Questo documento nel Framework dell'architettura Google Cloud fornisce le best practice per eseguire il deployment del sistema in base alla progettazione del networking. Tu scopri come scegliere e implementare Virtual Private Cloud (VPC), e come testare e gestire la sicurezza di rete.
Principi fondamentali
La progettazione del networking è fondamentale per la buona riuscita della progettazione del sistema perché ti aiuta ottimizzare le prestazioni e garantire la sicurezza delle comunicazioni delle applicazioni e servizi esterni. Quando scegli i servizi di networking, è importante valutare le esigenze delle applicazioni e come queste comunicare tra loro. Ad esempio, anche se alcuni componenti richiedono altri componenti potrebbero dover essere geolocalizzati in una regione specifica.
La rete privata di Google connette località regionali a più di 100 i punti di presenza (POP) della rete. Google Cloud utilizza Networking software-defined e sistemi distribuiti per ospitare e distribuire i tuoi servizi nel mondo. L'elemento principale di Google per il networking all'interno di Google Cloud è la una rete VPC globale, che utilizza la rete globale ad alta velocità di Google per collegare per le tue applicazioni in più regioni supportando al contempo privacy e affidabilità. Google fornisce i tuoi contenuti con una velocità effettiva elevata, utilizzando tecnologie come Larghezza di banda a collo di bottiglia e tempo di propagazione andata e ritorno (BBR) e l'intelligenza artificiale per il controllo delle congestioni.
Lo sviluppo del progetto di rete cloud include i seguenti passaggi:
- Progetta l'architettura VPC del carico di lavoro. Per prima cosa, indica quanti I progetti Google Cloud e le reti VPC richieste.
- Aggiungi connettività tra VPC. Progetta il modo in cui i tuoi carichi di lavoro si connettono ad altri carichi di lavoro in diverse reti VPC.
- Progetta la connettività di rete ibrida. Progetta il modo in cui i VPC dei carichi di lavoro si connettono agli ambienti on-premise e ad altri cloud ambienti cloud-native.
Quando progetti la tua rete Google Cloud, considera quanto segue:
- Un VPC fornisce un ambiente di networking privato nel cloud per l'interconnessione di servizi basati Compute Engine Google Kubernetes Engine (GKE) e Soluzioni di computing serverless. Puoi anche utilizzare un VPC per accedere privatamente ai servizi gestiti da Google come Cloud Storage BigQuery e Cloud SQL.
- Le reti VPC, incluse le route associate e le regole firewall, risorse globali; non sono associate a nessuna regione o zona.
- Le subnet sono risorse regionali. Compute Engine Istanze VM di cui è stato eseguito il deployment in zone diverse nella stessa regione cloud possono utilizzare indirizzi IP della stessa subnet.
- Il traffico da e verso le istanze può essere controllato utilizzando le regole firewall VPC.
- L'amministrazione della rete può essere protetta Ruoli IAM (Identity and Access Management).
- Le reti VPC possono essere connesse in modo sicuro in ambienti ibridi mediante Cloud VPN o Cloud Interconnect.
Per visualizzare un elenco completo delle specifiche VPC, consulta Specifiche.
Architettura VPC dei carichi di lavoro
Questa sezione fornisce le best practice per la progettazione di architetture VPC dei carichi di lavoro per supportare il tuo sistema.
Considera in anticipo la progettazione della rete VPC
Rendi la progettazione della rete VPC una parte iniziale della progettazione configurazione organizzativa in Google Cloud. Scelte di progettazione a livello di organizzazione può essere difficile annullare in un secondo momento. Per ulteriori informazioni, vedi Best practice e architetture di riferimento per la progettazione di VPC e Decidi la progettazione della rete per la tua zona di destinazione di Google Cloud.
Inizia con una singola rete VPC
Per molti casi d'uso che includono risorse con requisiti comuni, è possibile La rete VPC fornisce le funzionalità di cui hai bisogno. Un singolo La rete VPC è più semplice da creare, mantenere e comprendere. Per ulteriori informazioni, vedi Specifiche di rete VPC.
Mantieni semplice la topologia di rete VPC
Per garantire un'architettura gestibile, affidabile e ben compresa, mantieni il il più possibile semplice la progettazione della topologia di rete VPC.
Usa le reti VPC in modalità personalizzata
Per garantire che il networking di Google Cloud si integri perfettamente con il tuo sistemi di rete esistenti, ti consigliamo di utilizzare modalità personalizzata quando crei le reti VPC. La modalità personalizzata consente di integrare il networking di Google Cloud negli schemi di gestione degli indirizzi IP esistenti consente di controllare quali regioni cloud sono incluse nel VPC.
Connettività tra VPC
Questa sezione fornisce le best practice per la progettazione della connettività tra VPC per supportare il tuo sistema.
Scegli un metodo di connessione VPC
Se decidi di implementare più reti VPC, devi connetterle reti. Le reti VPC sono spazi tenant isolati all'interno del database SDN (Software-defined Network) Andromeda. Esistono diversi modi in cui le reti VPC possono comunicare tra loro. Scegli come connettere la rete in base alla larghezza di banda, la latenza e i requisiti di accordo sul livello del servizio (SLA). Per saperne di più sulle opzioni di connessione, vedi Scegli il metodo di connessione VPC più adatto alle tue esigenze in termini di costi, prestazioni e sicurezza.
Utilizza il VPC condiviso per amministrare più gruppi di lavoro
Per le organizzazioni con più team, il VPC condiviso fornisce una per estendere la semplicità dell'architettura di un singolo VPC in più gruppi di lavoro.
Usa convenzioni di denominazione intuitive
Scegli convenzioni di denominazione intuitive e coerenti. Ciò aiuta agli amministratori e agli utenti di comprendere lo scopo di ogni risorsa, e come si differenzia dalle altre risorse.
Utilizza i test di connettività per verificare la sicurezza della rete
Nel contesto della sicurezza della rete, puoi usare i test di connettività per verificare il traffico da impedire tra due endpoint viene bloccato. Per eseguire la verifica che il traffico è bloccato e perché è bloccato, definisci un test tra endpoint e valutarne i risultati. Ad esempio, potresti testare una funzionalità VPC che ti consente di definire regole a supporto del blocco del traffico. Per ulteriori informazioni, vedi Panoramica di Connectivity Tests.
Usa Private Service Connect per creare endpoint privati
Per creare endpoint privati che ti consentano di accedere ai servizi Google con il tuo schema dell'indirizzo IP, utilizza Private Service Connect. Puoi accedere agli endpoint privati dall'interno del tuo VPC e tramite ibrido che termina nel VPC.
Proteggere e limitare la connettività esterna
Limita l'accesso a internet solo alle risorse che ne hanno bisogno. Risorse con un indirizzo IP interno privato può comunque accedere a molti servizi e API di Google alla Accesso privato Google.
Utilizzare Network Intelligence Center per monitorare le reti cloud
Centro Network Intelligence Center offre una visione completa delle tue reti Google Cloud su tutte regioni. Ti aiuta a identificare i pattern di traffico e accesso che possono causare i rischi operativi o per la sicurezza.
Passaggi successivi
Scopri le best practice per la gestione dello spazio di archiviazione, tra cui:
- Seleziona un tipo di archiviazione.
- Scegli pattern di accesso allo spazio di archiviazione e tipi di carichi di lavoro.
Esplora altre categorie nella Framework dell'architettura come affidabilità, eccellenza operativa e sicurezza, privacy e conformità.