Cross-Cloud Network permet de créer une architecture pour l'assemblage des applications distribuées. Cross-Cloud Network vous permet de répartir les charges de travail et les services sur plusieurs réseaux cloud et sur site. Cette solution fournit aux développeurs et opérateurs d'applications l'expérience d'un cloud unique, sur plusieurs clouds. Cette solution utilise et développe les utilisations établies de la mise en réseau hybride et multicloud.
Ce guide s'adresse aux architectes et ingénieurs réseau qui souhaitent concevoir et créer des applications distribuées sur un réseau multicloud. Ce guide vous permet d'obtenir une compréhension complète des considérations de conception d'un réseau multicloud.
Cette série de guides de conception inclut les documents suivants :
- Conception basée sur Cross-Cloud Network pour les applications distribuées (le présent document)
- Segmentation et connectivité réseau pour les applications distribuées dans Cross-Cloud Network
- Mise en réseau des services pour les applications distribuées dans Cross-Cloud Network
- Sécurité réseau pour les applications distribuées dans Cross-Cloud Network
L'architecture prend en charge les piles d'applications régionales et globales. Elle est organisée selon les couches fonctionnelles suivantes :
- Segmentation et connectivité réseau : implique la structure de segmentation VPC (cloud privé virtuel) et la connectivité IP entre les VPC et avec les réseaux externes.
- Mise en réseau des services : implique le déploiement de services d'application, qui font l'objet d'un équilibrage de charge et sont disponibles dans l'ensemble des projets et des organisations.
- Sécurité réseau : permet de renforcer la sécurité des communications intra-cloud et inter-cloud, à l'aide de la sécurité cloud intégrée et des NVA (dispositifs virtuels réseau).
Segmentation et connectivité du réseau
La structure de segmentation et la connectivité constituent la base de conception. Le schéma suivant illustre une structure de segmentation de VPC, que vous pouvez implémenter en utilisant une infrastructure consolidée ou segmentée. Ce schéma ne montre pas les connexions entre les réseaux.
Cette structure comprend les composants suivants :
- VPC de transport : gère les connexions réseau externes et les règles de routage. Ce VPC sert également de hub de connectivité partagé pour les autres VPC.
- VPC de services centraux : contient les services que votre organisation crée et héberge elle-même. Les services sont fournis aux VPC d'application par l'intermédiaire d'un hub. Bien que cela ne soit pas obligatoire, nous vous recommandons d'utiliser un VPC partagé.
- VPC de services gérés : contient les services fournis par d'autres entités. Les services sont rendus accessibles aux applications exécutées dans des réseaux VPC à l'aide de Private Service Connect ou de l'accès privé aux services.
Le choix de la structure de segmentation pour les VPC d'application dépend de l'échelle des VPC d'application requis, que vous envisagiez de déployer des pare-feu de périmètre dans Cross-Cloud Network ou en externe, et du choix du service central ou distribué publication.
Cross-Cloud Network permet de déployer des piles d'applications régionales et des piles d'applications globales. Ces deux archétypes de résilience des applications sont compatibles avec la structure de segmentation proposée avec le modèle de connectivité inter-VPC.
Vous pouvez obtenir une connectivité inter-VPC entre les segments en combinant l'appairage de réseaux VPC et les modèles en étoile pour les VPN haute disponibilité. Vous pouvez également utiliser Network Connectivity Center pour inclure tous les VPC en tant que spokes dans un hub Network Connectivity Center.
La conception de l'infrastructure DNS est également définie dans le contexte de la structure de segmentation, indépendamment du schéma de connectivité.
Mise en réseau des services
Différents archétypes de déploiement d'applications entraînent des schémas différents pour la mise en réseau des services. Pour la conception Cross-Cloud Network, concentrez-vous sur l'archétype de déploiement multirégional, dans lequel une pile d'applications s'exécute indépendamment dans plusieurs zones de deux régions Google Cloud ou plus.
Un archétype de déploiement multirégional présente les caractéristiques suivantes, qui sont utiles pour la conception Cross-Cloud Network :
- Vous pouvez utiliser des règles de routage DNS pour acheminer le trafic entrant vers les équilibreurs de charge régionaux.
- Les équilibreurs de charge régionaux peuvent ensuite distribuer le trafic à la pile d'applications.
- Vous pouvez mettre en œuvre le basculement régional en ancrant de nouveau les mappages DNS de la pile d'applications avec une règle de routage de basculement DNS.
Au lieu de l'archétype de déploiement multirégional, vous pouvez utiliser l'archétype de déploiement global, dans lequel une pile unique est basée sur des équilibreurs de charge mondiaux et s'étend sur plusieurs régions. Tenez compte des caractéristiques suivantes de cet archétype lorsque vous travaillez avec une conception Cross-Cloud Network :
- Les équilibreurs de charge distribuent le trafic dans la région la plus proche de l'utilisateur.
- Les interfaces Web sont mondiales, mais les interfaces internes sont régionales avec un accès mondial, ce qui signifie que vous pouvez les atteindre en cas de basculement.
- Vous pouvez utiliser des règles de routage DNS avec géolocalisation et des vérifications d'état DNS sur les couches de service interne de la pile d'applications.
La manière dont vous accordez l'accès aux services gérés publiés dépend du service à atteindre. Les différents modèles de joignabilité privée sont modulaires et orthogonaux à la conception de la pile d'applications.
Selon le service, vous pouvez utiliser Private Service Connect ou l'accès privé aux services pour un accès privé. Vous pouvez créer une pile d'applications en combinant des services intégrés et des services publiés par d'autres organisations. Les piles de services peuvent être régionales ou globales pour répondre à vos exigences de niveau de résilience et d'optimisation de la latence d'accès.
Sécurité du réseau
Pour la sécurité des charges de travail, nous vous recommandons d'utiliser des règles de pare-feu Google Cloud.
Si votre organisation a besoin de fonctionnalités avancées supplémentaires pour répondre aux exigences de sécurité ou de conformité, vous pouvez intégrer des pare-feu de sécurité périmétrique en insérant des NVA (dispositifs virtuels de réseau) de NGFW (pare-feu nouvelle génération).
Vous pouvez insérer des NVA NGFW dans une seule interface réseau (carte d'interface réseau unique) ou sur plusieurs interfaces réseau (cartes d'interface réseau multiples). Les NVA NGFW sont compatibles avec les zones de sécurité ainsi qu'avec les règles de périmètre basées sur CIDR (Classless Inter-Domain Routing). Cross-Cloud Network déploie les NVA NGFW de périmètre à l'aide d'un VPC de transit et de règles de routage VPC.
Étapes suivantes
- Concevez la segmentation et la connectivité réseau pour les applications Cross-Cloud Network.
- Découvrez les produits Google Cloud utilisés dans ce guide de conception :
- Pour en savoir plus sur le déploiement de NVA de pare-feu, consultez la page Dispositifs réseau centralisés sur Google Cloud.
- Pour découvrir d'autres architectures de référence, guides de conception et bonnes pratiques, consultez le Centre d'architecture cloud.
Contributeurs
Auteurs :
- Victor Moreno | Responsable produit, Mise en réseau cloud
- Ghaleb Al-habian | Spécialiste réseau
- Deepak Michael | Ingénieur client spécialiste en gestion des réseaux
- Osvaldo Costa | Ingénieur client spécialiste en gestion des réseaux
- Jonathan Almaleh | Consultant solutions techniques pour le personnel
Autres contributeurs :
- Zach Seils | Spécialiste en gestion des réseaux
- Christopher Abraham | Ingénieur client spécialiste en gestion des réseaux
- Emanuele Mazza | Spécialiste produits de mise en réseau
- Aurélien Legrand | Ingénieur stratégie cloud
- Eric Yu | Ingénieur client spécialiste en gestion des réseaux
- Kumar Dhanagopal Développeur de solutions multiproduits
- Mark Schlagenhauf | Rédacteur technique, Mise en réseau
- Marwan Al Shawi | Partner Customer Engineer
- Ammett Williams | Ingénieur relations avec les développeurs