适用于分布式应用的 Cross-Cloud Network

Cross-Cloud Network 支持组合分布式应用的架构。借助 Cross-Cloud Network，您可以跨多个云网络和本地网络分布工作负载和服务。此解决方案为应用开发者和运营者提供跨多个云环境的单个云的体验。此解决方案使用并扩展了混合云和多云网络的既定用途。

本指南适用于希望在 Cross-Cloud Network 上设计和构建分布式应用的网络架构师和工程师。本指南可让您全面了解 Cross-Cloud Network 设计注意事项。

本设计指南是一个系列，其中包含以下文档：

• 适用于分布式应用的 Cross-Cloud Network 设计（本文档）
• Cross-Cloud Network 中分布式应用的网络分段和连接
• 适用于跨云网络中分布式应用的服务网络
• Cross-Cloud Network 中分布式应用的网络安全

该架构支持区域级应用堆栈和全球应用堆栈，并且按以下功能层进行组织：

• 网络分段和连接：涉及 Virtual Private Cloud (VPC) 分段结构，以及 VPC 之间的 IP 连接和与外部网络的 IP 连接。
• 服务网络：涉及部署应用服务，这些服务经过负载均衡处理，并且可在多个项目和组织中使用。
• 网络安全：使用内置云安全和网络虚拟设备 (NVA) 对云内和云间通信强制执行安全机制。

网络分段和连接

分段结构和连接是设计的基础。下图展示了 VPC 分段结构，您可以使用整合或分段的基础设施来实现该结构。此图未显示网络之间的连接。

此结构包括以下组件：

• 传输 VPC：处理外部网络连接和路由政策。此 VPC 还用作其他 VPC 的共享连接 Hub。
• 中央服务 VPC：包含您的组织创建并自行托管的服务。这些服务通过 Hub 提供给应用 VPC。虽然并非强制性要求，但我们建议采用共享 VPC。
• 托管式服务 VPC：包含其他实体提供的服务。这些服务可以使用 Private Service Connect 或专用服务访问通道供 VPC 网络中运行的应用访问。

您选择的应用 VPC 分段结构取决于以下因素：所需应用 VPC 的规模、您是计划在 Cross-Cloud Network 中还是在外部部署边界防火墙，以及您选择的中央还是分布式服务发布。

Cross-Cloud Network 支持部署区域级应用堆栈和全球应用堆栈。这两种应用弹性原型均受到所提议的具有 VPC 间连接模式的分段结构的支持。

您可以结合使用 VPC 网络对等互连和高可用性 VPN 中心辐射型模式在网络分段之间实现 VPC 间连接。或者，您可以使用 Network Connectivity Center 将所有 VPC 包括为 Network Connectivity Center hub 中的 spoke。

DNS 基础设施的设计也在分段结构的上下文中定义，与连接模式无关。

服务网络

不同的应用部署原型会导致服务网络的模式不同。对于 Cross-Cloud Network 设计，请专注于多区域部署原型，其中应用堆栈在两个或多个 Google Cloud 之间的多个可用区中独立运行。

多区域部署原型具有以下对 Cross-Cloud Network 设计非常有用的功能：

• 您可以使用 DNS 路由政策将传入的流量路由到区域级负载均衡器。
• 然后，区域级负载均衡器可以将流量分配到应用栈。
• 如需实现区域级故障切换，您可以使用 DNS 故障切换路由政策重新固定应用栈的 DNS 映射。

多区域部署原型的替代方案是全球部署原型，即单个堆栈基于全球负载均衡器构建并跨越多个区域。使用 Cross-Cloud Network 设计时，请考虑此原型的以下功能：

• 负载均衡器将流量分配到离用户最近的区域。
• 面向互联网的前端是全球性的，但面向内部的前端是具有全球访问权限的区域性前端，因此您可以在故障切换场景中访问它们。
• 您可以在应用堆栈的内部服务层使用地理定位 DNS 路由政策和 DNS 健康检查。

如何提供对托管式已发布服务的访问权限取决于需要访问的服务。不同的专用可达性模型已模块化，并且与应用堆栈的设计互不相关。

根据具体服务，您可以使用 Private Service Connect 或专用服务访问通道进行专用访问。您可以通过将内置服务与其他组织发布的服务相结合来构建应用堆栈。服务栈可以是区域性的，也可以是全球性的，以满足您所需的弹性级别并优化访问延迟时间。

网络安全

为了确保工作负载安全性，我们建议您使用 Google Cloud 中的防火墙政策。

如果您的组织需要额外的高级功能来满足安全或合规性要求，则您可以通过插入新一代防火墙 (NGFW) 网络虚拟设备 (NVA) 来整合边界安全防火墙。

您可以在单个网络接口（单 NIC 模式）或多个网络接口（多 NIC 模式）中插入 NGFW NVA。NGFW NVA 可以支持安全区域或基于无类别域间路由 (CIDR) 的边界政策。Cross-Cloud Network 使用中转 VPC 和 VPC 路由政策来部署边界 NGFW NVA。

后续步骤

• 为 Cross-Cloud Network 应用设计网络分段和连接。
• 详细了解本设计指南中使用的 Google Cloud 产品：
  • VPC 网络
  • 共享 VPC
  • VPC 网络对等互连
  • Private Service Connect
  • 专用服务访问通道
• 如需了解如何部署防火墙 NVA，请参阅 Google Cloud 上的集中式网络设备
• 如需查看更多参考架构、设计指南和最佳实践，请浏览云架构中心。

贡献者

作者：

• Victor Morno | Cloud 网络产品经理
• Ghaleb Al-habian | 网络专家
• Deepak Michael | 网络专家客户工程师
• Osvaldo Costa | 网络专家客户工程师
• Jonathan Almaleh | 员工技术解决方案顾问

其他贡献者：

• Zach Seils | 网络专家
• Christopher Abraham | 网络专家客户工程师
• Emanuele Mazza | 网络产品专家
• Aurélien Legrand | 战略云工程师
• Eric Yu | 网络专家客户工程师
• Kumar Dhanagopal | 跨产品解决方案开发者
• Mark Schlagenhauf | 网络技术文档工程师
• Marwan Al Shawi | 合作伙伴客户工程师
• Ammett Williams | 开发者关系工程师