若要將 Unified Access Gateway 部署到 Google Cloud Platform,必須使用 Google Cloud 專案,且必須為該專案設定 VPC 網路、對應的子網路和防火牆規則。
必要條件
- 確保您瞭解 Google Cloud Platform 概念。
- 確保您具有在 Google Cloud 專案中建立或修改資源 (例如映像、VPC 網路、子網路、防火牆規則等) 所需的權限。
- 必須啟用 Compute Engine API。
程序
- 使用 Google Cloud 專案。
選項 |
動作 |
新增專案 |
- 在 Google Cloud Console 中,導覽至專案選取器頁面。
- 建立 Google Cloud 專案。
|
現有專案 |
如果已有專案可用且為作用中,則可以使用該現有專案。 |
- 為每個 NIC 建立 Virtual Private Cloud (VPC) 網路。
Unified Access Gateway 上的每個 NIC 都使用唯一的 VPC 網路和該網路內的子網路。
如果您選擇不建立 VPC 網路,則只能部署單一 NIC Unified Access Gateway。當 Unified Access Gateway 應用裝置部署在 Compute Engine 中時,它將使用 Google Cloud Platform 中提供的預設 VPC 網路。
例如,在下圖中,在
Google Cloud Console 中建立了兩個 VPC 網路:
uag-front-vpc
和
uag-back-vpc
。這兩個 VPC 網路分別以
uag-front-network
和
uag-back-network
作為子網路。此時可以部署兩個
Unified Access Gateway NIC 應用裝置,以便將這兩個子網路用於網際網路對向的前端,並將個別的子網路用於後端連線。
備註: 您還可以為
Unified Access Gateway 設定共用 VPC 網路。在這種情況下,在服務專案上部署的
Unified Access Gateway 執行個體將連線至在主機專案上所建立及管理的共用 VPC 網路。可以將
Unified Access Gateway 上的每個網路介面 (NIC) 獨立設定為使用共用 VPC 網路或本機 VPC 網路。如需詳細資訊,請參閱
Google Cloud 說明文件上的
設定共用 VPC。
- 記下已建立的子網路名稱。
使用 PowerShell 部署
Unified Access Gateway 時,將在
.ini 檔案中使用 VPC 網路中的子網路名稱。
- 若要允許 TCP 和 UDP 連接埠存取可透過網際網路存取的 VPC 中的 Unified Access Gateway 應用裝置,請建立所需數量的防火牆項目。
重要: 必須在防火牆上謹慎限制 TCP 連接埠 22 上從網際網路透過 SSH 對
Unified Access Gateway 的遠端存取。如果需要透過 SSH 存取,防火牆規則必須僅允許從特定的來源 IP 位址或從雲端中可以控制存取的 jump box 虛擬機器,來進行這項存取。
例如,在以下
Google Cloud Console 映像中,在網際網路對向 VPC 網路
uag-horizon-protocols
中建立了一個名為
uag-front-vpc
的防火牆規則。此防火牆規則適用於連線至
uag-front-vpc
網路的所有執行個體,並允許指定連接埠上來自公用網際網路的輸入 TCP 和 UDP 流量。