適用於分散式應用程式的 Cross-Cloud Network

Cross-Cloud Network 可讓您建構分散式應用程式的組裝架構。Cross-Cloud Network 可協助您在多個雲端和地端部署網路中，輕鬆分配工作負載和服務，這項解決方案可讓應用程式開發人員和營運人員在多個雲端環境中享有單一雲端使用體驗。本解決方案會使用並擴展混合雲和多雲端網路的既有用途。

本指南適用於想要在 Cross-Cloud Network 上設計及建構分散式應用程式的網路架構師和工程師。本指南可協助您全面瞭解跨雲端網路設計考量。

本設計指南系列包含下列文件：

• 分散式應用程式適用的 Cross-Cloud Network 設計 (本文)
• Cross-Cloud Network 中分散式應用程式的網路區隔和連線
• Cross-Cloud Network 中分散式應用程式的服務網路
• Cross-Cloud Network 中分散式應用程式的網路安全性

這項架構支援區域和全球應用程式堆疊，並依下列功能層級劃分：

• 網路區隔和連線：包括虛擬私有雲 (VPC) 區隔結構，以及跨 VPC 和外部網路的 IP 連線。
• 服務網路：部署應用程式服務，並在專案和機構之間進行負載平衡及提供服務。
• 網路安全：使用內建的雲端安全機制和網路虛擬設備 (NVA)，在雲端內和雲端間通訊時強制執行安全措施。

網路區隔和連線

區隔結構和連線是設計的基礎。下圖顯示虛擬私有雲區隔結構，您可以使用整合式或區隔式基礎架構實作此結構。這張圖表未顯示網路之間的連線。

這個結構包含下列元件：

• 傳輸虛擬私有雲：處理外部網路連線和路由政策。這個 VPC 也能提供其他 VPC 之間的連線。
• 服務存取虛擬私有雲：包含不同服務的存取點。其他網路可以連上這些虛擬私有雲中的服務存取點。
• 代管服務虛擬私有雲：包含其他實體產生的服務。應用程式在虛擬私有雲網路中執行時，可透過 Private Service Connect 或私人服務存取權存取這些服務。
• 應用程式虛擬私有雲：包含構成軟體服務的工作負載，這些服務是由貴機構自行建立及代管。

應用程式虛擬私有雲的區隔結構取決於所需的應用程式虛擬私有雲規模、您是否打算在 Cross-Cloud Network 或外部部署 perimeter 防火牆，以及選擇集中式或分散式服務發布。

Cross-Cloud Network 支援部署區域應用程式堆疊和全域應用程式堆疊。建議的區隔結構和虛擬私有雲間連線模式，都支援這兩種應用程式復原能力原型。

您可以透過 Network Connectivity Center 達成虛擬私有雲間的連線，也可以使用虛擬私有雲網路對等互連和高可用性 VPN 軸輻式模式的組合。

DNS 基礎架構的設計也會在區隔結構的脈絡中定義，與連線模式無關。

Service Networking

不同的應用程式部署原型會導致不同的服務聯播網模式。在設計 Cross-Cloud Network 時，請著重於多區域部署原型，其中應用程式堆疊會在兩個或更多Google Cloud 區域的多個可用區中獨立執行。

多區域部署原型具有下列功能，有助於設計 Cross-Cloud Network：

• 您可以使用 DNS 轉送政策，將傳入流量轉送至區域負載平衡器。
• 區域負載平衡器接著可將流量分配給應用程式堆疊。
• 您可以透過DNS 容錯移轉路由政策，重新錨定應用程式堆疊的 DNS 對應，實作區域容錯移轉。

多區域部署原型以外的替代方案是全球部署原型，也就是在全域負載平衡器上建構單一堆疊，並跨越多個區域。使用跨雲端網路設計時，請考量這個原型架構的下列功能：

• 負載平衡器會將流量分配到最接近使用者的區域。
• 面向網際網路的前端是全域資源，但面向內部的前端是具備全域存取權的區域資源，因此您可以在容錯移轉情境中連線至這些前端。
• 您可以在應用程式堆疊的內部服務層使用地理位置 DNS 轉送政策和 DNS 健康狀態檢查。

提供代管發布服務存取權的方式，取決於需要連線的服務。不同的私密可觸及度模型會模組化，且與應用程式堆疊的設計正交。

視服務而定，您可以使用 Private Service Connect 或私人服務存取權進行私下存取。您可以結合內建服務和其他機構發布的服務，建構應用程式堆疊。服務堆疊可以是區域或全球，以符合您所需的復原力等級，並最佳化存取延遲時間。

網路安全

為確保工作負載安全，建議您使用 Google Cloud的防火牆政策。

如果貴機構需要額外的進階功能，以符合安全性或法規遵循規定，您可以插入新一代防火牆 (NGFW) 網路虛擬設備 (NVA)，納入周邊安全防火牆。

您可以在單一網路介面 (單一 NIC 模式) 或多個網路介面 (多 NIC 模式) 中插入 NGFW NVA。NGFW NVA 可支援安全區域或以無類別跨網域路由 (CIDR) 為基礎的周邊政策。Cross-Cloud Network 會使用 transit VPC 和 VPC 路由政策，部署周邊 NGFW NVA。

後續步驟

• 為 Cross-Cloud Network 應用程式設計網路區隔和連線。
• 進一步瞭解本設計指南中使用的 Google Cloud 產品：
  • 虛擬私人雲端網路
  • 共用虛擬私有雲
  • 虛擬私有雲網路對接
  • Private Service Connect
  • 私人服務存取權
• 如需更多參考架構、設計指南和最佳做法，請瀏覽 Cloud Architecture Center。

貢獻者

作者：

• Victor Moreno | 雲端網路產品經理
• Ghaleb Al-habian | 網路專員
• Deepak Michael | 網路專員客戶工程師
• Osvaldo Costa | 網路專家客戶工程師
• Jonathan Almaleh | 技術解決方案顧問

其他貢獻者：

• Zach Seils | 網路專員
• Christopher Abraham | 網路專員客戶工程師
• Emanuele Mazza | 網路產品專家
• Aurélien Legrand | 策略雲端工程師
• Eric Yu | 網路專員客戶工程師
• Kumar Dhanagopal | 跨產品解決方案開發人員
• Mark Schlagenhauf | 網路技術文件撰稿者
• Marwan Al Shawi | 合作夥伴客戶工程師
• Ammett Williams | 開發人員關係工程師