Quando si progetta una rete ibrida e multi-cloud, esistono vari fattori che influenzano scelte architetturali. Quando analizzi il tuo networking ibrido e multi-cloud la progettazione, considera le seguenti considerazioni di progettazione. Per costruire una rete coesa dell'architettura, valutare queste considerazioni complessivamente, non singolarmente.
Connettività ibrida e multi-cloud
Connettività ibrida e multi-cloud si riferisce alle connessioni di comunicazione che collegano gli ambienti on-premise, Google Cloud in altri ambienti cloud. La scelta del giusto metodo di connettività è essenziale per il successo delle architetture ibride e multi-cloud, perché queste connessioni devono trasferire tutto il traffico tra gli ambienti. Eventuali problemi di prestazioni della rete, ad esempio larghezza di banda, latenza, perdita di pacchetti o tremolio possono influire direttamente sulle prestazioni di applicazioni e servizi aziendali.
Per la connettività tra un ambiente on-premise e Google Cloud o altri cloud, Google Cloud offre opzioni di connettività tra cui:
Connettività basata su internet con indirizzi IP pubblici:
Trasferisci dati tra Google Cloud e un ambiente on-premise o un altro ambiente cloud su internet. Questa opzione che utilizzano gli indirizzi IP esterni pubblici di un'istanza, idealmente livello di applicazione crittografia dei dati in transito.
Proteggi la connettività sulle API con Transport Layer Security (TLS) sulla rete internet pubblica. Questa opzione richiede le API di un'applicazione o di destinazione siano raggiungibili pubblicamente da internet e che l'applicazione esegua della crittografia in transito.
La connettività privata e sicura sulla rete internet pubblica utilizzando Cloud VPN o gateway VPN gestiti dal cliente. Questa opzione include l'utilizzo di una rete appliance virtuali (NVA), comprese soluzioni WAN software-defined (SD-WAN) dei partner Google Cloud. Queste soluzioni sono disponibili Google Cloud Marketplace.
Connettività privata su un trasporto privato tramite Cloud Interconnect (Dedicated Interconnect o Partner Interconnect) che offre prestazioni più deterministiche e ha un SLA. Se è necessaria la crittografia dei dati in transito a livello di connettività di rete, è possibile usare VPN ad alta disponibilità su Cloud Interconnect o MACsec per Cloud Interconnect.
Cross-Cloud Interconnect offre alle aziende che utilizzano ambienti multi-cloud la possibilità di abilitare una connettività privata e sicura tra i cloud (tra Google Cloud e provider di servizi cloud supportati in alcune località). Questa opzione offre un rendimento basato sulle linee guida con opzioni per l'alta disponibilità pari a 99,9% e 99,99%, il che contribuisce a ridurre il costo totale proprietarie (TCO) senza la complessità e i costi associati alla gestione dell'infrastruttura. Inoltre, se è richiesta la crittografia dei dati in transito a livello di connettività di rete per una maggiore sicurezza, Cross-Cloud Interconnect supporta MACsec per la crittografia di Cloud Interconnect.
Valuta l'uso Centro connettività di rete quando si adatta all'architettura della soluzione cloud caso d'uso. Network Connectivity Center è un framework di orchestrazione che fornisce la connettività tra risorse verbali, come VPC (Virtual Private Cloud), appliance router o connessioni ibride a una risorsa di gestione centrale chiamata hub. Un Network Connectivity Center supporta sia gli spoke VPC sia gli spoke ibridi. Per ulteriori informazioni, vedi Scambio di route con connettività VPC. Inoltre, per facilitare lo scambio di route con l'istanza del router Cloud, Network Connectivity Center consente l'integrazione appliance virtuali di rete di terze parti. L'integrazione include router SD-WAN di terze parti che vengono supportata dai partner del Network Connectivity Center di Google Cloud.
Con la varietà di opzioni di connettività ibride e multi-cloud disponibili, la selezione del più adatto richiede una valutazione approfondita della tua attività e requisiti tecnici. Questi requisiti includono i seguenti fattori:
- Rendimento della rete
- Sicurezza
- Costo
- Affidabilità e SLA (accordo sul livello del servizio)
- Scalabilità
Per ulteriori informazioni sulla scelta di un'opzione di connettività a Google Cloud, vedi Scelta di un prodotto per la connettività di rete. Per indicazioni sulla scelta di un'opzione di connettività di rete che soddisfi le le esigenze della tua architettura multi-cloud, Pattern per connettere altri provider di servizi cloud a Google Cloud.
Progetti Google Cloud e VPC
Puoi utilizzare i pattern dell'architettura di networking discussi in questa guida con su uno o più progetti, se supportati. R progetto di Google Cloud contiene servizi e carichi di lavoro correlati con un dominio amministrativo. I progetti sono la base per i seguenti processi:
- Creazione, abilitazione e utilizzo dei servizi Google Cloud
- Gestione delle API dei servizi
- Abilitazione della fatturazione in corso
- Aggiunta e rimozione di collaboratori
- Gestione delle autorizzazioni
Un progetto può contenere una o più reti VPC. La tua organizzazione, o delle applicazioni che usi in un progetto, dovrebbe determinare se usa uno o più progetti. La tua organizzazione o la struttura delle applicazioni, dovrebbe anche determinare come usare i VPC. Per maggiori informazioni le informazioni, vedi Decidi una gerarchia delle risorse per la tua zona di destinazione di Google Cloud.
I seguenti fattori possono influire sulla decisione di utilizzare un singolo VPC, più VPC o VPC condiviso con uno o più progetti:
- Gerarchie di risorse dell'organizzazione.
- Requisiti per il traffico di rete, le comunicazioni e i domini amministrativi tra i carichi di lavoro.
- Requisiti di sicurezza.
- I requisiti di sicurezza possono richiedere un'ispezione del firewall di livello 7 da NVA di terze parti situate nel percorso tra determinate reti o diverse applicazioni.
- Gestione delle risorse.
- Aziende che utilizzano un modello amministrativo in cui il funzionamento di rete quando un team gestisce le risorse di networking, può richiedere la separazione dei carichi di lavoro a livello di team.
sulle decisioni di utilizzo dei VPC.
- Utilizzo di VPC condivisi in più progetti Google Cloud evita la necessità di gestire molti VPC individuali per carico di lavoro o dell'IA.
- L'utilizzo dei VPC condivisi consente la gestione centralizzata del VPC host
networking, inclusi i seguenti fattori tecnici:
- Configurazione di peering
- Configurazione della subnet
- Configurazione di Cloud Firewall
- Configurazione autorizzazioni
A volte, potresti dover utilizzare più di un VPC (o VPC condivisi) per a soddisfare i requisiti di scalabilità senza superare limiti di risorse per un singolo VPC.
Per ulteriori informazioni, vedi Decidere se creare più reti VPC.
Risoluzione DNS
In un'architettura ibrida e multi-cloud, è essenziale che il nome di dominio (DNS) sia esteso e integrato tra gli ambienti in cui è consentito. Questa azione consente una comunicazione senza interruzioni tra applicazioni e servizi diversi. Mantiene anche la risoluzione DNS privato tra questi ambienti.
In un'architettura ibrida e multi-cloud con Google Cloud, puoi utilizzare Peering DNS e Inoltro DNS per abilitare l'integrazione DNS tra diversi ambienti. Con queste funzionalità DNS, puoi illustrare i diversi casi d'uso che con diversi modelli di comunicazione di rete. Tecnicamente, puoi utilizzare Zone di inoltro DNS per eseguire query sui server DNS on-premise e Criteri del server DNS per consentire query da ambienti on-premise. Puoi anche utilizzare Peering DNS per inoltrare le richieste DNS all'interno degli ambienti Google Cloud.
Per ulteriori informazioni, vedi Best practice per Cloud DNS e architetture di riferimento per DNS ibrido con Google Cloud.
Scoprire i meccanismi di ridondanza per il mantenimento di Cloud DNS. la disponibilità in una configurazione ibrida, Non si tratta di DNS: garantire un'alta disponibilità in un ambiente cloud ibrido. Guarda anche questa dimostrazione su come progettare e configurare DNS privato multi-cloud tra AWS e Google Cloud.
Sicurezza della rete cloud
Sicurezza della rete cloud è un livello fondamentale per la sicurezza del cloud. Per aiutare a gestire i rischi del risolvendo il perimetro della rete, le aziende possono monitoraggio, prevenzione delle minacce e controlli di sicurezza di rete.
Un approccio standard alla sicurezza di rete on-premise si basa principalmente su una perimetro distinto tra il perimetro Internet e la rete interna di un dell'organizzazione. Utilizza vari sistemi di prevenzione a più livelli in di rete, come firewall fisici, router, sistemi di rilevamento delle intrusioni e altri.
Con il computing basato sul cloud, questo approccio è ancora applicabile in certi casi d'uso diversi. Ma non basta per gestire la scalabilità, le risorse natura dei carichi di lavoro cloud, ad esempio scalabilità automatica e carichi di lavoro containerizzati, per trovare le regole. L'approccio alla sicurezza della rete cloud aiuta a ridurre al minimo i rischi, requisiti di conformità e garantire operazioni sicure ed efficienti attraverso e cloud-first. Per ulteriori informazioni, vedi Vantaggi della sicurezza della rete cloud. Per proteggere la rete, controlla anche Le sfide della sicurezza della rete cloud, e generali Best practice per la sicurezza della rete cloud.
L'adozione di un'architettura cloud ibrido richiede una strategia di sicurezza che va oltre la replica dell'approccio on-premise. Replicare questo approccio può limitare la flessibilità di progettazione. Potrebbe anche essere potenzialmente l'ambiente cloud a minacce alla sicurezza. Prima, invece, identificare le funzionalità di sicurezza di rete cloud-first disponibili requisiti di sicurezza della tua azienda. Potresti anche dover combinare questi con le soluzioni di sicurezza di terze parti di Google Cloud come le appliance virtuali di rete.
Progettare un'architettura coerente tra più ambienti in un multi-cloud Transformer, è importante identificare i diversi servizi e funzionalità offerti da ciascun cloud provider. Consigliamo, in ogni caso, di utilizzare una una strategia di sicurezza unificata con visibilità in tutti gli ambienti.
Per proteggere i tuoi ambienti con architettura cloud ibrida, dovresti anche valuta la possibilità di utilizzare principi della difesa in profondità.
Infine, progetta la tua soluzione cloud pensando alla sicurezza di rete dal per iniziare. Incorpora tutte le funzionalità richieste come parte della progettazione iniziale. Questo lavoro iniziale ti aiuterà a evitare la necessità di apportare modifiche significative al progettare per integrare le funzionalità di sicurezza in una fase successiva del processo di progettazione.
Tuttavia, la sicurezza del cloud non si limita alla sicurezza della rete. Deve essere applicata durante l'intero ciclo di vita di sviluppo dell'applicazione, e lo stack di applicazioni, dallo sviluppo alla produzione e alle operazioni. L'ideale è dovrebbe usare più livelli di protezione (approccio della difesa in profondità) e strumenti di visibilità della sicurezza. Per saperne di più su come progettare e operare la sicurezza dei servizi su Google Cloud, consulta Fondamenti di sicurezza, privacy e conformità del framework dell'architettura Google Cloud.
Per proteggere i tuoi dati e le tue infrastrutture più importanti da un'ampia gamma di minacce, adotta un approccio completo alla sicurezza del cloud. Per anticipare le minacce esistenti, valuta e perfeziona continuamente la tua sicurezza strategia.