
    Option Aktion
    Neues Projekt
    1. Navigieren Sie in der Google Cloud Console zur Seite Projektauswahl.
    2. Erstellen Sie ein Google Cloud-Projekt.
    Vorhandenes Projekt Wenn ein Projekt bereits verfügbar und aktiv ist, können Sie das vorhandene Projekt verwenden.
  2. Erstellen Sie ein VPC-Netzwerk (Virtual Private Cloud) für jede Netzwerkkarte.

    Jede Netzwerkkarte auf dem Unified Access Gateway verwendet ein eindeutiges VPC-Netzwerk und ein Subnetz innerhalb dieses Netzwerks.

    Wenn Sie kein VPC-Netzwerk erstellen möchten, kann lediglich ein Unified Access Gateway mit einer einzelnen Netzwerkkarte bereitgestellt werden. Die Unified Access Gateway-Appliance verwendet bei Bereitstellung in der Compute Engine das standardmäßige VPC-Netzwerk, das auf der Google Cloud Platform verfügbar ist.

    In der folgenden Abbildung werden beispielsweise zwei VPC-Netzwerke ( uag-front-vpc und uag-back-vpc) in der Google Cloud Console erstellt. Diese VPC-Netzwerke weisen jeweils uag-front-network und uag-back-network als Subnetze auf. Eine Unified Access Gateway-Appliance mit zwei Netzwerkkarten kann bereitgestellt werden, um diese beiden Subnetze für Front-End-Internet-Verbindungen und ein separates Subnetz-Netzwerk für Back-End-Verbindungen zu verwenden.

    Zwei VPC-Netzwerke (uag-back-vpc und uag-front-vpc) werden in der Google Cloud Console erstellt. Diese VPC-Netzwerke weisen jeweils „uag-back-network“ und „uag-front-network“ als Subnetze auf.
    Hinweis: Sie können Unified Access Gateway auch mit gemeinsam genutzten VPC-Netzwerken konfigurieren. In diesem Fall werden die im Dienstprojekt bereitgestellten Unified Access Gateway-Instanzen an die gemeinsam genutzten VPC-Netzwerke angehängt, die im Hostprojekt erstellt und verwaltet wurden. Jede Netzwerkkarte (NIC) auf Unified Access Gateway kann unabhängig konfiguriert werden, um entweder ein gemeinsam genutztes VPC-Netzwerk oder ein lokales VPC-Netzwerk zu verwenden. Weitere Informationen finden Sie unter Konfigurieren einer gemeinsam genutzten VPC in der Dokumentation zu Google Cloud.
  3. Notieren Sie sich den Namen des erstellten Subnetzes.
    Der Subnetzname innerhalb eines VPC-Netzwerks wird in der INI-Datei verwendet, während Unified Access Gateway mithilfe von PowerShell bereitgestellt wird.
  4. Erstellen Sie die notwendige Anzahl an Firewall-Einträgen, um dem TCP- und UDP-Port Zugriff auf Unified Access Gateway-Appliances in der über das Internet zugänglichen VPC zu gewähren.
    Wichtig: SSH-Remotezugriff auf Unified Access Gateway auf TCP-Port 22 über das Internet muss in der Firewall sorgfältig eingeschränkt werden. Wenn SSH-Zugriff erforderlich ist, darf dieser Zugriff gemäß Firewallregel lediglich über eine bestimmte IP-Quelladresse oder Jump-Box-VM in der Cloud erfolgen, von der aus der Zugriff gesteuert werden kann.
    Beispielsweise wird in der folgenden Abbildung einer Google Cloud Console eine Firewallregel mit der Bezeichnung uag-horizon-protocols in dem mit dem Internet verbundenen VPC-Netzwerk uag-front-vpc erstellt. Diese Firewallregel gilt für alle mit dem uag-front-vpc-Netzwerk verbundenen Instanzen und lässt aus dem öffentlichen Internet eingehenden TCP- und UDP-Datenverkehr auf bestimmten Ports zu.

    In der Google Cloud Console wird ein Firewall-Eintrag für den Horizon Edge-Dienst angezeigt, in dem TCP- und UDP-Ports konfiguriert werden.