Dokumen dalam Framework Arsitektur Google Cloud ini memberikan praktik terbaik untuk men-deploy sistem Anda berdasarkan desain jaringan. Anda akan mempelajari cara memilih dan menerapkan Virtual Private Cloud (VPC), serta cara menguji dan mengelola keamanan jaringan.
Prinsip inti
Desain jaringan sangat penting untuk keberhasilan desain sistem karena membantu Anda mengoptimalkan performa dan komunikasi aplikasi yang aman dengan layanan internal dan eksternal. Saat memilih layanan jaringan, Anda harus mengevaluasi kebutuhan aplikasi dan mengevaluasi cara aplikasi berkomunikasi satu sama lain. Misalnya, meskipun beberapa komponen memerlukan layanan global, komponen lain mungkin perlu berlokasi geografis di region tertentu.
Jaringan pribadi Google menghubungkan lokasi regional ke lebih dari 100 titik kehadiran jaringan global. Google Cloud menggunakan networking yang ditetapkan untuk software dan teknologi sistem terdistribusi untuk menghosting dan memberikan layanan Anda di seluruh dunia. Elemen inti Google untuk jaringan dalam Google Cloud adalah VPC global, yang menggunakan jaringan global berkecepatan tinggi milik Google untuk menautkan aplikasi Anda di berbagai region sekaligus mendukung privasi dan keandalan. Google mengirimkan konten Anda dengan throughput tinggi menggunakan teknologi seperti Bandwidth Bottleneck dan Waktu propagasi bolak-balik (BBR) kecerdasan kontrol kemacetan.
Langkah-langkah untuk mengembangkan desain jaringan cloud Anda mencakup:
- Mendesain arsitektur VPC beban kerja. Mulai dengan mengidentifikasi berapa banyak project Google Cloud dan Jaringan VPC yang Anda butuhkan.
- Menambahkan konektivitas antar-VPC. Desain cara beban kerja Anda terhubung ke beban kerja lain di berbagai Jaringan VPC.
- Mendesain konektivitas jaringan hybrid. Desain cara VPC workload Anda terhubung ke lingkungan lokal dan lingkungan cloud lainnya.
Saat mendesain jaringan Google Cloud, pertimbangkan hal-hal berikut:
- VPC menyediakan lingkungan jaringan pribadi di cloud untuk layanan interkoneksi yang dibangun di Compute Engine, Google Kubernetes Engine (GKE), dan Solusi Komputasi Tanpa Server. Anda juga dapat menggunakan VPC untuk mengakses secara pribadi layanan yang dikelola Google, seperti Cloud Storage, BigQuery, dan Cloud SQL.
- Jaringan VPC, termasuk rute dan aturan firewall yang terkait, merupakan resource global; mereka tidak terkait dengan region atau zona tertentu.
- Subnet adalah resource regional. Compute Engine Instance VM yang di-deploy di zona berbeda di region cloud yang sama dapat menggunakan alamat IP dari subnet yang sama.
- Traffic ke dan dari instance dapat dikontrol menggunakan aturan firewall VPC.
- Administrasi jaringan dapat diamankan menggunakan peran Identity and Access Management (IAM).
- Jaringan VPC dapat dihubungkan dengan aman di lingkungan hybrid menggunakan Cloud VPN atau Cloud Interconnect.
Untuk melihat daftar lengkap spesifikasi VPC, lihat Spesifikasi.
Arsitektur VPC workload
Bagian ini memberikan praktik terbaik untuk mendesain arsitektur VPC workload guna mendukung sistem Anda.
Pertimbangkan desain jaringan VPC dari awal
Jadikan desain jaringan VPC sebagai bagian awal proses mendesain penyiapan organisasi Anda di Google Cloud. Pilihan desain tingkat organisasi bisa sulit untuk dibatalkan nantinya. Untuk mengetahui informasi lebih lanjut, baca artikel Praktik terbaik dan arsitektur referensi untuk desain VPC serta Menentukan desain jaringan untuk zona landing Google Cloud Anda.
Mulai dengan satu Jaringan VPC
Untuk banyak kasus penggunaan yang menyertakan resource dengan persyaratan umum, satu jaringan VPC menyediakan fitur yang Anda butuhkan. Jaringan VPC tunggal lebih sederhana untuk dibuat, dikelola, dan dipahami. Untuk informasi lebih lanjut, lihat Spesifikasi jaringan VPC.
Jaga agar topologi jaringan VPC tetap sederhana
Untuk memastikan arsitektur yang mudah dikelola, andal, dan dipahami dengan baik, jaga desain topologi jaringan VPC Anda sesederhana mungkin.
Gunakan jaringan VPC dalam mode kustom
Untuk memastikan jaringan Google Cloud terintegrasi secara lancar dengan sistem jaringan yang sudah ada, sebaiknya gunakan mode kustom saat membuat jaringan VPC. Penggunaan mode kustom dapat membantu Anda mengintegrasikan jaringan Google Cloud ke skema pengelolaan alamat IP yang ada dan memungkinkan Anda mengontrol region cloud mana yang disertakan dalam VPC.
Konektivitas antar-VPC
Bagian ini memberikan praktik terbaik untuk mendesain konektivitas antar-VPC guna mendukung sistem Anda.
Pilih metode koneksi VPC
Jika Anda memutuskan untuk menerapkan beberapa jaringan VPC, Anda perlu menghubungkan jaringan-jaringan tersebut. Jaringan VPC adalah ruang tenant yang terisolasi dalam software-defined network (SDN) Andromeda milik Google. Jaringan VPC dapat berkomunikasi satu sama lain melalui beberapa cara. Pilih cara Anda menghubungkan jaringan berdasarkan persyaratan bandwidth, latensi, dan perjanjian tingkat layanan (SLA) Anda. Untuk mempelajari opsi koneksi lebih lanjut, baca artikel Memilih metode koneksi VPC yang memenuhi kebutuhan biaya, performa, dan keamanan Anda.
Gunakan VPC Bersama untuk mengelola beberapa kelompok kerja
Untuk organisasi yang memiliki beberapa tim, VPC Bersama menyediakan alat yang efektif untuk memperluas kesederhanaan arsitektural jaringan VPC di beberapa kelompok kerja.
Gunakan konvensi penamaan yang intuitif
Pilih konvensi penamaan yang intuitif dan konsisten. Hal ini akan membantu administrator dan pengguna untuk memahami tujuan setiap resource, tempat lokasinya berada, dan cara membedakan masing-masing resource.
Gunakan uji konektivitas untuk memverifikasi keamanan jaringan
Dalam konteks keamanan jaringan, Anda dapat menggunakan uji konektivitas untuk memverifikasi bahwa traffic yang ingin Anda cegah di antara dua endpoint sudah diblokir. Untuk memverifikasi bahwa traffic sudah diblokir dan alasan pemblokirannya, tentukan pengujian di antara dua endpoint dan evaluasi hasilnya. Misalnya, Anda dapat menguji fitur VPC yang memungkinkan Anda menentukan aturan yang mendukung pemblokiran traffic. Untuk informasi selengkapnya, lihat Ringkasan Uji Konektivitas.
Gunakan Private Service Connect untuk membuat endpoint pribadi
Untuk membuat endpoint pribadi yang dapat Anda gunakan untuk mengakses layanan Google dengan skema alamat IP Anda sendiri, gunakan Private Service Connect. Anda dapat mengakses endpoint pribadi dari dalam VPC dan melalui konektivitas hybrid yang terhenti di VPC Anda.
Amankan dan batasi konektivitas eksternal
Batasi akses internet hanya untuk resource yang membutuhkannya. Resource dengan hanya alamat IP internal pribadi masih dapat mengakses banyak API dan layanan Google melalui Akses Google Pribadi.
Gunakan Network Intelligence Center untuk memantau jaringan cloud Anda
Network Intelligence Center memberikan gambaran menyeluruh tentang jaringan Google Cloud Anda di semua region. Data ini membantu Anda mengidentifikasi pola traffic dan akses yang dapat menyebabkan risiko operasional atau keamanan.
Langkah selanjutnya
Pelajari praktik terbaik untuk pengelolaan penyimpanan, termasuk yang berikut:
Pelajari kategori lain di Framework Arsitektur seperti keandalan, keunggulan operasional, serta keamanan, privasi, dan kepatuhan.