Netzwerkinfrastruktur entwerfen.

In diesem Dokument des Google Cloud-Architektur-Frameworks werden Best Practices für die Bereitstellung Ihres Systems auf Basis des Netzwerkdesigns vorgestellt. Sie erfahren, wie Sie eine VPC (Virtual Private Cloud) auswählen und implementieren und die Netzwerksicherheit testen und verwalten.

Grundprinzipien

Das Netzwerkdesign ist für ein erfolgreiches Systemdesign von entscheidender Bedeutung, da es dabei hilft, die Leistung zu optimieren und die Anwendungskommunikation mit internen und externen Diensten zu sichern. Bei der Auswahl von Netzwerkdiensten ist es wichtig, Ihre Anwendungsanforderungen und die Art der zukünftigen Kommunikationen zwischen Anwendungen zu bewerten. Beispiel: Einige Komponenten benötigen globale Dienste, andere mögen sich in einer bestimmten Region befinden müssen.

Das private Netzwerk von Google verbindet regionale Standorte mit mehr als 100 Netzwerk-Points-of-Presence weltweit. Google Cloud nutzt ein softwarebasiertes Netzwerk und verteilte Systemtechnologien, um Ihre Dienste zu hosten und weltweit bereitzustellen. Googles Kernelement für Netzwerkaktivitäten innerhalb von Google Cloud ist die globale VPC. Die VPC verwendet das globale Hochgeschwindigkeitsnetzwerk von Google, um Ihre Anwendungen regionenübergreifend zu verknüpfen, und unterstützt gleichzeitig Datenschutz und Zuverlässigkeit. Google sorgt dafür, dass Ihre Inhalte dank Technologien wie der intelligenten Engpassansprache BBR (Bottlehal Bandwidth and Round-Trip Propagation Time) mit hohem Durchsatz bereitgestellt werden.

Die Entwicklung Ihres Cloudnetzwerk-Designs umfasst folgende Schritte:

  1. Entwerfen Sie die VPC-Architektur für Arbeitslasten. Ermitteln Sie zuerst, wie viele Google Cloud-Projekte und VPC-Netzwerke Sie benötigen.
  2. Fügen Sie dann die VPC-Konnektivität hinzu. Planen Sie, wie Ihre Arbeitslasten mit anderen Arbeitslasten in verschiedenen VPC-Netzwerken verbunden werden sollen
  3. Entwicklung hybrider Netzwerkkonnektivität. Entwurf der Art, wie Arbeitslast-VPCs Verbindungen zu lokalen und anderen Cloud-Umgebungen herstellen.

Beachten Sie beim Entwurf Ihres Google Cloud-Netzwerks Folgendes:

Eine vollständige Liste der VPC-Spezifikationen finden Sie unter Spezifikationen.

VPC-Architektur der Arbeitslast

Dieser Abschnitt enthält Best Practices zum Entwerfen von Arbeitslast-VPC-Architekturen zur Unterstützung Ihres Systems.

Frühzeitig VPC-Netzwerkdesign in Betracht ziehen

Erwägen Sie das VPC-Netzwerkdesign bereits früh während des Entwurfs der organisatorischen Einrichtung. Designoptionen auf Organisationsebene können später nicht mehr einfach umgekehrt werden. Weitere Informationen finden Sie unter Best Practices und Referenzarchitekturen für das VPC-Design und Legen Sie das Netzwerkdesign für Ihre Google Cloud-Landing-Zone fest.

Mit einem einzelnen VPC-Netzwerk beginnen

In vielen Anwendungsfällen, die Ressourcen mit gemeinsamen Anforderungen umfassen, bietet ein einzelnes VPC-Netzwerk die benötigten Features. VPC-Netzwerke lassen sich einfach erstellen, verwalten und verstehen. Weitere Informationen finden Sie unter Spezifikationen für VPC-Netzwerke.

VPC-Netzwerktopologie einfach halten

Um eine überschaubare, zuverlässige und leicht verständliche Architektur zu bedingen, sollten Sie das Design Ihrer VPC-Netzwerktopologie so einfach wie möglich halten.

VPC-Netzwerke im benutzerdefinierten Modus verwenden

Damit Google Cloud-Netzwerke nahtlos in Ihre vorhandenen Netzwerksysteme eingebunden werden, empfehlen wir Ihnen, beim Erstellen von VPC-Netzwerken den benutzerdefinierten Modus zu verwenden. Mit dem benutzerdefinierten Modus können Sie Google Cloud-Netzwerke in vorhandene IP-Adressverwaltungsschemas einbinden und steuern, welche Cloudregionen in der VPC enthalten sind. Weitere Informationen finden Sie unter VPC.

Inter-VPC-Konnektivität

Dieser Abschnitt enthält Best Practices zum Entwurf der Inter-VPC-Konnektivität zur Unterstützung Ihres Systems.

VPC-Verbindungsmethode auswählen

Wenn Sie mehrere VPC-Netzwerke implementieren möchten, müssen Sie diese Netzwerke verbinden. VPC-Netzwerke sind isolierte Mandantenbereiche innerhalb des softwarebasierten Netzwerks von Andromeda (SDN). VPC-Netzwerke können auf verschiedene Arten miteinander kommunizieren. Wählen Sie aus, wie Sie Ihr Netzwerk basierend auf Ihren Anforderungen an Bandbreite, Latenz und Service Level Agreement (SLA) verbinden möchten. Weitere Informationen zu Verbindungsoptionen finden Sie unter VPC-Verbindungsmethode entsprechend Ihres Budgets und Ihrer Leistungs- und Sicherheitsanforderungen wählen.

Mit freigegebener VPC mehrere Arbeitsgruppen verwalten

Freigegebene VPCs ermöglichen es Organisationen mit mehreren Teams, die architektonische Einfachheit eines einzelnen VPC-Netzwerks effektiv auf mehrere Arbeitsgruppen auszudehnen.

Einfache Namenskonventionen verwenden

Wählen Sie einfache, intuitive und konsistente Namenskonventionen. Administratoren und Nutzer können dadurch den Zweck jeder Ressource besser verstehen und wissen, wo sie diese finden und wie sie sich von anderen Ressourcen unterscheidet.

Konnektivitätstests zum Prüfen der Netzwerksicherheit verwenden

Im Kontext der Netzwerksicherheit können Sie durch Konnektivitätstests prüfen, ob Traffic, der zwischen zwei Endpunkten verhindert werden soll, blockiert wird. Definieren Sie einen Test zwischen zwei Endpunkten und bewerten Sie die Ergebnisse, um zu prüfen, ob und warum der Traffic blockiert wird. Beispiel: Sie können ein VPC-Feature testen, mit dem Sie Regeln zum Blockieren von traffic definieren können. Weitere Informationen finden Sie unter Konnektivitätstests – Übersicht.

Mit Private Service Connect private Endpunkte erstellen

Verwenden Sie Private Service Connect, um private Endpunkte zu erstellen, die Ihnen den Zugriff auf Google-Dienste mit Ihrem eigenen IP-Adressschema ermöglichen. Sie können innerhalb Ihrer VPC und über Hybridkonnektivität auf die privaten Endpunkte zugreifen, die in Ihrer VPC enden.

Externe Konnektivität sichern und einschränken

Beschränken Sie den Internetzugriff auf die Ressourcen, die diesen wirklich benötigen. Ressourcen, die nur eine private, interne IP-Adresse haben, können über den privaten Google-Zugriff weiterhin auf viele Google APIs und Google-Dienste zugreifen.

Netzwerktelemetrie verwenden, um den Einblick in Ihr Cloud-Netzwerk zu verbessern

Traffic- und Zugriffsmuster, die sicherheitsbezogene oder operative Risiken für Ihre Organisation darstellen können, sind nahezu in Echtzeit erkennbar. Netzwerktelemetrie macht sowohl Netzwerk- als auch Sicherheitsvorgänge mit detaillierten, reaktiven Logs für die Netzwerkdienste von Google Cloud sichtbar.

Nächste Schritte

Erfahren Sie mehr über die Best Practices für die Speicherverwaltung, darunter:

Weitere Kategorien im Architektur-Framework kennenlernen, z. B. Zuverlässigkeit, operative Exzellenz sowie Sicherheit, Datenschutz und Compliance.