Red entre nubes para aplicaciones distribuidas

Cross-Cloud Network permite crear una arquitectura para ensamblar aplicaciones distribuidas. Red Multinube te permite distribuir cargas de trabajo y servicios en varias nubes y redes on-premise. Esta solución ofrece a los desarrolladores y operadores de aplicaciones la experiencia de una sola nube en varias nubes. Esta solución usa y amplía los usos establecidos de las redes híbridas y multinube.

Esta guía está dirigida a arquitectos e ingenieros de redes que quieran diseñar y crear aplicaciones distribuidas en Cross-Cloud Network. Esta guía te ofrece una visión general completa de los aspectos que debes tener en cuenta al diseñar una red entre nubes.

Esta guía de diseño es una serie que incluye los siguientes documentos:

• Diseño de Cross-Cloud Network para aplicaciones distribuidas (este documento)
• Segmentación y conectividad de redes para aplicaciones distribuidas en Cross-Cloud Network
• Red de servicios para aplicaciones distribuidas en la red multinube
• Seguridad de redes para aplicaciones distribuidas en la Red Multinube

La arquitectura admite pilas de aplicaciones regionales y globales, y se organiza en las siguientes capas funcionales:

• Segmentación y conectividad de red: implica la estructura de segmentación de la nube privada virtual (VPC) y la conectividad IP entre VPCs y redes externas.
• Redes de servicios: implica el despliegue de servicios de aplicaciones, que se balancean de carga y se ponen a disposición en proyectos y organizaciones.
• Seguridad de red: permite aplicar la seguridad a las comunicaciones entre nubes y dentro de una misma nube mediante la seguridad de nube integrada y los dispositivos virtuales de red (NVAs).

Segmentación y conectividad de la red

La estructura y la conectividad de la segmentación son la base del diseño. En el siguiente diagrama se muestra una estructura de segmentación de VPC, que puede implementar mediante una infraestructura consolidada o segmentada. Este diagrama no muestra las conexiones entre las redes.

Esta estructura incluye los siguientes componentes:

• VPC de tránsito: gestiona las conexiones de red externas y las políticas de enrutamiento. Esta VPC también puede proporcionar conectividad entre otras VPCs.
• VPCs de acceso a servicios: contienen puntos de acceso a diferentes servicios. Se puede acceder a los puntos de acceso al servicio de estas VPCs desde otras redes.
• VPCs de servicios gestionados: contienen servicios producidos por otras entidades. Se puede acceder a los servicios desde las aplicaciones que se ejecutan en redes VPC mediante Private Service Connect o acceso a servicios privados.
• VPCs de aplicaciones: contienen las cargas de trabajo que componen los servicios de software que tu organización crea y aloja.

La estructura de segmentación que elijas para las VPCs de las aplicaciones dependerá de la escala de las VPCs de las aplicaciones que necesites, de si tienes previsto desplegar cortafuegos perimetrales en Cross-Cloud Network o externamente, y de si quieres usar una publicación de servicios centralizada o distribuida.

Cross-Cloud Network admite la implementación de pilas de aplicaciones regionales y globales. La estructura de segmentación propuesta admite ambos arquetipos de resiliencia de aplicaciones con el patrón de conectividad entre VPCs.

Puedes conseguir conectividad entre VPCs con Network Connectivity Center o usando una combinación de emparejamiento entre redes de VPC y patrones de concentrador y radios de VPN de alta disponibilidad.

El diseño de la infraestructura de DNS también se define en el contexto de la estructura de segmentación, independientemente del patrón de conectividad.

Redes de servicios

Los diferentes arquetipos de implementación de aplicaciones dan lugar a diferentes patrones de redes de servicios. Para diseñar una red entre nubes, céntrate en el arquetipo de implementación multirregional, en el que una pila de aplicaciones se ejecuta de forma independiente en varias zonas de dos o másGoogle Cloud regiones.

Un arquetipo de implementación multirregional tiene las siguientes características, que son útiles para el diseño de Cross-Cloud Network:

• Puedes usar políticas de enrutamiento de DNS para dirigir el tráfico entrante a los balanceadores de carga regionales.
• Los balanceadores de carga regionales pueden distribuir el tráfico a la pila de aplicaciones.
• Puedes implementar la conmutación por error regional volviendo a anclar las asignaciones de DNS de la pila de aplicaciones con una política de enrutamiento de conmutación por error de DNS.

Una alternativa al arquetipo de despliegue multirregional sería el arquetipo de despliegue global, en el que se crea una sola pila en balanceadores de carga globales y abarca varias regiones. Ten en cuenta las siguientes características de este arquetipo cuando trabajes con el diseño de redes entre nubes:

• Los balanceadores de carga distribuyen el tráfico a la región más cercana al usuario.
• Los front-ends orientados a Internet son globales, pero los front-ends internos son regionales con acceso global, por lo que puedes acceder a ellos en situaciones de failover.
• Puedes usar políticas de enrutamiento de DNS por geolocalización y comprobaciones de estado de DNS en las capas de servicio internas de la pila de aplicaciones.

La forma de proporcionar acceso a los servicios publicados gestionados depende del servicio al que se quiera acceder. Los diferentes modelos de accesibilidad privada se han modularizado y son ortogonales al diseño de la pila de aplicaciones.

En función del servicio, puedes usar Private Service Connect o el acceso a servicios privados para acceder de forma privada. Puedes crear una pila de aplicaciones combinando servicios integrados y servicios publicados por otras organizaciones. Las pilas de servicios pueden ser regionales o globales para cumplir el nivel de resiliencia requerido y optimizar la latencia de acceso.

Seguridad de la red

Para proteger las cargas de trabajo, te recomendamos que uses políticas de firewall de Google Cloud.

Si tu organización necesita funciones avanzadas adicionales para cumplir los requisitos de seguridad o de cumplimiento, puedes incorporar cortafuegos de seguridad perimetral insertando dispositivos virtuales de red (NVAs) de cortafuegos de nueva generación (NGFW).

Puedes insertar NVAs de NGFW en una sola interfaz de red (modo de una sola NIC) o en varias interfaces de red (modo de varias NICs). Las NVAs de NGFW pueden admitir zonas de seguridad o políticas de perímetro basadas en el estándar de enrutamiento de interdominios sin clases (CIDR). Cross-Cloud Network implementa NVAs de NGFW perimetrales mediante una VPC de tránsito y políticas de enrutamiento de VPC.

Siguientes pasos

• Diseña la segmentación y la conectividad de la red para las aplicaciones de Cross-Cloud Network.
• Consulta más información sobre los Google Cloud productos que se usan en esta guía de diseño:
  • Redes de VPC
  • VPC compartida
  • Emparejamiento entre redes VPC
  • Private Service Connect
  • Acceso privado a servicios
• Para consultar más arquitecturas de referencia, guías de diseño y prácticas recomendadas, visita el centro de arquitectura en la nube.

Colaboradores

Autores:

• Victor Moreno | Product Manager, Cloud Networking
• Ghaleb Al-habian | Especialista en redes
• Deepak Michael | Ingeniero de clientes especialista en redes
• Osvaldo Costa | Ingeniero de clientes especializado en redes
• Jonathan Almaleh | Asesor técnico de soluciones

Otros colaboradores:

• Zach Seils | Especialista en redes
• Christopher Abraham | Ingeniero de clientes especializado en redes
• Emanuele Mazza | Especialista de Producto de Redes
• Aurélien Legrand | Ingeniero estratégico de Cloud
• Eric Yu | Ingeniero de clientes especialista en redes
• Kumar Dhanagopal | Desarrollador de soluciones entre productos
• Mark Schlagenhauf | Redactor técnico de redes
• Marwan Al Shawi | Ingeniero de clientes de partners
• Ammett Williams | Ingeniero de Relaciones con Desarrolladores