Ao conceber uma rede híbrida e multicloud, vários fatores influenciam as suas escolhas de arquitetura. À medida que analisa o design da sua rede híbrida e multicloud, pense nas seguintes considerações de design. Para criar uma arquitetura coesa, avalie estas considerações em conjunto e não isoladamente.
Conetividade híbrida e de várias nuvens
A conetividade híbrida e de várias nuvens refere-se às ligações de comunicação que associam ambientes nas instalações Google Cloude outros ambientes na nuvem. Escolher o método de conetividade certo é essencial para o sucesso das arquiteturas híbridas e multicloud, porque estas ligações transportam todo o tráfego entre ambientes. Quaisquer problemas de desempenho da rede, como largura de banda, latência, perda de pacotes ou instabilidade, podem afetar diretamente o desempenho das aplicações e dos serviços empresariais.
Para a conectividade entre um ambiente nas instalações e Google Cloud ou outras nuvens, Google Cloud oferece várias opções de conectividade para escolher, incluindo:
Conetividade baseada na Internet através de endereços IP públicos:
Transferir dados entre Google Cloud e um ambiente nas instalações ou outro ambiente na nuvem através da Internet. Esta opção usa os endereços IP externos públicos de uma instância, idealmente com encriptação em trânsito da camada de aplicação.
Conectividade segura através de APIs com encriptação Transport Layer Security (TLS) através da Internet pública. Esta opção requer que as APIs de aplicação ou de destino sejam acessíveis publicamente a partir da Internet e que a aplicação execute a encriptação em trânsito.
Conetividade privada segura através da Internet pública usando o Cloud VPN ou gateways VPN geridos pelo cliente. Esta opção inclui a utilização de um dispositivo virtual de rede (NVA), incluindo soluções de WAN definidas por software (SD-WAN) de Google Cloud parceiros. Estas soluções estão disponíveis no Google Cloud Marketplace.
Conetividade privada através de um transporte privado com o Cloud Interconnect (Dedicated Interconnect ou Partner Interconnect) que oferece um desempenho mais determinístico e tem um SLA. Se a encriptação em trânsito for necessária na camada de conetividade de rede, pode usar a VPN de alta disponibilidade através do Cloud Interconnect ou o MACsec para o Cloud Interconnect.
O Cross-Cloud Interconnect oferece às empresas que usam ambientes multinuvem a capacidade de ativar a conetividade privada e segura entre nuvens (entre o Google Cloud e os fornecedores de serviços na nuvem suportados em determinadas localizações). Esta opção tem um desempenho de taxa de linha com opções de alta disponibilidade de 99,9% e 99,99%, o que, em última análise, ajuda a reduzir o custo total de propriedade (TCO) sem a complexidade e o custo da gestão da infraestrutura. Além disso, se a encriptação em trânsito for necessária na camada de conetividade de rede para segurança adicional, o Cross-Cloud Interconnect suporta o MACsec para encriptação do Cloud Interconnect.
Considere usar o Network Connectivity Center quando se adequar à arquitetura da sua solução na nuvem exemplo de utilização. O Network Connectivity Center é uma framework de orquestração que oferece conetividade de rede entre recursos spoke, como nuvens virtuais privadas (VPCs), dispositivos de router ou ligações híbridas que estão ligadas a um recurso de gestão central denominado hub. Um hub do Network Connectivity Center suporta raios da VPC ou raios híbridos. Para mais informações, consulte o artigo Encaminhe a troca com a conetividade da VPC. Além disso, para facilitar a troca de rotas com a instância do Cloud Router, o Network Connectivity Center permite a integração de dispositivos virtuais de rede de terceiros. Essa integração inclui routers SD-WAN de terceiros que são suportados por Google Cloud parceiros do Network Connectivity Center.
Com a variedade de opções de conetividade híbrida e multicloud disponíveis, a seleção da mais adequada requer uma avaliação exaustiva dos seus requisitos empresariais e técnicos. Estes requisitos incluem os seguintes fatores:
- Desempenho da rede
- Segurança
- Custo
- Fiabilidade e SLA
- Escalabilidade
Para mais informações sobre como selecionar uma opção de conetividade para o Google Cloud, consulte Escolher um produto de conetividade de rede. Para orientações sobre a seleção de uma opção de conetividade de rede que satisfaça as necessidades da sua arquitetura multicloud, consulte Padrões para estabelecer ligação a outros fornecedores de serviços na nuvem com Google Cloud.
Google Cloud projetos e VPCs
Pode usar os padrões de arquitetura de rede abordados neste guia com um ou vários projetos, quando suportado. Um projeto no Google Cloud contém serviços e cargas de trabalho relacionados que têm um único domínio administrativo. Os projetos formam a base dos seguintes processos:
- Criar, ativar e usar Google Cloud serviços
- Gerir APIs de serviços
- Ativar faturação
- Adicionar e remover colaboradores
- Gerir autorizações
Um projeto pode conter uma ou mais redes VPC. A sua organização ou a estrutura das aplicações que usa num projeto deve determinar se deve usar um único projeto ou vários projetos. A sua organização ou a estrutura das aplicações também devem determinar como usar as VPCs. Para mais informações, consulte o artigo Decida uma hierarquia de recursos para a sua Google Cloud zona de destino.
Os seguintes fatores podem influenciar a sua decisão de usar uma única VPC, várias VPCs ou uma VPC partilhada com um ou vários projetos:
- Hierarquias de recursos organizacionais.
- Requisitos de tráfego de rede, comunicação e domínio administrativo entre cargas de trabalho.
- Requisitos de segurança.
- Os requisitos de segurança podem exigir a inspeção da firewall da camada 7 por NVAs de terceiros localizadas no caminho entre determinadas redes ou aplicações.
- Gestão de recursos.
- As empresas que usam um modelo administrativo em que a equipa de operações de rede gere os recursos de rede podem exigir a separação da carga de trabalho ao nível da equipa.
Decisões de utilização da VPC.
- A utilização de VPCs partilhadas em vários Google Cloud projetos evita a necessidade de manter muitas VPCs individuais por carga de trabalho ou por equipa.
- A utilização de VPCs partilhadas permite a gestão centralizada da rede VPC do anfitrião, incluindo os seguintes fatores técnicos:
- Configuração do intercâmbio
- Configuração da sub-rede
- Configuração da firewall na nuvem
- Configuração de autorizações
Por vezes, pode ter de usar mais do que uma VPC (ou VPCs partilhadas) para cumprir os requisitos de escala sem exceder os limites de recursos para uma única VPC.
Para mais informações, consulte o artigo Decidir se deve criar várias redes VPC.
Resolução de DNS
Numa arquitetura híbrida e multicloud, é essencial que o sistema de nomes de domínio (DNS) seja expandido e integrado entre ambientes onde a comunicação é permitida. Esta ação ajuda a fornecer uma comunicação integrada entre vários serviços e aplicações. Também mantém a resolução de DNS privado entre estes ambientes.
Numa arquitetura híbrida e multicloud com o Google Cloud, pode usar as capacidades de interligação de DNS e de encaminhamento de DNS para ativar a integração de DNS entre diferentes ambientes. Com estas capacidades de DNS, pode abranger os diferentes exemplos de utilização que se podem alinhar com diferentes modelos de comunicação de rede. Tecnicamente, pode usar zonas de encaminhamento de DNS para consultar servidores DNS no local e políticas de servidor DNS de entrada para permitir consultas de ambientes no local. Também pode usar o intercâmbio de DNS para encaminhar pedidos de DNS em Google Cloud ambientes.
Para mais informações, consulte as práticas recomendadas para o Cloud DNS e as arquiteturas de referência para DNS híbrido com o Google Cloud.
Para saber mais acerca dos mecanismos de redundância para manter a disponibilidade do Cloud DNS numa configuração híbrida, consulte o artigo Não é DNS: garantir a elevada disponibilidade num ambiente de nuvem híbrida. Veja também esta demonstração de como conceber e configurar um DNS privado em várias nuvens entre a AWS e a Google Cloud.
Segurança de redes na nuvem
A segurança da rede na nuvem é uma camada fundamental da segurança na nuvem. Para ajudar a gerir os riscos do perímetro de rede em dissolução, permite que as empresas incorporem a monitorização de segurança, a prevenção de ameaças e os controlos de segurança de rede.
Uma abordagem padrão no local à segurança de rede baseia-se principalmente num perímetro distinto entre o limite da Internet e a rede interna de uma organização. Utiliza vários sistemas preventivos de segurança de várias camadas no caminho de rede, como firewalls físicos, routers, sistemas de deteção de intrusão e outros.
Com a computação baseada na nuvem, esta abordagem continua a ser aplicável em determinados casos de utilização. No entanto, não é suficiente para processar a escala e a natureza distribuída e dinâmica das cargas de trabalho na nuvem, como o ajuste de escala automático e as cargas de trabalho contentorizadas. A abordagem de segurança de rede na nuvem ajuda a minimizar o risco, cumprir os requisitos de conformidade e garantir operações seguras e eficientes através de várias capacidades baseadas na nuvem. Para mais informações, consulte os benefícios da segurança de rede na nuvem. Para proteger a sua rede, consulte também os desafios de segurança de rede na nuvem, e as práticas recomendadas de segurança de rede na nuvem> gerais.
A adoção de uma arquitetura de nuvem híbrida requer uma estratégia de segurança que vá além da replicação da abordagem no local. A replicação dessa abordagem pode limitar a flexibilidade do design. Também pode expor o ambiente de nuvem a ameaças de segurança. Em alternativa, deve primeiro identificar as capacidades de segurança de rede baseadas na nuvem disponíveis que cumprem os requisitos de segurança da sua empresa. Também pode ter de combinar estas capacidades com soluções de segurança de terceiros de parceiros tecnológicos, como dispositivos virtuais de rede. Google Cloud
Para criar uma arquitetura consistente em todos os ambientes numa arquitetura de várias nuvens, é importante identificar os diferentes serviços e capacidades oferecidos por cada fornecedor de nuvem. Recomendamos, em todos os casos, que use uma postura de segurança unificada com visibilidade em todos os ambientes.
Para proteger os seus ambientes de arquitetura de nuvem híbrida, também deve considerar usar princípios de defesa em profundidade.
Por último, conceba a sua solução na nuvem com a segurança de rede em mente desde o início. Inclua todas as capacidades necessárias como parte do seu design inicial. Este trabalho inicial ajuda a evitar a necessidade de fazer alterações importantes ao design para integrar capacidades de segurança mais tarde no processo de design.
No entanto, a segurança na nuvem não se limita à segurança de rede. Tem de ser aplicada ao longo de todo o ciclo de vida de desenvolvimento da aplicação em toda a pilha de aplicações, desde o desenvolvimento à produção e operação. Idealmente, deve usar várias camadas de proteção (a abordagem de defesa em profundidade) e ferramentas de visibilidade de segurança. Para mais informações sobre como criar a arquitetura e operar serviços seguros no Google Cloud, consulte o pilar de segurança, privacidade e conformidade do Google Cloud Well-Architected Framework.
Para proteger os seus dados e infraestrutura valiosos contra uma vasta gama de ameaças, adote uma abordagem abrangente à segurança na nuvem. Para se manter à frente das ameaças existentes, avalie e refine continuamente a sua estratégia de segurança.