Quando si progetta una rete ibrida e multi-cloud, esistono vari fattori che influenzano le scelte architetturali. Quando analizzi la progettazione del networking ibrido e multi-cloud, considera le seguenti considerazioni. Per creare un'architettura coesa, valutale insieme, non singolarmente.
Connettività ibrida e multi-cloud
La connettività ibrida e multi-cloud si riferisce alle connessioni di comunicazione che collegano ambienti on-premise, Google Cloud e altri ambienti cloud. Scegliere il giusto metodo di connettività è essenziale per il successo delle architetture ibride e multi-cloud, poiché queste connessioni trasportano tutto il traffico tra gli ambienti. Eventuali problemi delle prestazioni della rete, come larghezza di banda, latenza, perdita di pacchetti o tremolio, possono influire direttamente sulle prestazioni delle applicazioni e dei servizi aziendali.
Per la connettività tra un ambiente on-premise e Google Cloud o altri cloud, Google Cloud offre diverse opzioni di connettività tra cui scegliere, tra cui:
Connettività basata su internet con indirizzi IP pubblici:
Trasferisci dati tra Google Cloud e un ambiente on-premise o un altro ambiente cloud su internet. Questa opzione utilizza gli indirizzi IP esterni pubblici di un'istanza, idealmente insieme alla crittografia in transito a livello di applicazione.
Proteggi la connettività tramite le API con la crittografia TLS (Transport Layer Security) sulla rete internet pubblica. Questa opzione richiede che le API dell'applicazione o di destinazione siano accessibili pubblicamente da internet e che l'applicazione esegua la crittografia in transito.
Connettività privata sicura sulla rete internet pubblica tramite Cloud VPN o gateway VPN gestiti dal cliente. Questa opzione include l'utilizzo di un'appliance virtuale di rete (NVA), che include soluzioni WAN software-defined (SD-WAN) dei partner Google Cloud. Queste soluzioni sono disponibili su Google Cloud Marketplace.
Connettività privata su un trasporto privato utilizzando Cloud Interconnect (Dedicated Interconnect o Partner Interconnect) che offre prestazioni più deterministiche e dispone di uno SLA. Se è necessaria la crittografia dei dati in transito a livello di connettività di rete, puoi utilizzare la VPN ad alta disponibilità su Cloud Interconnect o MACsec per Cloud Interconnect.
Cross-Cloud Interconnect offre alle aziende che utilizzano ambienti multi-cloud la possibilità di abilitare una connettività privata e sicura tra i cloud (tra Google Cloud e i provider di servizi cloud supportati in determinate località). Questa opzione offre prestazioni a costo fisso con opzioni di disponibilità elevata del 99,9% e del 99,99%, il che contribuisce a ridurre il costo totale di proprietà (TCO) senza la complessità e il costo della gestione dell'infrastruttura. Inoltre, se per maggiore sicurezza è richiesta la crittografia dei dati in transito a livello di connettività di rete, Cross-Cloud Interconnect supporta MACsec per la crittografia di Cloud Interconnect.
Prendi in considerazione l'utilizzo di Network Connectivity Center quando si adatta al caso d'uso dell'architettura della tua soluzione cloud. Network Connectivity Center è un framework di orchestrazione che fornisce connettività di rete tra risorse spoke come VPC (Virtual Private Cloud), appliance router o connessioni ibride collegate a una risorsa di gestione centrale chiamata hub. Un hub Network Connectivity Center supporta spoke VPC o spoke ibridi. Per maggiori informazioni, consulta Scambio di route con connettività VPC. Inoltre, per facilitare lo scambio di route con l'istanza del router Cloud, Network Connectivity Center consente l'integrazione di appliance virtuali di rete di terze parti. Questa integrazione include i router SD-WAN di terze parti supportati dai partner del Network Connectivity Center di Google Cloud.
Data la varietà di opzioni di connettività ibrida e multi-cloud disponibili, la scelta della più adatta richiede una valutazione approfondita dei requisiti aziendali e tecnici. Questi requisiti includono i seguenti fattori:
- Rendimento della rete
- Sicurezza
- Costo
- Affidabilità e SLA (accordo sul livello del servizio)
- Scalabilità
Per ulteriori informazioni sulla selezione di un'opzione di connettività a Google Cloud, consulta Scegliere un prodotto per la connettività di rete. Per indicazioni sulla scelta di un'opzione di connettività di rete che soddisfi le esigenze della tua architettura multi-cloud, consulta Pattern per la connessione di altri provider di servizi cloud con Google Cloud.
Progetti Google Cloud e VPC
Puoi utilizzare i pattern di architettura di rete descritti in questa guida con uno o più progetti, se supportati. Un progetto in Google Cloud contiene servizi e carichi di lavoro correlati che hanno un singolo dominio amministrativo. I progetti sono la base per i seguenti processi:
- Creazione, abilitazione e utilizzo dei servizi Google Cloud
- Gestione delle API dei servizi
- Abilitazione della fatturazione in corso
- Aggiunta e rimozione di collaboratori
- Gestione delle autorizzazioni
Un progetto può contenere una o più reti VPC. La tua organizzazione, o la struttura delle applicazioni utilizzate in un progetto, deve determinare se utilizzare uno o più progetti. Anche la tua organizzazione, o la struttura delle applicazioni, deve determinare come usare i VPC. Per ulteriori informazioni, consulta Decidere una gerarchia delle risorse per la zona di destinazione di Google Cloud.
I seguenti fattori possono influire sulla scelta di utilizzare un singolo VPC, più VPC o un VPC condiviso con uno o più progetti:
- Gerarchie di risorse dell'organizzazione.
- Requisiti del traffico di rete, delle comunicazioni e dei domini amministrativi tra i carichi di lavoro.
- Requisiti di sicurezza.
- I requisiti di sicurezza possono richiedere l'ispezione del firewall di livello 7 da parte di VM di terze parti che si trovano nel percorso tra determinate reti o applicazioni.
- Gestione delle risorse.
- Le aziende che utilizzano un modello amministrativo in cui il team delle operazioni di rete gestisce le risorse di networking possono richiedere la separazione dei carichi di lavoro a livello di team.
sulle decisioni di utilizzo dei VPC.
- L'utilizzo di VPC condivisi in più progetti Google Cloud evita la necessità di gestire molti VPC individuali per carico di lavoro o team.
- L'utilizzo dei VPC condivisi consente la gestione centralizzata del networking VPC host, inclusi i seguenti fattori tecnici:
- Configurazione di peering
- Configurazione subnet
- Configurazione di Cloud Firewall
- Configurazione autorizzazioni
A volte, potresti dover utilizzare più di un VPC (o VPC condivisi) per soddisfare i requisiti di scalabilità senza superare i limiti di risorse per un singolo VPC.
Per ulteriori informazioni, consulta Decidere se creare più reti VPC.
Risoluzione DNS
In un'architettura ibrida e multi-cloud, è essenziale che il DNS (Domain Name System) sia esteso e integrato tra gli ambienti in cui la comunicazione è consentita. Questa azione consente una comunicazione senza interruzioni tra vari servizi e applicazioni. Inoltre, mantiene la risoluzione DNS privata tra questi ambienti.
In un'architettura ibrida e multi-cloud con Google Cloud, puoi utilizzare le funzionalità di peering DNS e inoltro DNS per abilitare l'integrazione DNS tra diversi ambienti. Con queste funzionalità DNS puoi coprire i diversi casi d'uso in linea con i diversi modelli di comunicazione di rete. Tecnicamente, puoi utilizzare le zone di forwarding DNS per eseguire query sui server DNS on-premise e sui criteri dei server DNS in entrata per consentire query da ambienti on-premise. Puoi anche utilizzare il peering DNS per inoltrare le richieste DNS all'interno degli ambienti Google Cloud.
Per saperne di più, consulta le best practice per Cloud DNS e le architetture di riferimento per il DNS ibrido con Google Cloud.
Per saperne di più sui meccanismi di ridondanza per mantenere la disponibilità di Cloud DNS in una configurazione ibrida, consulta Il servizio non è DNS: garantire un'alta disponibilità in un ambiente cloud ibrido. Guarda anche questa dimostrazione di come progettare e configurare un DNS privato multi-cloud tra AWS e Google Cloud.
Sicurezza della rete cloud
La sicurezza della rete cloud è un livello fondamentale di sicurezza del cloud. Per contribuire a gestire i rischi derivanti dalla dissoluzione del perimetro di rete, consente alle aziende di integrare funzionalità di monitoraggio della sicurezza, prevenzione delle minacce e controlli di sicurezza di rete.
Un approccio standard alla sicurezza di rete on-premise si basa principalmente su un perimetro distinto tra il perimetro di internet e la rete interna di un'organizzazione. Utilizza vari sistemi di prevenzione di sicurezza a più livelli nel percorso di rete, come firewall fisici, router, sistemi di rilevamento delle intrusioni e altro ancora.
Con il computing basato sul cloud, questo approccio è ancora applicabile in alcuni casi d'uso. Tuttavia, non è sufficiente per gestire da sola la scalabilità e la natura dinamica e distribuita dei carichi di lavoro cloud, ad esempio con scalabilità automatica e containerizzati. L'approccio alla sicurezza della rete cloud consente di ridurre al minimo i rischi, soddisfare i requisiti di conformità e garantire operazioni sicure ed efficienti tramite diverse funzionalità cloud-first. Per ulteriori informazioni, vedi Vantaggi della sicurezza di rete Cloud. Per proteggere la rete, consulta anche le sfide della sicurezza della rete Cloud e le best practice generali per la sicurezza della rete Cloud.
L'adozione di un'architettura cloud ibrido richiede una strategia di sicurezza che va oltre la replica dell'approccio on-premise. Replicare questo approccio può limitare la flessibilità di progettazione. Potrebbe anche esporre l'ambiente cloud a minacce alla sicurezza. Devi prima identificare le funzionalità di sicurezza di rete cloud-first disponibili che soddisfano i requisiti di sicurezza della tua azienda. Potrebbe anche essere necessario combinare queste funzionalità con soluzioni di sicurezza di terze parti offerte dai partner tecnologici di Google Cloud, come le appliance virtuali di rete.
Per progettare un'architettura coerente tra più ambienti in un'architettura multi-cloud, è importante identificare i diversi servizi e funzionalità offerti da ciascun cloud provider. In tutti i casi, consigliamo di utilizzare una strategia di sicurezza unificata con visibilità in tutti gli ambienti.
Per proteggere i tuoi ambienti con architettura cloud ibrida, dovresti anche considerare l'utilizzo dei principi di difesa in profondità.
Infine, progetta la tua soluzione cloud tenendo presente la sicurezza di rete sin dall'inizio. Incorpora tutte le funzionalità richieste come parte della progettazione iniziale. Questo lavoro iniziale ti aiuterà a evitare la necessità di apportare modifiche significative alla progettazione per integrare le funzionalità di sicurezza in una fase successiva del processo di progettazione.
Tuttavia, la sicurezza del cloud non si limita alla sicurezza della rete. Deve essere applicato durante l'intero ciclo di vita di sviluppo dell'applicazione nell'intero stack di applicazioni, dallo sviluppo alla produzione e al funzionamento. Idealmente, dovresti utilizzare più livelli di protezione (approccio della difesa in profondità) e strumenti di visibilità della sicurezza. Per ulteriori informazioni su come progettare e gestire servizi sicuri su Google Cloud, consulta il punto di forza della sicurezza, della privacy e della conformità del framework dell'architettura Google Cloud.
Per proteggere i tuoi dati e le tue infrastrutture più importanti da un'ampia gamma di minacce, adotta un approccio completo alla sicurezza del cloud. Per prevenire le minacce esistenti, valuta e perfeziona continuamente la tua strategia di sicurezza.