设计您的网络基础架构

Google Cloud 架构框架中的本文档提供了根据网络设计部署系统的最佳实践。您将了解如何选择和实现 Virtual Private Cloud (VPC),以及如何测试和管理网络安全。

核心原则

网络设计对于成功的系统设计至关重要,因为它可以帮助您优化性能,并确保应用与内部和外部服务之间的通信安全。当您选择网络服务时,请务必评估应用需求并评估应用之间的通信方式。例如,虽然某些组件需要全球服务,但其他组件可能需要位于特定区域。

Google 的专用网络将区域位置连接到 100 多个全球网络入网点。Google Cloud 采用了软件定义网络和分布式系统技术,可以在全球范围内托管并提供您的服务。Google Cloud 中网络的核心元素是全球 VPC。VPC 使用 Google 的全球高速网络跨区域连接您的应用,同时支持隐私权和可靠性。Google 通过使用瓶颈带宽和往返传播时间 (BBR) 拥塞控制智能等技术来确保内容以高吞吐量传送。

开发云网络设计包括以下步骤:

  1. 设计工作负载 VPC 架构。首先确定所需的 Google Cloud 项目和 VPC 网络的数量。
  2. 添加 VPC 间的连接。 设计您的工作负载如何连接到不同 VPC 网络中的其他工作负载。
  3. 设计混合网络连接。 设计工作负载 VPC 如何连接到本地和其他云环境。

设计 Google Cloud 网络时,请考虑以下几点:

如需查看 VPC 规范的完整列表,请参阅规范

工作负载 VPC 架构

本部分提供了设计工作负载 VPC 架构以支持您的系统的最佳实践。

提早考虑 VPC 网络设计事宜

在 Google Cloud 中设计组织设置时,提早进行 VPC 网络设计。组织级层的设计选择在流程后期无法轻易撤消。如需了解详情,请参阅 VPC 设计的最佳实践和参考架构以及企业组织的最佳实践

从单个 VPC 网络开始

对于包含具有共同需求的资源的许多使用场景,单个 VPC 网络将提供您需要的功能。单个 VPC 网络易于创建、维护和理解。如需了解详情,请参阅 VPC 网络规范

简化 VPC 网络拓扑

为了确保易于管理、可靠且易于理解的架构,请尽可能简化 VPC 网络拓扑的设计。

使用自定义模式的 VPC 网络

为确保 Google Cloud 网络与现有网络系统无缝集成,我们建议您在创建 VPC 网络时使用自定义模式。使用自定义模式,您可以将 Google Cloud 网络集成到现有 IP 地址管理方案中,还可以控制 VPC 中包含的云区域。如需了解详情,请参阅 VPC

VPC 间的连接

本部分提供设计 VPC 间连接以支持您的系统的最佳实践。

选择 VPC 连接

如果您决定实现多个 VPC 网络,则需要连接这些网络。VPC 网络是 Google Andromeda 软件定义网络 (SDN) 内的独立租户空间。VPC 网络通过多种方式彼此通信;请根据您的带宽、延迟时间和服务等级协议 (SLA) 要求选择连接网络的方式

如需详细了解连接选项,请参阅根据费用、性能和安全需要选择 VPC 连接方法

使用共享 VPC 管理多个工作组

对具有多个团队的组织来说,共享 VPC 可以有效简化单个 VPC 网络在多个工作组之间的架构。

使用简单的命名惯例

选择简单、直观且一致的命名惯例。这样做有助于管理员和用户了解每个资源的用途、所处位置以及与其他资源的区别。

使用连接测试来验证网络安全性

在网络安全情境中,您可以使用连接测试来验证您打算在两个端点之间阻止的流量是否被阻止。要验证流量是否被阻止及其原因,请在两个端点之间定义测试并评估结果。例如,您可以测试 VPC 功能,该功能可让您定义支持阻止流量的规则。如需了解详情,请参阅 Connectivity Tests 概览

使用 Private Service Connect 创建专用端点

要创建允许您使用自己的 IP 地址方案访问 Google 服务的专用端点,请使用 Private Service Connect。您可以从 VPC 内部以及通过 VPC 中终结的混合连接访问专用端点。

保护和限制外部连接

将互联网访问权限仅授予那些需要该权限的资源。仅具有专用内部 IP 地址的资源仍然可以通过专用 Google 访问通道来访问多个 Google API 和服务。

使用 Network Telemetry 更深入地了解您的云网络

以近乎实时的速度识别可能会给您的组织带来安全或运营风险的流量和访问模式。Network Telemetry 为 Google Cloud 网络服务带来响应迅速的深度日志,供网络和安全运营使用。

后续步骤

了解存储空间管理的最佳实践,包括:

探索架构框架中的其他类别,例如可靠性、卓越运营以及安全性、隐私权和合规性。