Google Cloud 建議在下列情況使用區域或多區域端點:
- 傳輸中的資料必須保留在特定區域或管轄區內。
- 您需要區域資料處理的證據,以利遵循法規或進行稽核。
- 您需要區域隔離的故障網域,才能存取 Google Cloud服務。
如果客戶需要使用特定位置的服務,區域和多區域端點最能滿足需求。這些端點也能確保傳輸中的資料留在特定位置。無論是透過私人連線或公用網際網路存取資料,資料所在地都會維持不變。
區域和多區域端點與 Private Google Access 不同。透過 Private Google Access,私人子網路中的 VM 無須經過網際網路,即可連上 Google API。區域端點提供更嚴格的區域隔離和資料落地,因為整個要求路徑和服務前端都已區域化。
地區端點
區域 API 端點可透過限定於單一 Google Cloud 區域的 API 端點存取 Google Cloud 服務。傳送至區域端點的流量會在指定區域內處理並終止 TLS。
對於大多數 Google Cloud 服務,您可以使用地區端點,在指定區域內處理區域性資源。區域端點通常不支援對全域資源、多區域資源和區域外區域資源執行的作業。
多區域端點
多地區 API 端點可讓您透過 API 端點存取 Google Cloud 服務,這些端點的範圍限定於同一國家/地區 (例如美國、印度或加拿大) 或管轄區 (例如歐盟) 內的一組 Google Cloud 區域。傳送至多區域端點的流量會在指定管轄區內處理,並完全終止 TLS。
對於大多數 Google Cloud 服務,您可以使用多區域端點,在指定的多區域中處理多區域資源。通常不支援對其他管轄區的全球資源、區域資源和多區域資源執行作業。
區域和多區域端點的優點
使用區域和多區域端點有以下優點:
- 資料落地:確保傳輸中的資料只會留在所選區域,以利遵守嚴格的資料落地規定。系統一律會在指定區域內終止 TLS 工作階段。
- 區域隔離:減少跨區域依附元件,降低其他區域發生故障時造成的影響。
- 法規遵循:協助您遵守法規或政策規定,確保資料在特定地理範圍內處理及儲存。
區域和多區域端點的限制
您無法透過 Private Google Access 存取區域和多區域端點。如要透過私人存取權連線至區域端點,請使用 Private Service Connect 建立私人端點。詳情請參閱「透過私人端點存取區域性 Google API」。
許多服務不支援從區域端點進行跨區域作業。 如要執行跨區域作業,請使用全域端點。如果跨區域作業仍位於單一管轄區內,請使用多區域端點。
部分 Google Cloud 服務不支援區域或多區域端點。如需支援的完整服務清單,請參閱「區域服務端點」。
地區和多區域端點的延遲時間可能比全域端點長。實際成效會因所在位置和使用區域而異。
實作區域和多區域端點
您可以透過區域負載平衡器,從 VPC 私下存取區域或多區域端點。舉例來說,您可以定義 VPC Service Controls 範圍,將特定專案的雲端資源與網際網路和未經授權的網路隔離。您可以決定要對哪些服務強制執行 VPC Service Controls,然後將專案放入範圍內。詳情請參閱本文的「使用 VPC Service Controls」一節。
公開存取權
您可以透過網際網路公開存取區域和多區域端點。從網際網路存取區域端點時,流量會透過 Google Cloud 標準級網路傳送。連線 (包括 TLS 終止) 會在目的地區域內處理。
詳情請參閱「透過公開端點存取區域 Google API」。
私人存取權
如要私下存取區域和多區域端點,請使用 Private Service Connect。Private Service Connect 會在您的虛擬私有雲 (VPC) 中建立私人 IP 位址。私有 IP 位址會轉送至區域服務。雖然全域 API 通常會使用特殊範圍 (例如 private.googleapis.com) 透過標準 Private Google Access 存取,但區域和多區域端點需要明確的私人端點設定。
詳情請參閱「透過私人端點存取區域性 Google API」。
設定路由和防火牆
請按照下列指南正確設定路由和防火牆。
地端部署轉送
如果透過 Cloud Interconnect 或 Cloud VPN 從地端部署環境連線至區域端點,您必須通告區域端點私人 IP 範圍。這項設定可確保流量從地端部署網路正確轉送至 Google Cloud 服務。
- Cloud Router:使用自訂路由通告,透過混合式連線通告所有私有 IP 範圍。
- 地端部署防火牆:設定地端部署防火牆,允許輸出流量傳向區域端點的公開或私人虛擬 IP 位址範圍。詳情請參閱「使用虛擬私有雲防火牆規則」。
虛擬私有雲防火牆規則
設定輸出防火牆政策,允許流量傳向區域端點的私人 IP 位址。如果移除預設路徑,請確認區域端點虛擬 IP 位址 (VIP) 範圍已設有適當路徑:
如要存取公開 VIP,請確認區域端點的 VIP 範圍有路由,且下一個躍點設為預設網際網路閘道。
如果是 Private Service Connect,請使用 IP 位址或標準內部路由。
詳情請參閱「設定階層式防火牆政策,允許特定虛擬私有雲網路傳出的流量」。
使用 VPC Service Controls
區域端點與 VPC Service Controls 服務範圍相容。如要進一步瞭解 VPC Service Controls,請參閱「Service perimeter 詳細資料和設定」。
VPC Service Controls 可建立安全範圍,協助防止資料從 Google Cloud服務遭竊。由於您無法透過 Private Google Access 存取區域端點,如要存取虛擬私有雲 perimeter 中的端點,必須使用 Private Service Connect 設定私人端點。
範圍強制執行:將
storage.googleapis.com等服務新增至 VPC Service Controls 範圍的「受限制的服務」清單時,VPC Service Controls 規則會套用至該服務的所有存取方法,包括透過區域端點存取。Service Control 檢查:無論是公用或私有,對區域端點的 API 要求都會受到 Service Control API 的政策檢查。Service Control API 會根據 VPC Service Controls perimeter 設定評估要求,並檢查來源網路、來源專案和目標資源專案。
在 perimeter 內:如果服務屬於 perimeter 的可存取服務,VPC Service Controls perimeter 內的資源 (例如 VM) 就能透過區域端點存取服務。網路端點必須位於 VPC 邊界內,因此您需要使用 Private Service Connect 建立私有區域端點。詳情請參閱「透過私人端點存取區域性 Google API」。
perimeter 外部:如果嘗試使用任何端點類型,從 perimeter 外部存取 perimeter 內受保護的資源,VPC Service Controls 會封鎖這類存取要求,除非存取層級或輸入和輸出規則明確允許存取。
舉例來說,您可以定義 VPC Service Controls 範圍,對 Cloud Storage 資源強制執行政策,然後將 secure_project 放在範圍內。只有 secure_project 中的 VM 可以存取 secure_project 的 Cloud Storage 資源。此外,這些 VM 也無法存取範圍外的 Cloud Storage 資源。
VPC Service Controls 的優點
使用 VPC Service Controls 可享有下列優點:
您可享有區域隔離和資料落地的好處,同時獲得 VPC Service Controls 的資料竊取防護功能。
使用 VPC Service Controls 時,範圍限定於單一區域的存取權也會受到 VPC Service Controls perimeter 的安全界線控管。
設定 VPC Service Controls
在 VPC Service Controls 服務範圍內,您必須使用 Private Service Connect,從 VPC 服務範圍內存取私人區域端點。詳情請參閱「透過私人端點存取區域性 Google API」。
標準公開區域端點存取權可能會遭到封鎖,因為系統會將其視為來自範圍外的存取要求。
確認您要存取的服務 (例如
compute.googleapis.com或bigquery.googleapis.com) 包含在受服務範圍限制的服務清單中。
使用組織政策進一步強制執行
組織政策可為貴機構的雲端資源提供額外控管機制。下列兩項政策可搭配區域端點,強制執行資料落地,並提升區域隔離效果:
強制使用地區端點
如要強制使用區域端點,請使用「限制端點用量」組織政策限制,拒絕存取全域端點。詳情請參閱「限制端點用量」。
區域端點可確保傳輸中的資料保留在區域內,而「限制端點用量」限制條件則可確保用於儲存靜態資料的資源只會在您允許的區域中建立。同時使用這兩項政策,可更全面地保護靜態資料和傳輸中的資料的落地機制。
「限制端點用量」限制是使用拒絕清單設定,允許對未明確拒絕的任何支援服務 API 端點提出要求。設定區域端點後,除非使用「端點用量限制」組織政策限制,否則仍可存取全域端點。
「限制端點用量」限制條件可控管使用者建立及儲存新 Google Cloud 資源的實際位置,強制執行靜態資料駐留。這項政策僅適用於支援服務的新資源建立作業。現有資源不會受到影響。
強制執行位置限制
資源位置限制政策 (constraints/gcp.resourceLocations) 可控管新 Google Cloud 資源的建立和儲存位置,解決靜態資料落地問題。詳情請參閱 Resource Manager 說明文件中的「設定組織政策」。
使用資源位置限制政策時,您可以定義允許或拒絕的 Google Cloud 位置清單。位置可以是區域、可用區或多個區域。這項政策僅適用於支援服務的新資源建立作業。現有資源不會受到影響。
搭配使用這項政策與區域端點有許多好處,因為區域端點可確保傳輸中的資料留在區域內,而位置限制政策可確保儲存資料的資源位於您允許的區域。
合併執行
使用「限制端點用量」政策拒絕全域端點,並使用「資源位置」限制政策限制資源的建立位置,即可強制執行靜態資料和傳輸中的資料。
- 靜態資料:資源只會在允許的區域中建立及儲存。
- 傳輸中的資料:使用對應的區域端點時,與這些資源的 API 互動完全會在指定區域內處理。
定價
如果是私人區域端點,定價依據是 Private Service Connect 用量。帳單費用包括端點和資料處理。
如果是公開區域端點,輸入流量不會計費。輸出流量的計費依據為標準級網路價格。
參考說明文件
後續步驟
- 存取私人區域端點。
- 存取公開區域端點。
- 透過後端存取區域性 Google API。
- 請參閱 Google Cloud 支援的區域服務端點。