Progettazione dell'infrastruttura di rete

Questo documento nel framework dell'architettura Google Cloud fornisce le best practice per eseguire il deployment del sistema in base alla progettazione della rete. Scopri come scegliere e implementare Virtual Private Cloud (VPC) e come testare e gestire la sicurezza della rete.

Principi fondamentali

La progettazione Networking è fondamentale per una progettazione del sistema di successo perché consente di ottimizzare le prestazioni e proteggere le comunicazioni delle applicazioni con i servizi interni ed esterni. Quando scegli i servizi di networking, è importante valutare le esigenze dell'applicazione e il modo in cui le applicazioni comunicano tra loro. Ad esempio, mentre alcuni componenti richiedono servizi globali, altri potrebbero dover essere geolocalizzati in una regione specifica.

La rete privata di Google connette località a più di 100 punti di presenza della rete globale. Google Cloud utilizza tecnologie di networking software-defined e sistemi distribuiti per ospitare e fornire i tuoi servizi in tutto il mondo. L'elemento principale di Google per il networking all'interno di Google Cloud è il VPC globale. VPC utilizza la rete globale ad alta velocità di Google per collegare le tue applicazioni in più regioni supportando al contempo privacy e affidabilità. Google garantisce che i tuoi contenuti vengano distribuiti con una velocità effettiva elevata utilizzando tecnologie come l'intelligence per il controllo della congestione come larghezza di banda a collo di bottiglia e tempo di propagazione del round trip (BBR).

Lo sviluppo del progetto di rete cloud include i seguenti passaggi:

1. Progetta l'architettura VPC del carico di lavoro. Inizia identificando il numero di progetti Google Cloud e reti VPC di cui hai bisogno.
2. Aggiungi connettività tra VPC. Progetta il modo in cui i tuoi carichi di lavoro si connettono ad altri carichi di lavoro in diverse reti VPC.
3. Progetta la connettività di rete ibrida. Progetta il modo in cui i VPC dei carichi di lavoro si connettono all'ambiente on-premise e ad altri ambienti cloud.

Quando progetti la tua rete Google Cloud, considera quanto segue:

• Un VPC fornisce un ambiente di networking privato nel cloud per l'interconnessione di servizi basati su Compute Engine, Google Kubernetes Engine (GKE) e Soluzioni di computing serverless. Puoi anche utilizzare un VPC per accedere privatamente ai servizi gestiti da Google come Cloud Storage, BigQuery e Cloud SQL.
• Le reti VPC, incluse le route e le regole firewall associate, sono risorse globali; non sono associate a nessuna regione o zona particolare.
• Le subnet sono risorse a livello di regione. Compute Engine Le istanze VM il cui deployment viene eseguito in zone diverse nella stessa regione cloud possono utilizzare indirizzi IP della stessa subnet.
• Il traffico da e verso le istanze può essere controllato mediante le regole firewall VPC.
• L'amministrazione della rete può essere protetta utilizzando i ruoli IAM (Identity and Access Management).
• Le reti VPC possono essere connesse in modo sicuro in ambienti ibridi utilizzando Cloud VPN o Cloud Interconnect.

Per visualizzare un elenco completo delle specifiche VPC, consulta la sezione Specifiche.

Architettura VPC dei carichi di lavoro

Questa sezione fornisce le best practice per la progettazione di architetture VPC dei carichi di lavoro per supportare il sistema.

Considera in anticipo la progettazione della rete VPC

Rendi la progettazione della rete VPC una prima parte della progettazione della configurazione della tua organizzazione in Google Cloud. Le scelte di progettazione a livello di organizzazione non possono essere facilmente annullate più avanti nel processo. Per maggiori informazioni, consulta gli articoli Best practice e architetture di riferimento per la progettazione VPC e Decidere la progettazione della rete per la tua zona di destinazione Google Cloud.

Inizia con una singola rete VPC

Per molti casi d'uso che includono risorse con requisiti comuni, una singola rete VPC fornisce le funzionalità di cui hai bisogno. Le reti VPC singole sono semplici da creare, gestire e comprendere. Per ulteriori informazioni, consulta le specifiche di rete VPC.

Mantieni la topologia di rete VPC semplice

Per garantire un'architettura gestibile, affidabile e ben comprensibile, mantieni il più semplice possibile la progettazione della tua topologia di rete VPC.

Usa le reti VPC in modalità personalizzata

Per garantire che il networking di Google Cloud si integri perfettamente con i tuoi sistemi di networking esistenti, ti consigliamo di utilizzare la modalità personalizzata quando crei reti VPC. La modalità personalizzata consente di integrare il networking di Google Cloud negli schemi di gestione degli indirizzi IP esistenti e di controllare quali regioni cloud sono incluse nel VPC. Per ulteriori informazioni, consulta VPC.

Connettività tra VPC

Questa sezione fornisce le best practice per la progettazione di connettività tra VPC per supportare il sistema.

Scegli un metodo di connessione VPC

Se decidi di implementare più reti VPC, devi connetterle. Le reti VPC sono spazi tenant isolati all'interno della rete software-defined Andromeda (SDN) di Google. Esistono diversi modi in cui le reti VPC possono comunicare tra loro. Scegli come connettere la rete in base ai requisiti di larghezza di banda, latenza e accordo sul livello del servizio (SLA). Per saperne di più sulle opzioni di connessione, consulta Scegliere il metodo di connessione VPC che soddisfa le tue esigenze di costi, prestazioni e sicurezza.

Utilizza il VPC condiviso per amministrare più gruppi di lavoro

Per le organizzazioni con più team, il VPC condiviso fornisce uno strumento efficace per estendere la semplicità dell'architettura di una singola rete VPC su più gruppi di lavoro.

Usa semplici convenzioni di denominazione

Scegli convenzioni di denominazione semplici, intuitive e coerenti. In questo modo gli amministratori e gli utenti possono comprendere lo scopo di ogni risorsa, dove si trova e come si differenzia dalle altre risorse.

Utilizza i test di connettività per verificare la sicurezza della rete

Nel contesto della sicurezza della rete, puoi utilizzare i test di connettività per verificare che il traffico che intendi prevenire tra due endpoint sia bloccato. Per verificare che il traffico sia bloccato e perché è bloccato, definisci un test tra due endpoint e valuta i risultati. Ad esempio, potresti testare una funzionalità VPC che consente di definire regole che supportano il blocco del traffico. Per ulteriori informazioni, consulta la panoramica dei test di connettività.

Usa Private Service Connect per creare endpoint privati

Per creare endpoint privati che ti consentano di accedere ai servizi Google con il tuo schema di indirizzi IP, utilizza Private Service Connect. Puoi accedere agli endpoint privati dall'interno del tuo VPC e tramite una connettività ibrida che termina nel tuo VPC.

Proteggi e limita la connettività esterna

Limita l'accesso a internet solo alle risorse che ne hanno bisogno. Le risorse con solo un indirizzo IP interno privato possono comunque accedere a molti servizi e API di Google tramite l'accesso privato Google.

Utilizzare Network Intelligence Center per monitorare le reti cloud

Network Intelligence Center offre una visione completa delle tue reti Google Cloud in tutte le aree geografiche. Aiuta a identificare i pattern di traffico e accesso che possono causare rischi operativi o per la sicurezza.

Passaggi successivi

Scopri le best practice per la gestione dello spazio di archiviazione, che includono quanto segue:

• Seleziona un tipo di archiviazione.
• Scegli pattern di accesso allo spazio di archiviazione e tipi di carico di lavoro.

Esplora altre categorie nel framework dell'architettura come affidabilità, eccellenza operativa e sicurezza, privacy e conformità.