In diesem Dokument des Google Cloud-Architektur-Frameworks werden Best Practices für die Bereitstellung Ihres Systems auf Basis des Netzwerkdesigns vorgestellt. Sie erfahren, wie Sie eine VPC (Virtual Private Cloud) auswählen und implementieren und die Netzwerksicherheit testen und verwalten.
Grundprinzipien
Das Netzwerkdesign ist für ein erfolgreiches Systemdesign von entscheidender Bedeutung, da es dabei hilft, die Leistung zu optimieren und die Anwendungskommunikation mit internen und externen Diensten zu sichern. Bei der Auswahl von Netzwerkdiensten ist es wichtig, Ihre Anwendungsanforderungen und die Art der zukünftigen Kommunikationen zwischen Anwendungen zu bewerten. Beispiel: Einige Komponenten benötigen globale Dienste, andere mögen sich in einer bestimmten Region befinden müssen.
Das private Netzwerk von Google verbindet regionale Standorte mit mehr als 100 Netzwerk-Points-of-Presence weltweit. Google Cloud nutzt ein softwarebasiertes Netzwerk und verteilte Systemtechnologien, um Ihre Dienste zu hosten und weltweit bereitzustellen. Googles Kernelement für Netzwerkaktivitäten innerhalb von Google Cloud ist die globale VPC. Sie nutzt das globale Hochgeschwindigkeitsnetzwerk von Google, um Ihre Anwendungen regionenübergreifend zu verknüpfen, und unterstützt gleichzeitig Datenschutz und Zuverlässigkeit. Google stellt Ihre Inhalte mithilfe von Technologien wie der intelligenten Engpassansprache BBR (Bottlehal Bandwidth and Round-Trip Propagation Time) mit hohem Durchsatz bereit.
Die Entwicklung Ihres Cloudnetzwerk-Designs umfasst folgende Schritte:
- Entwerfen Sie die VPC-Architektur für Arbeitslasten. Ermitteln Sie zuerst, wie viele Google Cloud-Projekte und VPC-Netzwerke Sie benötigen.
- Fügen Sie dann die VPC-Konnektivität hinzu. Planen Sie, wie Ihre Arbeitslasten mit anderen Arbeitslasten in verschiedenen VPC-Netzwerken verbunden werden sollen
- Entwicklung hybrider Netzwerkkonnektivität. Entwurf der Art, wie Arbeitslast-VPCs Verbindungen zu lokalen und anderen Cloud-Umgebungen herstellen.
Beachten Sie beim Entwurf Ihres Google Cloud-Netzwerks Folgendes:
- Eine VPC bietet eine private Netzwerkumgebung in der Cloud für die Verbindung von Diensten, die auf Compute Engine, Google Kubernetes Engine (GKE) und Serverless Computing Solutions basieren. Sie können eine VPC auch nutzen, um privat auf von Google verwaltete Dienste wie Cloud Storage, BigQuery und Cloud SQL zuzugreifen.
- VPC-Netzwerke und die damit verknüpften Routen und Firewallregeln sind globale Ressourcen. Sie sind keiner bestimmten Region oder Zone zugeordnet.
- Subnetze sind regionale Ressourcen. Compute Engine-VM-Instanzen, die in verschiedenen Zonen in derselben Cloud-Region bereitgestellt werden, können IP-Adressen aus demselben Subnetz verwenden.
- Der Traffic zu und von Instanzen kann über VPC-Firewallregeln gesteuert werden.
- Die Netzwerkverwaltung kann über IAM-Rollen (Identity and Access Management) gesichert werden.
- VPC-Netzwerke können in Hybridumgebungen über Cloud VPN oder Cloud Interconnect sicher verbunden werden
Eine vollständige Liste der VPC-Spezifikationen finden Sie unter Spezifikationen.
VPC-Architektur der Arbeitslast
Dieser Abschnitt enthält Best Practices zum Entwerfen von Arbeitslast-VPC-Architekturen zur Unterstützung Ihres Systems.
Frühzeitig VPC-Netzwerkdesign in Betracht ziehen
Planen Sie das VPC-Netzwerkdesign bereits früh während des Entwurfs der organisatorischen Einrichtung. Designoptionen auf Organisationsebene können später nur schwer rückgängig gemacht werden. Weitere Informationen finden Sie unter Best Practices und Referenzarchitekturen für das VPC-Design und Legen Sie das Netzwerkdesign für Ihre Google Cloud-Landing-Zone fest.
Mit einem einzelnen VPC-Netzwerk beginnen
In vielen Anwendungsfällen, die Ressourcen mit gemeinsamen Anforderungen umfassen, bietet ein einzelnes VPC-Netzwerk die benötigten Features. Ein einzelnes VPC-Netzwerk ist einfacher zu erstellen, zu pflegen und zu verstehen. Weitere Informationen finden Sie unter Spezifikationen für VPC-Netzwerke.
VPC-Netzwerktopologie einfach halten
Um eine überschaubare, zuverlässige und leicht verständliche Architektur zu bedingen, sollten Sie das Design Ihrer VPC-Netzwerktopologie so einfach wie möglich halten.
VPC-Netzwerke im benutzerdefinierten Modus verwenden
Damit sich Google Cloud-Netzwerke nahtlos in Ihre vorhandenen Netzwerksysteme einbinden lassen, empfehlen wir Ihnen, beim Erstellen von VPC-Netzwerken den benutzerdefinierten Modus zu verwenden. Mit dem benutzerdefinierten Modus können Sie Google Cloud-Netzwerke in vorhandene IP-Adressverwaltungsschemas einbinden und steuern, welche Cloudregionen in der VPC enthalten sind.
Inter-VPC-Konnektivität
Dieser Abschnitt enthält Best Practices zum Entwurf der Inter-VPC-Konnektivität zur Unterstützung Ihres Systems.
VPC-Verbindungsmethode auswählen
Wenn Sie mehrere VPC-Netzwerke implementieren möchten, müssen Sie diese Netzwerke verbinden. VPC-Netzwerke sind isolierte Mandantenbereiche innerhalb des softwarebasierten Netzwerks von Andromeda (SDN). VPC-Netzwerke können auf verschiedene Arten miteinander kommunizieren. Wählen Sie aus, wie Sie Ihr Netzwerk basierend auf Ihren Anforderungen an Bandbreite, Latenz und Service Level Agreement (SLA) verbinden möchten. Weitere Informationen zu Verbindungsoptionen finden Sie unter VPC-Verbindungsmethode entsprechend Ihres Budgets und Ihrer Leistungs- und Sicherheitsanforderungen wählen.
Mit freigegebener VPC mehrere Arbeitsgruppen verwalten
Freigegebene VPCs ermöglichen es Organisationen mit mehreren Teams, die architektonische Einfachheit eines einzelnen VPC-Netzwerks effektiv auf mehrere Arbeitsgruppen auszudehnen.
Intuitive Namenskonventionen verwenden
Wählen Sie intuitive und konsistente Namenskonventionen. Administratoren und Nutzer können dadurch den Zweck jeder Ressource besser verstehen und wissen, wo sie diese finden und wie sie sich von anderen Ressourcen unterscheidet.
Konnektivitätstests zum Prüfen der Netzwerksicherheit verwenden
Im Kontext der Netzwerksicherheit können Sie durch Konnektivitätstests prüfen, ob Traffic, der zwischen zwei Endpunkten verhindert werden soll, blockiert wird. Definieren Sie einen Test zwischen zwei Endpunkten und bewerten Sie die Ergebnisse, um zu prüfen, ob und warum der Traffic blockiert wird. Beispiel: Sie können ein VPC-Feature testen, mit dem Sie Regeln zum Blockieren von traffic definieren können. Weitere Informationen finden Sie unter Konnektivitätstests – Übersicht.
Mit Private Service Connect private Endpunkte erstellen
Verwenden Sie Private Service Connect, um private Endpunkte zu erstellen, die Ihnen den Zugriff auf Google-Dienste mit Ihrem eigenen IP-Adressschema ermöglichen. Sie können innerhalb Ihrer VPC und über Hybridkonnektivität auf die privaten Endpunkte zugreifen, die in Ihrer VPC enden.
Externe Konnektivität sichern und einschränken
Beschränken Sie den Internetzugriff auf die Ressourcen, die diesen wirklich benötigen. Ressourcen, die nur eine private, interne IP-Adresse haben, können über den privaten Google-Zugriff weiterhin auf viele Google APIs und Google-Dienste zugreifen.
Network Intelligence zum Überwachen Ihrer Cloud-Netzwerke verwenden
Network Intelligence Center bietet eine umfassende Ansicht Ihrer Google Cloud-Netzwerke in allen Regionen. So können Sie Traffic- und Zugriffsmuster ermitteln, die operative oder Sicherheitsrisiken verursachen können.
Nächste Schritte
Erfahren Sie mehr über die Best Practices für die Speicherverwaltung, darunter:
Weitere Kategorien im Architektur-Framework kennenlernen, z. B. Zuverlässigkeit, operative Exzellenz sowie Sicherheit, Datenschutz und Compliance.