Connessione a Google

Esistono vari modi per connettere i cluster GKE On-Prem, in esecuzione nel tuo data center on-prem, alla rete di Google. Le possibilità includono:

Connessione a Internet standard

In determinati scenari, puoi utilizzare Internet come connessione tra Google e il tuo data center on-prem. Ad esempio:

  • il deployment GKE On-Prem è autocondizionato on-premise e i tuoi componenti on-prem raramente comunicano con la rete di Google. Utilizzi la connessione principalmente per la gestione del cluster. La velocità, l'affidabilità e la sicurezza della connessione non sono fondamentali.

  • Il cluster on-prem è autonomo, tranne per l'accesso a un servizio Google come Cloud SQL. Il traffico tra il cluster on-prem e il servizio Google utilizza indirizzi IP pubblici. Le regole del firewall vengono configurate per fornire la sicurezza.

Cloud VPN con route statiche

Con Cloud VPN, il traffico tra Google e il tuo data center on-prem attraversa la rete Internet pubblica, ma è criptato. I componenti on-prem possono comunicare con i componenti cloud utilizzando indirizzi IP privati. Con le route statiche, devi configurare manualmente le route tra le reti Google Cloud e la tua rete on-prem. Utilizza Cloud VPN se la sicurezza è importante, ma la velocità non è un problema.

Cloud VPN con router Cloud

Con Cloud VPN e il router Cloud, il traffico tra Google e il tuo data center on-prem attraversa la rete Internet pubblica, ma è criptato. I componenti on-prem possono comunicare con i componenti cloud utilizzando indirizzi IP privati. Il router Cloud scambia dinamicamente le route tra le tue reti Google Cloud e la tua rete on-prem. Il routing dinamico è particolarmente vantaggioso quando la rete si espande e cambia, perché garantisce la propagazione dello stato di routing corretto al data center on-prem.

Partner Interconnect

Partner Interconnect fornisce la connettività tra la tua rete on-prem e la rete Google tramite un provider di servizi supportato. Il traffico tra Google e il tuo data center on-prem non attraversa la rete Internet pubblica. I componenti on-prem possono comunicare con i componenti cloud utilizzando indirizzi IP privati. La connessione a Google è veloce, sicura e affidabile.

Dedicated Interconnect

Dedicated Interconnect fornisce una connessione fisica diretta tra la tua rete on-prem e la rete Google. Questo può essere conveniente se hai esigenze di larghezza di banda elevate. Il traffico tra Google e il tuo data center on-prem non attraversa la rete Internet pubblica. I componenti on-prem possono comunicare con i componenti cloud utilizzando indirizzi IP privati. La tua connessione a Google è sicura e affidabile ed è ancora più veloce di una connessione che utilizza Partner Interconnect.

Scelta di un tipo di connessione

Per ulteriori indicazioni sulla scelta di un tipo di connessione, consulta:

Monitoraggio della rete

Indipendentemente dal modo in cui stabilisci una connessione fondamentale a Google, puoi usufruire degli insight forniti dal logging e dal monitoraggio della rete. Per ulteriori informazioni, consulta Logging e monitoraggio per GKE On-Prem.

Ottimizzare la connessione fondamentale

Una volta stabilita la connessione fondamentale, puoi aggiungere funzionalità che migliorano l'accesso, la sicurezza e la visibilità. Ad esempio, puoi abilitare Accesso privato Google, Controlli di servizio VPC o Connetti.

Il resto della guida su questo argomento presuppone che tu stia utilizzando una delle seguenti opzioni per la connessione fondamentale a Google:

Accesso privato Google

L'accesso privato Google consente alle VM che hanno solo indirizzi IP privati di raggiungere gli indirizzi IP delle API e dei servizi Google. È incluso il caso in cui i nodi del cluster GKE On-Prem hanno solo indirizzi IP privati. L'accesso privato Google si attiva a livello di subnet.

Con l'accesso privato Google, le richieste dal tuo data center on-prem ai servizi Google attraversano la tua connessione Cloud Interconnect o Cloud VPN anziché attraversare la rete Internet pubblica.

Utilizza l'accesso privato Google nelle situazioni seguenti:

  • Le tue VM on-prem senza indirizzi IP pubblici devono connettersi ai servizi Google come BigQuery, Pub/Sub o Container Registry.

  • Desideri connetterti ai servizi Google senza attraversare la rete Internet pubblica.

Per un elenco dei servizi che supportano l'accesso privato Google dalle VM on-prem, consulta la pagina Servizi supportati. Per informazioni sull'utilizzo dell'accesso privato Google dalle VM on-prem, consulta la pagina Configurare l'accesso privato Google per gli host on-prem.

Servizi che non richiedono l'accesso privato Google

In alcuni casi, non è necessario l'accesso privato Google per raggiungere un servizio da una VM che ha solo un indirizzo IP privato. Ad esempio:

  • Crei un'istanza Cloud SQL che ha sia un indirizzo IP pubblico sia un indirizzo IP privato. Quindi i componenti on-prem possono accedere all'istanza Cloud SQL utilizzando il proprio indirizzo IP privato. In questo caso non hai bisogno dell'accesso privato Google, perché non devi raggiungere l'indirizzo IP pubblico di un servizio Google. Questo funziona solo se il router Cloud converte l'indirizzo IP privato dell'istanza Cloud SQL nella tua rete on-prem.

  • Hai un cluster GKE nel cloud di Google e i nodi cluster hanno indirizzi IP privati. I componenti on-prem possono accedere a un servizio NodePort o a un servizio bilanciatore del carico interno nel cluster Cloud GKE.

Controlli di servizio VPC

Per una maggiore protezione contro l'esfiltrazione, puoi utilizzare i Controlli di servizio VPC. Con i Controlli di servizio VPC, puoi configurare i perimetri di sicurezza attorno alle risorse dei servizi gestiti da Google e controllare lo spostamento dei dati all'interno del perimetro.

Connetti

Connect ti consente di visualizzare e gestire i cluster utente on-prem da Google Cloud Console.

Passaggi successivi

Indietro
Networking
Avanti
Archiviazione