Rete cross-cloud per applicazioni distribuite

La rete cross-cloud abilita un'architettura per l'assemblaggio di applicazioni distribuite. Cross-Cloud Network consente di distribuire carichi di lavoro e servizi su più reti cloud e on-premise. Questa soluzione offre agli sviluppatori di applicazioni e agli operatori l'esperienza di un unico cloud su più cloud. Questa soluzione utilizza e amplia anche gli utilizzi consolidati del networking ibrido e multi-cloud.

Questa guida è rivolta agli architetti e agli ingegneri di rete che vogliono progettare e creare applicazioni distribuite su rete Cross-Cloud. Questa guida fornisce una comprensione completa delle considerazioni sulla progettazione di reti Cross-Cloud.

Questa guida alla progettazione è una serie che include i seguenti documenti:

• Progettazione di una rete cross-cloud per applicazioni distribuite (questo documento)
• Segmentazione e connettività di rete per applicazioni distribuite nella rete Cross-Cloud
• Networking di servizi per applicazioni distribuite nella rete Cross-Cloud
• Sicurezza di rete per applicazioni distribuite nella rete Cross-Cloud

L'architettura supporta stack di applicazioni a livello di regione e globale ed è organizzata nei seguenti livelli funzionali:

• Segmentazione e connettività di rete: riguardano la struttura di segmentazione del VPC (Virtual Private Cloud) e la connettività IP tra i VPC e le reti esterne.
• Networking di servizi: prevede il deployment di servizi per le applicazioni, con bilanciamento del carico e resi disponibili in progetti e organizzazioni.
• Sicurezza della rete: consente l'applicazione forzata della sicurezza per le comunicazioni intra-cloud e inter-cloud, utilizzando sia la sicurezza cloud integrata sia le appliance virtuali di rete (NVA).

Segmentazione e connettività della rete

La struttura di segmentazione e la connettività sono alla base della progettazione. Il seguente diagramma mostra una struttura di segmentazione VPC, che puoi implementare utilizzando un'infrastruttura consolidata o segmentata. Questo diagramma non mostra le connessioni tra le reti.

Questa struttura include i seguenti componenti:

• VPC di transito: gestisce le connessioni di rete esterne e i criteri di routing. Questo VPC funge anche da hub di connettività condiviso per altri VPC.
• VPC servizi centrali: contiene i servizi creati e ospitati dall'organizzazione stessa. I servizi vengono forniti ai VPC delle applicazioni tramite un hub. Sebbene non sia obbligatorio, consigliamo che questo sia un VPC condiviso.
• VPC servizi gestiti: contiene i servizi forniti da altre entità. I servizi sono resi accessibili alle applicazioni in esecuzione nelle reti VPC tramite Private Service Connect o accesso privato ai servizi.

La scelta della struttura di segmentazione per i VPC delle applicazioni dipende dalla scala dei VPC delle applicazioni richiesti, sia che tu intenda eseguire il deployment di firewall perimetrali in una rete Cross-Cloud o esternamente, sia dalla scelta della pubblicazione di servizi centrali o distribuiti.

Cross-Cloud Network supporta il deployment di stack di applicazioni regionali e globali. Entrambi questi archetipi di resilienza delle applicazioni sono supportati dalla struttura di segmentazione proposta con il pattern di connettività tra VPC.

Puoi ottenere la connettività tra VPC tra i segmenti utilizzando una combinazione di peering di rete VPC e pattern hub-and-spoke HA-VPN. In alternativa, puoi utilizzare Network Connectivity Center per includere tutti i VPC come spoke in un hub di Network Connectivity Center.

La progettazione dell'infrastruttura DNS viene definita anche nel contesto della struttura di segmentazione, indipendentemente dal modello di connettività.

Networking di servizi

archetipi di deployment delle applicazioni diversi generano pattern diversi per il networking dei servizi. Per la progettazione di reti cross-cloud, concentrati sull'archetipo di deployment multiregionale, in cui uno stack di applicazioni viene eseguito in modo indipendente in più zone in due o più regioni di Google Cloud.

Un archetipo di deployment multiregionale ha le seguenti funzionalità utili per la progettazione di reti cross-cloud:

• Puoi utilizzare i criteri di routing DNS per instradare il traffico in entrata ai bilanciatori del carico regionali.
• I bilanciatori del carico a livello di regione possono quindi distribuire il traffico nello stack di applicazioni.
• Puoi implementare il failover a livello di regione nuovamente ancorando le mappature DNS dello stack di applicazioni con un criterio di routing del failover DNS.

Un'alternativa all'archetipo di deployment multiregionale è l'archetipo del deployment globale, in cui un singolo stack è basato su bilanciatori del carico globali e copre più regioni. Quando lavori con la progettazione di reti cross-cloud, considera le seguenti funzionalità di questo archetipo:

• I bilanciatori del carico distribuiscono il traffico nella regione più vicina all'utente.
• I frontend per internet sono globali, ma i frontend per uso interno sono a livello di regione con accesso globale, quindi puoi raggiungerli in scenari di failover.
• Puoi utilizzare i criteri di routing DNS di geolocalizzazione e i controlli di integrità DNS sui livelli di servizio interni dello stack di applicazioni.

Il modo in cui fornisci l'accesso ai servizi pubblicati gestiti dipende dal servizio che deve essere raggiunto. I diversi modelli di connettività privata sono modularizzati e ortogonali alla progettazione dello stack di applicazioni.

A seconda del servizio, puoi utilizzare Private Service Connect o l'accesso privato ai servizi per l'accesso privato. Puoi creare uno stack di applicazioni combinando i servizi integrati e quelli pubblicati da altre organizzazioni. Gli stack di servizi possono essere a livello di regione o globali per soddisfare il livello richiesto di resilienza e latenza di accesso ottimizzata.

Sicurezza della rete

Per la sicurezza dei carichi di lavoro, ti consigliamo di utilizzare i criteri firewall di Google Cloud.

Se la tua organizzazione richiede funzionalità avanzate aggiuntive per soddisfare i requisiti di sicurezza o conformità, puoi incorporare firewall di sicurezza perimetrali inserendo le appliance virtuali (NVA) Network Virtual Appliances (NGFW) di Next-Generation Firewall.

Puoi inserire le NVA NGFW in un'unica interfaccia di rete (modalità NIC singolo) o su più interfacce di rete (modalità con più NIC). Le VM di NGFW possono supportare zone di sicurezza o criteri perimetrali basati su CIDR (Classless Inter-Domain Routing). La rete Cross-Cloud esegue il deployment delle NAV perimetrali NGFW utilizzando un VPC di transito e i criteri di routing VPC.

Passaggi successivi

• Progettare la segmentazione e la connettività della rete per le applicazioni di rete cross-cloud.
• Scopri di più sui prodotti Google Cloud utilizzati in questa guida alla progettazione:
  • Reti VPC
  • VPC condiviso
  • Peering di rete VPC
  • Private Service Connect
  • Accesso privato ai servizi
• Per informazioni sul deployment delle VM di firewall firewall, consulta appliance di rete centralizzate su Google Cloud
• Per altre architetture di riferimento, guide alla progettazione e best practice, esplora il Cloud Architecture Center.

Collaboratori

Autori:

• Victor Moreno | Product Manager, Cloud Networking
• Ghaleb Al-habian | Esperto di rete
• Deepak Michael | Customer Engineer esperto di networking
• Osvaldo Costa | Customer Engineer esperto di networking
• Jonathan Almaleh | Consulente per le soluzioni tecniche del personale

Altri collaboratori:

• Zach Seils | Esperto di networking
• Christopher Abraham | Customer Engineer esperto di networking
• Emanuele Mazza | Networking Product Specialist
• Aurélien Legrand | Strategic Cloud Engineer
• Eric Yu | Customer Engineer esperto di networking
• Kumar Dhanagopal | Sviluppatore di soluzioni cross-product
• Mark Schlagenhauf | Writer tecnico, networking
• Marwan Al Shawi | Partner Customer Engineer
• Ammett Williams | Ingegnere per le relazioni con gli sviluppatori