Cloudübergreifendes Netzwerk für verteilte Anwendungen

Das cloudübergreifende Netzwerk ermöglicht eine Architektur für die Zusammenstellung verteilter Anwendungen. Mit dem cloudübergreifenden Netzwerk können Sie Arbeitslasten und Dienste auf mehrere Cloud- und lokale Netzwerke verteilen. Diese Lösung bietet Anwendungsentwicklern und Betreibern die Erfahrung einer einzelnen Cloud in mehreren Clouds. Diese Lösung nutzt und erweitert auch die etablierten Einsatzmöglichkeiten von Hybrid- und Multi-Cloud-Netzwerken.

Dieser Leitfaden richtet sich an Netzwerkarchitekten und -entwickler, die verteilte Anwendungen in einem cloudübergreifenden Netzwerk entwerfen und erstellen möchten. Dieser Leitfaden bietet ein umfassendes Verständnis der Aspekte des cloudübergreifenden Netzwerkdesigns.

Diese Designanleitung ist eine Reihe, die folgende Dokumente behandelt:

• Cloudübergreifendes Netzwerkdesign für verteilte Anwendungen (dieses Dokument)
• Netzwerksegmentierung und -verbindung für verteilte Anwendungen im cloudübergreifenden Netzwerk
• Netzwerksicherheit für verteilte Anwendungen im cloudübergreifenden Netzwerk

Die Architektur unterstützt regionale und globale Anwendungspakete und ist in die folgenden Funktionsebenen organisiert:

• Netzwerksegmentierung und -verbindung: Umfasst die Segmentierungsstruktur der Virtual Private Cloud (VPC) und die IP-Konnektivität zwischen VPCs und externen Netzwerken.
• Dienstnetzwerk: Umfasst die Bereitstellung von Anwendungsdiensten, die mit Load-Balancing verteilt und projekt- und organisationsübergreifend verfügbar sind.
• Netzwerksicherheit: Ermöglicht die Erzwingung der Sicherheit für Intra-Cloud- und Inter-Cloud-Kommunikation mithilfe von integrierten Cloud-Sicherheit und virtuellen Netzwerk-Appliances (NVAs).

Netzwerksegmentierung und -verbindung

Die Segmentierungsstruktur und -Konnektivität sind die Grundlage des Designs. Das folgende Diagramm zeigt eine VPC-Segmentierungsstruktur, die Sie mithilfe einer konsolidierten oder segmentierten Infrastruktur implementieren können. Dieses Diagramm zeigt nicht die Verbindungen zwischen den Netzwerken.

Diese Struktur umfasst die folgenden Komponenten:

• Transit-VPC: Verarbeitet externe Netzwerkverbindungen und Routingrichtlinien. Diese VPC dient auch als freigegebener Verbindungs-Hub für andere VPCs.
• Zentrale Dienst-VPC: Enthält Dienste, die Ihre Organisation selbst erstellt und hostet. Die Dienste werden für Anwendungs-VPCs über einen Hub bereitgestellt. Obwohl es nicht erforderlich ist, wird es empfohlen, dass es sich um eine freigegebene VPC handelt.
• VPC für verwaltete Dienste: Enthält die Dienste, die von anderen Entitäten bereitgestellt werden. Die Dienste werden für Anwendungen, die in VPC-Netzwerken ausgeführt werden, über Private Service Connect oder den Zugriff auf private Dienste zugänglich.

Die Auswahl der Segmentierungsstruktur für die Anwendungs-VPCs hängt vom Umfang der erforderlichen Anwendungs-VPCs ab, unabhängig davon, ob Sie Perimeter-Firewalls im cloudübergreifenden Netzwerk oder extern bereitstellen möchten, sowie vom zentralen oder verteilten Dienst Publikation.

Das cloudübergreifende Netzwerk unterstützt die Bereitstellung regionaler Anwendungspakete und globaler Anwendungspakete. Beide Archetypen für die Anwendungsausfallsicherheit werden von der vorgeschlagenen Segmentierungsstruktur mit dem Inter-VPC-Verbindungsmuster unterstützt.

Sie können die VPC-Verbindungen zwischen Segmenten mithilfe einer Kombination aus VPC-Netzwerk-Peering und HA-VPN-Hub-and-Spoke-Mustern herstellen. Alternativ können Sie das Network Connectivity Center verwenden, um alle VPCs als Spokes in einen Network Connectivity Center-Hub aufzunehmen.

Das Design der DNS-Infrastruktur wird außerdem unabhängig vom Verbindungsmuster auch im Kontext der Segmentierungsstruktur definiert.

Dienstnetzwerk

Unterschiedliche Archetypen für die Bereitstellung von Anwendungen führen zu unterschiedlichen Mustern für Dienstnetzwerke. Konzentrieren Sie sich beim cloudübergreifenden Netzwerkdesign auf den Archetyp für multiregionale Bereitstellungen, bei dem ein Anwendungspaket unabhängig in mehreren Zonen über zwei oder mehr Cloud-Regionen ausgeführt wird.

Ein Archetyp für multiregionale Bereitstellungen hat die folgenden Features, die für das cloudübergreifende Netzwerkdesign nützlich sind:

• Sie können DNS-Routingrichtlinien verwenden, um eingehenden Traffic an die regionalen Load Balancer weiterzuleiten.
• Die regionalen Load Balancer können dann den Traffic auf das Anwendungspaket verteilen.
• Sie können regionalen Failover implementieren, indem Sie die DNS-Zuordnungen des Anwendungspakets mit einer DNS-Failover-Routingrichtlinie neu verankern.

Eine Alternative zum Archetyp für multiregionale Bereitstellungen ist der Archetyp für globale Bereitstellungen, bei dem ein einzelner Stack auf globalen Load Balancern basiert und sich über mehrere Regionen erstreckt. Beachten Sie die folgenden Features dieses Archetyps, wenn Sie mit dem cloudübergreifenden Netzwerkdesign arbeiten:

• Die Load-Balancer verteilen den Traffic auf die Region, die dem Nutzer am nächsten ist.
• Die Internet-Front-Ends sind global, die internen Front-Ends jedoch regional mit globalem Zugriff, sodass Sie sie in Failover-Szenarien erreichen können.
• Sie können für die Standortbestimmung DNS-Routingrichtlinien und DNS-Systemdiagnosen auf den internen Dienstebenen des Anwendungspakets verwenden.

Wie Sie Zugriff auf verwaltete veröffentlichte Dienste gewähren, hängt vom Dienst ab, der erreicht werden muss. Die verschiedenen privaten Erreichbarkeitsmodelle sind modularisiert und orthogonal zum Design des Anwendungspakets.

Je nach Dienst können Sie Private Service Connect oder den Zugriff auf private Dienste für den privaten Zugriff verwenden. Sie können ein Anwendungspaket erstellen, indem Sie integrierte Dienste und Dienste kombinieren, die von anderen Organisationen veröffentlicht wurden. Die Dienststacks können regional oder global sein, um das erforderliche Maß an Ausfallsicherheit und optimierte Zugriffslatenz zu erfüllen.

Netzwerksicherheit

Für die Arbeitslastsicherheit empfehlen wir die Verwendung von Firewallrichtlinien von Google Cloud.

Wenn Ihre Organisation zusätzliche erweiterte Funktionen benötigt, um Sicherheits- oder Compliance-Anforderungen zu erfüllen, können Sie Perimeter-Sicherheitsfirewalls einbinden, indem Sie NVAs (Next-Generation Firewall) für virtuelle Appliances (NGFW) einfügen

Sie können NGFW-NVAs in eine einzelne Netzwerkschnittstelle (Einzel-NIC-Modus) oder über mehrere Netzwerk-Schnittstellen (Multi-NIC-Modus) einfügen. Die NGFW-NVAs können Sicherheitszonen oder CIDR-basierte Perimeterrichtlinien (Classless Inter-Domain Routing) unterstützen. Das cloudübergreifende Netzwerk stellt die Perimeter-NGFW-NVAs über eine Transit-VPC und VPC-Routingrichtlinien bereit.

Nächste Schritte

• Netzwerksegmentierung und -verbindung für cloudübergreifende Netzwerkanwendungen entwerfen.
• Weitere Informationen zu den in dieser Designanleitung verwendeten Google Cloud-Produkten:
  • VPC-Netzwerke
  • Shared VPC
  • VPC-Netzwerk-Peering
  • Private Service Connect
  • Zugriff auf private Dienste
• Informationen zum Bereitstellen von Firewall-NVAs finden Sie unter Zentralisierte Netzwerk-Appliances in Google Cloud.
• Weitere Referenzarchitekturen, Designleitfäden und Best Practices finden Sie im Cloud-Architekturcenter

Beitragende

Autoren:

• Victor Moreno | Product Manager, Cloud Networking
• Ghaleb Al-habian | Network Specialist
• Deepak Michael | Networking Specialist Customer Engineer
• Osvaldo Costa | Networking Specialist Customer Engineer
• Jonathan Almaleh | Staff Technical Solutions Consultant

Weitere Beitragende:

• Zach Seils | Networking Specialist
• Christopher Abraham | Networking Specialist Customer Engineer
• Emanuele Mazza | Networking Product Specialist
• Aurélien Legrand | Strategic Cloud Engineer
• Eric Yu | Networking Specialist Customer Engineer
• Kumar Dhanagopal | Cross-Product Solution Developer
• Mark Schlagenhauf | Technical Writer, Netzwerk
• Marwan Al Shawi | Partner Customer Engineer
• Ammett Williams | Developer Relations Engineer