Google Cloud Platform เปิดตัว Cloud NAT พร้อมฟีเจอร์ด้านเครือข่ายและความปลอดภัยอื่น ๆ

Google เปิดตัวฟีเจอร์ด้านระบบเครือข่ายเพิ่มเติมหลายอย่างบน Google Cloud Platform โดยมีทั้งหมด 4 อย่างหลัก ๆ คือ Cloud NAT, Firewall Rules Logging, Managed TLS Certificates for HTTPS Load Balancers และ Container-Native Load Balancing

ฟีเจอร์แรกคือ Cloud NAT เป็นระบบ NAT ที่ Google จะดูแลให้ เพื่อให้ผู้ใช้ระบบคลาวด์รักษาความปลอดภัยของ instance โดยไม่ต้องเปิดไอพีแอดเดรสออกเป็นสาธารณะในขณะที่ระบบยังคงออกอินเทอร์เน็ตได้ โดยตัว Cloud NAT มีฟีเจอร์หลายอย่าง เช่น

  • ดีไซน์แบบไม่มีจุด choke point (จุดเล็ก ๆ ที่บังคับว่าต้องผ่านตรงนี้) เพราะไม่ได้ดีไซน์มาเป็น NAT proxy ตัวเดียว จึงสามารถสเกนระบบได้ดี
  • รองรับทั้ง Google Compute Engine และ Google Kubernetes Engine
  • รองรับการคอนฟิกไอพีแอดเดรส NAT หลาย ๆ แอดเดรสต่อ NAT gateway แต่ละตัว
  • ระบบจัดสรรไอพี NAT แบบควบคุมเอง หรืออัตโนมัติก็ได้
  • NAT gateway ตัวหนึ่งสามารถให้บริการทุกซับเน็ตในแต่ละ VPC region ได้ ไม่จำกัดจำนวน instance ในแต่ละซับเน็ต
  • high availability ในระดับ region คือถ้าโซนใดโซนหนึ่งไม่สามารถใช้งานได้ NAT gateway ก็ยังคงทำงานได้ตามปกติ

ตอนนี้ Cloud NAT ยังอยู่ในช่วงการทดสอบเบต้า โดยรายละเอียดของระบบ Cloud NAT ดูเพิ่มเติมได้ที่ Google Cloud

No Description

ส่วนฟีเจอร์อื่น ๆ ของระบบเครือข่ายและความปลอดภัยบน Google Cloud Platform อื่น ๆ ที่มาพร้อมกับ Cloud NAT ได้แก่

  • Firewall Rules Logging เพื่อให้ผู้ใช้ตรวจสอบ, ยืนยัน และวิเคราะห์ผลกระทบของกฎที่ตั้งไว้ใน firewall คือระบบจะบันทึกการเชื่อมต่อที่อนุญาตหรือปฏิเสธ และรายงานออกมาทุก 5 วินาที และสามารถส่งออก log ไปยัง Stackdriver Logging, Cloud Pub/Sub หรือ BigQuery ได้ด้วย โดยฟีเจอร์นี้ยังอยู่ในช่วงทดสอบเบต้า
  • Managed TLS Certificates for HTTPS Load Balancers เป็นระบบจัดการใบรับรอง TLS สำหรับ HTTPS load balancer หลาย ๆ ตัว โดยระบบนี้จะทำการจัดหาใบรับรองแบบ root-trusted TLS มาให้ และจัดการ lifecycle โดยยกเลิกและต่ออายุใบรับรองให้ด้วย โดยฟีเจอร์นี้ยังอยู่ในช่วงทดสอบเบต้า
  • Container-Native Load Balancing สำหรับแอพที่รันบน Google Kubernetes Engine (GKE) และ Kubernetes ที่ผู้ใช้จัดการเองบน Google Cloud ด้วยระบบนี้ผู้ใช้สามารถสั่ง load balancer ให้วิ่งตรงไปยัง network endpoint ที่แสดงถึงตัวคอนเทนเนอร์ได้โดยตรง และระบุไอพีกับพอร์ตโดยใช้ Network Endpoint Groups (NEGs) เพื่อให้ทำการ load balance ตรงไปยังคอนเทนเนอร์ ไม่ต้องผ่าน VM โดยไม่จำเป็น

ที่มา – Google Cloud Blog

from:https://www.blognone.com/node/105829

Advertisements