Questo documento fornisce un'architettura di riferimento che puoi utilizzare per eseguire il deployment di una rete Cross-Cloud Network con topologia hub-and-spoke in Google Cloud. Questa progettazione di rete consente il deployment di servizi software su Google Cloud e reti esterne, come data center on-premise o altri fornitori di servizi cloud (CSP).
Questo design supporta più connessioni esterne, più reti Virtual Private Cloud (VPC) per l'accesso ai servizi e più reti VPC per i carichi di lavoro.
Il pubblico di destinazione di questo documento è costituito dagli amministratori di rete che realizzano la connettività di rete e dagli architetti cloud che pianificano il modo in cui vengono implementati i carichi di lavoro. Il documento presuppone che tu abbia una conoscenza di base del routing e della connettività internet.
Architettura
Il seguente diagramma mostra una visione di alto livello dell'architettura delle reti e dei quattro flussi di pacchetti supportati da questa architettura.
L'architettura contiene i seguenti elementi di alto livello:
| Componente | Finalità | Interazioni |
|---|---|---|
| Reti esterne (on-premise o di altri fornitori di servizi cloud) | Ospita i client dei carichi di lavoro eseguiti nei VPC dei carichi di lavoro e nei VPC di accesso ai servizi. Anche le reti esterne possono ospitare servizi. | Scambia dati con le reti Virtual Private Cloud di Google Cloud tramite la rete di transito. Si connette alla rete di transito utilizzando Cloud Interconnect o VPN ad alta disponibilità. Termina un'estremità dei seguenti flussi:
|
| Rete VPC di transito | Agisce da hub per la rete esterna, la rete VPC di accesso ai servizi e le reti VPC del carico di lavoro. | Connette la rete esterna, la rete VPC di accesso ai servizi e le reti VPC dei carichi di lavoro tramite una combinazione di Cloud Interconnect, VPN ad alta disponibilità e peering di reti VPC. |
| Rete VPC di accesso ai servizi | Fornisce l'accesso ai servizi necessari per i carichi di lavoro in esecuzione nelle reti VPC del carico di lavoro o in reti esterne. Fornisce inoltre punti di accesso ai servizi gestiti ospitati in altre reti. | Scambia dati con le reti esterne e di carico di lavoro tramite la rete di transito. Si connette alla VPC di transito utilizzando la VPN ad alta disponibilità. Il routing transitivo fornito dalla VPN ad alta disponibilità consente al traffico esterno di raggiungere i VPC dei servizi gestiti tramite la rete VPC di accesso ai servizi. Termina un'estremità dei seguenti flussi:
|
| Rete VPC dei servizi gestiti | Ospita i servizi gestiti necessari ai clienti in altre reti. | Scambia dati con le reti esterne, di accesso ai servizi e dei carichi di lavoro. Si connette alla rete VPC di accesso ai servizi utilizzando l'accesso privato ai servizi, che utilizza il peering di reti VPC, o Private Service Connect. Termina un'estremità dei flussi provenienti da tutte le altre reti. |
| Reti VPC del workload | Ospita i carichi di lavoro necessari ai clienti in altre reti. | Scambia dati con le reti VPC esterne e di accesso ai servizi tramite la rete VPC di transito. Si connette alla rete di transito utilizzando il peering di rete VPC. Si connette ad altre reti VPC del tuo workload utilizzando gli spoke VPC di Network Connectivity Center. Termina un'estremità dei seguenti flussi:
|
Il seguente diagramma mostra una visualizzazione dettagliata dell'architettura che mette in evidenza le quattro connessioni tra le reti:
Descrizioni delle connessioni
Questa sezione descrive le quattro connessioni mostrate nel diagramma precedente.
Connessione 1: tra le reti esterne e la rete VPC di transito
Questa connessione tra le reti esterne e le reti VPC di transito avviene tramite Cloud Interconnect o VPN ad alta disponibilità. Le route vengono scambiate utilizzando BGP tra i router Cloud nella rete VPC di transito e i router esterni nella rete esterna.
- I router nelle reti esterne annunciano le route per le subnet esterne ai router Cloud VPC di transito. In genere, i router esterni in una determinata località annunciano i percorsi dalla stessa località esterna come preferiti rispetto ai percorsi per altre località esterne. La preferenza delle route può essere espressa utilizzando le metriche e gli attributi BGP.
- I router cloud nella rete VPC di transito pubblicizzano le route per i prefissi nei VPC di Google Cloud alle reti esterne. Queste route devono essere annunciate utilizzando gli annunci di route personalizzate del router Cloud.
Connessione 2: tra reti VPC di transito e reti VPC di accesso ai servizi
Questa connessione tra le reti VPC di transito e le reti VPC di accesso ai servizi avviene tramite VPN ad alta disponibilità con tunnel separati per ogni regione. Le route vengono scambiate utilizzando BGP tra i router Cloud regionali nelle reti VPC di transito e le reti VPC di accesso ai servizi.
- I router Cloud VPN ad alta disponibilità VPC di transito annunciano le route per i prefissi di rete esterni, i VPC per i carichi di lavoro e altri VPC di accesso ai servizi al router Cloud VPC di accesso ai servizi. Queste route devono essere annunciate utilizzando gli annunci di route personalizzate del router Cloud.
- La rete VPC di accesso ai servizi annuncia le sue subnet e le subnet di eventuali reti VPC di servizi gestiti collegate alla rete VPC di transito. Le route VPC per i servizi gestiti e le route di subnet VPC per l'accesso ai servizi devono essere annunciate utilizzando gli annunci di route personalizzate del router Cloud.
Connessione 3: tra reti VPC di transito e reti VPC di workload
Questa connessione tra le reti VPC di transito e le reti VPC di lavoro viene implementata tramite il peering VPC. Le subnet e le route con prefisso vengono scambiate utilizzando i meccanismi di peering VPC. Questa connessione consente la comunicazione tra le reti VPC del carico di lavoro e le altre reti collegate alla rete VPC di transito, incluse le reti esterne e le reti VPC di accesso ai servizi.
- La rete VPC di transito utilizza il peering di rete VPC per esportare le route personalizzate. Queste route personalizzate includono tutte le route dinamiche acquisite dalla rete VPC di transito. Le reti VPC del workload importano queste route personalizzate.
- La rete VPC del carico di lavoro esporta automaticamente le subnet nella rete VPC di transito. Nessuna route personalizzata viene esportata dalle VPC del carico di lavoro alla VPC di transito.
Connessione 4: tra reti VPC del workload
- Le reti VPC del workload possono essere collegate tra loro utilizzando gli spoke VPC di Network Connectivity Center. Questa è una configurazione facoltativa. Puoi ometterlo se non vuoi che le reti VPC del carico di lavoro comunichino tra loro.
Flussi di traffico
Il seguente diagramma mostra i quattro flussi abilitati da questa architettura di riferimento.
La tabella seguente descrive i flussi nel diagramma:
| Origine | Destinazione | Descrizione |
|---|---|---|
| Rete esterna | Rete VPC di accesso ai servizi |
|
| Rete VPC di accesso ai servizi | Rete esterna |
|
| Rete esterna | Rete VPC del carico di lavoro |
|
| Rete VPC del carico di lavoro | Rete esterna |
|
| Rete VPC del carico di lavoro | Rete VPC di accesso ai servizi |
|
| Rete VPC di accesso ai servizi | Rete VPC del carico di lavoro |
|
| Rete VPC del carico di lavoro | Rete VPC del carico di lavoro | Il traffico che esce da un VPC del carico di lavoro segue la route più specifica per l'altro VPC del carico di lavoro tramite Network Connectivity Center. Il traffico di ritorno inverte questo percorso. |
Prodotti utilizzati
Questa architettura di riferimento utilizza i seguenti prodotti Google Cloud:
- Virtual Private Cloud (VPC): un sistema virtuale che fornisce funzionalità di networking scalabili e globali per i carichi di lavoro Google Cloud. VPC include il peering di rete VPC, Private Service Connect, l'accesso privato ai servizi e VPC condiviso.
- Network Connectivity Center: un framework di orchestrazione che semplifica la connettività di rete tra le risorse spoke collegate a una risorsa di gestione centrale chiamata hub.
- Cloud Interconnect: un servizio che estende la tua rete esterna alla rete Google tramite una connessione a bassa latenza e alta disponibilità.
- Cloud VPN: un servizio che estende in modo sicuro la tua rete peer alla rete di Google tramite un tunnel VPN IPsec.
- Cloud Router: un'offerta distribuita e completamente gestita che fornisce funzionalità di speaker e responder per il protocollo BGP (Border Gateway Protocol). Router Cloud funziona con Cloud Interconnect, Cloud VPN e appliance router per creare route dinamiche nelle reti VPC in base alle route apprese personalizzate e ricevute tramite BGP.
Considerazioni sul design
Questa sezione descrive fattori di progettazione, best practice e consigli di progettazione da tenere in considerazione quando utilizzi questa architettura di riferimento per sviluppare una topologia che soddisfi i tuoi requisiti specifici di sicurezza, affidabilità e prestazioni.
Sicurezza e conformità
L'elenco seguente descrive i fattori di sicurezza e conformità per questa architettura di riferimento:
- Per motivi di conformità, ti consigliamo di eseguire il deployment dei workload solo in una singola regione. Se vuoi mantenere tutto il traffico in una singola regione, puoi utilizzare una topologia con il 99,9% di disponibilità. Per ulteriori informazioni, consulta Definire una disponibilità del 99,9% per Dedicated Interconnect e Definire una disponibilità del 99,9% per Partner Interconnect.
- Utilizza Cloud Next Generation Firewall per proteggere il traffico in entrata e in uscita dalle reti VPC di accesso ai servizi e dei carichi di lavoro. Per proteggere il traffico che passa tra le reti esterne e la rete di transito, devi utilizzare firewall esterni o firewall NVA.
- Attiva il logging e il monitoraggio in base alle tue esigenze di traffico e conformità. Puoi utilizzare i log di flusso VPC per ottenere informazioni sui pattern di traffico.
- Utilizza Cloud IDS per raccogliere ulteriori informazioni sul tuo traffico.
Affidabilità
L'elenco seguente descrive le considerazioni sull'affidabilità di questa architettura di riferimento:
- Per ottenere una disponibilità del 99,99% per Cloud Interconnect, devi collegarti a due regioni Google Cloud diverse.
- Per migliorare l'affidabilità e ridurre al minimo l'esposizione a guasti regionali, puoi distribuire i workload e altre risorse cloud in più regioni.
- Per gestire il traffico previsto, crea un numero sufficiente di tunnel VPN. I singoli tunnel VPN hanno limiti di larghezza di banda.
Ottimizzazione delle prestazioni
Il seguente elenco descrive le considerazioni sul rendimento per questa architettura di riferimento:
- Potresti riuscire a migliorare le prestazioni di rete aumentando l'unità di trasmissione massima (MTU) delle reti e delle connessioni. Per ulteriori informazioni, consulta Unità massima di trasmissione.
- La comunicazione tra il VPC di transito e le risorse del carico di lavoro avviene tramite il peering di rete VPC, che fornisce una larghezza di banda a velocità massima per tutte le VM della rete senza costi aggiuntivi. Tieni conto delle quote e dei limiti del peering di rete VPC quando pianifichi il tuo deployment. Hai a disposizione diverse opzioni per collegare la tua rete esterna alla rete di transito. Per ulteriori informazioni su come bilanciare i costi e le considerazioni sulle prestazioni, consulta Scegliere una Connettività di rete Connectivity.
Deployment
L'architettura in questo documento crea tre insiemi di connessioni a una rete VPC di transito centrale più una connessione diversa tra le reti VPC dei carichi di lavoro. Una volta configurate completamente tutte le connessioni, tutte le reti del deployment possono comunicare con tutte le altre reti.
Questo deployment presuppone che tu stia creando connessioni tra le reti esterne e di transito in due regioni. Tuttavia, le subnet dei carichi di lavoro possono trovarsi in qualsiasi regione. Se posizioni i carichi di lavoro in una sola regione, devi creare subnet solo in quella regione.
Per eseguire il deployment di questa architettura di riferimento, completa le seguenti attività:
- Identificare le regioni in cui posizionare la connettività e i carichi di lavoro
- Creare le reti e le subnet VPC
- Creare connessioni tra reti esterne e la rete VPC di transito
- Crea connessioni tra la rete VPC di transito e le reti VPC di accesso ai servizi
- Crea connessioni tra la rete VPC di transito e le reti VPC del tuo workload
- Collegare le reti VPC del tuo workload
- Testare la connettività ai carichi di lavoro
Identifica le regioni in cui posizionare la connettività e i carichi di lavoro
In generale, è consigliabile posizionare la connettività e i carichi di lavoro Google Cloud in prossimità delle reti on-premise o di altri client cloud. Per ulteriori informazioni su come posizionare i carichi di lavoro, consulta Selettore di regioni Google Cloud e Best practice per la selezione delle regioni Compute Engine.
Crea le reti e le subnet VPC
Per creare le reti e le subnet VPC, completa le seguenti attività:
- Crea o identifica i progetti in cui creerai le reti VPC. Per indicazioni, consulta Segmentazione della rete e struttura del progetto. Se intendi utilizzare le reti VPC condivisa, esegui il provisioning dei progetti come VPC condiviso host VPC.
- Pianifica le allocazioni degli indirizzi IP per le tue reti. Puoi preallocare e prenotare gli intervalli creando intervalli interni. L'allocazione di blocchi di indirizzi che possono essere aggregati semplifica la configurazione e le operazioni successive.
- Crea una rete VPC di transito con il routing globale abilitato.
- Crea reti VPC di servizio. Se avrai carichi di lavoro in più regioni, abilita il routing globale.
- Crea reti VPC per i carichi di lavoro. Se avrai carichi di lavoro in più regioni, abilita il routing globale.
Creare connessioni tra reti esterne e la rete VPC di transito
Questa sezione presuppone la connettività in due regioni e che le sedi esterne siano collegate e possano eseguire il failover l'una sull'altra. Inoltre, presuppone che esista una preferenza per i client nella località esterna A per raggiungere i servizi nella regione A e così via.
- Configura la connettività tra le reti esterne e la rete di transito. Per capire come approcciarti a questo aspetto, vedi Connettività esterna e ibrida. Per indicazioni su come scegliere un prodotto per la connettività, consulta Scegliere un prodotto per la connettività di rete.
- Configura BGP in ogni regione collegata come segue:
- Configura il router nella posizione esterna specificata come segue:
- Annuncia tutte le sottoreti per la località esterna utilizzando lo stesso BGP MED su entrambe le interfacce, ad esempio 100. Se entrambe le interfacce annunciano lo stesso MED, Google Cloud può utilizzare ECMP per bilanciare il carico del traffico su entrambe le connessioni.
- Annuncia tutte le subnet dall'altra posizione esterna utilizzando un valore MED di priorità inferiore rispetto a quello della prima regione, ad esempio 200. Annunciare lo stesso MED da entrambe le interfacce.
- Configura il router Cloud rivolto all'esterno nella VPC di transito della regione collegata come segue:
- Imposta l'ASN del router Cloud su 16550.
- Utilizzando gli annunci di route personalizzati, annunci tutti gli intervalli di subnet di tutte le regioni su entrambe le interfacce del router Cloud rivolte all'esterno. Se possibile, aggregali. Utilizza lo stesso MED su entrambe le interfacce, ad esempio 100.
- Configura il router nella posizione esterna specificata come segue:
Creare connessioni tra la rete VPC di transito e le reti VPC di accesso ai servizi
Per fornire il routing transitivo tra le reti esterne e la VPC di accesso ai servizi e tra le VPC dei carichi di lavoro e la VPC di accesso ai servizi, la VPC di accesso ai servizi utilizza VPN ad alta disponibilità per la connettività.
- Stima la quantità di traffico che deve passare tra i VPC di transito e di accesso ai servizi in ogni regione. Adatta di conseguenza il numero previsto di tunnel.
- Configura la VPN ad alta disponibilità tra la VPC di transito
e la VPC di accesso ai servizi nella regione A seguendo le istruzioni riportate in Creare gateway VPN ad alta disponibilità per connettere le reti VPC. Crea un
router Cloud VPN ad alta disponibilità dedicato nella rete
di transito. Lascia il router rivolto verso la rete esterna per le connessioni alla rete esterna.
- Configurazione del router Cloud VPC di transito:
- Per annunciare le subnet VPC di rete esterna e del carico di lavoro al VPC di accesso ai servizi, utilizza gli annunci di route personalizzate sul router Cloud nella VPC di transito.
- Configurazione del router Cloud VPC per l'accesso ai servizi:
- Per annunciare le subnet VPC con accesso ai servizi alla VPC di transito, utilizza gli annunci di route personalizzate sul router Cloud VPC con accesso ai servizi.
- Se utilizzi l'accesso privato ai servizi per collegare una VPC di servizi gestiti alla VPC di accesso ai servizi, utilizza anche route personalizzate per annunciare queste subnet.
- Configurazione del router Cloud VPC di transito:
- Se colleghi un VPC di servizi gestiti al VPC con accesso ai servizi utilizzando l'accesso privato ai servizi, dopo aver stabilito la connessione VPC Network Peering, aggiorna il lato VPC con accesso ai servizi della connessione VPC Network Peering per esportare le route personalizzate.
Creare connessioni tra la rete VPC di transito e le reti VPC del tuo workload
Crea connessioni in peering di rete VPC tra la VPC di transito e ciascuna delle tue VPC di workload:
- Attiva Esporta route personalizzate per il lato VPC di transito di ogni connessione.
- Attiva Importa route personalizzate per il lato VPC del carico di lavoro di ogni connessione.
- Nello scenario predefinito, solo le route delle subnet VPC del workload vengono esportate nella VPC di transito. Non è necessario esportare le route personalizzate dalle VPC del carico di lavoro.
Connetti le reti VPC del tuo workload
Collega le reti VPC del tuo workload utilizzando i spoke VPC di Network Connectivity Center. Fai in modo che tutti gli spoke facciano parte dello stesso gruppo di peer di spoke di Network Connectivity Center. Utilizza un gruppo di peering di base per consentire la comunicazione full mesh tra i VPC.
La connessione di Network Connectivity Center annuncia route specifici tra le reti VPC del workload. Il traffico tra queste reti segue questi percorsi.
Testa la connettività ai carichi di lavoro
Se hai già implementato carichi di lavoro nelle tue reti VPC, testa subito l'accesso. Se hai collegato le reti prima di eseguire il deployment dei carichi di lavoro, puoi eseguirne il deployment ora e testarle.
Passaggi successivi
- Scopri di più sui prodotti Google Cloud utilizzati in questa guida di progettazione:
- Per altre architetture di riferimento, diagrammi e best practice, visita il Cloud Architecture Center.
Collaboratori
Autori:
- Deepak Michael | Networking Specialist Customer Engineer
- Victor Moreno | Product Manager, Cloud Networking
- Osvaldo Costa | Networking Specialist Customer Engineer
Altri collaboratori:
- Mark Schlagenhauf | Technical Writer, Networking
- Ammett Williams | Developer Relations Engineer
- Ghaleb Al-habian | Specialista della rete