Rete cross-cloud per applicazioni distribuite

La rete cross-cloud consente un'architettura per l'assemblaggio di in applicazioni distribuite. La rete cross-cloud ti consente distribuire carichi di lavoro e servizi in più cloud e on-premise reti. Questa soluzione offre agli sviluppatori di applicazioni e agli operatori di un unico cloud su più cloud. Questa soluzione utilizza e anche espande gli utilizzi consolidati di ambienti ibridi e multi-cloud networking.

Questa guida è destinata agli architetti e ingegneri di rete che desiderano progettare e creare applicazioni distribuite sulla rete Cross-Cloud. Questo che fornisce una comprensione completa Considerazioni sulla progettazione di reti tra cloud.

Questa guida alla progettazione è una serie che include i seguenti documenti:

• Progettazione di una rete cross-cloud per applicazioni distribuite (questo documento)
• Segmentazione e connettività di rete per applicazioni distribuite nella rete Cross-Cloud
• Networking di servizi per applicazioni distribuite nella rete Cross-Cloud
• Sicurezza di rete per applicazioni distribuite nella rete Cross-Cloud

L'architettura supporta stack di applicazioni regionali e globali organizzati nei seguenti strati funzionali:

• Segmentazione e connettività di rete: riguarda le Struttura di segmentazione Virtual Private Cloud (VPC) e connettività IP su VPC e a reti esterne.
• Networking di servizi: prevede il deployment di servizi per le applicazioni, con bilanciamento del carico e resi disponibili nei diversi progetti le tue organizzazioni.
• Sicurezza della rete: consente l'applicazione forzata della sicurezza per le applicazioni intra-cloud le comunicazioni tra cloud, utilizzando sia la sicurezza appliance virtuali (NVA).

Segmentazione e connettività della rete

La struttura di segmentazione e la connettività sono alla base della progettazione. La il seguente diagramma mostra una struttura di segmentazione VPC, che è possibile implementare utilizzando un'infrastruttura consolidata o segmentata. Questo non mostra le connessioni tra le reti.

Questa struttura include i seguenti componenti:

• VPC di transito: gestisce le connessioni di rete esterne e i criteri di routing. Questo VPC funge anche da rete hub di connettività per altri VPC.
• VPC dei servizi centrali: contiene i servizi che l'organizzazione crea e si ospita. I servizi vengono forniti a i VPC delle applicazioni tramite un hub. Sebbene non sia obbligatorio, consigliamo di usare un VPC condiviso.
• VPC servizi gestiti: contiene i servizi forniti da altre entità. I servizi vengono resi accessibili alle applicazioni in esecuzione sulle reti VPC mediante Private Service Connect l'accesso privato ai servizi.

La tua scelta di struttura di segmentazione per i VPC delle applicazioni dipende dalla scala dei VPC delle applicazioni richiesti, eseguire il deployment dei firewall perimetrali nella rete cross-cloud all'esterno e la scelta della pubblicazione di servizi centrali o distribuiti.

Cross-Cloud Network supporta il deployment di servizi e gli stack di applicazioni globali. Entrambe le opzioni gli archetipi di resilienza dell'applicazione sono supportati dalla segmentazione proposta con il pattern di connettività tra VPC.

Puoi ottenere la connettività tra VPC tra i segmenti utilizzando una combinazione di peering di rete VPC e pattern hub e spoke HA-VPN. In alternativa, puoi utilizzare Network Connectivity Center per includere tutti i VPC come spoke in un hub di Network Connectivity Center.

La progettazione dell'infrastruttura DNS viene definita anche nel contesto struttura di segmentazione, indipendentemente dal modello di connettività.

Networking di servizi

Deployment di applicazioni diverse gli archetipi portano a modelli diversi per il networking di servizi. Per la progettazione di reti cross-cloud, concentrati su il deployment multiregionale archetipo, in cui stack di applicazioni viene eseguito in modo indipendente in più zone su due o più regioni di Google Cloud.

Un archetipo di deployment multiregionale ha le seguenti funzionalità utili per la progettazione di reti cross-cloud:

• Puoi utilizzare i criteri di routing DNS per instradare il traffico in entrata all'area geografica bilanciatori del carico.
• I bilanciatori del carico a livello di regione possono quindi distribuire il traffico e lo stack di applicazioni.
• Puoi implementare il failover a livello di regione ancorando nuovamente le mappature DNS del lo stack di applicazioni con un router di failover DNS .

Un'alternativa all'archetipo dell'implementazione multiregionale è il modello globale un archetipo di deployment, in cui stack singolo si basa su bilanciatori del carico globali e copre più regioni. Considera le seguenti caratteristiche di questo archetipo quando lavori con Progettazione della rete tra cloud:

• I bilanciatori del carico distribuiscono il traffico nella regione più vicina utente.
• I frontend per internet sono globali, ma quelli per uso interno sono a livello di regione con accesso globale, quindi puoi raggiungerli scenari di failover.
• Puoi utilizzare i criteri di routing del DNS di geolocalizzazione e i controlli di integrità DNS nella e i livelli di servizio interni dello stack di applicazioni.

Il modo in cui fornisci l'accesso ai servizi pubblicati gestiti dipende dal servizio che che deve essere raggiunto. I diversi modelli di connettività privata sono modularizzati e ortogonale alla progettazione dello stack di applicazioni.

A seconda del servizio, puoi utilizzare Private Service Connect o privato per l'accesso privato. Puoi creare un'applicazione combinando i servizi integrati e quelli pubblicati da altri le tue organizzazioni. Gli stack di servizi possono essere a livello di regione o globali per soddisfare di resilienza e latenza di accesso ottimizzata.

Sicurezza della rete

Per la sicurezza dei carichi di lavoro, ti consigliamo di utilizzare il firewall criteri di Google Cloud.

Se la tua organizzazione richiede funzionalità avanzate aggiuntive per garantire la sicurezza o requisiti di conformità, puoi incorporare firewall inserendo le appliance virtuali (NVA) di rete di Next-Generation Firewall (NGFW).

Puoi inserire le NVA NGFW in un'unica interfaccia di rete (modalità NIC singolo) o su più interfacce di rete (modalità multi-NIC). Le VM di NGFW possono supportare la sicurezza o criteri perimetrali basati su CIDR (Classless Inter-Domain Routing). La rete Cross-Cloud esegue il deployment delle NAV perimetrali NGFW utilizzando un VPC di transito e criteri di routing VPC.

Passaggi successivi

• Progettare la segmentazione e la connettività della rete per applicazioni di rete cross-cloud.
• Scopri di più sui prodotti Google Cloud utilizzati in questa guida alla progettazione:
  • Reti VPC
  • VPC condiviso
  • Peering di rete VPC
  • Private Service Connect
  • Accesso privato ai servizi
• Per informazioni sul deployment delle VM di firewall firewall, consulta appliance di rete centralizzate su Google Cloud
• Per altre architetture di riferimento, guide alla progettazione e best practice, esplora il Cloud Architecture Center.

Collaboratori

Autori:

• Victor Moreno | Product Manager, Cloud Networking
• Ghaleb al-habian | Esperto di rete
• Deepak Michael | Customer Engineer esperto di networking
• Osvaldo Costa | Customer Engineer esperto di networking
• Jonathan Almaleh | Consulente per le soluzioni tecniche del personale

Altri collaboratori:

• Zach Seils | Esperto di networking
• Christopher Abraham | Customer Engineer esperto di networking
• Emanuele Mazza | Esperto di prodotti di networking
• Aurélien Legrand | Tecnico cloud strategico
• Eric Yu | Customer Engineer esperto di networking
• Kumar Dhanagopal | Sviluppatore di soluzioni cross-product
• Marca Schlagenhauf | Scrittore tecnico, networking
• Marwan Al Shawi | Partner Customer Engineer
• Giulia Ferrara | Ingegnere per le relazioni con gli sviluppatori