Rede entre nuvens para aplicativos distribuídos

A rede entre nuvens permite uma arquitetura para a combinação de aplicativos distribuídos. A rede entre nuvens permite distribuir cargas de trabalho e serviços em várias redes locais e na nuvem. Essa solução oferece aos desenvolvedores e operadores de aplicativos a experiência de uma única nuvem em várias nuvens. Esta solução utiliza e também expande os usos estabelecidos da rede híbrida e de várias nuvens.

Este guia é destinado a arquitetos e engenheiros de rede que querem projetar e criar aplicativos distribuídos na rede entre nuvens. Neste guia, você terá uma compreensão abrangente das considerações de design de redes entre nuvens.

Este guia de design é uma série que inclui os seguintes documentos:

• Design de rede entre nuvens para aplicativos distribuídos (este documento)
• Segmentação de rede e conectividade para aplicativos distribuídos em rede entre nuvens
• Segurança de rede para aplicativos distribuídos em redes entre nuvens

A arquitetura oferece suporte a pilhas de aplicativos regionais e globais e é organizada nas seguintes camadas funcionais:

• Segmentação e conectividade de rede: envolve a estrutura de segmentação da nuvem privada virtual (VPC) e a conectividade IP entre VPCs e redes externas.
• Rede de serviços: envolve a implantação de serviços de aplicativos, que têm a carga balanceada e são disponibilizados entre projetos e organizações.
• Segurança de rede: permite a aplicação de segurança em comunicações dentro e entre nuvens, usando a segurança na nuvem integrada e dispositivos virtuais de rede (NVAs, na sigla em inglês).

Segmentação de rede e conectividade

A estrutura de segmentação e a conectividade são a base do design. O diagrama a seguir mostra uma estrutura de segmentação VPC, que pode ser implementada usando uma infraestrutura consolidada ou segmentada. Este diagrama não mostra as conexões entre as redes.

Essa estrutura inclui os seguintes componentes:

• VPC de trânsito: lida com conexões de rede externas e políticas de roteamento. Essa VPC também serve como hub de conectividade compartilhada para outras VPCs.
• VPC de serviços centrais: contém serviços que sua organização cria e hospeda. Os serviços são fornecidos para VPCs de aplicativos por meio de um hub. Embora não seja obrigatório, recomendamos que seja uma VPC compartilhada.
• VPC de serviços gerenciados: contém os serviços fornecidos por outras entidades. Os serviços ficam acessíveis para aplicativos em execução em redes VPC usando o Private Service Connect ou o acesso a serviços particulares.

A escolha da estrutura de segmentação para as VPCs de aplicativo depende da escala de VPCs de aplicativo necessárias, se você planeja implantar firewalls de perímetro na rede entre nuvens ou externamente e da escolha de publicação de serviço central ou distribuído.

A rede entre nuvens dá suporte à implantação de pilhas de aplicativos regionais e globais. Os dois arquétipos de resiliência de aplicativo são compatíveis com a estrutura de segmentação proposta com o padrão de conectividade entre VPCs.

É possível conseguir a conectividade entre as VPCs entre segmentos usando uma combinação de peering de rede VPC e padrões de hub e spoke de VPN de alta disponibilidade. Também é possível usar o Network Connectivity Center para incluir todas as VPCs como spokes em um hub do Network Connectivity Center.

O design da infraestrutura de DNS também é definido no contexto da estrutura de segmentação, independentemente do padrão de conectividade.

Rede de serviços

Diferentes arquétipos de implantação de aplicativos levam a padrões distintos de rede de serviços. Para o design de rede entre nuvens, concentre-se no arquétipo de implantação multirregional, em que uma pilha de aplicativos é executada de maneira independente em várias zonas em duas ou mais regiões do Google Cloud.

Um arquétipo de implantação multirregional tem os seguintes recursos que são úteis para o design de rede entre nuvens:

• É possível usar políticas de roteamento de DNS para encaminhar o tráfego de entrada para os balanceadores de carga regionais.
• Os balanceadores de carga regionais podem distribuir o tráfego para a pilha do aplicativo.
• Você pode implementar o failover regional ancorando novamente os mapeamentos de DNS da pilha de aplicativos com uma política de roteamento de failover de DNS.

Uma alternativa ao arquétipo de implantação multirregional é o arquétipo de implantação global, em que uma única pilha é criada em balanceadores de carga globais e abrange várias regiões. Considere os seguintes recursos desse arquétipo ao trabalhar com o design de rede entre nuvens:

• Os balanceadores de carga distribuem o tráfego para a região mais próxima do usuário.
• Os front-ends voltados para a Internet são globais, mas os front-end internos são regionais com acesso global para que possam ser alcançados em cenários de failover.
• Você pode usar políticas de roteamento de DNS de geolocalização e verificações de integridade de DNS nas camadas de serviço internas da pilha de aplicativos.

A forma como você fornece acesso a serviços publicados gerenciados depende do serviço que precisa ser alcançado. Os diferentes modelos de acessibilidade particular são modularizados e ortogonais em relação ao design da pilha de aplicativos.

Dependendo do serviço, é possível usar o Private Service Connect ou o acesso a serviços particulares para acesso particular. É possível criar uma pilha de aplicativos combinando serviços integrados e serviços publicados por outras organizações. As pilhas de serviço podem ser regionais ou globais para atender ao nível necessário de resiliência e latência de acesso otimizada.

Segurança de rede

Para segurança da carga de trabalho, recomendamos o uso das políticas de firewall do Google Cloud.

Se a organização precisar de outros recursos avançados para atender aos requisitos de segurança ou conformidade, incorpore firewalls de segurança de perímetro inserindo dispositivos virtuais de rede (NVAs) do Next-Generation Firewall (NGFW).

Você pode inserir NVAs do NGFW em uma única interface de rede (modo NIC única) ou em várias interfaces de rede (modo multi-NIC). Os NVAs do NGFW podem ser compatíveis com zonas de segurança ou políticas de perímetro baseadas no roteamento entre domínios sem classe (CIDR). A rede entre nuvens implanta NVAs do NGFW de perímetro usando uma VPC de trânsito e políticas de roteamento de VPC.

A seguir

• Projete a segmentação de rede e conectividade para aplicativos de rede entre nuvens.
• Saiba mais sobre os produtos do Google Cloud usados neste guia de design:
  • Redes VPC
  • VPC compartilhada
  • Peering de rede VPC
  • Private Service Connect
  • Acesso privado a serviços
• Para informações sobre como implantar NVAs de firewall, consulte Dispositivos de rede centralizados no Google Cloud.
• Para mais arquiteturas de referência, guias de design e práticas recomendadas, confira o Centro de arquitetura do Cloud.

Colaboradores

Autores:

• Victor Moreno | Gerente de produtos, Cloud Networking
• Ghaleb Al-habian | Especialista em rede
• Deepak Michael | Engenheiro de clientes especialista em rede
• Osvaldo Costa | Engenheiro de clientes especialista em rede
• Jonathan Almaleh | Consultor de soluções técnicas da equipe

Outros colaboradores:

• Zach Seils | Especialista em rede
• Christopher Abraham | Engenheiro de clientes especialista em rede
• Emanuele Mazza | Especialista em produtos de rede
• Aurélien Legrand | Engenheiro de nuvem estratégico
• Eric Yu | Engenheiro de clientes especialista em rede
• Kumar Dhanagopal | Desenvolvedor de soluções para vários produtos
• Mark Schlagenhauf | Redator técnico, Rede
• Marwan Al Shawi | Engenheiro de clientes do parceiro
• Ammett Williams | Engenheiro de relações com desenvolvedores