Cross-Cloud Network per applicazioni distribuite

Cross-Cloud Network consente un'architettura per l'assemblaggio di applicazioni distribuite. Cross-Cloud Network ti consente di distribuire carichi di lavoro e servizi su più reti cloud e on-premise. Questa soluzione offre a sviluppatori e operatori di applicazioni l'esperienza di un unico cloud su più cloud. Questa soluzione utilizza e amplia gli usi consolidati del networking ibrido e multi-cloud.

Questa guida è rivolta ad architetti e ingegneri di rete che vogliono progettare e creare applicazioni distribuite su Cross-Cloud Network. Questa guida fornisce una comprensione completa delle considerazioni di progettazione delle reti cross-cloud.

Questa guida al design è una serie che include i seguenti documenti:

• Progettazione di Cross-Cloud Network per applicazioni distribuite (questo documento)
• Segmentazione e connettività di rete per le applicazioni distribuite in Cross-Cloud Network
• Networking dei servizi per le applicazioni distribuite in Cross-Cloud Network
• Sicurezza della rete per le applicazioni distribuite in Cross-Cloud Network

L'architettura supporta gli stack di applicazioni regionali e globali ed è organizzata nei seguenti livelli funzionali:

• Segmentazione e connettività di rete: riguarda la struttura di segmentazione VPC (Virtual Private Cloud) e la connettività IP tra VPC e reti esterne.
• Networking dei servizi: prevede il deployment di servizi di applicazioni, che sono bilanciati in base al carico e resi disponibili in progetti e organizzazioni.
• Sicurezza di rete: consente l'applicazione della sicurezza per le comunicazioni intra-cloud e inter-cloud, utilizzando sia la sicurezza cloud integrata sia le appliance virtuali di rete (NVA).

Segmentazione della rete e connettività

La struttura e la connettività della segmentazione sono la base del design. Il seguente diagramma mostra una struttura di segmentazione VPC, che puoi implementare utilizzando un'infrastruttura consolidata o segmentata. Questo diagramma non mostra le connessioni tra le reti.

Questa struttura include i seguenti componenti:

• VPC di transito: gestisce le connessioni di rete esterne e i criteri di routing. Questo VPC funge anche da hub di connettività condiviso per altri VPC.
• VPC dei servizi centrali: contiene i servizi creati e ospitati dalla tua organizzazione. I servizi vengono forniti alle VPC delle applicazioni tramite un hub. Anche se non è obbligatorio, consigliamo di utilizzare un VPC condiviso.
• VPC di servizi gestiti: contiene i servizi forniti da altre persone giuridiche. I servizi vengono resi accessibili alle applicazioni in esecuzione nelle reti VPC utilizzando Private Service Connect o l'accesso privato ai servizi.

La scelta della struttura di segmentazione per i VPC delle applicazioni dipende dalle dimensioni dei VPC delle applicazioni richieste, dal fatto che prevedi di eseguire il deployment di firewall perimetrali nella rete cross-cloud o esternamente e dalla scelta della pubblicazione del servizio centralizzata o distribuita.

Cross-Cloud Network supporta il deployment di stack di applicazioni regionali e globali. Entrambi questi archetipi di resilienza delle applicazioni sono supportati dalla struttura di segmentazione proposta con il pattern di connettività inter-VPC.

Puoi ottenere la connettività inter-VPC tra i segmenti utilizzando una combinazione di peering di rete VPC e pattern hub-and-spoke VPN ad alta disponibilità. In alternativa, puoi utilizzare Network Connectivity Center per includere tutti i VPC come spoke in un hub Network Connectivity Center.

Il design dell'infrastruttura DNS è definito anche nel contesto della struttura di segmentazione, indipendentemente dal pattern di connettività.

Networking di servizi

Archetipi di deployment delle applicazioni diversi generano pattern diversi per la creazione di reti di servizi. Per la progettazione di reti cross-cloud, concentrati sull'archetipo di deployment su più regioni, in cui uno stack di applicazioni viene eseguito in modo indipendente in più zone in due o più regioni Google Cloud.

Un archetipo di implementazione multiregionale presenta le seguenti funzionalità utili per la progettazione di Cross-Cloud Network:

• Puoi utilizzare i criteri di routing DNS per instradare il traffico in entrata ai bilanciatori del carico regionali.
• I bilanciatori del carico a livello di regione possono quindi distribuire il traffico allo stack delle applicazioni.
• Puoi implementare il failover regionale ancorando di nuovo le mappature DNS dell'appliance con un criterio di routing del failover DNS.

Un'alternativa all'archetipo di deployment multiregionale è l'archetipo di deployment globale, in cui un singolo stack è basato su bilanciatori del carico globali e si estende su più regioni. Quando utilizzi la progettazione di reti cross-cloud, tieni presenti le seguenti funzionalità di questo archetipo:

• I bilanciatori del carico distribuiscono il traffico alla regione più vicina all'utente.
• I frontend rivolti a internet sono globali, ma quelli rivolti all'interno sono regionali con accesso globale, quindi puoi raggiungerli in scenari di failover.
• Puoi utilizzare i criteri di routing DNS e i controlli di integrità DNS per la geolocalizzazione nei livelli di servizio interni dello stack dell'applicazione.

La modalità di accesso ai servizi pubblicati gestiti dipende dal servizio che deve essere raggiunto. I diversi modelli di raggiungibilità privata sono modularizzati e ortogonali al design dello stack dell'applicazione.

A seconda del servizio, puoi utilizzare Private Service Connect o accesso privato ai servizi per l'accesso privato. Puoi creare uno stack di applicazioni combinando servizi integrati e servizi pubblicati da altre organizzazioni. Gli stack di servizi possono essere regionali o globali per soddisfare il livello richiesto di resilienza e latenza di accesso ottimizzata.

Sicurezza della rete

Per la sicurezza del carico di lavoro, ti consigliamo di utilizzare le norme del firewall di Google Cloud.

Se la tua organizzazione richiede funzionalità avanzate aggiuntive per soddisfare i requisiti di sicurezza o conformità, puoi incorporare firewall di sicurezza perimetrali inserendo appliance virtuali di rete (NVA) di firewall di nuova generazione (NGFW).

Puoi inserire le NVA NGFW in un'unica interfaccia di rete (modalità NIC singola) o su più interfacce di rete (modalità multi-NIC). Le NVA NGFW possono supportare zone di sicurezza o criteri di perimetro basati su Classless Inter-Domain Routing (CIDR). La rete cross-cloud esegue il deployment di NVA NGFW perimetrali utilizzando una VPC di transito e criteri di routing VPC.

Passaggi successivi

• Progetta la segmentazione e la connettività della rete per le applicazioni Cross-Cloud Network.
• Scopri di più sui prodotti Google Cloud utilizzati in questa guida di progettazione:
  • Reti VPC
  • VPC condiviso
  • Peering di rete VPC
  • Private Service Connect
  • Accesso privato ai servizi
• Per altre architetture di riferimento, guide di progettazione e best practice, visita il Cloud Architecture Center.

Collaboratori

Autori:

• Victor Moreno | Product Manager, Cloud Networking
• Ghaleb Al-habian | Specialista della rete
• Deepak Michael | Networking Specialist Customer Engineer
• Osvaldo Costa | Networking Specialist Customer Engineer
• Jonathan Almaleh | Technical Solutions Consultant di livello superiore

Altri collaboratori:

• Zach Seils | Specialista di networking
• Christopher Abraham | Customer Engineer esperto di reti
• Emanuele Mazza | Networking Product Specialist
• Aurélien Legrand | Strategic Cloud Engineer
• Eric Yu | Networking Specialist Customer Engineer
• Kumar Dhanagopal | Sviluppatore di soluzioni cross-product
• Mark Schlagenhauf | Technical Writer, Networking
• Marwan Al Shawi | Partner Customer Engineer
• Ammett Williams | Developer Relations Engineer