Ao projetar uma rede híbrida e de multicloud, vários fatores influenciam as escolhas arquitetônicas. Ao analisar suas redes híbridas e de várias nuvens de design, pense nas seguintes considerações de design. Para criar uma rede coesa do BigQuery, avalie essas considerações coletivamente, não de forma isolada.
Conectividade híbrida e de várias nuvens
Conectividade híbrida e de várias nuvens se refere às conexões de comunicação que vinculam a infraestrutura no local, e outros ambientes de nuvem. Escolher o método de conectividade certo é essencial para o sucesso das arquiteturas híbridas e de multicloud, porque essas conexões transportam todo o tráfego entre ambientes. Qualquer problema de desempenho da rede, como largura de banda, latência, perda de pacotes ou instabilidade, podem afetar de aplicativos e serviços de negócios.
Sobre a conectividade entre um ambiente local e o Google Cloud ou outras nuvens, o Google Cloud oferece opções de conectividade como:
Conectividade baseada na Internet usando endereços IP públicos:
Transferir dados entre o Google Cloud e um ambiente local ou em outro ambiente de nuvem pela Internet. Esta opção utiliza os endereços IP externos públicos de uma instância, de preferência com camada do aplicativo criptografia em trânsito.
Conectividade segura em APIs com o Transport Layer Security (TLS) na Internet pública. Essa opção exige o de aplicativos ou APIs de destino sejam acessíveis publicamente pela Internet e que o aplicativo realize a criptografia em trânsito.
A conectividade segura privada na Internet pública usa uma das seguintes opções: Cloud VPN ou gateways VPN gerenciados pelo cliente. Essa opção inclui usar uma rede dispositivo virtual (NVA), incluindo soluções de WAN definida por software (SD-WAN) dos parceiros do Google Cloud. Essas soluções estão disponíveis em Google Cloud Marketplace:
Conectividade particular em um transporte particular usando Cloud Interconnect. (Interconexão dedicada ou Interconexão por parceiro) com desempenho mais determinístico e SLA. Se a criptografia em trânsito for necessária na camada de conectividade de rede, você É possível usar VPN de alta disponibilidade pelo Cloud Interconnect ou MACsec para Cloud Interconnect.
Cross-Cloud Interconnect oferece às empresas que usam ambientes multicloud a capacidade de permitem a conectividade privada e segura entre nuvens (entre Google Cloud e provedores de serviços em nuvem compatíveis em certos locais). Essa opção tem desempenho de taxa de linha com opções de alta disponibilidade de 99,9% e 99,99%, o que ajuda a reduzir o custo total propriedade (TCO) sem a complexidade e o custo de gerenciar a infraestrutura. Além disso, se a criptografia em trânsito for necessária no nível da conectividade de rede, para aumentar a segurança, o Cross-Cloud Interconnect oferece suporte MACsec para criptografia do Cloud Interconnect.
Considere usar Network Connectivity Center (em inglês) quando adequado à arquitetura da sua solução de nuvem caso de uso. O Network Connectivity Center é um framework de orquestração que fornece a conectividade entre recursos de spoke, como nuvens privadas virtuais (VPCs), dispositivos roteadores ou conexões híbridas conectadas a um recurso de gerenciamento central chamado hub. Um centro de conectividade de rede O hub dá suporte a spokes VPC ou híbridos. Para mais informações, consulte Troca de rotas com conectividade VPC. Além disso, para facilitar a troca de rotas com a instância do Cloud Router, O Network Connectivity Center permite a integração de dispositivos virtuais de rede de terceiros. Essa integração inclui roteadores SD-WAN de terceiros que com suporte dos parceiros do Network Connectivity Center do Google Cloud.
Com a variedade de opções de conectividade híbrida e de multicloud disponíveis, selecionar a opção mais adequada requer uma avaliação completa dos seus negócios e requisitos técnicos. Esses requisitos incluem os seguintes fatores:
- Desempenho da rede
- Segurança
- Custo
- Confiabilidade e SLA
- Escalonabilidade
Para mais informações sobre como selecionar uma opção de conectividade com o Google Cloud, ver Como escolher um produto de conectividade de rede. Para orientação sobre como selecionar uma opção de conectividade de rede que atenda às necessidades da sua arquitetura de multicloud, Padrões de conexão de outros provedores de serviços de nuvem ao Google Cloud.
Projetos e VPCs do Google Cloud
É possível usar os padrões de arquitetura de rede discutidos neste guia com um ou vários projetos, quando compatível. O projeto no Google Cloud contém cargas de trabalho e serviços relacionados que têm um único domínio administrativo. Os projetos formam a base para os seguintes processos:
- Criar, ativar e usar os serviços do Google Cloud
- Como gerenciar APIs de serviços
- Ativar o faturamento
- Como adicionar e remover colaboradores
- Gerenciar permissões
Um projeto pode conter uma ou mais redes VPC. Sua organização ou o estrutura dos aplicativos que você usa em um projeto, devem determinar se é preciso usam um ou vários projetos. Sua organização ou a estrutura dos aplicativos também precisam determinar como usar as VPCs. Para mais informações, consulte Decidir uma hierarquia de recursos para sua zona de destino do Google Cloud.
Os fatores a seguir podem influenciar se você decide usar uma única VPC: várias VPCs ou um VPC compartilhada com um ou vários projetos:
- Hierarquias de recursos organizacionais.
- Requisitos de domínio administrativo, comunicação e tráfego de rede entre as cargas de trabalho.
- Requisitos de segurança.
- Os requisitos de segurança podem exigir inspeção de firewall de Camada 7 por NVAs de terceiros localizados no caminho entre certas redes ou aplicativos.
- Gerenciamento de recursos.
- Empresas que usam um modelo administrativo em que a operação de rede gerencia os recursos de rede e pode exigir a separação das cargas de trabalho no nível da equipe.
As decisões de uso da VPC.
- Como usar VPCs compartilhadas em vários projetos do Google Cloud evita a necessidade de manter muitas VPCs individuais por carga de trabalho equipe de Engenharia de Dados.
- O uso de VPCs compartilhadas permite o gerenciamento centralizado da VPC host
rede de computadores, incluindo os seguintes fatores técnicos:
- Configuração de peering
- Configuração da sub-rede
- Configuração do Cloud Firewall
- Configuração de permissão
Às vezes, pode ser necessário usar mais de uma VPC, ou VPCs compartilhadas, para atender aos requisitos de escala sem exceder o limites de recursos para uma única VPC.
Para mais informações, consulte Como decidir se você quer criar várias redes VPC.
Resolução DNS
Em uma arquitetura híbrida e de várias nuvens, é essencial que o nome de domínio (DNS) é estendido e integrado entre ambientes onde a comunicação é permitida. Essa ação ajuda a fornecer uma comunicação perfeita entre vários serviços e aplicativos. Ele também mantém a resolução de DNS particular entre esses ambientes.
Em uma arquitetura híbrida e de várias nuvens com o Google Cloud, é possível usar Peering de DNS e Encaminhamento de DNS para permitir a integração de DNS entre ambientes diferentes. Com esses recursos de DNS, é possível atender aos diferentes casos de uso que podem alinhar com diferentes modelos de comunicação de rede. Tecnicamente, é possível usar Zonas de encaminhamento de DNS para consultar servidores DNS locais e servidores Políticas de servidor DNS para permitir consultas de ambientes locais. Você também pode usar Peering de DNS para encaminhar solicitações de DNS em ambientes do Google Cloud.
Para mais informações, consulte Práticas recomendadas do Cloud DNS e arquiteturas de referência para DNS híbrido com o Google Cloud.
Conhecer os mecanismos de redundância para manutenção do Cloud DNS disponibilidade em uma configuração híbrida, Não é DNS: garantir alta disponibilidade em um ambiente de nuvem híbrida. Assista também a esta demonstração de como criar e configurar uma DNS particular em várias nuvens entre a AWS e o Google Cloud.
Segurança de rede do Cloud
Segurança de rede na nuvem é uma camada fundamental de segurança na nuvem. Para ajudar a gerenciar os riscos da dissolvendo o perímetro de rede, as empresas podem incorporar segurança monitoramento, prevenção de ameaças e controles de segurança de rede.
Uma abordagem padrão para a segurança de rede no local é baseada principalmente em um um perímetro distinto entre a borda da Internet e a rede interna de uma organização. Ele usa vários sistemas preventivos de segurança com várias camadas como firewalls físicos, roteadores, sistemas de detecção de intrusões e outros.
Na computação baseada em nuvem, essa abordagem ainda é aplicável em determinados casos casos de uso diferentes. Mas não basta lidar com a escala e o modelo distribuído das cargas de trabalho na nuvem, como escalonamento automático e cargas de trabalho conteinerizadas, do aplicativo. A abordagem de segurança de rede em nuvem ajuda a minimizar riscos, atender de compliance e garantir operações seguras e eficientes com com priorização da nuvem. Para mais informações, consulte Benefícios de segurança de rede do Cloud: Para proteger sua rede, consulte também Desafios de segurança de rede na nuvem, e geral Práticas recomendadas de segurança de rede em nuvem.
Adotar uma arquitetura de nuvem híbrida exige uma estratégia de segurança que vai além da replicação da abordagem no local. Replicar essa abordagem pode limitar a flexibilidade do design. Também pode potencialmente expor o ambiente de nuvem a ameaças de segurança. Em vez disso, você deve primeiro identificar os recursos de segurança de rede disponíveis com priorização da nuvem que atendem aos requisitos de segurança da sua empresa. Talvez você também precise combinar essas do Google Cloud com soluções de segurança de terceiros parceiros de tecnologia, como dispositivos virtuais de rede.
Para projetar uma arquitetura consistente entre ambientes em uma nuvem multicloud do BigQuery, é importante identificar os diferentes serviços e capacidades de cada provedor de nuvem. Recomendamos, em todos os casos, que você use uma postura de segurança unificada com visibilidade em todos os ambientes.
Para proteger seus ambientes de arquitetura de nuvem híbrida, também é preciso considere usar princípios de defesa em profundidade (em inglês).
Por fim, crie sua solução de nuvem com a segurança de rede em mente desde o começar. Incorpore todos os recursos necessários como parte do seu design inicial. Esse trabalho inicial ajudará você a evitar a necessidade de fazer grandes mudanças na projetar para integrar recursos de segurança posteriormente em seu processo de design.
No entanto, a segurança na nuvem não se limita à segurança de rede. Ele precisa ser aplicado durante o ciclo de vida de desenvolvimento do aplicativo pilha de aplicativos, do desenvolvimento à produção e à operação. Idealmente, você usar múltiplas camadas de proteção (a abordagem de defesa em profundidade) e ferramentas de visibilidade de segurança. Para mais informações sobre como arquitetar e operar serviços seguros no Google Cloud, consulte Pilar de segurança, privacidade e compliance do Framework de arquitetura do Google Cloud.
Para proteger seus dados e infraestrutura valiosos de uma ampla gama de ameaças, e adotar uma abordagem abrangente de segurança na nuvem. Para estar sempre à frente das ameaças, avalie e refine continuamente seus sistemas uma estratégia de várias nuvens.