Questo documento nel framework dell'architettura Google Cloud fornisce best practice per il deployment del sistema in base alla progettazione del networking. Imparerai a scegliere e implementare il Virtual Private Cloud (VPC) e a testare e gestire la sicurezza della rete.
Principi fondamentali
La progettazione Networking è fondamentale per il successo della progettazione del sistema in quanto consente di ottimizzare le prestazioni e proteggere le comunicazioni delle applicazioni con i servizi interni ed esterni. Quando scegli i servizi di networking, è importante valutare le esigenze dell'applicazione e valutare il modo in cui le applicazioni comunicano tra loro. Ad esempio, anche se alcuni componenti richiedono servizi globali, altri potrebbero dover essere geolocalizzati in una regione specifica.
La rete privata di Google connette località di una singola area geografica a più di 100 punti di presenza della rete globale. Google Cloud utilizza tecnologie di networking software-defined e sistemi distribuiti per ospitare e fornire i tuoi servizi in tutto il mondo. L'elemento principale di Google per il networking all'interno di Google Cloud è il VPC globale, che utilizza la rete globale ad alta velocità di Google per collegare le tue applicazioni in più regioni supportando al contempo privacy e affidabilità. Google offre i tuoi contenuti ad alta velocità effettiva utilizzando tecnologie come Larghezza di banda del colletto di bottiglia e Tempo di propagazione del round trip (BBR) per il controllo della congestione.
Lo sviluppo del progetto di rete cloud include i seguenti passaggi:
- Progetta l'architettura VPC del carico di lavoro. Inizia identificando il numero di progetti Google Cloud e reti VPC di cui hai bisogno.
- Aggiungi connettività tra VPC. Progetta il modo in cui i tuoi carichi di lavoro si connettono ad altri carichi di lavoro in diverse reti VPC.
- Progetta la connettività di rete ibrida. Progetta il modo in cui i VPC dei carichi di lavoro si connettono a ambienti on-premise e ad altri ambienti cloud.
Quando progetti la tua rete Google Cloud, considera quanto segue:
- Un VPC fornisce un ambiente di networking privato nel cloud per l'interconnessione di servizi basati su Compute Engine, Google Kubernetes Engine (GKE) e Soluzioni di serverless computing. Puoi anche utilizzare un VPC per accedere privatamente a servizi gestiti da Google come Cloud Storage, BigQuery e Cloud SQL.
- Le reti VPC, incluse le route e le regole firewall associate, sono risorse globali e non sono associate a nessuna regione o zona specifica.
- Le subnet sono risorse regionali. Compute Engine Le istanze VM di cui viene eseguito il deployment in zone diverse nella stessa regione cloud possono utilizzare indirizzi IP della stessa subnet.
- Il traffico da e verso le istanze può essere controllato utilizzando le regole firewall VPC.
- L'amministrazione della rete può essere protetta utilizzando i ruoli IAM (Identity and Access Management).
- Le reti VPC possono essere connesse in modo sicuro in ambienti ibridi utilizzando Cloud VPN o Cloud Interconnect.
Per un elenco completo delle specifiche VPC, consulta Specifiche.
Architettura VPC dei carichi di lavoro
Questa sezione fornisce le best practice per la progettazione di architetture VPC dei carichi di lavoro per supportare il sistema.
Considera in anticipo la progettazione della rete VPC
Rendi la progettazione di reti VPC una parte iniziale della progettazione della configurazione organizzativa in Google Cloud. Le scelte di progettazione a livello organizzativo possono essere difficili da annullare in una fase successiva. Per maggiori informazioni, consulta Best practice e architetture di riferimento per la progettazione di VPC e Decidere la progettazione della rete per la tua zona di destinazione Google Cloud.
Inizia con una singola rete VPC
Per molti casi d'uso che includono risorse con requisiti comuni, un'unica rete VPC fornisce le funzionalità di cui hai bisogno. Un'unica rete VPC è più semplice da creare, gestire e comprendere. Per ulteriori informazioni, consulta le specifiche di rete VPC.
Mantieni semplice la topologia di rete VPC
Per garantire un'architettura gestibile, affidabile e ben comprensibile, mantieni la progettazione della tua topologia di rete VPC il più semplice possibile.
Usa le reti VPC in modalità personalizzata
Per assicurarti che il networking di Google Cloud si integri perfettamente con i tuoi sistemi di networking esistenti, ti consigliamo di utilizzare la modalità personalizzata quando crei reti VPC. La modalità personalizzata ti consente di integrare il networking di Google Cloud negli schemi di gestione degli indirizzi IP esistenti e di controllare quali regioni cloud sono incluse nel VPC.
Connettività tra VPC
Questa sezione fornisce le best practice per la progettazione di connettività tra VPC per supportare il sistema.
Scegli un metodo di connessione VPC
Se decidi di implementare più reti VPC, devi connettere queste reti. Le reti VPC sono spazi tenant isolati all'interno della rete software-defined (SDN) Andromeda di Google. Le reti VPC possono comunicare tra loro in vari modi. Scegli come connettere la rete in base ai requisiti di larghezza di banda, latenza e accordo sul livello del servizio (SLA). Per scoprire di più sulle opzioni di connessione, consulta Scegliere il metodo di connessione VPC che soddisfa le tue esigenze di costi, prestazioni e sicurezza.
Utilizza il VPC condiviso per amministrare più gruppi di lavoro
Per le organizzazioni con più team, il VPC condiviso fornisce uno strumento efficace per estendere la semplicità dell'architettura di una singola rete VPC su più gruppi di lavoro.
Utilizza convenzioni di denominazione intuitive
Scegli convenzioni di denominazione intuitive e coerenti. In questo modo, amministratori e utenti possono comprendere lo scopo di ogni risorsa, la sua posizione e in che modo si differenzia dalle altre risorse.
Utilizza i test di connettività per verificare la sicurezza della rete
Nel contesto della sicurezza di rete, puoi utilizzare i test di connettività per verificare che il traffico che intendi impedire tra due endpoint sia bloccato. Per verificare che il traffico sia bloccato e perché, definisci un test tra due endpoint e valuta i risultati. Ad esempio, puoi testare una funzionalità VPC che consente di definire regole in grado di bloccare il traffico. Per saperne di più, consulta la panoramica dei test di connettività.
Usa Private Service Connect per creare endpoint privati
Per creare endpoint privati che ti consentano di accedere ai servizi Google con il tuo schema di indirizzi IP, utilizza Private Service Connect. Puoi accedere agli endpoint privati dall'interno del VPC e tramite la connettività ibrida che termina nel tuo VPC.
Proteggi e limita la connettività esterna
Limita l'accesso a internet solo alle risorse che ne hanno bisogno. Le risorse con solo un indirizzo IP interno privato possono comunque accedere a molte API e servizi Google tramite l'accesso privato Google.
Utilizzare Network Intelligence Center per monitorare le reti cloud
Network Intelligence Center fornisce una visione completa delle reti Google Cloud in tutte le regioni. Consente di identificare pattern di traffico e accesso che possono causare rischi operativi o per la sicurezza.
Passaggi successivi
Scopri le best practice per la gestione dello spazio di archiviazione, che includono quanto segue:
- Seleziona un tipo di archiviazione.
- Scegli pattern di accesso allo spazio di archiviazione e tipi di carichi di lavoro.
Esplora altre categorie nel framework dell'architettura come affidabilità, eccellenza operativa e sicurezza, privacy e conformità.