Cross-Cloud Network per applicazioni distribuite

Cross-Cloud Network consente un'architettura per l'assemblaggio di applicazioni distribuite. Cross-Cloud Network ti consente di distribuire carichi di lavoro e servizi su più reti cloud e on-premise. Questa soluzione offre agli sviluppatori di applicazioni e agli operatori di un unico cloud su più cloud. Questa soluzione utilizza e anche espande gli utilizzi consolidati di ambienti ibridi e multi-cloud networking.

Questa guida è rivolta ad architetti e ingegneri di rete che vogliono progettare e creare applicazioni distribuite su Cross-Cloud Network. Questa guida fornisce una comprensione completa delle considerazioni di progettazione della rete cross-cloud.

Questa guida alla progettazione è una serie che include i seguenti documenti:

• Progettazione di una rete cross-cloud per applicazioni distribuite (questo documento)
• Segmentazione e connettività di rete per le applicazioni distribuite in Cross-Cloud Network
• Networking dei servizi per le applicazioni distribuite in Cross-Cloud Network
• Sicurezza della rete per le applicazioni distribuite in Cross-Cloud Network

L'architettura supporta stack di applicazioni regionali e globali organizzati nei seguenti strati funzionali:

• Segmentazione e connettività di rete: riguarda la struttura di segmentazione VPC (Virtual Private Cloud) e la connettività IP tra VPC e reti esterne.
• Networking dei servizi: prevede il deployment di servizi di applicazioni, che sono bilanciati in base al carico e resi disponibili in progetti e organizzazioni.
• Sicurezza della rete: consente l'applicazione forzata della sicurezza per le applicazioni intra-cloud le comunicazioni tra cloud, utilizzando sia la sicurezza appliance virtuali (NVA).

Connettività e segmentazione della rete

La struttura e la connettività della segmentazione sono la base del design. La il seguente diagramma mostra una struttura di segmentazione VPC, che è possibile implementare utilizzando un'infrastruttura consolidata o segmentata. Questo diagramma non mostra le connessioni tra le reti.

Questa struttura include i seguenti componenti:

• VPC di transito: gestisce le connessioni di rete esterne e i criteri di routing. Questo VPC funge anche da hub di connettività condiviso per altri VPC.
• VPC dei servizi centrali: contiene i servizi creati e ospitati dalla tua organizzazione. I servizi vengono forniti a i VPC delle applicazioni tramite un hub. Anche se non è obbligatorio, consigliamo di utilizzare un VPC condiviso.
• VPC servizi gestiti: contiene i servizi forniti da altre entità. I servizi vengono resi accessibili alle applicazioni in esecuzione nelle reti VPC utilizzando Private Service Connect o l'accesso privato ai servizi.

La scelta della struttura di segmentazione per i VPC delle applicazioni dipende dalle dimensioni dei VPC delle applicazioni richieste, dal fatto che prevedi di eseguire il deployment di firewall perimetrali nella rete cross-cloud o esternamente e dalla scelta della pubblicazione del servizio centralizzata o distribuita.

Cross-Cloud Network supporta il deployment di stack di applicazioni regionali e globali. Entrambi questi archetipi di resilienza delle applicazioni sono supportati dalla struttura di segmentazione proposta con il pattern di connettività inter-VPC.

Puoi ottenere la connettività inter-VPC tra i segmenti utilizzando una combinazione di peering di rete VPC e pattern hub-and-spoke VPN ad alta disponibilità. In alternativa, puoi utilizzare Network Connectivity Center per includere tutti i VPC come spoke in un hub di Network Connectivity Center.

La progettazione dell'infrastruttura DNS viene definita anche nel contesto struttura di segmentazione, indipendentemente dal modello di connettività.

Networking di servizi

Deployment di applicazioni diverse gli archetipi portano a modelli diversi per il networking di servizi. Per la progettazione di reti cross-cloud, concentrati su il deployment multiregionale archetipo, in cui stack di applicazioni viene eseguito in modo indipendente in più zone su due o più regioni di Google Cloud.

Un archetipo di implementazione multiregionale presenta le seguenti funzionalità utili per la progettazione di Cross-Cloud Network:

• Puoi utilizzare i criteri di routing DNS per instradare il traffico in entrata all'area geografica bilanciatori del carico.
• I bilanciatori del carico a livello di regione possono quindi distribuire il traffico e lo stack di applicazioni.
• Puoi implementare il failover a livello di regione ancorando nuovamente le mappature DNS del lo stack di applicazioni con un router di failover DNS .

Un'alternativa all'archetipo di deployment multiregionale è l'archetipo di deployment globale, in cui un singolo stack è basato su bilanciatori del carico globali e si estende su più regioni. Quando utilizzi la progettazione di reti cross-cloud, tieni presenti le seguenti funzionalità di questo archetipo:

• I bilanciatori del carico distribuiscono il traffico alla regione più vicina all'utente.
• I frontend per internet sono globali, ma quelli per uso interno sono a livello di regione con accesso globale, quindi puoi raggiungerli scenari di failover.
• Puoi utilizzare i criteri di routing del DNS di geolocalizzazione e i controlli di integrità DNS sulla e i livelli di servizio interni dello stack di applicazioni.

Il modo in cui fornisci l'accesso ai servizi pubblicati gestiti dipende dal servizio che che deve essere raggiunto. I diversi modelli di raggiungibilità privata sono modularizzati e ortogonali al design dello stack dell'applicazione.

A seconda del servizio, puoi utilizzare Private Service Connect o accesso privato ai servizi per l'accesso privato. Puoi creare uno stack di applicazioni combinando servizi integrati e servizi pubblicati da altre organizzazioni. Gli stack di servizi possono essere regionali o globali per soddisfare il livello richiesto di resilienza e latenza di accesso ottimizzata.

Sicurezza della rete

Per la sicurezza del carico di lavoro, ti consigliamo di utilizzare le norme del firewall di Google Cloud.

Se la tua organizzazione richiede funzionalità avanzate aggiuntive per garantire la sicurezza o requisiti di conformità, puoi incorporare firewall inserendo le appliance virtuali (NVA) di rete di Next-Generation Firewall (NGFW).

Puoi inserire le NVA NGFW in un'unica interfaccia di rete (modalità NIC singola) o su più interfacce di rete (modalità multi-NIC). Le NVA NGFW possono supportare zone di sicurezza o criteri di perimetro basati su Classless Inter-Domain Routing (CIDR). La rete cross-cloud esegue il deployment di NVA NGFW perimetrali utilizzando una VPC di transito e criteri di routing VPC.

Passaggi successivi

• Progetta la segmentazione e la connettività della rete per le applicazioni Cross-Cloud Network.
• Scopri di più sui prodotti Google Cloud utilizzati in questa guida alla progettazione:
  • Reti VPC
  • VPC condiviso
  • Peering di rete VPC
  • Private Service Connect
  • Accesso privato ai servizi
• Per altre architetture di riferimento, guide di progettazione e best practice, visita il Cloud Architecture Center.

Collaboratori

Autori:

• Victor Moreno | Product Manager, Cloud Networking
• Ghaleb al-habian | Esperto di rete
• Deepak Michael | Customer Engineer esperto di networking
• Osvaldo Costa | Networking Specialist Customer Engineer
• Jonathan Almaleh | Technical Solutions Consultant di livello superiore

Altri collaboratori:

• Zach Seils | Specialista di networking
• Christopher Abraham | Customer Engineer esperto di reti
• Emanuele Mazza | Networking Product Specialist
• Aurélien Legrand | Strategic Cloud Engineer
• Eric Yu | Customer Engineer esperto di networking
• Kumar Dhanagopal | Sviluppatore di soluzioni cross-product
• Marca Schlagenhauf | Scrittore tecnico, networking
• Marwan Al Shawi | Partner Customer Engineer
• Ammett Williams | Developer Relations Engineer