Arquitetura de rede hub-and-spoke

Este documento apresenta três opções de arquitetura para configurar uma topologia de rede de hub e raios no Google Cloud. A primeira opção usa o Network Connectivity Center, a segunda usa o VPC Network Peering e a terceira usa a Cloud VPN.

Uma empresa pode separar as cargas de trabalho em redes VPC individuais para fins de faturação, isolamento do ambiente e outras considerações. No entanto, a empresa também pode ter de partilhar recursos específicos nestas redes, como um serviço partilhado ou uma ligação a instalações. Nestes casos, pode ser útil colocar o recurso partilhado numa rede central (denominada rede de encaminhamento no resto deste documento) e anexar as outras redes VPC como redes periféricas (denominadas redes de carga de trabalho no resto deste documento). O diagrama seguinte mostra uma rede de hub-and-spoke com duas VPCs de carga de trabalho, embora possam ser adicionadas mais VPCs de carga de trabalho.

Neste exemplo, são usadas redes VPC de cargas de trabalho separadas para as cargas de trabalho de unidades de negócio individuais numa grande empresa. Cada rede da VPC de carga de trabalho está ligada a uma rede da VPC de encaminhamento central que contém serviços partilhados e pode servir como o único ponto de entrada na nuvem a partir da rede nas instalações da empresa.

Resumo das opções

Quando escolher uma das arquiteturas abordadas neste documento, considere as vantagens relativas do Network Connectivity Center, do intercâmbio da rede da VPC e da VPN na nuvem:

• O Network Connectivity Center oferece largura de banda total entre VPCs de cargas de trabalho e oferece transitividade entre VPCs de cargas de trabalho.
• O intercâmbio da rede da VPC oferece largura de banda total entre as VPCs da carga de trabalho e a VPC de encaminhamento. Não oferece transitividade entre VPCs de cargas de trabalho. O intercâmbio das redes da VPC suporta o encaminhamento para NVAs noutras VPCs.
• A VPN na nuvem permite o encaminhamento transitivo, mas a largura de banda total (entrada mais saída) entre redes está limitada às larguras de banda dos túneis. É possível adicionar túneis adicionais para aumentar a largura de banda.

Arquitetura que usa o Network Connectivity Center

O diagrama seguinte mostra uma rede hub-and-spoke que usa o Network Connectivity Center.

O Network Connectivity Center tem um recurso de hub que fornece gestão do plano de controlo, mas não é uma rede de hub para o plano de dados.

• O Network Connectivity Center pode ligar as redes através de uma topologia em estrela (hub-and-spoke) ou de malha. A utilização de uma topologia em estrela impede a comunicação entre VPCs spoke (VPC de carga de trabalho), enquanto a topologia de malha não o faz.
• A rede VPC de encaminhamento (hub) tem uma ligação a local através de ligações do Cloud VPN ou Cloud Interconnect.
• As rotas dinâmicas podem ser propagadas nas redes VPC.
• As rotas do Private Service Connect são transitivas entre as VPCs de cargas de trabalho.
• As rotas de acesso a serviços privados são transitivas entre VPCs de cargas de trabalho através da utilização de raios produtores para muitos serviços fornecidos pela Google. Para serviços em que as rotas não são transitivas, uma solução alternativa é ligar a rede VPC do consumidor à rede VPC de encaminhamento através da Cloud VPN, em vez do Network Connectivity Center.
• Todas as VMs nas redes com intercâmbio podem comunicar na largura de banda total das VMs.
• Cada VPC de carga de trabalho e a rede VPC de encaminhamento têm um gateway Cloud NAT para a comunicação de saída com a Internet.
• O encaminhamento e a interligação de DNS estão configurados para que seja possível aceder às cargas de trabalho nas VPCs de cargas de trabalho a partir das instalações.

Arquitetura que usa o intercâmbio da rede da VPC

O diagrama seguinte mostra uma rede de hub-and-spoke que usa o intercâmbio da rede da VPC. O intercâmbio da rede da VPC permite a comunicação através de endereços IP internos entre recursos em redes VPC separadas. O tráfego permanece na rede interna da Google e não atravessa a Internet pública.

• Cada rede VPC de carga de trabalho (raio) nesta arquitetura tem uma relação de intercâmbio com uma rede VPC de encaminhamento central (hub).
• A rede VPC de encaminhamento tem uma ligação às instalações através de ligações do Cloud VPN ou Cloud Interconnect.
• Todas as VMs nas redes com intercâmbio podem comunicar na largura de banda total das VMs.
• As ligações de intercâmbio das redes da VPC não são transitivas. Nesta arquitetura, as redes VPC nas instalações e de carga de trabalho podem trocar tráfego com a rede de encaminhamento, mas não entre si. Para fornecer serviços partilhados, coloque-os na rede de encaminhamento ou ligue-os à rede de encaminhamento através do Cloud VPN.
• Cada VPC de carga de trabalho e a rede VPC de encaminhamento têm um gateway Cloud NAT para a comunicação de saída com a Internet.
• O encaminhamento e a interligação de DNS estão configurados para que seja possível aceder às cargas de trabalho nas VPCs de cargas de trabalho a partir das instalações.

Arquitetura que usa o Cloud VPN

A escalabilidade de uma topologia de hub e raios que usa o intercâmbio da rede da VPC está sujeita aos limites do intercâmbio da rede da VPC. Além disso, conforme mencionado anteriormente, as ligações de intercâmbio da rede da VPC não permitem tráfego transitivo além das duas redes da VPC que estão numa relação de intercâmbio. O diagrama seguinte mostra uma arquitetura de rede hub-and-spoke alternativa que usa a VPN do Google Cloud para superar as limitações do intercâmbio da rede da VPC.

• Os túneis de VPN IPsec ligam cada rede VPC de carga de trabalho (raio) a uma rede VPC de encaminhamento (hub).
• Uma zona privada de DNS na rede de encaminhamento e uma zona de peering de DNS e uma zona privada existem em cada rede de carga de trabalho.
• As associações são transitivas. As redes da VPC no local e spoke podem comunicar entre si através da rede de encaminhamento, embora isto possa ser restrito.
• A largura de banda entre redes é limitada pelas larguras de banda dos túneis.
• Cada VPC de carga de trabalho (raio) e a rede VPC de encaminhamento têm um gateway do Cloud NAT para a comunicação de saída com a Internet.
• O intercâmbio de redes de VPC não prevê anúncios de rotas transitivas.
• O encaminhamento e a interligação de DNS estão configurados para que seja possível aceder às cargas de trabalho nas VPCs de cargas de trabalho a partir das instalações.

Alternativas de design

Considere as seguintes alternativas de arquitetura para interligar recursos implementados em redes VPC separadas no Google Cloud:

Conetividade entre spokes através de um gateway na rede VPC de encaminhamento

Para ativar a comunicação entre raios, pode implementar um dispositivo virtual de rede (NVA) ou uma firewall de nova geração (NGFW) na rede VPC de encaminhamento, para servir como gateway para o tráfego entre raios.

Várias redes de VPC partilhada

Crie uma rede VPC partilhada para cada grupo de recursos que quer isolar ao nível da rede. Por exemplo, para separar os recursos usados para ambientes de produção e desenvolvimento, crie uma rede VPC partilhada para produção e outra rede VPC partilhada para desenvolvimento. Em seguida, estabeleça o intercâmbio das duas redes de VPC para ativar a comunicação entre redes de VPC. Os recursos em projetos individuais para cada aplicação ou departamento podem usar serviços da rede VPC partilhada adequada.

Para a conetividade entre as redes VPC e a sua rede no local, pode usar túneis VPN separados para cada rede VPC ou anexos VLAN separados na mesma ligação Dedicated Interconnect.

O que se segue?

• Implemente uma rede de hub e raios com o terraform.
• Saiba como ligar a sua topologia de hub e raios a ambientes nas instalações e outras nuvens no guia de design de rede entre nuvens.
• Saiba mais sobre as opções de design para associar várias redes VPC.
• Saiba mais sobre as práticas recomendadas para criar uma topologia de nuvem segura e resiliente, otimizada para o custo e o desempenho.