Dokumen di Framework Arsitektur Google Cloud ini memberikan praktik terbaik untuk men-deploy sistem Anda berdasarkan desain jaringan. Anda akan mempelajari cara memilih dan menerapkan Virtual Private Cloud (VPC), serta cara menguji dan mengelola keamanan jaringan.
Prinsip inti
Desain jaringan sangat penting untuk keberhasilan desain sistem karena membantu Anda mengoptimalkan performa dan komunikasi aplikasi yang aman dengan layanan internal dan eksternal. Saat memilih layanan jaringan, Anda harus mengevaluasi kebutuhan aplikasi dan mengevaluasi cara aplikasi berkomunikasi satu sama lain. Misalnya, meskipun beberapa komponen memerlukan layanan global, komponen lain mungkin perlu berlokasi geografis di region tertentu.
Jaringan pribadi Google menghubungkan lokasi regional ke lebih dari 100 titik kehadiran jaringan global. Google Cloud menggunakan software-defined networking dan teknologi sistem terdistribusi untuk menghosting dan memberikan layanan Anda di seluruh dunia. Elemen inti Google untuk jaringan dalam Google Cloud adalah VPC global. VPC menggunakan jaringan berkecepatan tinggi global milik Google untuk menautkan aplikasi Anda di seluruh region sekaligus mendukung privasi dan keandalan. Google memastikan bahwa konten Anda dikirimkan dengan throughput tinggi menggunakan teknologi seperti kecerdasan kontrol kemacetan waktu penerapan Bandwidth Bottleneck and Round-trip (BBR).
Langkah-langkah untuk mengembangkan desain jaringan cloud Anda mencakup:
- Mendesain arsitektur VPC beban kerja. Mulai dengan mengidentifikasi berapa banyak project Google Cloud dan Jaringan VPC yang Anda butuhkan.
- Menambahkan konektivitas antar-VPC. Desain cara beban kerja Anda terhubung ke beban kerja lain di berbagai Jaringan VPC.
- Mendesain konektivitas jaringan hybrid. Desain cara VPC workload Anda terhubung ke lingkungan lokal dan lingkungan cloud lainnya.
Saat mendesain jaringan Google Cloud, pertimbangkan hal-hal berikut:
- VPC menyediakan lingkungan jaringan pribadi di cloud untuk layanan interkoneksi yang dibuat di Compute Engine, Google Kubernetes Engine (GKE), dan Solusi Komputasi Serverless. Anda juga dapat menggunakan VPC untuk secara pribadi mengakses layanan yang dikelola Google seperti Cloud Storage, BigQuery, dan Cloud SQL.
- Jaringan VPC, termasuk rute dan aturan firewall yang terkait, merupakan resource global; mereka tidak terkait dengan region atau zona tertentu.
- Subnet adalah resource regional. Instance VM Compute Engine yang di-deploy di zona berbeda di region cloud yang sama dapat menggunakan alamat IP dari subnet yang sama.
- Traffic ke dan dari instance dapat dikontrol menggunakan aturan firewall VPC.
- Administrasi jaringan dapat diamankan menggunakan peran Identity and Access Management (IAM).
- Jaringan VPC dapat dihubungkan secara aman di lingkungan hybrid menggunakan Cloud VPN atau Cloud Interconnect.
Untuk melihat daftar lengkap spesifikasi VPC, lihat Spesifikasi.
Arsitektur VPC workload
Bagian ini memberikan praktik terbaik untuk mendesain arsitektur VPC workload guna mendukung sistem Anda.
Pertimbangkan desain jaringan VPC dari awal
Jadikan desain jaringan VPC sebagai bagian awal proses mendesain penyiapan organisasi Anda di Google Cloud. Pilihan desain level organisasi tidak dapat dibatalkan dengan mudah setelah proses berlangsung. Untuk informasi selengkapnya, baca Praktik terbaik dan arsitektur referensi untuk desain VPC serta Menentukan desain jaringan untuk zona landing Google Cloud Anda.
Mulai dengan satu Jaringan VPC
Untuk banyak kasus penggunaan yang menyertakan resource dengan persyaratan umum, satu jaringan VPC menyediakan fitur yang Anda butuhkan. Satu jaringan VPC mudah dibuat, dikelola, dan dipahami. Untuk informasi selengkapnya, lihat Spesifikasi Jaringan VPC.
Menjaga agar topologi jaringan VPC tetap sederhana
Untuk memastikan arsitektur yang mudah dikelola, andal, dan dipahami dengan baik, jaga desain topologi jaringan VPC Anda sesederhana mungkin.
Gunakan jaringan VPC dalam mode kustom
Untuk memastikan bahwa jaringan Google Cloud terintegrasi dengan lancar dengan sistem jaringan Anda yang ada, sebaiknya gunakan mode kustom saat membuat jaringan VPC. Penggunaan mode kustom dapat membantu Anda mengintegrasikan jaringan Google Cloud ke skema pengelolaan alamat IP yang ada dan memungkinkan Anda mengontrol region cloud mana yang disertakan dalam VPC. Untuk informasi lebih lanjut, lihat VPC.
Konektivitas antar-VPC
Bagian ini memberikan praktik terbaik untuk mendesain konektivitas antar-VPC guna mendukung sistem Anda.
Pilih metode koneksi VPC
Jika Anda memutuskan untuk menerapkan beberapa jaringan VPC, Anda perlu menghubungkan jaringan-jaringan tersebut. Jaringan VPC adalah ruang tenant yang terisolasi dalam software-defined network (SDN) Andromeda milik Google. Jaringan VPC dapat berkomunikasi satu sama lain melalui beberapa cara. Pilih cara Anda menghubungkan jaringan berdasarkan persyaratan bandwidth, latensi, dan perjanjian tingkat layanan (SLA) Anda. Untuk mempelajari opsi koneksi lebih lanjut, baca artikel Memilih metode koneksi VPC yang memenuhi kebutuhan biaya, performa, dan keamanan Anda.
Gunakan VPC Bersama untuk mengelola beberapa kelompok kerja
Untuk organisasi yang memiliki beberapa tim, VPC Bersama menyediakan alat yang efektif untuk memperluas kesederhanaan arsitektural jaringan VPC di beberapa kelompok kerja.
Gunakan konvensi penamaan yang sederhana
Pilih konvensi penamaan yang sederhana, intuitif, dan konsisten. Hal ini akan membantu administrator dan pengguna untuk memahami tujuan setiap resource, tempat lokasinya berada, dan cara membedakan masing-masing resource.
Gunakan uji konektivitas untuk memverifikasi keamanan jaringan
Dalam konteks keamanan jaringan, Anda dapat menggunakan uji konektivitas untuk memverifikasi bahwa traffic yang ingin Anda cegah di antara dua endpoint sudah diblokir. Untuk memverifikasi bahwa traffic sudah diblokir dan alasan pemblokirannya, tentukan pengujian di antara dua endpoint dan evaluasi hasilnya. Misalnya, Anda dapat menguji fitur VPC yang memungkinkan Anda menentukan aturan yang mendukung pemblokiran traffic. Untuk informasi selengkapnya, lihat Ringkasan Uji Konektivitas.
Gunakan Private Service Connect untuk membuat endpoint pribadi
Untuk membuat endpoint pribadi yang dapat Anda gunakan untuk mengakses layanan Google dengan skema alamat IP Anda sendiri, gunakan Private Service Connect. Anda dapat mengakses endpoint pribadi dari dalam VPC dan melalui konektivitas hybrid yang terhenti di VPC Anda.
Amankan dan batasi konektivitas eksternal
Batasi akses internet hanya untuk resource yang membutuhkannya. Resource dengan hanya alamat IP internal pribadi masih dapat mengakses banyak API dan layanan Google melalui Akses Google Pribadi.
Gunakan Network Intelligence Center untuk memantau jaringan cloud Anda
Network Intelligence Center memberikan gambaran menyeluruh tentang jaringan Google Cloud Anda di semua region. Data ini membantu Anda mengidentifikasi pola traffic dan akses yang dapat menyebabkan risiko operasional atau keamanan.
Langkah selanjutnya
Pelajari praktik terbaik untuk pengelolaan penyimpanan, termasuk yang berikut:
Pelajari kategori lainnya dalam Framework Arsitektur seperti keandalan, keunggulan operasional, serta keamanan, privasi, dan kepatuhan.