Architettura di rete hub e spoke

Last reviewed 2024-07-29 UTC

Questo documento presenta due opzioni di architettura per la configurazione di una topologia di rete hub-and-spoke in Google Cloud. Un'opzione utilizza la funzionalità di peering della rete di Virtual Private Cloud (VPC), mentre l'altra utilizza Cloud VPN.

Le aziende possono separare i carichi di lavoro in singole reti VPC per la fatturazione, l'isolamento dell'ambiente e altre considerazioni. Tuttavia, l'azienda potrebbe anche dover condividere risorse specifiche tra queste reti, ad esempio un servizio condiviso o una connessione on-premise. In questi casi, può essere utile posizionare la risorsa condivisa in una rete hub e collegare le altre reti VPC come spoke. Il seguente diagramma mostra un esempio della rete hub-and-spoke risultante, a volte chiamata topologia a stella.

Schema di rete hub and spoke.

In questo esempio, vengono utilizzate reti VPC spoke separate per i carichi di lavoro delle singole unità aziendali all'interno di una grande azienda. Ogni rete VPC spoke è collegata a una rete VPC hub centrale che contiene servizi condivisi e può fungere da unico punto di contatto con il cloud dalla rete on-premise dell'azienda.

Architettura che utilizza il peering di rete VPC

Il seguente diagramma mostra una rete hub and spoke che utilizza il peering di rete VPC. Il peering di rete VPC consente la comunicazione utilizzando indirizzi IP interni tra le risorse in reti VPC separate. Il traffico rimane sulla rete interna di Google e non attraversa la rete internet pubblica.

Architettura hub-and-spoke che utilizza il peering di rete VPC
  • In questa architettura, le risorse che richiedono l'isolamento a livello di rete utilizzano reti VPC spoke separate. Ad esempio, l'architettura mostra una VM Compute Engine nella rete VPC spoke-1. La rete VPC spoke-2 ha una VM Compute Engine e un cluster Google Kubernetes Engine (GKE).
  • Ogni rete VPC spoke in questa architettura ha una relazione di peering con una rete VPC hub centrale.
  • Il peering di rete VPC non limita la larghezza di banda della VM. Ogni VM può inviare traffico alla larghezza di banda completa della singola VM.
  • Ogni rete VPC spoke ha un gateway Cloud NAT per la comunicazione in uscita con internet.
  • Il peering di rete VPC non prevede annunci di route transitivi. A meno che non venga utilizzato un meccanismo aggiuntivo, la VM nella rete spoke-1 non può inviare traffico alla VM nella rete spoke-2. Per aggirare questo vincolo di non transitività, l'architettura mostra la possibilità di utilizzare Cloud VPN per inoltrare le route tra le reti. In questo esempio, i tunnel VPN tra la rete VPC spoke-2 e la rete VPC hub consentono la raggiungibilità della rete VPC spoke-2 degli altri spoke. Se hai bisogno di connettività tra solo alcuni spoke specifici, puoi eseguire il peering direttamente di queste coppie di reti VPC.

Architettura che utilizza Cloud VPN

La scalabilità di una topologia hub and spoke che utilizza il peering di rete VPC è soggetta ai limiti del peering di rete VPC. Inoltre, come indicato in precedenza, le connessioni di peering di rete VPC non consentono il traffico transitivo oltre le due reti VPC in una relazione di peering. Il seguente diagramma mostra un'architettura di rete hub-and-spoke alternativa che utilizza Cloud VPN per superare le limitazioni del peering di rete VPC.

Architettura hub-and-spoke che utilizza Cloud VPN
  • Le risorse che richiedono l'isolamento a livello di rete utilizzano reti VPC spoke separate.
  • I tunnel VPN IPsec connettono ogni rete VPC spoke a una rete VPC hub.
  • In ogni rete spoke è presente una zona DNS privata nella rete hub e una zona DNS peering e privata.
  • La larghezza di banda tra le reti è limitata dalle larghezze di banda totali dei tunnel.

Quando scegli tra le due architetture discusse finora, valuta i vantaggi relativi del peering di rete VPC e della VPN Cloud:

  • Il peering di rete VPC presenta il vincolo di non transitività, ma supporta la larghezza di banda completa definita dal tipo di macchina delle VM e da altri fattori che determinano la larghezza di banda della rete. Tuttavia, puoi aggiungere il routing transitivo aggiungendo tunnel VPN.
  • Cloud VPN consente il routing transitivo, ma la larghezza di banda totale (in entrata più in uscita) è limitata alle larghezze di banda dei tunnel.

Alternative di design

Valuta le seguenti alternative di architettura per interconnettere le risorse messe in produzione in reti VPC separate in Google Cloud:

Connettività tra spoke tramite un gateway nella rete VPC dell'hub
Per abilitare la comunicazione tra spoke, puoi implementare un'appliance virtuale di rete (NVA) o un firewall di nuova generazione (NGFW) sulla rete VPC dell'hub, in modo che funga da gateway per il traffico spoke-to-spoke.
Peering di rete VPC senza un hub
Se non hai bisogno di un controllo centralizzato della connettività on-premise o della condivisione di servizi tra reti VPC, non è necessaria una rete VPC hub. Puoi configurare il peering per le coppie di reti VPC che richiedono connettività e gestire le interconnessioni singolarmente. Tieni conto dei limiti sul numero di relazioni di peering per rete VPC.
Più reti VPC condivise

Crea una rete VPC condiviso per ogni gruppo di risorse che vuoi isolare a livello di rete. Ad esempio, per separare le risorse utilizzate per gli ambienti di produzione e di sviluppo, crea una rete VPC condiviso per la produzione e un'altra rete VPC condiviso per lo sviluppo. Quindi, effettua il peering delle due reti VPC per abilitare la comunicazione tra le reti VPC. Le risorse dei singoli progetti per ogni applicazione o dipartimento possono utilizzare i servizi della rete VPC condivisa appropriata.

Per la connettività tra le reti VPC e la rete on-premise, puoi utilizzare tunnel VPN separati per ogni rete VPC o collegamenti VLAN separati sulla stessa connessione Dedicated Interconnect.

Passaggi successivi

  • Esegui il deployment di una rete hub and spoke utilizzando il peering di rete VPC.
  • Esegui il deployment di una rete hub and spoke utilizzando Cloud VPN.
  • Scopri di più sulle opzioni di progettazione per collegare più reti VPC.
  • Scopri le best practice per creare una topologia cloud sicura e resiliente ottimizzata per costi e prestazioni.