Dokumen ini menyajikan dua opsi arsitektur untuk menyiapkan topologi jaringan hub-and-spoke di Google Cloud. Salah satu opsi menggunakan kemampuan peering jaringan Virtual Private Cloud (VPC), dan opsi lainnya menggunakan Cloud VPN.
Perusahaan dapat memisahkan workload menjadi beberapa jaringan VPC untuk tujuan penagihan, isolasi lingkungan, dan pertimbangan lainnya. Namun, perusahaan mungkin juga perlu berbagi resource tertentu di seluruh jaringan tersebut, seperti layanan bersama atau koneksi ke infrastruktur lokal. Dalam kasus demikian, sebaiknya tempatkan resource bersama dalam jaringan hub dan melampirkan jaringan VPC lain sebagai spoke. Diagram berikut menunjukkan contoh jaringan hub-and-spoke yang dihasilkan, yang terkadang disebut topologi bintang.
Dalam contoh ini, jaringan VPC spoke terpisah digunakan untuk beban kerja masing-masing unit bisnis dalam perusahaan besar. Setiap jaringan VPC spoke terhubung ke jaringan VPC hub pusat yang berisi layanan bersama dan dapat berfungsi sebagai satu-satunya titik masuk ke cloud dari jaringan lokal perusahaan.
Arsitektur menggunakan Peering Jaringan VPC
Diagram berikut menunjukkan jaringan hub-and-spoke menggunakan Peering Jaringan VPC. Peering Jaringan VPC memungkinkan komunikasi menggunakan alamat IP internal antar-resource dalam jaringan VPC terpisah. Traffic tetap berada di jaringan internal Google dan tidak melintasi internet publik.
- Dalam arsitektur ini, resource yang memerlukan isolasi tingkat jaringan
menggunakan jaringan VPC spoke terpisah. Misalnya, arsitektur menunjukkan VM Compute Engine dalam jaringan VPC
spoke-1
. Jaringan VPCspoke-2
memiliki VM Compute Engine dan cluster Google Kubernetes Engine (GKE). - Setiap jaringan VPC spoke dalam arsitektur ini memiliki hubungan peering dengan jaringan VPC hub pusat.
- Peering Jaringan VPC tidak membatasi bandwidth VM. Setiap VM dapat mengirim traffic dengan bandwidth penuh dari setiap VM tersebut.
- Setiap jaringan VPC spoke memiliki gateway Cloud NAT untuk komunikasi keluar dengan internet.
- Peering Jaringan VPC tidak menyediakan pengumuman rute transitif.
Kecuali jika mekanisme tambahan digunakan, VM di jaringan
spoke-1
tidak dapat mengirim traffic ke VM dalam jaringanspoke-2
. Untuk mengatasi batasan non-transittivitas ini, arsitektur akan menampilkan opsi untuk menggunakan Cloud VPN guna meneruskan rute antarjaringan. Dalam contoh ini, tunnel VPN antara jaringan VPCspoke-2
dan jaringan VPC hub memungkinkan keterjangkauan ke jaringan VPCspoke-2
dari spoke lainnya. Jika memerlukan konektivitas di antara beberapa spoke tertentu, Anda dapat langsung melakukan peering pada pasangan jaringan VPC tersebut.
Arsitektur menggunakan Cloud VPN
Skalabilitas topologi hub-and-spoke yang menggunakan Peering Jaringan VPC tunduk pada batas Peering Jaringan VPC. Dan seperti yang telah disebutkan sebelumnya, koneksi Peering Jaringan VPC tidak mengizinkan traffic transitif di luar dua jaringan VPC yang berada dalam hubungan peering. Diagram berikut menunjukkan arsitektur jaringan hub-and-spoke alternatif yang menggunakan Cloud VPN untuk mengatasi batasan Peering Jaringan VPC.
- Resource yang memerlukan isolasi tingkat jaringan menggunakan jaringan VPC spoke terpisah.
- Tunnel VPN IPSec menghubungkan setiap jaringan VPC spoke ke jaringan VPC hub.
- Zona pribadi DNS di jaringan hub serta zona peering DNS dan zona pribadi ada di setiap jaringan spoke.
- Bandwidth antarjaringan dibatasi oleh total bandwidth pada tunnel.
Saat memilih di antara dua arsitektur yang telah dibahas sejauh ini, pertimbangkan keunggulan relatif Peering Jaringan VPC dan Cloud VPN:
- Peering Jaringan VPC memiliki batasan non-transittivitas, tetapi mendukung bandwidth penuh yang ditentukan oleh jenis mesin VM dan faktor lain yang menentukan bandwidth jaringan. Namun, Anda dapat menambahkan perutean transitif dengan menambahkan tunnel VPN.
- Cloud VPN memungkinkan pemilihan rute transitif, tetapi total bandwidth (akses masuk plus traffic keluar) dibatasi sesuai bandwidth tunnel.
Alternatif desain
Pertimbangkan alternatif arsitektur berikut untuk menghubungkan resource yang di-deploy dalam jaringan VPC terpisah di Google Cloud:
- Konektivitas antar-spoke menggunakan gateway di jaringan VPC hub
- Untuk mengaktifkan komunikasi antar-spoke, Anda dapat men-deploy alat virtual jaringan (NVA) atau firewall generasi berikutnya (NGFW) di jaringan VPC hub, sebagai gateway untuk traffic spoke-to-spoke. Lihat Peralatan jaringan terpusat di Google Cloud.
- Peering Jaringan VPC tanpa hub
- Jika Anda tidak memerlukan kontrol terpusat atas konektivitas lokal atau berbagi layanan di seluruh jaringan VPC, jaringan VPC hub tidak diperlukan. Anda dapat menyiapkan peering untuk pasangan jaringan VPC yang memerlukan konektivitas, dan mengelola interkoneksi satu per satu. Pertimbangkan batas jumlah hubungan peering per jaringan VPC.
- Beberapa jaringan VPC Bersama
Buat jaringan VPC Bersama untuk setiap grup resource yang ingin Anda isolasi pada tingkat jaringan. Misalnya, untuk memisahkan resource yang digunakan untuk lingkungan produksi dan pengembangan, buat jaringan VPC Bersama untuk produksi dan jaringan VPC Bersama lainnya untuk pengembangan. Kemudian, lakukan peering antara kedua jaringan VPC untuk mengaktifkan komunikasi jaringan antar-VPC. Resource dalam masing-masing project untuk setiap aplikasi atau departemen dapat menggunakan layanan dari jaringan VPC Bersama yang sesuai.
Untuk konektivitas antara jaringan VPC dan jaringan lokal, Anda dapat menggunakan tunnel VPN terpisah untuk setiap jaringan VPC, atau lampiran VLAN terpisah pada koneksi Interkoneksi Khusus yang sama.
Langkah selanjutnya
- Deploy jaringan hub-and-spoke menggunakan Peering Jaringan VPC.
- Deploy jaringan hub-and-spoke menggunakan Cloud VPN.
- Gunakan arsitektur hub-and-spoke untuk men-deploy peralatan jaringan terpusat.
- Pelajari opsi desain lainnya untuk menghubungkan beberapa jaringan VPC.
- Pelajari praktik terbaik untuk membuat topologi cloud yang aman dan tangguh yang dioptimalkan untuk biaya dan performa.