Quando si progetta una rete ibrida e multi-cloud, esistono vari fattori che influenzano scelte architetturali. Quando analizzi il tuo networking ibrido e multi-cloud la progettazione, considera le seguenti considerazioni di progettazione. Per creare un'architettura coesa, valuta queste considerazioni collettivamente, non singolarmente.
Connettività ibrida e multi-cloud
La connettività ibrida e multi-cloud si riferisce alle connessioni di comunicazione che collegano ambienti on-premise, Google Cloud e altri ambienti cloud. La scelta del giusto metodo di connettività è essenziale per il successo delle architetture ibride e multi-cloud, perché queste connessioni devono trasferire tutto il traffico tra gli ambienti. Eventuali problemi di prestazioni della rete, come larghezza di banda, latenza, perdita di pacchetti o jitter, possono influire direttamente sulle prestazioni di servizi e applicazioni aziendali.
Per la connettività tra un ambiente on-premise e Google Cloud o altri cloud, Google Cloud offre diverse opzioni di connettività tra cui scegliere, tra cui:
Connettività basata su internet con indirizzi IP pubblici:
Trasferisci dati tra Google Cloud e un ambiente on-premise o un altro ambiente cloud su internet. Questa opzione utilizza gli indirizzi IP pubblici esterni di un'istanza, idealmente con la crittografia in transito a livello di applicazione.
Proteggi la connettività sulle API con Transport Layer Security (TLS) sulla rete internet pubblica. Questa opzione richiede le API di un'applicazione o di destinazione siano raggiungibili pubblicamente da internet e che l'applicazione esegua della crittografia in transito.
La connettività privata e sicura sulla rete internet pubblica utilizzando Cloud VPN o gateway VPN gestiti dal cliente. Questa opzione include l'utilizzo di una rete appliance virtuali (NVA), comprese soluzioni WAN software-defined (SD-WAN) dei partner Google Cloud. Queste soluzioni sono disponibili su Google Cloud Marketplace.
Connettività privata tramite un trasporto privato utilizzando Cloud Interconnect (Dedicated Interconnect o Partner Interconnect) che offre prestazioni più deterministiche e dispone di uno SLA. Se è necessaria la crittografia dei dati in transito a livello di connettività di rete, è possibile usare VPN ad alta disponibilità su Cloud Interconnect o MACsec per Cloud Interconnect.
Cross-Cloud Interconnect offre alle aziende che utilizzano ambienti multi-cloud la possibilità di abilitare una connettività privata e sicura tra i cloud (tra Google Cloud e provider di servizi cloud supportati in alcune località). Questa opzione offre prestazioni a velocità di linea con opzioni di alta disponibilità del 99,9% e del 99,99%, il che contribuisce a ridurre il costo totale di proprietà (TCO) senza la complessità e i costi della gestione dell'infrastruttura. Inoltre, se per una maggiore sicurezza è richiesta la crittografia in transito a livello di rete, Cross-Cloud Interconnect supporta la crittografia MACsec per Cloud Interconnect.
Valuta l'uso di Centro connettività di rete quando si adatta all'architettura della soluzione cloud caso d'uso. Network Connectivity Center è un framework di orchestrazione che fornisce la connettività tra risorse verbali, come VPC (Virtual Private Cloud), appliance router o connessioni ibride a una risorsa di gestione centrale chiamata hub. Un Network Connectivity Center supporta sia gli spoke VPC sia gli spoke ibridi. Per ulteriori informazioni, vedi Scambio di route con connettività VPC. Inoltre, per facilitare lo scambio di route con l'istanza Cloud Router, Network Connectivity Center consente l'integrazione di appliance virtuali di rete di terze parti. L'integrazione include router SD-WAN di terze parti che vengono supportata dai partner del Network Connectivity Center di Google Cloud.
Con la varietà di opzioni di connettività ibrida e multicloud disponibili, selezionare la più adatta richiede una valutazione approfondita della tua attività e dei tuoi requisiti tecnici. Questi requisiti includono i seguenti fattori:
- Prestazioni della rete
- Sicurezza
- Costo
- Affidabilità e SLA
- Scalabilità
Per ulteriori informazioni sulla selezione di un'opzione di connettività a Google Cloud, consulta Scegliere un prodotto per la connettività di rete. Per indicazioni sulla scelta di un'opzione di connettività di rete che soddisfi le le esigenze della tua architettura multi-cloud, guarda Pattern per connettere altri provider di servizi cloud a Google Cloud.
Progetti e VPC Google Cloud
Puoi utilizzare i pattern dell'architettura di networking discussi in questa guida con su uno o più progetti, se supportati. R progetto di Google Cloud contiene servizi e carichi di lavoro correlati con un dominio amministrativo. I progetti costituiscono la base per le seguenti procedure:
- Creazione, attivazione e utilizzo dei servizi Google Cloud
- Gestione delle API dei servizi
- Abilitazione della fatturazione in corso
- Aggiunta e rimozione di collaboratori
- Gestione delle autorizzazioni
Un progetto può contenere una o più reti VPC. La tua organizzazione o la struttura delle applicazioni che utilizzi in un progetto deve determinare se utilizzare un singolo progetto o più progetti. La tua organizzazione o la struttura delle applicazioni, dovrebbe anche determinare come usare i VPC. Per ulteriori informazioni, consulta Decidere una gerarchia delle risorse per la tua zona di destinazione Google Cloud.
I seguenti fattori possono influire sulla decisione di utilizzare un singolo VPC, più VPC o VPC condiviso con uno o più progetti:
- Gerarchie delle risorse dell'organizzazione.
- Requisiti per il traffico di rete, le comunicazioni e i domini amministrativi tra i carichi di lavoro.
- Requisiti di sicurezza.
- I requisiti di sicurezza possono richiedere un'ispezione del firewall di livello 7 da NVA di terze parti situate nel percorso tra determinate reti o diverse applicazioni.
- Gestione delle risorse.
- Aziende che utilizzano un modello amministrativo in cui il funzionamento di rete quando un team gestisce le risorse di networking, può richiedere la separazione dei carichi di lavoro a livello di team.
Decisioni relative all'utilizzo di VPC.
- L'utilizzo di VPC condivisi in più progetti Google Cloud consente di evitare la necessità di gestire molti singoli VPC per carico di lavoro o per team.
- L'utilizzo dei VPC condivisi consente la gestione centralizzata del VPC host
networking, inclusi i seguenti fattori tecnici:
- Configurazione del peering
- Configurazione della subnet
- Configurazione di Cloud Firewall
- Configurazione autorizzazioni
A volte, potresti dover utilizzare più di un VPC (o VPC condivisi) per a soddisfare i requisiti di scalabilità senza superare limiti di risorse per un singolo VPC.
Per ulteriori informazioni, vedi Decidere se creare più reti VPC.
Risoluzione DNS
In un'architettura ibrida e multi-cloud, è essenziale che il nome di dominio (DNS) sia esteso e integrato tra gli ambienti in cui è consentito. Questa azione consente una comunicazione senza interruzioni tra applicazioni e servizi diversi. Inoltre, gestisce la risoluzione DNS privata tra questi ambienti.
In un'architettura ibrida e multi-cloud con Google Cloud, puoi utilizzare Peering DNS e Inoltro DNS per abilitare l'integrazione DNS tra diversi ambienti. Con queste funzionalità DNS, puoi coprire i diversi casi d'uso che possono essere in linea con diversi modelli di comunicazione di rete. Tecnicamente, puoi utilizzare le zone di inoltro DNS per eseguire query sui server DNS on-premise e i criteri dei server DNS in entrata per consentire le query dagli ambienti on-premise. Puoi anche utilizzare il peering DNS per inoltrare le richieste DNS all'interno degli ambienti Google Cloud.
Per ulteriori informazioni, vedi Best practice per Cloud DNS e architetture di riferimento per DNS ibrido con Google Cloud.
Scopri di più sui meccanismi di ridondanza per il mantenimento di Cloud DNS. la disponibilità in una configurazione ibrida, Non si tratta di DNS: garantire un'alta disponibilità in un ambiente cloud ibrido. Guarda anche questa dimostrazione su come progettare e configurare DNS privato multi-cloud tra AWS e Google Cloud.
Sicurezza della rete cloud
La sicurezza della rete cloud è un livello di base della sicurezza cloud. Per aiutare a gestire i rischi del risolvendo il perimetro della rete, le aziende possono monitoraggio, prevenzione delle minacce e controlli di sicurezza di rete.
Un approccio standard alla sicurezza di rete on-premise si basa principalmente su una perimetro distinto tra il perimetro Internet e la rete interna di un dell'organizzazione. Utilizza vari sistemi di prevenzione a più livelli in di rete, come firewall fisici, router, sistemi di rilevamento delle intrusioni e altri.
Con il calcolo basato su cloud, questo approccio è ancora applicabile in determinati casi d'uso. Ma non basta per gestire la scalabilità, le risorse natura dei carichi di lavoro cloud, ad esempio scalabilità automatica e carichi di lavoro containerizzati, per trovare le regole. L'approccio alla sicurezza della rete cloud aiuta a ridurre al minimo i rischi, requisiti di conformità e garantire operazioni sicure ed efficienti attraverso cloud-first. Per ulteriori informazioni, vedi Vantaggi della sicurezza della rete cloud. Per proteggere la rete, controlla anche Sfide della sicurezza della rete cloud, e generali Best practice per la sicurezza della rete cloud.
L'adozione di un'architettura cloud ibrida richiede una strategia di sicurezza che vada oltre la replica dell'approccio on-premise. La replica di questo approccio può limitare la flessibilità del design. Potrebbe anche essere potenzialmente l'ambiente cloud a minacce alla sicurezza. Prima, invece, identificare le funzionalità di sicurezza di rete cloud-first disponibili requisiti di sicurezza della tua azienda. Potresti anche dover combinare questi con le soluzioni di sicurezza di terze parti di Google Cloud come le appliance virtuali di rete.
Progettare un'architettura coerente tra più ambienti in un multi-cloud Transformer, è importante identificare i diversi servizi e funzionalità offerti da ciascun cloud provider. Consigliamo, in ogni caso, di utilizzare una una strategia di sicurezza unificata con visibilità in tutti gli ambienti.
Per proteggere gli ambienti dell'architettura cloud ibrida, ti consigliamo inoltre di utilizzare i principi di difesa in profondità.
Infine, progetta la tua soluzione cloud pensando alla sicurezza di rete dal per iniziare. Incorpora tutte le funzionalità richieste nell'ambito del progetto iniziale. Questo lavoro iniziale ti aiuterà a evitare la necessità di apportare modifiche significative al progettare per integrare le funzionalità di sicurezza in una fase successiva del processo di progettazione.
Tuttavia, la sicurezza del cloud non si limita alla sicurezza di rete. Deve essere applicato durante l'intero ciclo di vita dello sviluppo dell'applicazione nell'intero stack dell'applicazione, dallo sviluppo alla produzione e all'utilizzo. Idealmente, dovresti utilizzare più livelli di protezione (l'approccio di difesa in profondità) e strumenti di visibilità della sicurezza. Per ulteriori informazioni su come progettare e gestire servizi sicuri su Google Cloud, consulta il pilastro Sicurezza, privacy e conformità del framework di architettura di Google Cloud.
Per proteggere i tuoi dati e le tue infrastrutture più importanti da un'ampia gamma di minacce, adotta un approccio completo alla sicurezza del cloud. Per stare al passo con le minacce esistenti, valuta e perfeziona continuamente la tua strategia di sicurezza.