Dokumen ini memberikan arsitektur referensi yang dapat Anda gunakan untuk men-deploy topologi jaringan hub-and-spoke Jaringan Lintas Cloud di Google Cloud. Desain jaringan ini memungkinkan deployment layanan software di seluruh Google Cloud dan jaringan eksternal, seperti pusat data lokal atau Penyedia Layanan Cloud (CSP) lainnya.
Desain ini mendukung beberapa koneksi eksternal, beberapa jaringan Virtual Private Cloud (VPC) akses layanan, dan beberapa jaringan VPC workload.
Audiens yang dituju untuk dokumen ini adalah administrator jaringan yang membuat konektivitas jaringan dan arsitek cloud yang merencanakan cara deployment workload. Dokumen ini mengasumsikan bahwa Anda memiliki pemahaman dasar tentang perutean dan koneksi internet.
Arsitektur
Diagram berikut menunjukkan tampilan tingkat tinggi arsitektur jaringan dan empat alur paket yang didukung arsitektur ini.
Arsitektur ini berisi elemen tingkat tinggi berikut:
Komponen | Tujuan | Interaksi |
---|---|---|
Jaringan eksternal (Jaringan lokal atau jaringan CSP lainnya) | Menghosting klien workload yang berjalan di VPC workload dan di VPC akses layanan. Jaringan eksternal juga dapat menghosting layanan. | Bertukar data dengan jaringan Virtual Private Cloud Google Cloud melalui jaringan transit. Terhubung ke jaringan transit menggunakan Cloud Interconnect atau VPN HA. Mengakhiri salah satu ujung alur berikut:
|
Jaringan VPC transit | Berfungsi sebagai hub untuk jaringan eksternal, jaringan VPC akses layanan, dan jaringan VPC beban kerja. | Menghubungkan jaringan eksternal, jaringan VPC akses layanan, dan jaringan VPC beban kerja secara bersamaan melalui kombinasi Cloud Interconnect, VPN HA, dan Peering Jaringan VPC. |
Jaringan VPC akses layanan | Memberikan akses ke layanan yang diperlukan oleh beban kerja yang berjalan di jaringan VPC beban kerja atau jaringan eksternal. Juga menyediakan titik akses ke layanan terkelola yang dihosting di jaringan lain. | Bertukar data dengan jaringan eksternal dan beban kerja melalui jaringan transit. Terhubung ke VPC transit menggunakan HA VPN. Pemilihan rute transitif yang disediakan oleh VPN dengan ketersediaan tinggi (HA) memungkinkan traffic eksternal menjangkau VPC layanan terkelola melalui jaringan VPC akses layanan. Mengakhiri salah satu ujung alur berikut:
|
Jaringan VPC layanan terkelola | Menghosting layanan terkelola yang diperlukan oleh klien di jaringan lain. | Bertukar data dengan jaringan eksternal, akses layanan, dan beban kerja. Terhubung ke jaringan VPC akses layanan menggunakan akses layanan pribadi, yang menggunakan Peering Jaringan VPC, atau menggunakan Private Service Connect. Menghentikan satu ujung alur dari semua jaringan lain. |
Jaringan VPC beban kerja | Menghosting workload yang diperlukan oleh klien di jaringan lain. | Bertukar data dengan jaringan VPC eksternal dan akses layanan melalui jaringan VPC transit. Terhubung ke jaringan transit menggunakan Peering Jaringan VPC. Terhubung ke jaringan VPC beban kerja lain menggunakan spoke VPC Network Connectivity Center. Mengakhiri salah satu ujung alur berikut:
|
Diagram berikut menunjukkan tampilan mendetail tentang arsitektur yang menyoroti empat koneksi di antara jaringan:
Deskripsi koneksi
Bagian ini menjelaskan empat koneksi yang ditampilkan dalam diagram sebelumnya.
Koneksi 1: Antara jaringan eksternal dan jaringan VPC transit
Koneksi ini antara jaringan eksternal dan jaringan VPC transit terjadi melalui Cloud Interconnect atau VPN dengan ketersediaan tinggi (HA). Rute dipertukarkan menggunakan BGP antara Cloud Router di jaringan VPC transit dan router eksternal di jaringan eksternal.
- Router di jaringan eksternal mengumumkan rute untuk subnet eksternal ke Cloud Router VPC transit. Secara umum, router eksternal di lokasi tertentu mengumumkan rute dari lokasi eksternal yang sama sebagai rute yang lebih disukai daripada rute untuk lokasi eksternal lainnya. Preferensi rute dapat dinyatakan menggunakan metrik dan atribut BGP.
- Cloud Router di jaringan VPC transit mengiklankan rute untuk awalan di VPC Google Cloud ke jaringan eksternal. Rute ini harus diumumkan menggunakan pengumuman rute kustom Cloud Router.
Koneksi 2: Antara jaringan VPC transit dan jaringan VPC akses layanan
Koneksi antara jaringan VPC transit dan jaringan VPC akses layanan terjadi melalui VPN dengan ketersediaan tinggi (HA) dengan tunnel terpisah untuk setiap region. Rute dipertukarkan menggunakan BGP antara Cloud Router regional di jaringan VPC transit dan jaringan VPC akses layanan.
- Cloud Router VPN dengan ketersediaan tinggi (HA) VPC Transit mengumumkan rute untuk awalan jaringan eksternal, VPC workload, dan VPC akses layanan lainnya ke Cloud Router VPC akses layanan. Rute ini harus diumumkan menggunakan pengumuman rute kustom Cloud Router.
- Jaringan VPC akses layanan mengumumkan subnetnya dan subnet jaringan VPC layanan terkelola yang terpasang ke jaringan VPC transit. Rute VPC layanan terkelola dan rute subnet VPC akses layanan harus diumumkan menggunakan pengumuman rute kustom Cloud Router.
Koneksi 3: Antara jaringan VPC transit dan jaringan VPC beban kerja
Koneksi ini antara jaringan VPC transit dan jaringan VPC workload diterapkan melalui peering VPC. Subnet dan rute awalan dipertukarkan menggunakan mekanisme peering VPC. Koneksi ini memungkinkan komunikasi antara jaringan VPC workload dan jaringan lain yang terhubung ke jaringan VPC transit, termasuk jaringan eksternal dan jaringan VPC akses layanan.
- Jaringan VPC transit menggunakan Peering Jaringan VPC untuk mengekspor rute kustom. Rute kustom ini mencakup semua rute dinamis yang telah dipelajari oleh jaringan VPC transit. Jaringan VPC beban kerja mengimpor rute kustom tersebut.
- Jaringan VPC beban kerja secara otomatis mengekspor subnet ke jaringan VPC transit. Tidak ada rute kustom yang diekspor dari VPC beban kerja ke VPC transit.
Koneksi 4: Antara jaringan VPC workload
- Jaringan VPC beban kerja dapat dihubungkan bersama menggunakan spoke VPC Network Connectivity Center. Ini adalah konfigurasi opsional. Anda dapat menghilangkannya jika tidak ingin jaringan VPC workload berkomunikasi satu sama lain.
Arus traffic
Diagram berikut menunjukkan empat alur yang diaktifkan oleh arsitektur referensi ini.
Tabel berikut menjelaskan alur dalam diagram:
Sumber | Tujuan | Deskripsi |
---|---|---|
Jaringan eksternal | Jaringan VPC akses layanan |
|
Jaringan VPC akses layanan | Jaringan eksternal |
|
Jaringan eksternal | Jaringan VPC beban kerja |
|
Jaringan VPC beban kerja | Jaringan eksternal |
|
Jaringan VPC beban kerja | Jaringan VPC akses layanan |
|
Jaringan VPC akses layanan | Jaringan VPC beban kerja |
|
Jaringan VPC beban kerja | Jaringan VPC beban kerja | Traffic yang keluar dari satu VPC beban kerja mengikuti rute yang lebih spesifik ke VPC beban kerja lainnya melalui Network Connectivity Center. Lalu lintas kembali akan membalikkan jalur ini. |
Produk yang digunakan
Arsitektur referensi ini menggunakan produk Google Cloud berikut:
- Virtual Private Cloud (VPC): Sistem virtual yang menyediakan fungsi jaringan global dan skalabel untuk beban kerja Google Cloud Anda. VPC mencakup Peering Jaringan VPC, Private Service Connect, akses layanan pribadi, dan VPC Bersama.
- Network Connectivity Center: Framework orkestrasi yang menyederhanakan konektivitas jaringan di antara resource spoke yang terhubung ke resource pengelolaan terpusat yang disebut hub.
- Cloud Interconnect: Layanan yang memperluas jaringan eksternal Anda ke jaringan Google melalui koneksi latensi rendah yang sangat tersedia.
- Cloud VPN: Layanan yang memperluas jaringan peer Anda dengan aman ke jaringan Google melalui tunnel VPN IPsec.
- Cloud Router: Penawaran terdistribusi dan terkelola sepenuhnya yang menyediakan kemampuan speaker dan responder Border Gateway Protocol (BGP). Cloud Router berfungsi dengan Cloud Interconnect, Cloud VPN, dan Router untuk membuat rute dinamis di jaringan VPC berdasarkan rute yang diterima BGP dan rute kustom yang dipelajari.
Pertimbangan Desain
Bagian ini menjelaskan faktor desain, praktik terbaik, dan rekomendasi desain yang harus Anda pertimbangkan saat menggunakan arsitektur referensi ini untuk mengembangkan topologi yang memenuhi persyaratan spesifik Anda terkait keamanan, keandalan, dan performa.
Keamanan dan kepatuhan
Daftar berikut menjelaskan pertimbangan keamanan dan kepatuhan untuk arsitektur referensi ini:
- Karena alasan kepatuhan, Anda mungkin ingin men-deploy workload hanya di satu region. Jika ingin menyimpan semua traffic di satu region, Anda dapat menggunakan topologi 99,9%. Untuk informasi selengkapnya, lihat Menetapkan ketersediaan 99,9% untuk Dedicated Interconnect dan Menetapkan ketersediaan 99,9% untuk Partner Interconnect.
- Gunakan Cloud Next Generation Firewall untuk mengamankan traffic yang masuk dan keluar dari jaringan VPC akses layanan dan workload. Untuk mengamankan traffic yang melewati antara jaringan eksternal dan jaringan transit, Anda harus menggunakan firewall eksternal atau firewall NVA.
- Aktifkan logging dan pemantauan sesuai dengan kebutuhan traffic dan kepatuhan Anda. Anda dapat menggunakan Log Aliran VPC untuk mendapatkan insight tentang pola traffic Anda.
- Gunakan Cloud IDS untuk mengumpulkan insight tambahan tentang traffic Anda.
Keandalan
Daftar berikut menjelaskan pertimbangan keandalan untuk arsitektur referensi ini:
- Untuk mendapatkan ketersediaan 99,99% untuk Cloud Interconnect, Anda harus terhubung ke dua region Google Cloud yang berbeda.
- Untuk meningkatkan keandalan dan meminimalkan eksposur terhadap kegagalan regional, Anda dapat mendistribusikan workload dan resource cloud lainnya di seluruh region.
- Untuk menangani traffic yang diharapkan, buat tunnel VPN dalam jumlah yang memadai. Setiap tunnel VPN memiliki batas bandwidth.
Pengoptimalan performa
Daftar berikut menjelaskan pertimbangan performa untuk arsitektur referensi ini:
- Anda mungkin dapat meningkatkan performa jaringan dengan meningkatkan unit transmisi maksimum (MTU) jaringan dan koneksi Anda. Untuk mengetahui informasi selengkapnya, lihat Unit transmisi maksimum.
- Komunikasi antara VPC transit dan resource workload dilakukan melalui Peering Jaringan VPC, yang menyediakan throughput kecepatan penuh untuk semua VM di jaringan tanpa biaya tambahan. Pertimbangkan kuota dan batas Peering Jaringan VPC saat Anda merencanakan deployment. Anda memiliki beberapa pilihan untuk menghubungkan jaringan eksternal ke jaringan transit. Untuk mengetahui informasi selengkapnya tentang cara menyeimbangkan pertimbangan biaya dan performa, lihat Memilih produk Network Connectivity.
Deployment
Arsitektur dalam dokumen ini membuat tiga kumpulan koneksi ke jaringan VPC transit pusat ditambah koneksi yang berbeda di antara jaringan VPC workload. Setelah semua koneksi dikonfigurasi sepenuhnya, semua jaringan dalam deployment dapat berkomunikasi dengan semua jaringan lainnya.
Deployment ini mengasumsikan bahwa Anda membuat koneksi antara jaringan eksternal dan jaringan transit di dua region. Namun, subnet workload dapat berada di wilayah mana pun. Jika hanya menempatkan beban kerja di satu region, Anda hanya perlu membuat subnet di region tersebut.
Untuk men-deploy arsitektur referensi ini, selesaikan tugas berikut:
- Mengidentifikasi region untuk menempatkan konektivitas dan workload
- Membuat jaringan dan subnet VPC
- Membuat koneksi antara jaringan eksternal dan jaringan VPC transit Anda
- Membuat koneksi antara jaringan VPC transit dan jaringan VPC akses layanan
- Membuat koneksi antara jaringan VPC transit dan jaringan VPC beban kerja
- Menghubungkan jaringan VPC beban kerja Anda
- Menguji konektivitas ke beban kerja
Mengidentifikasi region untuk menempatkan konektivitas dan workload
Secara umum, Anda ingin menempatkan konektivitas dan workload Google Cloud di dekat jaringan lokal atau klien cloud lainnya. Untuk informasi selengkapnya tentang menempatkan beban kerja, lihat Pemilih Wilayah Google Cloud dan Praktik terbaik untuk pemilihan wilayah Compute Engine.
Membuat jaringan dan subnet VPC
Untuk membuat jaringan dan subnet VPC, selesaikan tugas berikut:
- Buat atau identifikasi project tempat Anda akan membuat jaringan VPC. Untuk panduan, lihat Segmentasi jaringan dan struktur project. Jika Anda ingin menggunakan jaringan VPC Bersama, sediakan project Anda sebagai project host VPC Bersama.
- Merencanakan alokasi alamat IP untuk jaringan Anda. Anda dapat mengalokasikan dan mencadangkan rentang terlebih dahulu dengan membuat rentang internal. Dengan mengalokasikan blok alamat yang dapat digabungkan, konfigurasi dan operasi selanjutnya akan lebih sederhana.
- Buat VPC jaringan transit dengan perutean global diaktifkan.
- Membuat jaringan VPC layanan. Jika Anda akan memiliki workload di beberapa region, aktifkan pemilihan rute global.
- Membuat jaringan VPC beban kerja. Jika Anda akan memiliki workload di beberapa region, aktifkan pemilihan rute global.
Membuat koneksi antara jaringan eksternal dan jaringan VPC transit Anda
Bagian ini mengasumsikan konektivitas di dua region dan mengasumsikan bahwa lokasi eksternal terhubung dan dapat melakukan failover satu sama lain. Hal ini juga mengasumsikan bahwa ada preferensi bagi klien di lokasi eksternal A untuk menjangkau layanan di wilayah A, dan seterusnya.
- Siapkan konektivitas antara jaringan eksternal dan jaringan transit Anda. Untuk memahami cara memikirkan hal ini, lihat Konektivitas eksternal dan hybrid. Untuk panduan memilih produk konektivitas, lihat Memilih produk Network Connectivity.
- Konfigurasikan BGP di
setiap region yang terhubung sebagai berikut:
- Konfigurasikan router di lokasi eksternal yang diberikan sebagai berikut:
- Umumkan semua subnet untuk lokasi eksternal tersebut menggunakan BGP MED yang sama di kedua antarmuka, seperti 100. Jika kedua antarmuka mengumumkan MED yang sama, Google Cloud dapat menggunakan ECMP untuk melakukan load balancing traffic di kedua koneksi.
- Umumkan semua subnet dari lokasi eksternal lainnya menggunakan MED dengan prioritas lebih rendah daripada region pertama, seperti 200. Umumkan MED yang sama dari kedua antarmuka.
- Konfigurasikan Cloud Router yang menghadap ke luar di VPC
transit wilayah yang terhubung sebagai berikut:
- Tetapkan ASN Cloud Router Anda menjadi 16550.
- Dengan menggunakan pemberitahuan rute kustom, umumkan semua rentang subnet dari semua region melalui antarmuka Cloud Router yang menghadap ke luar. Gabungkan jika memungkinkan. Gunakan MED yang sama di kedua antarmuka, seperti 100.
- Konfigurasikan router di lokasi eksternal yang diberikan sebagai berikut:
Membuat koneksi antara jaringan VPC transit dan jaringan VPC akses layanan
Untuk menyediakan perutean transitif antara jaringan eksternal dan VPC akses layanan serta antara VPC beban kerja dan VPC akses layanan, VPC akses layanan menggunakan VPN HA untuk konektivitas.
- Perkiraan jumlah traffic yang perlu ditransmisikan antara VPC transit dan VPC akses layanan di setiap region. Sesuaikan jumlah tunnel yang diharapkan.
- Konfigurasikan VPN dengan ketersediaan tinggi (HA) antara VPC transpor
dan VPC akses layanan di region A menggunakan petunjuk
di Membuat gateway VPN dengan ketersediaan tinggi (HA) untuk menghubungkan jaringan VPC. Buat
Cloud Router VPN dengan ketersediaan tinggi (HA) khusus di jaringan
transit. Biarkan router yang menghadap jaringan eksternal untuk koneksi jaringan
eksternal.
- Konfigurasi Cloud Router VPC Transit:
- Untuk mengumumkan subnet VPC jaringan eksternal dan workload ke VPC akses layanan, gunakan pemberitahuan rute kustom di Cloud Router di VPC transit.
- Konfigurasi Cloud Router VPC akses layanan:
- Untuk mengumumkan subnet VPC akses layanan ke VPC transit, gunakan pemberitahuan rute kustom di Cloud Router VPC akses layanan.
- Jika Anda menggunakan akses layanan pribadi untuk menghubungkan VPC layanan terkelola ke VPC akses layanan, gunakan juga rute kustom untuk mengumumkan subnet tersebut.
- Konfigurasi Cloud Router VPC Transit:
- Jika Anda menghubungkan VPC layanan terkelola ke VPC akses layanan menggunakan akses layanan pribadi, setelah koneksi Peering Jaringan VPC dibuat, perbarui sisi VPC akses layanan dari koneksi Peering Jaringan VPC untuk mengekspor rute kustom.
Membuat koneksi antara jaringan VPC transit dan jaringan VPC workload
Buat koneksi Peering Jaringan VPC antara VPC transit dan setiap VPC workload:
- Aktifkan Ekspor rute kustom untuk sisi VPC transit setiap koneksi.
- Aktifkan Impor rute kustom untuk sisi VPC beban kerja dari setiap koneksi.
- Dalam skenario default, hanya rute subnet VPC beban kerja yang diekspor ke VPC Transit. Anda tidak perlu mengekspor rute kustom dari VPC beban kerja.
Menghubungkan jaringan VPC workload
Hubungkan jaringan VPC beban kerja secara bersamaan menggunakan spoke VPC Network Connectivity Center. Buat semua spoke menjadi bagian dari grup peer spoke Network Connectivity Center yang sama. Gunakan grup peer inti untuk mengizinkan komunikasi mesh penuh antar-VPC.
Koneksi Network Connectivity Center mengumumkan rute tertentu di antara jaringan VPC workload. Traffic di antara jaringan ini mengikuti rute tersebut.
Menguji konektivitas ke workload
Jika Anda memiliki beban kerja yang sudah di-deploy di jaringan VPC, uji akses ke beban kerja tersebut sekarang. Jika menghubungkan jaringan sebelum men-deploy beban kerja, Anda dapat men-deploynya sekarang dan mengujinya.
Langkah selanjutnya
- Pelajari lebih lanjut produk Google Cloud yang digunakan dalam panduan desain ini:
- Untuk mengetahui lebih banyak tentang arsitektur referensi, diagram, dan praktik terbaik lainnya, jelajahi Pusat Arsitektur Cloud.
Kontributor
Penulis:
- Deepak Michael | Networking Specialist Customer Engineer
- Victor Moreno | Product Manager, Cloud Networking
- Osvaldo Costa | Networking Specialist Customer Engineer
Kontributor lainnya:
- Mark Schlagenhauf | Technical Writer, Networking
- Ammett Williams | Developer Relations Engineer
- Ghaleb Al-habian | Network Specialist