Cross-Cloud Network untuk aplikasi terdistribusi

Last reviewed 2024-04-05 UTC

Cross-Cloud Network memungkinkan arsitektur untuk pembuatan aplikasi terdistribusi. Cross-Cloud Network memungkinkan Anda mendistribusikan workload dan layanan di beberapa jaringan cloud dan lokal. Solusi ini memberikan pengalaman kepada developer dan operator aplikasi untuk menggunakan satu cloud di beberapa cloud. Solusi ini menggunakan dan juga memperluas penggunaan jaringan hybrid dan multicloud yang sudah mapan.

Panduan ini ditujukan untuk arsitek dan engineer jaringan yang ingin mendesain dan mem-build aplikasi terdistribusi di Cross-Cloud Network. Panduan ini memberi Anda pemahaman yang komprehensif tentang pertimbangan desain Jaringan Lintas Cloud.

Panduan desain ini adalah seri yang mencakup dokumen berikut:

Arsitektur ini mendukung stack aplikasi regional dan global, dan diatur dalam lapisan fungsional berikut:

  • Segmentasi dan konektivitas jaringan: melibatkan struktur segmentasi Virtual Private Cloud (VPC) dan konektivitas IP di seluruh VPC dan ke jaringan eksternal.
  • Jaringan layanan: melibatkan deployment layanan aplikasi, yang di-load balancing dan tersedia di seluruh project dan organisasi.
  • Keamanan jaringan: memungkinkan penegakan keamanan untuk komunikasi intra-cloud dan antar-cloud, menggunakan keamanan cloud bawaan dan virtual appliance jaringan (NVA).

Konektivitas dan segmentasi jaringan

Struktur dan konektivitas segmentasi adalah fondasi desain. Diagram berikut menunjukkan struktur segmentasi VPC, yang dapat Anda terapkan menggunakan infrastruktur gabungan atau tersegmentasi. Diagram ini tidak menunjukkan koneksi antarjaringan.

Struktur segmentasi VPC untuk desain Jaringan Lintas Cloud

Struktur ini mencakup komponen berikut:

  • Transit VPC: Menangani koneksi jaringan eksternal dan kebijakan pemilihan rute. VPC ini juga berfungsi sebagai hub konektivitas bersama untuk VPC lain.
  • VPC layanan pusat: Berisi layanan yang dibuat dan dihosting oleh organisasi Anda sendiri. Layanan disediakan ke VPC aplikasi melalui hub. Meskipun tidak wajib, sebaiknya VPC ini adalah VPC Bersama.
  • VPC layanan terkelola: Berisi layanan yang disediakan oleh entitas lain. Layanan ini dapat diakses oleh aplikasi yang berjalan di jaringan VPC menggunakan Private Service Connect atau akses layanan pribadi.

Pilihan struktur segmentasi untuk VPC aplikasi bergantung pada skala VPC aplikasi yang diperlukan, baik Anda berencana untuk men-deploy firewall perimeter di Jaringan Lintas Cloud atau secara eksternal, dan pilihan publikasi layanan terpusat atau terdistribusi.

Cross-Cloud Network mendukung deployment stack aplikasi regional dan stack aplikasi global. Kedua arketipe ketahanan aplikasi ini didukung oleh struktur segmentasi yang diusulkan dengan pola konektivitas antar-VPC.

Anda dapat mencapai konektivitas antar-VPC di antara segmen menggunakan kombinasi pola hub-and-spoke Peering Jaringan VPC dan HA-VPN. Atau, Anda dapat menggunakan Network Connectivity Center untuk menyertakan semua VPC sebagai spoke di hub Network Connectivity Center.

Desain infrastruktur DNS juga ditentukan dalam konteks struktur segmentasi, terlepas dari pola konektivitas.

Service Networking

Arsitektur deployment aplikasi yang berbeda menghasilkan pola yang berbeda untuk jaringan layanan. Untuk desain Jaringan Lintas Cloud, fokuskan pada Arketipe deployment multi-regional, tempat stack aplikasi berjalan secara independen di beberapa zona di dua atau lebih region Google Cloud.

Arketip deployment multi-regional memiliki fitur berikut yang berguna untuk desain Cross-Cloud Network:

  • Anda dapat menggunakan kebijakan perutean DNS untuk merutekan traffic masuk ke load balancer regional.
  • Load balancer regional kemudian dapat mendistribusikan traffic ke stack aplikasi.
  • Anda dapat menerapkan failover regional dengan mengaitkan ulang pemetaan DNS stack aplikasi dengan kebijakan perutean failover DNS.

Alternatif untuk arketipe deployment multi-region adalah arketipe deployment global, dengan satu stack yang dibuat di load balancer global dan mencakup beberapa region. Pertimbangkan fitur berikut dari arketipe ini saat menggunakan desain Jaringan Lintas Cloud:

  • Load balancer mendistribusikan traffic ke region yang paling dekat dengan pengguna.
  • Frontend yang terhubung ke internet bersifat global, tetapi frontend yang terhubung ke internal bersifat regional dengan akses global, sehingga Anda dapat menjangkaunya dalam skenario failover.
  • Anda dapat menggunakan kebijakan perutean DNS geolokasi dan health check DNS di lapisan layanan internal stack aplikasi.

Cara Anda memberikan akses ke layanan terkelola yang dipublikasikan bergantung pada layanan yang perlu dijangkau. Berbagai model keterjangkauan pribadi dimodularisasi dan ortogonal dengan desain stack aplikasi.

Bergantung pada layanan, Anda dapat menggunakan Private Service Connect atau akses layanan pribadi untuk akses pribadi. Anda dapat mem-build stack aplikasi dengan menggabungkan layanan bawaan dan layanan yang dipublikasikan oleh organisasi lain. Stack layanan dapat bersifat regional atau global untuk memenuhi tingkat ketahanan dan latensi akses yang dioptimalkan yang Anda perlukan.

Keamanan jaringan

Untuk keamanan beban kerja, sebaiknya gunakan kebijakan firewall dari Google Cloud.

Jika organisasi Anda memerlukan kemampuan lanjutan tambahan untuk memenuhi persyaratan keamanan atau kepatuhan, Anda dapat menyertakan firewall keamanan perimeter dengan menyisipkan Virtual Appliance (NVA) Jaringan Next-Generation Firewall (NGFW).

Anda dapat menyisipkan NVA NGFW dalam satu antarmuka jaringan (mode NIC tunggal) atau melalui beberapa antarmuka jaringan (mode multi-NIC). NVA NGFW dapat mendukung zona keamanan atau kebijakan perimeter berbasis Classless Inter-Domain Routing (CIDR). Jaringan Lintas Cloud men-deploy NVA NGFW perimeter menggunakan kebijakan pemilihan rute VPC dan VPC transit.

Langkah selanjutnya

Kontributor

Penulis:

Kontributor lainnya: