Connettività tra VPC di reti cross-cloud utilizzando Network Connectivity Center

Questo documento fornisce un'architettura di riferimento che puoi utilizzare per implementare una topologia di rete inter-VPC Cross-Cloud Network in Google Cloud. Questa progettazione di rete consente il deployment di servizi software su Google Cloud e reti esterne, come data center on-premise o altri Cloud Service Provider (CSP).

Il pubblico di destinazione di questo documento include amministratori di rete, architetti cloud e architetti aziendali che creeranno la connettività di rete. Sono inclusi anche gli architetti cloud che pianificano la modalità di deployment dei carichi di lavoro. Il documento presuppone una conoscenza di base del routing e della connettività a internet.

Questo design supporta più connessioni esterne, più reti Virtual Private Cloud (VPC) con accesso ai servizi che contengono servizi e punti di accesso ai servizi e più reti VPC del carico di lavoro.

In questo documento, il termine punti di accesso ai servizi si riferisce ai punti di accesso ai servizi resi disponibili utilizzando l'accesso privato ai servizi e Private Service Connect. Google Cloud Network Connectivity Center è un modello di control plane hub and spoke per la gestione della connettività di rete in Google Cloud. La risorsa hub fornisce la gestione centralizzata della connettività per gli spoke VPC di Network Connectivity Center.

L'hub Network Connectivity Center è un piano di controllo globale che apprende e distribuisce le route tra i vari tipi di spoke a cui è connesso. Gli spoke VPC in genere inseriscono le route delle subnet nella tabella di route dell'hub centralizzato. Gli spoke ibridi in genere inseriscono route dinamiche nella tabella di route hub centralizzata. Utilizzando le informazioni del control plane dell'hub Network Connectivity Center, Google Cloud stabilisce automaticamente la connettività del data plane tra gli spoke di Network Connectivity Center.

Network Connectivity Center è l'approccio consigliato per interconnettere i VPC per una crescita scalabile su Google Cloud. Se devi inserire appliance virtuali di rete (NVA) nel percorso del traffico, puoi utilizzare la funzionalità di appliance router per le route dinamiche oppure utilizzare route statiche o basate su criteri insieme al peering di rete VPC per interconnettere i VPC. Per ulteriori informazioni, consulta Connettività inter-VPC di rete cross-cloud con il peering di rete VPC.

Architettura

Il seguente diagramma mostra una panoramica di alto livello dell'architettura delle reti e dei diversi flussi di pacchetti supportati da questa architettura.

L'architettura contiene i seguenti elementi di alto livello:

Componente	Finalità	Interazioni
Reti esterne (rete on-premise o di un altro CSP)	Ospita i client dei carichi di lavoro eseguiti nei VPC dei workload e nei VPC di accesso ai servizi. Anche le reti esterne possono ospitare servizi.	Scambia dati con le reti VPC di Google Cloudtramite la rete di transito. Si connette alla rete di transito utilizzando Cloud Interconnect o VPN ad alta disponibilità. Termina una delle seguenti sequenze: Da esterno a esterno External-to-services-access External-to-Private-Service-Connect-consumer Dall'esterno al workload
Rete VPC di transito (nota anche come rete VPC di routing in Network Connectivity Center)	Funge da hub per la rete esterna, la rete VPC di accesso ai servizi e le reti VPC dei carichi di lavoro.	Collega la rete esterna, la rete VPC di accesso ai servizi, la rete consumer Private Service Connect e le reti VPC del workload tramite una combinazione di Cloud Interconnect, VPN ad alta disponibilità e Network Connectivity Center.
Rete VPC services-access	Fornisce l'accesso ai servizi necessari ai carichi di lavoro in esecuzione nelle reti VPC del workload o nelle reti esterne. Fornisce anche punti di accesso a servizi gestiti ospitati in altre reti.	Scambia dati con le reti consumer esterne, dei carichi di lavoro e di Private Service Connect tramite la rete di transito. Si connette al VPC di transito utilizzando VPN ad alta disponibilità. Il routing transitivo fornito da VPN ad alta disponibilità consente al traffico esterno di raggiungere i VPC dei servizi gestiti tramite la rete VPC di accesso ai servizi. Termina una delle seguenti sequenze: External-to-services-access Workload-to-services-access Services-access-to-Private-Service-Connect-consumer
Rete VPC di servizi gestiti	Ospita i servizi gestiti necessari ai client in altre reti.	Scambia dati con le reti esterne, di accesso ai servizi, consumer Private Service Connect e dei carichi di lavoro. Si connette alla rete VPC services-access utilizzando l'accesso privato ai servizi, che utilizza il peering di rete VPC. Il VPC dei servizi gestiti può anche connettersi al VPC consumer Private Service Connect utilizzando Private Service Connect o l'accesso privato ai servizi. Termina un'estremità dei flussi da tutte le altre reti.
VPC consumer Private Service Connect	Ospita endpoint Private Service Connect accessibili da altre reti. Questo VPC potrebbe anche essere un VPC del carico di lavoro.	Scambia dati con le reti VPC esterne e di accesso ai servizi tramite la rete VPC di transito. Si connette alla rete di transito e ad altre reti VPC del workload utilizzando gli hub VPC di Network Connectivity Center.
Reti VPC del workload	Ospita i carichi di lavoro necessari ai client di altre reti. Questa architettura consente più reti VPC del carico di lavoro.	Scambia dati con le reti VPC esterne e di accesso ai servizi tramite la rete VPC di transito. Si connette alla rete di transito, alle reti consumer Private Service Connect e ad altre reti VPC del carico di lavoro utilizzando gli spoke VPC di Network Connectivity Center. Termina una delle seguenti sequenze: Dall'esterno al workload Workload-to-services-access Workload-to-Private-Service-Connect-consumer Da workload a workload
Network Connectivity Center	L'hub Network Connectivity Center incorpora un database di routing globale che funge da piano di controllo di rete per le route delle subnet VPC e delle connessioni ibride in qualsiasi regione Google Cloud .	Interconnette più reti VPC e ibride in una topologia any-to-any creando un percorso dati che utilizza la tabella di routing del control plane.

Il seguente diagramma mostra una visualizzazione dettagliata dell'architettura che evidenzia le quattro connessioni tra i componenti:

Descrizioni delle connessioni

Questa sezione descrive le quattro connessioni mostrate nel diagramma precedente. La documentazione di Network Connectivity Center si riferisce alla rete VPC di transito come VPC di routing. Anche se queste reti hanno nomi diversi, hanno lo stesso scopo.

Connessione 1: tra le reti esterne e le reti VPC di transito

Questa connessione tra le reti esterne e le reti VPC di transito avviene tramite Cloud Interconnect o VPN ad alta disponibilità. Le route vengono scambiate utilizzando BGP tra i router Cloud nella rete VPC di transito e tra i router esterni nella rete esterna.

• I router nelle reti esterne annunciano le route per le subnet esterne ai router cloud VPC di transito. In generale, i router esterni in una determinata località annunciano le route dalla stessa posizione esterna come più preferite rispetto alle route per altre posizioni esterne. La preferenza per le route può essere espressa utilizzando metriche e attributi BGP.
• I router cloud nella rete VPC di transito annunciano le route per i prefissi nei VPC di Google Cloud alle reti esterne. Queste route devono essere annunciate utilizzando gli annunci di route personalizzate delrouter Cloudr.
• Network Connectivity Center consente di trasferire dati tra diverse reti on-premise utilizzando la rete backbone di Google. Quando configuri i collegamenti VLAN di interconnessione come spoke ibridi di Network Connectivity Center, devi attivare il trasferimento di dati da sito a sito.
• I collegamenti VLAN Cloud Interconnect che hanno origine dagli stessi prefissi di rete esterni sono configurati come un singolo spoke di Network Connectivity Center.

Connessione 2: tra le reti VPC di transito e le reti VPC di accesso ai servizi

Questa connessione tra le reti VPC di transito e le reti VPC di accesso ai servizi avviene tramite VPN ad alta disponibilità con tunnel separati per ogni regione. Le route vengono scambiate utilizzando BGP tra i router Cloud regionali nelle reti VPC di transito e nelle reti VPC di accesso ai servizi.

• VPN ad alta disponibilità VPC di transito I router Cloud annunciano le route per i prefissi di rete esterni, i VPC dei carichi di lavoro e altri VPC di accesso ai servizi al router Cloud VPC di accesso ai servizi. Queste route devono essere annunciate utilizzando gli annunci di route personalizzati del router Cloud.
• La rete VPC di accesso ai servizi annuncia le proprie subnet e le subnet di tutte le reti VPC di servizi gestiti collegate alla rete VPC di transito. Le route VPC dei servizi gestiti e le route di subnet VPC di accesso ai servizi devono essere annunciate utilizzando gli annunci di route personalizzati del router Cloud.

Connessione 3: tra la rete VPC di transito, le reti VPC dei carichi di lavoro e le reti VPC di accesso ai servizi Private Service Connect

La connessione tra la rete VPC di transito, le reti VPC dei carichi di lavoro e le reti VPC consumer di Private Service Connect si verifica quando le subnet e le route con prefisso vengono scambiate utilizzando Network Connectivity Center. Questa connessione consente la comunicazione tra le reti VPC del carico di lavoro, le reti VPC di accesso ai servizi connesse come spoke VPC di Network Connectivity Center e altre reti connesse come spoke ibridi di Network Connectivity Center. Queste altre reti includono le reti esterne e le reti VPC di accesso ai servizi che utilizzano rispettivamente la connessione 1 e la connessione 2.

• I collegamenti Cloud Interconnect o VPN ad alta disponibilità nella rete VPC di transito utilizzano Network Connectivity Center per esportare le route dinamiche nelle reti VPC del workload.
• Quando configuri la rete VPC del workload come spoke dell'hub Network Connectivity Center, la rete VPC del workload esporta automaticamente le relative subnet nella rete VPC di transito. Se vuoi, puoi configurare la rete VPC di transito come VPC spoke. Nessuna route statica viene esportata dalla rete VPC del workload alla rete VPC di transito. Non vengono esportate route statiche dalla rete VPC di transito alla rete VPC del workload.

Connessione 4: VPC consumer Private Service Connect con propagazione Network Connectivity Center

• Gli endpoint di Private Service Connect sono organizzati in un VPC comune che consente ai consumer di accedere ai servizi gestiti di prima e terza parte.
• La rete VPC consumer Private Service Connect è configurata come spoke VPC Network Connectivity Center. Questo spoke abilita la propagazione di Private Service Connect nell'hub Network Connectivity Center. La propagazione di Private Service Connect annuncia il prefisso host dell'endpoint Private Service Connect come route nella tabella di routing dell'hub Network Connectivity Center.
• Le reti VPC consumer di Private Service Connect ai servizi si connettono alle reti VPC dei carichi di lavoro e alle reti VPC di transito. Queste connessioni consentono la connettività transitiva agli endpoint Private Service Connect. L'hub Network Connectivity Center deve avere la propagazione della connessione Private Service Connect abilitata.
• Network Connectivity Center crea automaticamente un percorso dati da tutti gli spoke all'endpoint Private Service Connect.

Flussi di traffico

Il seguente diagramma mostra i flussi abilitati da questa architettura di riferimento.

La seguente tabella descrive i flussi nel diagramma:

Origine	Destinazione	Descrizione
Rete esterna	Rete VPC services-access	Il traffico segue le route sulle connessioni esterne alla rete di transito. Le route vengono annunciate dal router Cloud rivolto verso l'esterno. Il traffico segue la route personalizzata alla rete VPC services-access. La route viene annunciata tramite la connessione VPN ad alta disponibilità. Se la destinazione si trova in una rete VPC di servizi gestiti connessa alla rete VPC di accesso ai servizi tramite l'accesso privato ai servizi, il traffico segue le route personalizzate di Network Connectivity Center alla rete di servizi gestiti.
Rete VPC services-access	Rete esterna	Il traffico segue una route personalizzata attraverso i tunnel VPN ad alta disponibilità alla rete di transito. Il traffico segue le route attraverso le connessioni esterne fino alla rete esterna. Le route vengono apprese dai router esterni tramite BGP.
Rete esterna	Rete VPC del workload o rete VPC consumer Private Service Connect	Il traffico segue le route sulle connessioni esterne alla rete di transito. Le route vengono annunciate dal router Cloud rivolto verso l'esterno. Il traffico segue la route di subnet fino alla rete VPC del workload pertinente. La route viene appresa tramite Network Connectivity Center.
Rete VPC del workload o rete VPC consumer Private Service Connect	Rete esterna	Il traffico segue una route dinamica verso la rete di transito. La route viene appresa tramite un'esportazione di route personalizzata di Network Connectivity Center. Il traffico segue le route attraverso le connessioni esterne fino alla rete esterna. Le route vengono apprese dai router esterni tramite BGP.
Rete VPC del carico di lavoro	Rete VPC services-access	Il traffico segue le route alla rete VPC di transito. I route vengono appresi tramite un'esportazione di route personalizzate di Network Connectivity Center. Il traffico segue una route attraverso uno dei tunnel VPN ad alta disponibilità alla rete VPC di accesso ai servizi. Le route vengono apprese dagli annunci di route personalizzate BGP.
Rete VPC services-access	Rete VPC del carico di lavoro	Il traffico segue una route personalizzata verso la rete di transito. La route viene annunciata nei tunnel VPN ad alta disponibilità. Il traffico segue la route di subnet fino alla rete VPC del workload pertinente. La route viene appresa tramite Network Connectivity Center.
Rete VPC del carico di lavoro	Rete VPC del carico di lavoro	Il traffico che esce da un VPC del carico di lavoro segue la route più specifica verso l'altro VPC del carico di lavoro tramite Network Connectivity Center. Il traffico di ritorno inverte questo percorso.

Prodotti utilizzati

• Virtual Private Cloud (VPC): un sistema virtuale che fornisce funzionalità di rete globali e scalabili per i tuoi Google Cloud carichi di lavoro. VPC include il peering di rete VPC, Private Service Connect, l'accesso privato ai servizi e VPC condiviso.
• Network Connectivity Center: un framework di orchestrazione che semplifica la connettività di rete tra le risorse spoke connesse a una risorsa di gestione centrale chiamata hub.
• Cloud Interconnect: un servizio che estende la tua rete esterna alla rete Google tramite una connessione a disponibilità elevata e a bassa latenza.
• Cloud VPN: un servizio che estende in modo sicuro la tua rete peer alla rete di Google tramite un tunnel VPN IPsec.
• Cloud Router: un'offerta distribuita e completamente gestita che fornisce funzionalità di speaker e responder Border Gateway Protocol (BGP). Router Cloud funziona con Cloud Interconnect, Cloud VPN e le appliance router per creare route dinamiche nelle reti VPC in base alle route ricevute da BGP e a quelle apprese personalizzate.
• Cloud Next Generation Firewall: un servizio firewall completamente distribuito con funzionalità di protezione avanzate, microsegmentazione e gestione semplificata per proteggere i tuoi Google Cloud workload da attacchi interni ed esterni.

Considerazioni sulla progettazione

Questa sezione descrive i fattori di progettazione, le best practice e i consigli di progettazione da prendere in considerazione quando utilizzi questa architettura di riferimento per sviluppare una topologia che soddisfi i tuoi requisiti specifici di sicurezza, affidabilità e prestazioni.

Sicurezza e conformità

Il seguente elenco descrive le considerazioni relative a sicurezza e conformità per questa architettura di riferimento:

• Per motivi di conformità, potresti voler eseguire il deployment dei workload solo in una singola regione. Se vuoi mantenere tutto il traffico in una singola regione, puoi utilizzare una topologia al 99,9%.
• Utilizza Cloud Next Generation Firewall (Cloud NGFW) per proteggere il traffico in entrata e in uscita dalle reti VPC di accesso ai servizi e dei carichi di lavoro. Per ispezionare il traffico che passa tra reti ibride attraverso la rete di transito o tra reti esterne e servizi gestiti da Google, devi utilizzare firewall esterni o firewall NVA.
• Se richiedi l'ispezione del traffico L7, attiva il servizio di rilevamento e prevenzione delle intrusioni (facoltativamente con supporto dell'ispezione TLS) per bloccare le attività dannose e proteggere i tuoi carichi di lavoro dalle minacce, supportando vulnerabilità, antispyware e antivirus. Il servizio funziona creando endpoint firewall di zona gestiti da Google che utilizzano la tecnologia di intercettazione dei pacchetti per ispezionare in modo trasparente i workload senza richiedere alcuna riprogettazione delle route. Cloud Next Generation Firewall Enterprise comporta addebito per l'endpoint firewall zonale e per l'elaborazione dei dati.
• Se vuoi consentire o bloccare il traffico in base ai dati di Google Threat Intelligence, utilizza Google Threat Intelligence. Ti vengono addebitati i costi di elaborazione dei dati di Cloud Next Generation Firewall Standard.
• Attiva il logging delle regole firewall e utilizza Firewall Insights per controllare, verificare l'effetto, comprendere e ottimizzare le regole firewall. Il logging delle regole firewall può comportare costi, quindi ti consigliamo di utilizzarlo in modo selettivo.
• Attiva Connectivity Tests per assicurarti che il traffico si comporti come previsto.
• Abilita la registrazione e il monitoraggio in base alle esigenze di traffico e conformità. Per ottenere informazioni sui pattern di traffico, utilizza i log di flusso VPC insieme a Flow Analyzer.
• Utilizza Cloud IDS o il servizio di prevenzione delle intrusioni Cloud NGFW Enterprise in modalità di avviso per raccogliere ulteriori informazioni sul tuo traffico.

Affidabilità

Il seguente elenco descrive le considerazioni sull'affidabilità per questa architettura di riferimento:

• Per ottenere una disponibilità del 99,99% per Cloud Interconnect, devi connetterti a due regioni Google Cloud diverse da diverse aree metropolitane in due zone distinte.
• Per migliorare l'affidabilità e ridurre al minimo l'esposizione a guasti regionali, puoi distribuire i workload e altre risorse cloud tra le regioni.
• Per gestire il traffico previsto, crea un numero sufficiente di tunnel VPN. I singoli tunnel VPN hanno limiti di larghezza di banda.

Ottimizzazione delle prestazioni

Il seguente elenco descrive le considerazioni sul rendimento per questa architettura di riferimento:

• Potresti migliorare le prestazioni della rete aumentando l'unità di trasmissione massima (MTU) delle reti e delle connessioni. Per ulteriori informazioni, vedi Unità massima di trasmissione.
• La comunicazione tra il VPC di transito e le risorse del carico di lavoro avviene tramite una connessione Network Connectivity Center. Questa connessione fornisce una velocità effettiva a velocità di linea completa per tutte le VM nella rete senza costi aggiuntivi. Hai diverse opzioni per connettere la tua rete esterna alla rete di transito. Per ulteriori informazioni su come bilanciare i costi e le considerazioni sul rendimento, consulta Scegliere un prodotto per la connettività di rete.

Deployment

Questa sezione descrive come eseguire il deployment della connettività inter-VPC di Cross-Cloud Network utilizzando l'architettura Network Connectivity Center descritta in questo documento.

L'architettura descritta in questo documento crea tre tipi di connessioni a un VPC di transito centrale, oltre a una connessione tra le reti VPC del carico di lavoro e le reti VPC del carico di lavoro. Una volta configurato completamente, Network Connectivity Center stabilisce la comunicazione tra tutte le reti.

Questo deployment presuppone che tu stia creando connessioni tra le reti esterne e di transito in due regioni, anche se le subnet dei workload possono trovarsi in altre regioni. Se i workload vengono inseriti in una sola regione, le subnet devono essere create solo in quella regione.

Per eseguire il deployment di questa architettura di riferimento, completa le seguenti attività:

1. Crea la segmentazione di rete con Network Connectivity Center
2. Identificare le regioni in cui posizionare la connettività e i carichi di lavoro
3. Crea le reti VPC e le subnet
4. Crea connessioni tra reti esterne e la tua rete VPC di transito
5. Crea connessioni tra la tua rete VPC di transito e le reti VPC di accesso ai servizi
6. Stabilisci la connettività tra la rete VPC di transito e le reti VPC del workload
7. Configura i criteri Cloud NGFW
8. Test della connettività ai carichi di lavoro

Crea la segmentazione di rete con Network Connectivity Center

Prima di creare un hub Network Connectivity Center per la prima volta, devi decidere se utilizzare una topologia a mesh completa o a stella. La decisione di eseguire il commit di una mesh completa di VPC interconnessi o di una topologia a stella di VPC è irreversibile. Utilizza le seguenti linee guida generali per prendere questa decisione irreversibile:

• Se l'architettura aziendale della tua organizzazione consente il traffico tra le tue reti VPC, utilizza la mesh Network Connectivity Center.
• Se il flusso di traffico tra determinati spoke VPC diversi non è consentito, ma questi spoke VPC possono connettersi a un gruppo principale di spoke VPC, utilizza una topologia a stella di Network Connectivity Center.

Identificare le regioni in cui posizionare la connettività e i workload

In generale, vuoi posizionare la connettività e i Google Cloud carichi di lavoro in prossimità delle tue reti on-premise o di altri client cloud. Per saperne di più sul posizionamento dei carichi di lavoro, consulta Google Cloud Selettore di regioni e Best practice per la scelta dell'area geografica per Compute Engine.

Crea le reti e le subnet VPC

Per creare le reti e le subnet VPC, completa le seguenti attività:

1. Crea o identifica i progetti in cui creerai le reti VPC. Per indicazioni, vedi Segmentazione della rete e struttura del progetto. Se intendi utilizzare reti VPC condiviso, provisiona i tuoi progetti come progetti host VPC condiviso.

2. Pianifica le allocazioni degli indirizzi IP per le tue reti. Puoi preallocare e prenotare gli intervalli creando intervalli interni. In questo modo, la configurazione e le operazioni successive saranno più semplici.

3. Crea un VPC di rete di transito con il routing globale abilitato.

4. Crea reti VPC di accesso ai servizi. Se prevedi di avere workload in più regioni, abilita il routing globale.

5. Crea reti VPC del workload. Se avrai workload in più regioni, attiva il routing globale.

Crea connessioni tra reti esterne e la rete VPC di transito

Questa sezione presuppone la connettività in due regioni e che le posizioni esterne siano connesse e possano eseguire il failover l'una sull'altra. Inoltre, presuppone che i client in una località esterna preferiscano raggiungere i servizi nella regione in cui si trova la località esterna.

1. Configura la connettività tra le reti esterne e la tua rete di transito. Per capire come affrontare questo problema, vedi Connettività esterna e ibrida. Per indicazioni sulla scelta di un prodotto di connettività, consulta Scegliere un prodotto di connettività di rete.

2. Configura BGP in ogni regione connessa nel seguente modo:

   • Configura il router nella posizione esterna specificata come segue:
     • Annuncia tutte le subnet per la località esterna utilizzando lo stesso BGP MED su entrambe le interfacce, ad esempio 100. Se entrambe le interfacce annunciano lo stesso MED, Google Cloud può utilizzare ECMP per bilanciare il carico del traffico su entrambe le connessioni.
     • Annuncia tutte le subnet dell'altra posizione esterna utilizzando un valore MED con priorità inferiore rispetto a quello della prima regione, ad esempio 200. Annuncia la stessa MED da entrambe le interfacce.
   • Configura il router Cloud rivolto verso l'esterno nel VPC di transito della regione connessa nel seguente modo:
     • Imposta il router Cloud con un ASN privato.
     • Utilizza annunci di route personalizzati, per annunciare tutti gli intervalli di subnet di tutte le regioni su entrambe le interfacce del router Cloud rivolte all'esterno. Aggregali se possibile. Utilizza lo stesso MED su entrambe le interfacce, ad esempio 100.

3. Utilizza l'hub Network Connectivity Center e gli spoke ibridi, utilizza i parametri predefiniti.

   • Crea un hub Network Connectivity Center. Se la tua organizzazione consente il traffico tra tutte le reti VPC, utilizza la configurazione full-mesh predefinita.
   • Se utilizzi Partner Interconnect, Dedicated Interconnect, VPN ad alta disponibilità o un'appliance router per raggiungere i prefissi on-premise, configura questi componenti come spoke ibridi di Network Connectivity Center diversi.
     • Per annunciare le subnet della tabella di routing dell'hub Network Connectivity Center ai peer BGP remoti, imposta un filtro per includere tutti gli intervalli di indirizzi IPv4.
     • Se la connettività ibrida termina su un router Cloudr in una regione che supporta il trasferimento di dati, configura lo spoke ibrido con il trasferimento di dati site-to-site attivato. In questo modo viene supportato il trasferimento di dati site-to-site che utilizza la rete backbone di Google.

Crea connessioni tra la tua rete VPC di transito e le reti VPC di accesso ai servizi

Per fornire il routing transitivo tra le reti esterne e il VPC di accesso ai servizi e tra i VPC dei carichi di lavoro e il VPC di accesso ai servizi, quest'ultimo utilizza VPN ad alta disponibilità per la connettività.

1. Stima la quantità di traffico che deve spostarsi tra i VPC di transito e di accesso ai servizi in ogni regione. Scala di conseguenza il numero previsto di tunnel.

2. Configura la VPN ad alta disponibilità tra la rete VPC di transito e la rete VPC di accesso ai servizi nella regione A seguendo le istruzioni riportate in Crea gateway VPN ad alta disponibilità per connettere le reti VPC. Crea un router Cloud VPN ad alta disponibilità dedicato nella rete VPC di transito. Lascia il router rivolto verso la rete esterna per le connessioni di rete esterne.

   • Configurazione del router Cloud VPC di transito:
     • Per annunciare le subnet VPC della rete esterna e del carico di lavoro al VPC di accesso ai servizi, utilizza le pubblicità di route personalizzate sul router Cloud nel VPC di transito.
   • Configurazione del router Cloud VPC con accesso ai servizi:
     • Per annunciare le subnet di rete VPC di accesso ai servizi alla VPC di transito, utilizza annunci di route personalizzate sul router Cloud della rete VPC di accesso ai servizi.
     • Se utilizzi l'accesso privato ai servizi per connettere una rete VPC di servizi gestiti al VPC di accesso ai servizi, utilizza route personalizzate per annunciare anche queste subnet.
   • Sul lato VPC di transito del tunnel VPN ad alta disponibilità, configura la coppia di tunnel come spoke ibrido di Network Connectivity Center:
     • Per supportare il trasferimento di dati tra regioni, configura lo spoke ibrido con il trasferimento di dati site-to-site abilitato.
     • Per annunciare le subnet della tabella di routing dell'hub Network Connectivity Center ai peer BGP remoti, imposta un filtro per includere tutti gli intervalli di indirizzi IPv4. Questa azione annuncia tutte le route di subnet IPv4 al vicino.
       • Per installare le route dinamiche quando la capacità è limitata sul router esterno, configura il router Cloud in modo che annunci una route di riepilogo con un annuncio di route personalizzato. Utilizza questo approccio anziché annunciare l'intera tabella di routing dell'hub Network Connectivity Center.

3. Se connetti un VPC di servizi gestiti al VPC services-access utilizzando l'accesso privato ai servizi dopo aver stabilito la connessione di peering di rete VPC, devi anche aggiornare il lato VPC services-access della connessione di peering di rete VPC per esportare le route personalizzate.

Stabilisci la connettività tra la rete VPC di transito e le reti VPC del workload

Per stabilire la connettività tra VPC su larga scala, utilizza Network Connectivity Center con gli spoke VPC. Network Connectivity Center supporta due diversi tipi di modelli di data plane: il modello di data plane full-mesh o il modello di data plane a topologia a stella.

• Se tutte le tue reti possono comunicare tra loro, allora Stabilisci la connettività full-mesh.
• Se l'architettura aziendale richiede una topologia point-to-multipoint, allora Stabilisci la connettività della topologia a stella.

Stabilisci la connettività full-mesh

Gli spoke VPC di Network Connectivity Center includono i VPC di transito, i VPC consumer di Private Service Connect e tutti i VPC dei carichi di lavoro.

• Sebbene Network Connectivity Center crei una rete completamente mesh di VPC spoke, gli operatori di rete devono consentire i flussi di traffico tra le reti di origine e quelle di destinazione utilizzando regole firewall o policy firewall.
• Configura tutti i VPC consumer di workload, transito e Private Service Connect come spoke VPC di Network Connectivity Center. Non possono esserci sovrapposizioni di subnet tra gli spoke VPC.
  • Quando configuri lo spoke VPC, annuncia intervalli di subnet di indirizzi IP non sovrapposti alla tabella di routing dell'hub Network Connectivity Center:
    • Includi gli intervalli di subnet per l'esportazione.
    • Escludi gli intervalli di subnet per l'esportazione.
• Se gli spoke VPC si trovano in progetti diversi e sono gestiti da amministratori diversi da quelli dell'hub Network Connectivity Center, gli amministratori degli spoke VPC devono avviare una richiesta di unione all'hub Network Connectivity Center negli altri progetti.
  • Utilizza le autorizzazioni Identity and Access Management (IAM) nel progetto hub Network Connectivity Center per concedere il ruolo roles/networkconnectivity.groupUser all'utente.
• Per consentire l'accesso transitivo e globale alle connessioni di servizio privato da altri spoke Network Connectivity Center, abilita la propagazione delle connessioni Private Service Connect sull'hub Network Connectivity Center.

Se la comunicazione inter-VPC completamente mesh tra i VPC dei carichi di lavoro non è consentita, valuta la possibilità di utilizzare una topologia a stella di Network Connectivity Center.

Stabilisci la connettività della topologia a stella

Le architetture aziendali centralizzate che richiedono una topologia point-to-multipoint possono utilizzare una topologia a stella di Network Connectivity Center.

Per utilizzare una topologia a stella di Network Connectivity Center, completa le seguenti attività:

1. In Network Connectivity Center, crea un hub Network Connectivity Center e specifica una topologia a stella.
2. Per consentire l'accesso transitivo e globale alle connessioni di servizio privato da altri spoke Network Connectivity Center, abilita la propagazione delle connessioni Private Service Connect sull'hub Network Connectivity Center.
3. Quando configuri l'hub Network Connectivity Center per una topologia a stella, puoi raggruppare i VPC in uno dei due gruppi predeterminati: gruppi centrali o gruppi edge.

4. Per raggruppare i VPC nel gruppo centrale, configura i VPC di transito e consumer di Private Service Connect come spoke VPC Network Connectivity Center nell'ambito del gruppo centrale.

   Network Connectivity Center crea una rete completamente mesh tra gli spoke VPC posizionati nel gruppo centrale.

5. Per raggruppare i VPC dei workload nel gruppo edge, configura ciascuna di queste reti come spoke VPC di Network Connectivity Center all'interno di questo gruppo.

   Network Connectivity Center crea un percorso dati point-to-point da ogni VPC spoke di Network Connectivity Center a tutte le VPC nel gruppo centrale.

Configura i criteri Cloud NGFW

Oltre alle indicazioni riportate in Sicurezza e conformità, prendi in considerazione le best practice per le regole firewall.

Altre considerazioni

• Ti consigliamo di utilizzare policy firewall di rete anziché regole firewall VPC se i tuoi carichi di lavoro vengono eseguiti su VM Compute Engine. Le policy firewall di rete offrono vantaggi quali sicurezza granulare e controllo dell'accesso tramite tag, gestione semplificata delle regole, facilità di operazioni, set di funzionalità più ricco e residenza dei dati flessibile. Se hai già regole firewall VPC, puoi utilizzare lo strumento di migrazione delle regole firewall VPC per facilitare la migrazione a un criterio firewall di rete globale.
• Google Kubernetes Engine crea e gestisce automaticamente determinate regole firewall VPC per consentire il traffico essenziale, pertanto ti consigliamo di non modificare o eliminare queste regole. Tuttavia, le policy firewall di rete possono comunque essere utilizzate insieme alle regole firewall VPC e, facoltativamente, modificare l'ordine di applicazione delle policy.
• Ti consigliamo di utilizzare i tag anziché i tag di rete con le regole firewall a causa dei controlli IAM, dello scaling migliorato e del supporto dei criteri firewall di rete. Tuttavia, i tag non sono supportati dalle policy firewall gerarchiche o dalle reti con peering di Network Connectivity Center, quindi in questi casi devi creare regole basate sugli intervalli CIDR.

1. Se vuoi abilitare l'ispezione L7 su Cloud NGFW, configura il servizio di prevenzione delle intrusioni, inclusi profili di sicurezza, endpoint firewall e associazione VPC.
2. Crea una policy del firewall di rete globale e tutte le regole firewall necessarie. Tieni in considerazione le regole implicite per consentire il traffico in uscita e negare il traffico in entrata presenti in ogni rete VPC.
3. Associa la policy alle reti VPC.
4. Se utilizzi già le regole firewall VPC nelle tue reti, potresti voler modificare l'ordine di valutazione di policy e regole in modo che le tue nuove regole vengano valutate prima delle regole firewall VPC.
5. (Facoltativo) Attiva il logging delle regole firewall.

Test della connettività ai workload

Se hai carichi di lavoro già implementati nelle tue reti VPC, prova ad accedervi ora. Se hai connesso le reti prima di aver eseguito il deployment dei workload, puoi eseguire il deployment dei workload ora e testarli.

Passaggi successivi

• Scopri di più sui prodotti Google Cloud utilizzati in questa guida alla progettazione:
  • Reti VPC
  • Network Connectivity Center
  • Cloud Interconnect
  • VPN ad alta disponibilità
• Per ulteriori architetture di riferimento, diagrammi e best practice, esplora il Cloud Architecture Center.

Collaboratori

Autori:

• Eric Yu | Customer Engineer specializzato in networking
• Deepak Michael | Networking Specialist Customer Engineer
• Victor Moreno | Product Manager, Cloud Networking
• Osvaldo Costa | Networking Specialist Customer Engineer

Altri collaboratori:

• Mark Schlagenhauf | Technical Writer, Networking
• Ammett Williams | Developer Relations Engineer
• Ghaleb Al-habian | Specialista di rete
• Tony Sarathchandra | Senior Product Manager