Beim Entwerfen eines Hybrid- und Multi-Cloud-Netzwerks beeinflussen verschiedene Faktoren Ihre Architekturentscheidungen. Berücksichtigen Sie beim Analysieren Ihres Hybrid- und Multi-Cloud-Netzwerkdesigns die folgenden Designaspekte. Um eine zusammenhängende Architektur zu erstellen, sollten Sie diese Überlegungen kollektiv und nicht isoliert bewerten.
Hybrid- und Multi-Cloud-Konnektivität
Hybrid- und Multi-Cloud-Konnektivität bezieht sich auf Kommunikationsverbindungen, die lokale Systeme, Google Cloud und andere Cloud-Umgebungen verbinden. Die Wahl der richtigen Verbindungsmethode ist entscheidend für den Erfolg von Hybrid- und Multi-Cloud-Architekturen erfolgreich, da diese Verbindungen den gesamten Traffic zwischen den Umgebungen übertragen. Probleme mit der Netzwerkleistung wie Bandbreite, Latenz, Paketverlust oder Jitter können sich direkt auf die Leistung von Geschäftsanwendungen und -diensten auswirken.
Für die Konnektivität zwischen einer lokalen Umgebung und Google Cloud oder anderen Clouds bietet Google Cloud mehrere Verbindungsoptionen zur Auswahl, darunter:
Internetbasierte Verbindungen über öffentliche IP-Adressen:
Daten zwischen Google Cloud und einer lokalen Umgebung oder einer anderen Cloud-Umgebung über das Internet übertragen. Diese Option verwendet die öffentlichen externen IP-Adressen einer Instanz – idealerweise mit Verschlüsselung auf der Anwendungsebene während der Übertragung.
Sichere Verbindungen über APIs mit TLS-Verschlüsselung (Transport Layer Security) über das öffentliche Internet. Für diese Option ist es erforderlich, dass die Anwendung oder die Ziel-APIs öffentlich über das Internet erreichbar sind und dass die Anwendung die Verschlüsselung während der Übertragung durchführt.
Private, sichere Verbindungen über das öffentliche Internet mithilfe von Cloud VPN oder vom Kunden verwalteten VPN-Gateways. Diese Option umfasst die Verwendung einer virtuellen Netzwerk-Appliance (NVA), einschließlich softwaredefinierter WAN-Lösungen (SD-WAN) von Google Cloud-Partnern. Diese Lösungen sind auf Google Cloud Marketplace verfügbar.
Private Verbindung über einen privaten Transport mit Cloud Interconnect (Dedicated Interconnect oder Partner Interconnect), die eine deterministischere Leistung bietet und ein SLA hat. Wenn eine Verschlüsselung während der Übertragung auf der Ebene der Netzwerkverbindung erforderlich ist, können Sie können Folgendes verwenden: HA VPN über Cloud Interconnect oder MACsec für Cloud Interconnect.
Cross-Cloud Interconnect bietet Unternehmen, die Multi-Cloud-Umgebungen verwenden, private und sichere Verbindungen über Clouds hinweg (zwischen Google Cloud und unterstützten Cloud-Dienstanbietern an bestimmten Standorten): Diese Option bietet Line-Rate-Leistung mit Hochverfügbarkeitsoptionen von 99,9 % und 99,99 %, was letztendlich dazu beiträgt, die Gesamtbetriebskosten (TCO) zu senken, ohne die Komplexität und Kosten der Verwaltung der Infrastruktur. Wenn für die Netzwerkverbindung eine Verschlüsselung während der Übertragung für zusätzliche Sicherheit erforderlich ist, unterstützt Cross-Cloud Interconnect MACsec für Cloud Interconnect-Verschlüsselung.
Erwägen Sie die Verwendung von Network Connectivity Center wenn es zu Ihrem Anwendungsfall in der Cloud-Lösungsarchitektur passt. Network Connectivity Center ist ein Orchestrierungs-Framework, das Netzwerkverbindungen zwischen Spoke-Ressourcen herstellt, wie Virtual Private Clouds (VPCs), Router-Appliances oder Hybridverbindungen, die mit einer zentralen Verwaltungsressource, einem Hub, verbunden sind. Ein Network Connectivity Center Hub unterstützt entweder VPC-Spokes oder Hybrid-Spokes. Weitere Informationen finden Sie unter Routenaustausch mit VPC-Konnektivität. Um den Routenaustausch mit der Cloud Router-Instanz zu erleichtern, ermöglicht Network Connectivity Center die Integration von Drittanbieter-Netzwerk-Appliances. Diese Integration umfasst SD-WAN-Router von Drittanbietern, die von Google Cloud Network Connectivity Center-Partnern unterstützt werden.
Aufgrund der Vielzahl von Hybrid- und Multi-Cloud-Verbindungsoptionen erfordert die Auswahl der geeigneten Option eine gründliche Bewertung Ihrer geschäftlichen und technischen Anforderungen. Diese Anforderungen umfassen die folgenden Faktoren:
- Netzwerkleistung
- Sicherheit
- Kosten
- Zuverlässigkeit und SLA
- Skalierbarkeit
Weitere Informationen zur Auswahl einer Verbindungsoption zu Google Cloud siehe Produkt für die Netzwerkverbindung auswählen. Hilfe bei der Auswahl einer Option für die Netzwerkverbindung, die die Anforderungen Ihrer Multi-Cloud-Architektur erfüllen, finden Sie unter Muster zum Verbinden anderer Cloud-Dienstanbieter mit Google Cloud.
Google Cloud-Projekte und VPCs
Sie können die in diesem Leitfaden beschriebenen Netzwerkarchitekturmuster mit ein oder mehrere Projekte verwenden, sofern dies unterstützt wird. Ein Projekt in Google Cloud enthält zugehörige Dienste und Arbeitslasten mit einer einzigen Verwaltungsdomain. Projekte bilden die Grundlage für folgende Prozesse:
- Google Cloud-Dienste erstellen, aktivieren und verwenden
- Dienst-APIs verwalten
- Abrechnung aktivieren
- Mitbearbeiter hinzufügen und entfernen
- Berechtigungen verwalten
Ein Projekt kann ein oder mehrere VPC-Netzwerke enthalten. Ihre Organisation oder die Struktur der Anwendungen, die Sie in einem Projekt verwenden, sollten bestimmen, ob ein einzelnes Projekt oder mehrere Projekte verwendet werden. Auch Ihre Organisation oder die Struktur der Anwendungen sollte festlegen, wie VPCs verwendet werden. Weitere Informationen finden Sie unter Ressourcenhierarchie für Ihre Google Cloud-Landing-Zone auswählen.
Folgende Faktoren können beeinflussen, ob Sie eine einzelne VPC, mehrere VPCs oder eine freigegebene VPC mit einem oder mehreren Projekten verwenden:
- Hierarchien von Organisationsressource
- Netzwerk-Traffic, Kommunikation und administrative Domainanforderungen zwischen Arbeitslasten.
- Sicherheitsanforderungen
- Sicherheitsanforderungen können eine Layer-7-Firewallprüfung erfordern, die sich im Pfad zwischen bestimmten Netzwerken oder Anwendungen befindet.
- Ressourcenverwaltung
- Unternehmen, die ein Verwaltungsmodell nutzen, bei dem das Netzwerkbetriebsteam die Netzwerkressourcen verwaltet, können eine Arbeitslasttrennung auf Teamebene verlagen.
VPC-Nutzungsentscheidungen
- Die Verwendung von freigegebenen VPCs für mehrere Google Cloud-Projekte vermeidet die Notwendigkeit, viele einzelne VPCs pro Arbeitslast oder pro Team zu verwalten.
- Die Verwendung freigegebener VPCs ermöglicht die zentrale Verwaltung der Host-VPC-Netzwerke, einschließlich der folgenden technischen Faktoren:
- Peering-Konfiguration
- Subnetzkonfiguration
- Cloud Firewall-Konfiguration
- Berechtigungskonfiguration
Manchmal müssen Sie möglicherweise mehr als eine VPC (oder freigegebene VPCs) verwenden, um die Skalierungsanforderungen zu erfüllen, ohne die Limits der Ressourcen für eine einzelne VPC zu überschreiten.
Weitere Informationen finden Sie unter Entscheiden, ob mehrere VPC-Netzwerke erstellt werden sollen.
DNS-Auflösung
In einer Hybrid- und Multi-Cloud-Architektur ist es wichtig, dass das Domain Name System (DNS) erweitert und zwischen Umgebungen integriert wird, in denen die Kommunikation zulässig ist. Dies trägt zu einer nahtlosen Kommunikation zwischen verschiedenen Diensten und Anwendungen bei. Außerdem wird die private DNS-Auflösung zwischen diesen Umgebungen beibehalten.
In einer Hybrid- und Multi-Cloud-Architektur mit Google Cloud können Sie die Funktionen DNS-Peering und DNS-Weiterleitung verwenden, um die DNS-Integration zwischen verschiedenen Umgebungen zu aktivieren. Mit diesen DNS-Funktionen können Sie die verschiedenen Anwendungsfälle abdecken, die bei verschiedenen Netzwerkkommunikationsmodellen auftreten können. Technisch gesehen können Sie DNS-Weiterleitungszonen verwenden, um lokale DNS-Server abzufragen und eingehende DNS-Serverrichtlinien, um Abfragen von Lokale Umgebungen zu zulassen. Sie können auch DNS-Peering zum Weiterleiten von DNS-Anfragen in Google Cloud-Umgebungen verwenden.
Weitere Informationen finden Sie unter Best Practices für Cloud DNS und Referenzarchitekturen für Hybrid-DNS mit Google Cloud.
Informationen zu Redundanzmechanismen für die Aufrechterhaltung der Verfügbarkeit von Cloud DNS in einer Hybrideinrichtung finden Sie unter: Es handelt sich nicht um DNS: Für Hochverfügbarkeit in einer Hybrid-Cloud-Umgebung sorgen. Sehen Sie sich auch diese Demonstration zum Entwerfen und Einrichten eines Privaten Multi-Cloud-DNS zwischen AWS und Google Cloud an.
Cloud-Netzwerksicherheit
Cloud-Netzwerksicherheit ist eine grundlegende Ebene der Cloud-Sicherheit. Unternehmen können dadurch Sicherheitsmonitoring, Bedrohungsschutz und Netzwerksicherheitskontrollen einbetten, um die Risiken des sich auflösenden Netzwerkperimeters zu verwalten.
Ein lokaler Standardansatz für die Netzwerksicherheit basiert in erster Linie auf einem bestimmten Perimeter zwischen dem Internet-Edge und dem internen Netzwerk einer Organisation. Es nutzt verschiedene mehrschichtige Sicherheitssysteme wie physische Firewalls, Router, Einbruchserkennungssysteme und andere.
Bei cloudbasiertem Computing ist dieser Ansatz in bestimmten Anwendungsfällen weiterhin anwendbar. Es reicht jedoch nicht aus, die Skalierung und die verteilte und dynamische Natur von Cloud-Arbeitslasten wie Autoscaling und containerisierte Arbeitslasten selbst zu bewältigen. Der Ansatz der Cloud-Netzwerksicherheit hilft Ihnen, Risiken zu minimieren, Compliance-Anforderungen zu erfüllen und einen sicheren und effizienten Betrieb über mehrere Cloud-First-Funktionen sicherzustellen. Weitere Informationen finden Sie unter Vorteile der Cloud-Netzwerksicherheit Informationen zum Sichern Ihres Netzwerks finden Sie unter Herausforderungen der Cloud-Netzwerksicherheit und den allgemeinen Best Practices für die Cloud-Netzwerksicherheit.
Der Umstieg auf eine Hybrid-Cloud-Architektur erfordert eine Sicherheitsstrategie, die über das Replizieren des lokalen Ansatzes hinausgeht. Durch die Replikation dieses Ansatzes kann die Designflexibilität eingeschränkt werden. Außerdem kann die Cloud-Umgebung dadurch Sicherheitsbedrohungen ausgesetzt werden. Stattdessen sollten Sie zuerst die verfügbaren Cloud-First-Netzwerksicherheitsfunktionen ermitteln, die den Sicherheitsanforderungen Ihres Unternehmens entsprechen. Möglicherweise müssen Sie auch diese Funktionen mit Sicherheitslösungen von Google Cloud von Drittanbietern kombinieren, wie virtuelle Netzwerk-Appliances.
Um eine konsistente Architektur für alle Umgebungen in einer Multi-Cloud-Architektur zu entwerfen, ist es wichtig, die verschiedenen Dienste und Funktionen jedes Cloud-Anbieters zu identifizieren. Wir empfehlen in jedem Fall, einen einheitlichen Sicherheitsstatus zu verwenden, der in allen Umgebungen sichtbar ist.
Zum Schutz Ihrer Hybrid-Cloud-Architekturumgebungen sollten Sie auch Defense-in-Depth-Prinzipien in Betracht ziehen.
Und schließlich sollten Sie beim Entwerfen Ihrer Cloud-Lösung von Anfang an die Netzwerksicherheit im Auge behalten. Binden Sie alle erforderlichen Funktionen in Ihr erstes Design ein. Mit diesen ersten Schritten können Sie vermeiden, dass Sie größere Änderungen am Design vornehmen müssen, um Sicherheitsfunktionen später in Ihren Designprozess einzubinden.
Die Cloud-Sicherheit beschränkt sich jedoch nicht auf die Netzwerksicherheit. Sie muss im gesamten Lebenszyklus der Anwendungsentwicklung im gesamten Anwendungspaket und von der Entwicklung über Produktion und Betrieb angewendet werden. Im Idealfall sollten Sie mehrere Sicherheitsebenen (den Defense-in-Depth-Ansatz) und Tools zur Sichtbarkeit der Sicherheit verwenden. Weitere Informationen zum Entwerfen und Betreiben sicherer Dienste in Google Cloud finden Sie im Abschnitt Sicherheit, Datenschutz und Compliance des Google Cloud-Architektur-Frameworks.
Zum Schutz Ihrer wertvollen Daten und Infrastruktur vor einer Vielzahl von Bedrohungen sollten Sie einen umfassenden Ansatz für die Cloud-Sicherheit wählen. Um vorhandenen Bedrohungen einen Schritt voraus zu bleiben, sollten Sie Ihre Sicherheitsstrategie kontinuierlich bewerten und optimieren.