Cross-Cloud Network untuk aplikasi terdistribusi

Jaringan Lintas Cloud mengaktifkan arsitektur untuk perakitan aplikasi terdistribusi. Jaringan Lintas Cloud memungkinkan Anda mendistribusikan workload dan layanan di beberapa jaringan cloud dan lokal. Solusi ini memberikan pengalaman satu cloud di beberapa cloud kepada developer dan operator aplikasi. Solusi ini menggunakan dan juga memperluas penggunaan jaringan hybrid dan multicloud yang sudah mapan.

Panduan ini ditujukan bagi engineer dan engineer jaringan yang ingin mendesain dan mem-build aplikasi terdistribusi di Cross-Cloud Network. Panduan ini memberi Anda pemahaman komprehensif tentang pertimbangan desain Lintas Cloud Network.

Panduan desain ini adalah rangkaian yang mencakup dokumen-dokumen berikut:

• Desain Cross-Cloud Network untuk aplikasi terdistribusi (dokumen ini)
• Konektivitas dan segmentasi jaringan untuk aplikasi terdistribusi di Jaringan Lintas Cloud
• Keamanan jaringan untuk aplikasi terdistribusi di Jaringan Lintas Cloud

Arsitektur ini mendukung stack aplikasi regional dan global, serta diatur dalam lapisan fungsional berikut:

• Segmentasi dan konektivitas jaringan: melibatkan struktur segmentasi Virtual Private Cloud (VPC) dan konektivitas IP di seluruh VPC dan ke jaringan eksternal.
• Jejaring layanan: melibatkan deployment layanan aplikasi, yang di-load balanced dan tersedia di seluruh project dan organisasi.
• Keamanan jaringan: memungkinkan penerapan keamanan untuk komunikasi intra-cloud dan antar-cloud, menggunakan keamanan cloud bawaan dan peralatan virtual jaringan (NVA).

Konektivitas dan segmentasi jaringan

Struktur segmentasi dan konektivitas adalah dasar dari desain. Diagram berikut menunjukkan struktur segmentasi VPC, yang dapat Anda terapkan dengan menggunakan infrastruktur gabungan atau tersegmentasi. Diagram ini tidak menunjukkan koneksi antara jaringan.

Struktur ini mencakup komponen berikut:

• VPC Transit: Menangani kebijakan perutean dan koneksi jaringan eksternal. VPC ini juga berfungsi sebagai hub konektivitas bersama untuk VPC lain.
• VPC layanan pusat: Berisi layanan yang dibuat dan dihosting oleh organisasi Anda sendiri. Layanan disediakan untuk VPC aplikasi melalui hub. Meskipun tidak wajib, sebaiknya setelan ini adalah VPC Bersama.
• VPC layanan terkelola: Berisi layanan yang disediakan oleh entitas lain. Layanan dapat diakses oleh aplikasi yang berjalan di jaringan VPC dengan menggunakan Private Service Connect atau akses layanan pribadi.

Pilihan struktur segmentasi untuk VPC aplikasi bergantung pada skala VPC aplikasi yang diperlukan, baik Anda berencana men-deploy firewall perimeter di Cross-Cloud Network maupun secara eksternal, dan pilihan publikasi layanan terpusat atau terdistribusi.

Jaringan Lintas Cloud mendukung deployment stack aplikasi regional dan stack aplikasi global. Kedua arketipe ketahanan aplikasi ini didukung oleh struktur segmentasi yang diusulkan dengan pola konektivitas antar-VPC.

Anda dapat mencapai konektivitas antar-VPC antarsegmen menggunakan kombinasi Peering Jaringan VPC dan pola hub-and-spoke HA-VPN. Atau, Anda dapat menggunakan Network Connectivity Center untuk menyertakan semua VPC sebagai spoke di hub Network Connectivity Center.

Desain infrastruktur DNS juga ditentukan dalam konteks struktur segmentasi, terlepas dari pola konektivitas.

Service Networking

Aketipe deployment aplikasi yang berbeda akan menghasilkan pola yang berbeda pula untuk jaringan layanan. Untuk desain Jaringan Lintas Cloud, fokuslah pada arketipe deployment multi-regional, yaitu ketika stack aplikasi berjalan secara independen di beberapa zona di dua region Google Cloud atau lebih.

Arketipe deployment multi-regional memiliki fitur berikut yang berguna untuk desain Jaringan Lintas Cloud:

• Anda dapat menggunakan kebijakan perutean DNS untuk mengarahkan traffic masuk ke load balancer regional.
• Selanjutnya, load balancer regional dapat mendistribusikan traffic ke stack aplikasi.
• Anda dapat menerapkan failover regional dengan menautkan ulang pemetaan DNS stack aplikasi menggunakan kebijakan perutean failover DNS.

Alternatif untuk arketipe deployment multi-regional adalah arketipe deployment global, yang mana satu stack dibuat di load balancer global dan mencakup beberapa region. Pertimbangkan fitur arketipe ini saat bekerja dengan desain Jaringan Lintas Cloud:

• Load balancer mendistribusikan traffic ke region yang paling dekat dengan pengguna.
• Frontend yang terhubung ke internet bersifat global, tetapi frontend yang menghadap ke internal bersifat regional dengan akses global, sehingga Anda dapat menjangkaunya dalam skenario failover.
• Anda dapat menggunakan kebijakan perutean DNS geolokasi dan health check DNS pada lapisan layanan internal stack aplikasi.

Cara Anda memberikan akses ke layanan terkelola yang dipublikasikan bergantung pada layanan yang perlu dijangkau. Berbagai model keterjangkauan pribadi dimodularisasi dan ortogonal terhadap desain stack aplikasi.

Bergantung pada layanannya, Anda dapat menggunakan Private Service Connect atau akses layanan pribadi untuk akses pribadi. Anda dapat mem-build stack aplikasi dengan menggabungkan layanan dan layanan bawaan yang dipublikasikan oleh organisasi lain. Stack layanan dapat bersifat regional atau global untuk memenuhi tingkat ketahanan yang diperlukan dan latensi akses yang dioptimalkan.

Keamanan jaringan

Untuk keamanan workload, sebaiknya gunakan kebijakan firewall dari Google Cloud.

Jika organisasi Anda memerlukan kemampuan lanjutan tambahan untuk memenuhi persyaratan keamanan atau kepatuhan, Anda dapat menggunakan firewall keamanan perimeter dengan memasukkan Network Virtual Appliance (NVA) Next-Generation Firewall (NGFW).

Anda dapat memasukkan NVA NGFW dalam satu antarmuka jaringan (mode NIC tunggal) atau melalui beberapa antarmuka jaringan (mode multi-NIC). NVA NGFW dapat mendukung zona keamanan atau kebijakan perimeter berbasis Classless Inter-Domain Routing (CIDR). Jaringan Lintas Cloud men-deploy NVA NGFW perimeter dengan menggunakan kebijakan perutean VPC dan VPC transit.

Langkah selanjutnya

• Desain segmentasi dan konektivitas jaringan untuk aplikasi Cross-Cloud Network.
• Pelajari lebih lanjut produk Google Cloud yang digunakan dalam panduan desain ini:
  • Jaringan VPC
  • VPC Bersama
  • Peering Jaringan VPC
  • Private Service Connect
  • Akses layanan pribadi
• Untuk mengetahui informasi tentang cara men-deploy NVA firewall, lihat Peralatan jaringan terpusat di Google Cloud
• Untuk arsitektur referensi, panduan desain, dan praktik terbaik lainnya, jelajahi Cloud Architecture Center.

Kontributor

Penulis:

• Victor Moreno | Product Manager, Cloud Networking
• Ghaleb Al-habian | Spesialis Jaringan
• Deepak Michael | Networking Specialist Customer Engineer
• Osvaldo Costa | Networking Specialist Customer Engineer
• Jonathan Almaleh | Staf Konsultan Solusi Teknis

Kontributor lainnya:

• Zach Seils | Spesialis Jaringan
• Christopher Abraham | Networking Specialist Customer Engineer
• Emanuele Mazza | Spesialis Produk Networking
• Aurélien Legrand | Strategic Cloud Engineer
• Eric Yu | Spesialis Jaringan, Customer Engineer
• Kumar Dhanagopal | Developer Solusi Lintas Produk
• Mark Schlagenhauf | Penulis Teknis, Jaringan
• Marwan Al Shawi | Partner Customer Engineer
• Ammett Williams | Developer Relations Engineer