Cross-Cloud Network permet d'implémenter une architecture pour l'assemblage d'applications distribuées. Cross-Cloud Network vous permet de répartir les charges de travail et les services sur plusieurs réseaux cloud et sur site. Cette solution offre aux développeurs et aux opérateurs d'applications l'expérience d'un cloud unique sur plusieurs clouds. Cette solution utilise et étend également les utilisations établies de la mise en réseau hybride et multicloud.
Ce guide s'adresse aux architectes et ingénieurs réseau qui souhaitent concevoir et compiler des applications distribuées sur Cross-Cloud Network. Ce guide vous apporte une compréhension complète des considérations de conception de Cross-Cloud Network.
Ce guide de conception est une série comprenant les documents suivants:
- Conception de Cross-Cloud Network pour les applications distribuées (ce document)
- Segmentation et connectivité réseau pour les applications distribuées dans Cross-Cloud Network
- Sécurité réseau pour les applications distribuées dans Cross-Cloud Network
L'architecture est compatible avec des piles d'applications régionales et globales, et est organisée en couches fonctionnelles suivantes:
- Segmentation et connectivité réseau: implique la structure de segmentation du cloud privé virtuel (VPC) et la connectivité IP entre les VPC et les réseaux externes.
- Mise en réseau des services: implique le déploiement de services d'application, qui font l'objet d'un équilibrage de charge et sont disponibles dans l'ensemble des projets et des organisations.
- Sécurité du réseau: permet d'appliquer la sécurité des communications intra-cloud et inter-cloud à l'aide de dispositifs de sécurité cloud intégrés et de dispositifs virtuels de réseau (NVA).
Segmentation et connectivité du réseau
La structure de segmentation et la connectivité sont la base de la conception. Le schéma suivant illustre une structure de segmentation VPC que vous pouvez mettre en œuvre à l'aide d'une infrastructure consolidée ou segmentée. Ce schéma n'affiche pas les connexions entre les réseaux.
Cette structure comprend les composants suivants:
- VPC de transit: gère les connexions réseau externes et les règles de routage. Ce VPC sert également de hub de connectivité partagé pour d'autres VPC.
- VPC des services centraux: contient les services que votre organisation crée et héberge elle-même. Les services sont fournis aux VPC d'application via un hub. Bien que cela ne soit pas obligatoire, nous vous recommandons d'utiliser un VPC partagé.
- VPC de services gérés: contient les services fournis par d'autres entités. Les services sont rendus accessibles aux applications exécutées dans des réseaux VPC à l'aide de Private Service Connect ou de l'accès aux services privés.
Le choix de la structure de segmentation pour les VPC d'application dépend de l'échelle des VPC d'application requis, que vous envisagiez de déployer des pare-feu de périmètre dans Cross-Cloud Network ou en externe, et du choix du service central ou distribué publication.
Cross-Cloud Network est compatible avec le déploiement de piles d'applications régionales et mondiales. Ces deux archétypes de résilience des applications sont pris en charge par la structure de segmentation proposée avec le modèle de connectivité inter-VPC.
Vous pouvez obtenir une connectivité inter-VPC entre les segments en utilisant une combinaison d'appairage de réseaux VPC et de modèles hub et spoke de VPN haute disponibilité. Vous pouvez également utiliser Network Connectivity Center pour inclure tous les VPC en tant que spokes dans un hub Network Connectivity Center.
La conception de l'infrastructure DNS est également définie dans le contexte de la structure de segmentation, indépendamment du modèle de connectivité.
Mise en réseau des services
Différents archétypes de déploiement d'applications entraînent différents modèles de mise en réseau de services. Pour la conception Cross-Cloud Network, concentrez-vous sur l'archétype de déploiement multirégional, dans lequel une pile d'applications s'exécute indépendamment dans plusieurs zones sur au moins deux services Google régions cloud.
Un archétype de déploiement multirégional présente les fonctionnalités suivantes utiles pour la conception de réseaux inter-cloud:
- Vous pouvez utiliser des règles de routage DNS pour acheminer le trafic entrant vers les équilibreurs de charge régionaux.
- Les équilibreurs de charge régionaux peuvent ensuite distribuer le trafic vers la pile d'applications.
- Vous pouvez mettre en œuvre le basculement régional en ancrant de nouveau les mappages DNS de la pile d'applications avec une règle de routage de basculement DNS.
L'archétype de déploiement mondial constitue une alternative à l'archétype de déploiement multirégional, dans lequel une seule pile est basée sur des équilibreurs de charge mondiaux et couvre plusieurs régions. Tenez compte des fonctionnalités suivantes de cet archétype lorsque vous utilisez la conception de réseaux Cross-Cloud:
- Les équilibreurs de charge distribuent le trafic dans la région la plus proche de l'utilisateur.
- Les interfaces Internet sont globales, mais les interfaces internes sont régionales avec un accès mondial. Vous pouvez donc les atteindre dans des scénarios de basculement.
- Vous pouvez utiliser des règles de routage DNS de géolocalisation et des vérifications d'état DNS sur les couches de service internes de la pile d'applications.
La manière dont vous accordez l'accès aux services publiés gérés dépend du service auquel vous devez accéder. Les différents modèles de joignabilité privée sont modularisés et perpendiculaires à la conception de la pile d'applications.
Selon le service, vous pouvez utiliser Private Service Connect ou l'accès aux services privés pour un accès privé. Vous pouvez créer une pile d'applications en combinant des services intégrés et des services publiés par d'autres organisations. Les piles de services peuvent être régionales ou mondiales pour répondre au niveau de résilience requis et à la latence d'accès optimisée.
Sécurité du réseau
Pour la sécurité des charges de travail, nous vous recommandons d'utiliser des stratégies de pare-feu de Google Cloud.
Si votre organisation a besoin de fonctionnalités avancées supplémentaires pour répondre aux exigences de sécurité ou de conformité, vous pouvez intégrer des pare-feu de sécurité périmétriques en insérant des dispositifs virtuels de réseau (NVA) de pare-feu nouvelle génération (NGFW).
Vous pouvez insérer des NVA NGFW dans une seule interface réseau (mode avec carte d'interface réseau unique) ou sur plusieurs interfaces réseau (mode avec plusieurs cartes d'interface réseau). Les NVA NGFW peuvent accepter des zones de sécurité ou des règles de périmètre basées sur CIDR (Classless Inter-Domain Routing). Cross-Cloud Network déploie des NVA NGFW de périmètre à l'aide d'un VPC de transit et de règles de routage VPC.
Étapes suivantes
- Concevez la segmentation et la connectivité réseau pour les applications Cross-Cloud Network.
- Découvrez les produits Google Cloud utilisés dans ce guide de conception :
- Pour en savoir plus sur le déploiement des NVA de pare-feu, consultez la page Dispositifs réseau centralisés sur Google Cloud.
- Pour découvrir d'autres architectures de référence, guides de conception et bonnes pratiques, consultez le Centre d'architecture cloud.
Contributeurs
Auteurs :
- Victor Moreno | Responsable produit, Mise en réseau cloud
- Ghaleb Al-habian | Spécialiste du réseau
- Deepak Michael | Ingénieur client spécialisé en réseau
- Osvaldo Costa | Ingénieur client spécialisé en réseau
- Jonathan Almalh | Consultant solutions techniques pour le personnel
Autres contributeurs :
- Zach Seils | Spécialiste en réseau
- Christopher Abraham | Ingénieur client spécialisé en réseau
- Emanuele Mazza | Spécialiste des produits de mise en réseau
- Aurlien Legrand | Strategic Cloud Engineer
- Eric Yu | Ingénieur client spécialisé en réseau
- Kumar Dhanagopal Développeur de solutions multiproduits
- Mark Schlagenhauf | Rédacteur technique, Mise en réseau
- Marwan Al Shawi | Partner Customer Engineer
- Ammett Williams | Ingénieur relations avec les développeurs