VPC 網路架構與設計

VPC 是你架構的骨幹

如果說運算和儲存是架構的器官，那網路就是血管系統。一個設計不良的 VPC 架構會讓所有上層服務窒礙難行，而一個精心規劃的網路架構則能讓安全性、效能和可維護性同時到位。作為架構師，你對 VPC 的掌握程度，直接決定了你能設計出多複雜的解決方案。

VPC 基礎架構

GCP 的 VPC 是全球性資源（Global Resource）——這是它與 AWS VPC（區域性）最根本的差異。一個 VPC 可以跨越所有 GCP 區域，子網路（Subnet）才是區域性的。

核心概念

• Auto Mode VPC — 自動在每個區域建立子網路，使用預定義的 IP 範圍。適合快速原型，但不建議用於生產環境
• Custom Mode VPC — 完全由你控制子網路配置和 IP 範圍。生產環境的標準選擇
• Alias IP Ranges — 在同一個網路介面上配置多個 IP 範圍，讓 GKE Pod 直接擁有 VPC 原生 IP，不需要額外路由
• IP 範圍規劃 — 主要子網路範圍用於 VM，次要範圍用於 GKE 的 Pod 和 Service，規劃時必須預留足夠空間

💡 考試小提示：題目提到「需要讓 Pod 直接在 VPC 中被路由」或「VPC-native 叢集」，答案一定涉及 Alias IP Ranges。Auto mode VPC 幾乎不會是正確答案——看到生產環境需求就選 Custom mode。

Shared VPC 與 VPC Peering

企業級架構中，網路資源的集中管理是關鍵議題。GCP 提供兩種跨專案的網路連接方式：

Shared VPC

Shared VPC 讓一個**宿主專案（Host Project）的 VPC 網路共享給多個服務專案（Service Projects）**使用，實現組織層級的集中式網路管理：

• 網路管理員在宿主專案統一管理子網路、防火牆規則和路由
• 各團隊在服務專案中部署資源，使用宿主專案的子網路
• 符合**職責分離（Separation of Duties）**原則——網路團隊管網路，應用團隊管應用

VPC Peering

VPC Peering 建立兩個 VPC 之間的私有連線，流量不經過公共網際網路：

• 可以跨組織（Organization）連接，適合合作夥伴或併購場景
• 關鍵限制：不支援傳遞性路由（No Transitive Peering）——如果 VPC-A peer 到 VPC-B，VPC-B peer 到 VPC-C，VPC-A 無法透過 VPC-B 到達 VPC-C
• 每個 VPC 最多 25 個 peering 連線（可申請提高）

該選哪個？

💡 考試小提示：看到「集中管理網路」「職責分離」「多團隊共用子網路」就選 Shared VPC；看到「跨組織連接」「兩個獨立 VPC 互通」就選 VPC Peering。特別注意 transitive peering 的陷阱題。

負載平衡策略

GCP 的負載平衡是考試重點中的重點。理解每種 LB 類型的適用場景和差異，是答對選型題的基礎：

決策關鍵

1. 外部 vs 內部 — 流量來自網際網路還是 VPC 內部？
2. HTTP vs TCP/UDP — 需要 Layer 7 功能（URL 路由、Header 改寫）還是 Layer 4 即可？
3. 全球 vs 區域 — 使用者分布全球還是集中單一區域？

Global External HTTP(S) LB 基於 Envoy proxy，提供進階流量管理：URL map 路由、流量分割（Canary deployment）、Header-based routing、自動 SSL 憑證管理。

💡 考試小提示：PCA 考試最常出現的 LB 題型是「全球 Web 應用」——答案幾乎必然是 Global External HTTP(S) LB。如果題目強調「內部微服務通訊」且需要 URL 路由能力，則是 Internal HTTP(S) LB。

Cloud Armor

Cloud Armor 是 GCP 的 Web 應用防火牆（WAF）與 DDoS 防護服務，與 Global External HTTP(S) LB 緊密整合：

• 安全政策（Security Policies） — 基於 IP、地理位置、L7 屬性（Header、Cookie）的存取控制規則
• 預設 WAF 規則 — 內建 OWASP Top 10 防護（SQL Injection、XSS 等）
• Adaptive Protection — 基於機器學習自動偵測和緩解 Layer 7 DDoS 攻擊
• Bot Management — 整合 reCAPTCHA Enterprise，區分真人和機器人流量
• Rate Limiting — 限制單一 IP 或使用者的請求頻率

Cloud Armor 安全政策最常與 Global External HTTP(S) LB 搭配，但並不限於此——backend security policy 也支援所有 External Application LB（含 Regional External ALB）、Regional Internal Application LB，以及 External proxy Network LB（TCP/SSL Proxy）的 backend service。架構師選型時可依負載平衡器類型評估是否需要套用 Cloud Armor。

Private Service Connect

Private Service Connect（PSC） 是 GCP 私有連線架構的核心，讓你透過 VPC 內部的私有端點存取 Google API 和第三方服務，流量完全不經過公共網際網路：

Consumer / Producer 模型

• Consumer（消費者） — 在自己的 VPC 建立 PSC 端點（Endpoint），獲得一個私有 IP 來存取服務
• Producer（生產者） — 發布服務供其他 VPC 消費，透過 Service Attachment 暴露服務

核心優勢

• 相較於 Private Google Access，提供更靈活、可控的私有存取方案（兩者並存，依需求選用）
• 支援存取 Google API（BigQuery、Cloud Storage 等）和第三方託管服務
• 消費者和生產者的 IP 範圍完全獨立，不需要擔心 IP 衝突
• 搭配 DNS 自動設定，應用程式無需修改即可使用

💡 考試小提示：當題目要求「私有存取 Google API」且強調安全性，Private Service Connect 是比 Private Google Access 更現代的答案。看到「第三方服務的私有連線」或「consumer/producer 模型」，也指向 PSC。

Cloud NAT

Cloud NAT 為沒有外部 IP 的 VM 提供出站網際網路存取，是安全架構的基礎元件：

• 區域性資源 — 每個區域需要獨立配置
• 僅出站（Egress Only） — 提供 SNAT，不允許從外部發起連線進入
• 免管 Gateway — 不需要佈建 NAT VM，GCP 全託管
• 與 Private Google Access 互補 — Cloud NAT 處理對公共網際網路的存取，Private Google Access / PSC 處理對 Google API 的私有存取

防火牆規則設計

GCP 防火牆規則是 VPC 層級的分散式防火牆，作用於每個 VM 的虛擬網路介面：

規則層級

1. Hierarchical Firewall Policies — 在組織或資料夾層級定義，強制所有下層專案遵守，適合安全團隊的集中管控
2. VPC Firewall Rules — 在 VPC 層級定義，適用於該 VPC 內的所有資源
3. Firewall Insights — 透過分析 VPC Flow Logs 識別未使用或過於寬鬆的規則，持續優化防火牆配置

Cloud NGFW（Next-Generation Firewall）

Cloud NGFW 是 GCP 的雲原生新一代防火牆，提供 L3-L7 的全層級防護：

• Cloud NGFW Standard — 包含 FQDN 篩選（以域名而非 IP 控制存取）和地理位置篩選
• Cloud NGFW Enterprise — 新增 入侵偵測/防護（IDS/IPS），基於 Palo Alto Networks 引擎，可偵測和阻擋惡意流量、漏洞利用、C2 通訊。透過 Hierarchical Firewall Policies 中的 apply_security_profile_group 啟用

💡 考試小提示：題目提到「L7 入侵偵測/防護」「IDS/IPS」「深度封包檢測」，答案是 Cloud NGFW Enterprise。如果只是「以域名過濾流量」，Cloud NGFW Standard 的 FQDN 篩選即可。

Secure Web Proxy

Secure Web Proxy 是 GCP 的全託管出站（egress）Web 代理服務，專為控制和監控 VPC 內部工作負載的出站 HTTPS 流量而設計：

• 基於 URL、主機名、路徑的細粒度出站存取控制
• 搭配 TLS 檢查，可審查加密流量中的惡意內容
• 適合合規需求高的環境（金融、醫療），需要記錄和控制所有出站連線

💡 考試小提示：題目提到「控制出站 Web 流量」「出站存取審計」或「只允許存取特定外部 URL」，優先選 Secure Web Proxy。它與 Cloud NAT 互補——Cloud NAT 提供出站連線能力，Secure Web Proxy 提供出站存取控制。

目標指定方式

• Network Tags — 基於標籤篩選，簡單但不受 IAM 控制（任何能編輯 VM 的人都能修改 tag）
• Service Accounts — 基於身分篩選，受 IAM 控制，安全性更高。生產環境建議使用 Service Account 而非 Network Tag

💡 考試小提示：題目提到「防火牆規則的安全最佳實踐」或「防止開發人員繞過防火牆」，答案是用 Service Account 作為目標而非 Network Tag，或使用 Hierarchical Firewall Policies 強制執行。

實戰情境

情境一：多層 Web 應用的網路架構

背景：一家電商公司需要部署三層式 Web 應用（前端、API、資料庫），全球使用者存取，需要 DDoS 防護。

架構決策：

• 前端層 — 使用 Global External HTTP(S) LB 搭配 Cloud Armor 提供全球存取和 WAF 防護，後端為部署在多區域的 Cloud Run 服務
• API 層 — 使用 Internal HTTP(S) LB 做服務間路由，前端透過內部端點呼叫 API
• 資料庫層 — Cloud SQL 配置 Private IP，僅允許 API 層的 Service Account 透過防火牆規則存取
• 出站存取 — 透過 Cloud NAT 讓私有 VM 安裝套件和更新，透過 PSC 私有存取 Google API

情境二：企業組織的 Shared VPC 設計

背景：一家跨國企業有 5 個開發團隊，需要統一的網路管理，同時讓各團隊獨立部署資源。

架構決策：

• 建立 Shared VPC 架構，IT 基礎架構團隊管理宿主專案中的網路資源
• 為每個團隊建立獨立的服務專案，使用宿主專案的子網路部署工作負載
• 在組織層級設定 Hierarchical Firewall Policies，強制所有專案的安全基線（如阻擋已知惡意 IP 範圍）
• 各子網路使用 VPC Flow Logs 搭配 Firewall Insights 持續監控和優化網路存取模式
• 透過 Private Service Connect 統一存取 Google API，確保資料不離開 Google 網路

重點整理

• GCP VPC 是全球性資源，子網路是區域性——這是與其他雲端的核心差異
• Shared VPC 實現集中式網路管理與職責分離，是企業架構的首選模式
• VPC Peering 不支援傳遞性路由——這是高頻考點，三個 VPC 串聯的題型要特別小心
• 負載平衡選型先問三個問題：外部/內部？HTTP/TCP？全球/區域？
• Cloud Armor 只能搭配 Global External HTTP(S) LB，提供 WAF + DDoS + Bot 防護
• Private Service Connect 是私有存取 Google API 和第三方服務的現代方案
• 防火牆規則的安全最佳實踐：用 Service Account 而非 Network Tag，搭配 Hierarchical Firewall Policies
• Cloud NGFW Enterprise 提供 L7 IDS/IPS 入侵偵測防護；Secure Web Proxy 控制出站 Web 流量

下一步

在下一課中，我們將探討混合連線與多雲網路，掌握 Cloud Interconnect、HA VPN、Cloud DNS 與 Cloud Router 的架構設計，建立安全可靠的混合雲連線。