Rete cross-cloud per applicazioni distribuite

Cross-Cloud Network consente un'architettura per l'assemblaggio di applicazioni distribuite. La rete Cross-Cloud Network ti consente di distribuire carichi di lavoro e servizi su più reti cloud e on-premise. Questa soluzione offre a sviluppatori e operatori di applicazioni l'esperienza di un unico cloud su più cloud. Questa soluzione utilizza ed espande gli utilizzi consolidati del networking ibrido e multi-cloud.

Questa guida è rivolta ai network architect e ingegneri che vogliono progettare e creare applicazioni distribuite sulla rete Cross-Cloud. Questa guida fornisce una comprensione completa delle considerazioni sulla progettazione di reti cross-cloud.

Questa guida alla progettazione è una serie che include i seguenti documenti:

• Progettazione di reti cross-cloud per applicazioni distribuite (questo documento)
• Segmentazione e connettività della rete per applicazioni distribuite nella rete Cross-Cloud
• Sicurezza di rete per applicazioni distribuite nella rete Cross-Cloud

L'architettura supporta stack di applicazioni a livello di regione e globale ed è organizzata nei seguenti livelli funzionali:

• Segmentazione e connettività della rete: riguarda la struttura di segmentazione di Virtual Private Cloud (VPC) e la connettività IP nei VPC e verso reti esterne.
• Networking di servizi: prevede il deployment di servizi per le applicazioni, che sono bilanciati del carico e resi disponibili in più progetti e organizzazioni.
• Sicurezza della rete: consente l'applicazione della sicurezza per le comunicazioni intra-cloud e tra-cloud, utilizzando sia la sicurezza cloud integrata sia le appliance virtuali di rete (NVA).

Segmentazione e connettività della rete

La struttura di segmentazione e la connettività sono alla base del design. Il seguente diagramma mostra una struttura di segmentazione VPC, che puoi implementare utilizzando un'infrastruttura consolidata o segmentata. Questo schema non mostra le connessioni tra le reti.

Questa struttura include i seguenti componenti:

• VPC per il trasporto pubblico: gestisce le connessioni di rete esterne e i criteri di routing. Questo VPC funge anche da hub di connettività condiviso per altri VPC.
• VPC di servizi centrali: contiene i servizi che la tua organizzazione crea e ospita autonomamente. I servizi vengono forniti ai VPC delle applicazioni tramite un hub. Sebbene non sia obbligatorio, ti consigliamo di utilizzare un VPC condiviso.
• VPC di servizi gestiti: contiene i servizi forniti da altre entità. I servizi sono resi accessibili alle applicazioni in esecuzione nelle reti VPC mediante Private Service Connect o l'accesso privato ai servizi.

La scelta della struttura di segmentazione per i VPC delle applicazioni dipende dalla portata dei VPC delle applicazioni richieste, che tu prevedi di eseguire il deployment di firewall perimetrali nella rete Cross-Cloud o esternamente, e dalla scelta della pubblicazione di servizi centralizzati o distribuiti.

Cross-Cloud Network supporta il deployment di stack di applicazioni regionali e globali. Entrambi questi archetipi di resilienza delle applicazioni sono supportati dalla struttura di segmentazione proposta con il modello di connettività tra VPC.

Puoi ottenere una connettività tra VPC tra i segmenti utilizzando una combinazione di peering di rete VPC e pattern hub e spoke di VPN ad alta disponibilità. In alternativa, puoi utilizzare Network Connectivity Center per includere tutti i VPC come spoke in un hub di Network Connectivity Center.

La progettazione dell'infrastruttura DNS viene definita anche nel contesto della struttura di segmentazione, indipendentemente dal modello di connettività.

Networking di servizi

Diversi archetipi di deployment delle applicazioni portano a pattern diversi per il networking dei servizi. Per la progettazione di reti cross-cloud, concentrati sull'archetipo di deployment multiregionale, in cui uno stack di applicazioni viene eseguito in modo indipendente in più zone in due o più regioni di Google Cloud.

Un archetipo di deployment a più regioni include le seguenti funzionalità utili per la progettazione di reti cross-cloud:

• Puoi utilizzare i criteri di routing DNS per instradare il traffico in entrata ai bilanciatori del carico a livello di regione.
• I bilanciatori del carico a livello di regione possono quindi distribuire il traffico allo stack di applicazioni.
• Puoi implementare il failover a livello di regione eseguendo nuovamente l'ancoraggio delle mappature DNS dello stack di applicazioni con un criterio di routing del failover DNS.

Un'alternativa all'archetipo di deployment multi-regionale è l'archetipo di deployment globale, in cui un singolo stack viene creato su bilanciatori del carico globali e interessa più regioni. Considera le seguenti funzionalità di questo archetipo quando lavori con la progettazione di reti cross-cloud:

• I bilanciatori del carico distribuiscono il traffico nella regione più vicina all'utente.
• I frontend rivolti a internet sono globali, ma quelli rivolti all'interno sono a livello di regione con accesso globale, quindi puoi raggiungerli in scenari di failover.
• Puoi utilizzare i criteri di routing DNS di geolocalizzazione e i controlli di integrità DNS sui livelli di servizio interni dello stack di applicazioni.

Il modo in cui fornisci l'accesso ai servizi pubblicati gestiti dipende dal servizio che deve essere raggiunto. I diversi modelli di connettività privata sono modulari e ortogonali al design dello stack di applicazioni.

A seconda del servizio, puoi utilizzare Private Service Connect o l'accesso privato ai servizi per l'accesso privato. Puoi creare uno stack di applicazioni combinando i servizi integrati e quelli pubblicati da altre organizzazioni. Gli stack di servizi possono essere a livello di regione o globale per soddisfare il livello richiesto di resilienza e di latenza di accesso ottimizzata.

Sicurezza della rete

Per la sicurezza dei carichi di lavoro, ti consigliamo di utilizzare i criteri firewall di Google Cloud.

Se la tua organizzazione richiede funzionalità avanzate aggiuntive per soddisfare requisiti di sicurezza o conformità, puoi incorporare firewall di sicurezza perimetrali inserendo NVA (Network Virtual Appliances) Next-Generation Firewall (NGFW).

Puoi inserire gli NVA NGFW in un'unica interfaccia di rete (modalità NIC singola) o su più interfacce di rete (modalità multi-NIC). Gli NGFW NVA possono supportare zone di sicurezza o criteri perimetrali basati su Classless Inter-Domain Routing (CIDR). La rete Cross-Cloud esegue il deployment delle NVA NGFW perimetrali utilizzando un VPC di transito e criteri di routing VPC.

Passaggi successivi

• Progetta la segmentazione e la connettività della rete per le applicazioni di rete cross-cloud.
• Scopri di più sui prodotti Google Cloud utilizzati in questa guida alla progettazione:
  • Reti VPC
  • VPC condiviso
  • Peering di rete VPC
  • Private Service Connect
  • Accesso privato ai servizi
• Per informazioni sul deployment degli NVA firewall, consulta Appliance di rete centralizzate su Google Cloud
• Per altre architetture di riferimento, guide alla progettazione e best practice, esplora il Cloud Architecture Center.

Collaboratori

Autori:

• Victor Moreno | Product Manager, Cloud Networking
• Ghaleb Al-habian | Specialista di rete
• Deepak Michael | Customer Engineer esperto di networking
• Osvaldo Costa | Customer Engineer (Networking Specialist)
• Jonathan Almaleh | Consulente per le soluzioni tecniche del personale

Altri collaboratori:

• Zach Seils | Esperto di rete
• Christopher Abraham | Customer Engineer (esperto di rete)
• Emanuele Mazza | Networking Product Specialist
• Aurélien Legrand | Cloud Engineer strategico
• Eric Yu | Customer Engineer (Networking Specialist)
• Kumar Dhanagopal | Sviluppatore di soluzioni cross-product
• Mark Schlagenhauf | Writer tecnico, Networking
• Marwan Al Shawi | Partner Customer Engineer
• Ammett Williams | Ingegnere per i rapporti con gli sviluppatori