Cross-Cloud Network per applicazioni distribuite

Cross-Cloud Network consente un'architettura per l'assemblaggio di applicazioni distribuite. Cross-Cloud Network ti consente di distribuire carichi di lavoro e servizi su più reti cloud e on-premise. Questa soluzione offre a sviluppatori e operatori di applicazioni l'esperienza di un unico cloud su più cloud. Questa soluzione utilizza ed espande anche gli usi consolidati del networking ibrido e multi-cloud.

Questa guida è destinata agli architetti e agli ingegneri di rete che vogliono progettare e creare applicazioni distribuite su Cross-Cloud Network. Questa guida fornisce una comprensione completa degli aspetti da considerare per la progettazione di reti cross-cloud.

Questa guida alla progettazione è una serie che include i seguenti documenti:

• Progettazione di Cross-Cloud Network per applicazioni distribuite (questo documento)
• Segmentazione e connettività di rete per applicazioni distribuite in Cross-Cloud Network
• Service Networking per applicazioni distribuite in Cross-Cloud Network
• Sicurezza di rete per applicazioni distribuite in Cross-Cloud Network

L'architettura supporta stack di applicazioni regionali e globali ed è organizzata nei seguenti livelli funzionali:

• Segmentazione e connettività di rete: riguarda la struttura di segmentazione di Virtual Private Cloud (VPC) e la connettività IP tra i VPC e le reti esterne.
• Service Networking: prevede il deployment di servizi applicativi, che vengono bilanciati del carico e resi disponibili in progetti e organizzazioni.
• Sicurezza di rete: consente l'applicazione della sicurezza per le comunicazioni intra-cloud e inter-cloud, utilizzando sia la sicurezza cloud integrata sia le appliance virtuali di rete (NVA).

Segmentazione e connettività di rete

La struttura e la connettività della segmentazione sono alla base della progettazione. Il seguente diagramma mostra una struttura di segmentazione VPC, che puoi implementare utilizzando un'infrastruttura consolidata o segmentata. Questo diagramma non mostra le connessioni tra le reti.

Questa struttura include i seguenti componenti:

• VPC di transito: gestisce le connessioni di rete esterne e le norme di routing. Questo VPC può anche fornire connettività tra altri VPC.
• VPC di accesso ai servizi: contengono punti di accesso a diversi servizi. I punti di accesso al servizio in questi VPC sono raggiungibili da altre reti.
• VPC dei servizi gestiti: contengono servizi prodotti da altre entità. I servizi vengono resi accessibili alle applicazioni in esecuzione nelle reti VPC utilizzando Private Service Connect o l'accesso privato ai servizi.
• VPC dell'applicazione: contengono i workload che compongono i servizi software che la tua organizzazione crea e ospita autonomamente.

La scelta della struttura di segmentazione per i VPC delle applicazioni dipende dalla scala dei VPC delle applicazioni richiesti, dal fatto che tu preveda di eseguire il deployment di firewall perimetrali in Cross-Cloud Network o esternamente e dalla scelta della pubblicazione di servizi centralizzata o distribuita.

Cross-Cloud Network supporta il deployment di stack di applicazioni regionali e globali. Entrambi questi archetipi di resilienza delle applicazioni sono supportati dalla struttura di segmentazione proposta con il pattern di connettività tra VPC.

Puoi ottenere la connettività tra VPC con Network Connectivity Center o utilizzando una combinazione di peering di rete VPC e pattern hub-and-spoke VPN ad alta disponibilità.

La progettazione dell'infrastruttura DNS è definita anche nel contesto della struttura di segmentazione, indipendentemente dal pattern di connettività.

Networking di servizi

Diversi archetipi di deployment delle applicazioni portano a pattern diversi per il networking dei servizi. Per la progettazione di Cross-Cloud Network, concentrati sull'archetipo di deployment multiregionale, in cui uno stack di applicazioni viene eseguito in modo indipendente in più zone in due o più regioniGoogle Cloud .

Un archetipo di deployment multiregionale ha le seguenti funzionalità utili per la progettazione di Cross-Cloud Network:

• Puoi utilizzare i criteri di routing DNS per instradare il traffico in entrata ai bilanciatori del carico regionali.
• I bilanciatori del carico regionali possono quindi distribuire il traffico allo stack di applicazioni.
• Puoi implementare il failover regionale riancorando le mappature DNS dello stack di applicazioni con una policy di routing di failover DNS.

Un'alternativa all'archetipo di deployment multiregionale è l'archetipo di deployment globale, in cui viene creato un singolo stack su bilanciatori del carico globali e che copre più regioni. Quando lavori con la progettazione di Cross-Cloud Network, considera le seguenti funzionalità di questo archetipo:

• I bilanciatori del carico distribuiscono il traffico alla regione più vicina all'utente.
• I frontend esposti a internet sono globali, mentre quelli interni sono regionali con accesso globale, quindi puoi raggiungerli in scenari di failover.
• Puoi utilizzare i criteri di routing DNS basati sulla geolocalizzazione e i controlli di integrità DNS nei livelli di servizio interni dello stack dell'applicazione.

La modalità di accesso ai servizi gestiti pubblicati dipende dal servizio che deve essere raggiunto. I diversi modelli di raggiungibilità privata sono modulari e ortogonali alla progettazione dello stack di applicazioni.

A seconda del servizio, puoi utilizzare Private Service Connect o l'accesso privato ai servizi per l'accesso privato. Puoi creare uno stack di applicazioni combinando servizi integrati e servizi pubblicati da altre organizzazioni. Gli stack di servizi possono essere regionali o globali per soddisfare il livello di resilienza richiesto e la latenza di accesso ottimizzata.

Sicurezza della rete

Per la sicurezza dei carichi di lavoro, ti consigliamo di utilizzare policy firewall di Google Cloud.

Se la tua organizzazione richiede funzionalità avanzate aggiuntive per soddisfare i requisiti di sicurezza o conformità, puoi incorporare firewall di sicurezza perimetrale inserendo appliance virtuali di rete (NVA) firewall di nuova generazione (NGFW).

Puoi inserire NVA NGFW in una singola interfaccia di rete (modalità a singola NIC) o su più interfacce di rete (modalità multi-NIC). Le NVA NGFW possono supportare zone di sicurezza o criteri perimetrali basati su CIDR (Classless Inter-Domain Routing). Cross-Cloud Network esegue il deployment di NVA NGFW perimetrali utilizzando un VPC di transito e criteri di routing VPC.

Passaggi successivi

• Progetta la segmentazione e la connettività di rete per le applicazioni Cross-Cloud Network.
• Scopri di più sui prodotti Google Cloud utilizzati in questa guida alla progettazione:
  • Reti VPC
  • VPC condiviso
  • Peering di rete VPC
  • Private Service Connect
  • Accesso privato ai servizi
• Per ulteriori architetture di riferimento, guide alla progettazione e best practice, esplora il Cloud Architecture Center.

Collaboratori

Autori:

• Victor Moreno | Product Manager, Cloud Networking
• Ghaleb Al-habian | Specialista di rete
• Deepak Michael | Networking Specialist Customer Engineer
• Osvaldo Costa | Networking Specialist Customer Engineer
• Jonathan Almaleh | Staff Technical Solutions Consultant

Altri collaboratori:

• Zach Seils | Specialista di networking
• Christopher Abraham | Customer Engineer specializzato in networking
• Emanuele Mazza | Networking Product Specialist
• Aurélien Legrand | Strategic Cloud Engineer
• Eric Yu | Customer Engineer specializzato in networking
• Kumar Dhanagopal | Sviluppatore di soluzioni cross-product
• Mark Schlagenhauf | Technical Writer, Networking
• Marwan Al Shawi | Partner Customer Engineer
• Ammett Williams | Developer Relations Engineer