Pertimbangan desain

Last reviewed 2023-12-14 UTC

Saat mendesain jaringan hybrid dan multicloud, berbagai faktor akan memengaruhi pilihan arsitektur Anda. Saat menganalisis desain jaringan hybrid dan multicloud, pertimbangkan pertimbangan desain berikut. Untuk membangun arsitektur yang kohesif, nilai pertimbangan ini secara kolektif, bukan secara terpisah.

Konektivitas hybrid dan multicloud

Konektivitas hybrid dan multicloud mengacu pada koneksi komunikasi yang menghubungkan lingkungan lokal, Google Cloud, dan lingkungan cloud lainnya. Memilih metode konektivitas yang tepat sangat penting untuk keberhasilan arsitektur hybrid dan multicloud, karena koneksi ini membawa semua traffic antar-lingkungan. Masalah performa jaringan apa pun, seperti bandwidth, latensi, kehilangan paket, atau jitter, dapat langsung memengaruhi performa aplikasi dan layanan bisnis.

Untuk konektivitas antara lingkungan lokal dan Google Cloud atau cloud lainnya, Google Cloud menawarkan beberapa opsi konektivitas yang dapat dipilih, termasuk:

  • Konektivitas berbasis internet menggunakan alamat IP publik:

    • Transfer data antara Google Cloud dan lingkungan lokal atau lingkungan cloud lain melalui internet. Opsi ini menggunakan alamat IP eksternal publik dari instance, idealnya dengan enkripsi dalam pengiriman lapisan aplikasi.

    • Amankan konektivitas melalui API dengan enkripsi Transport Layer Security (TLS) melalui internet publik. Opsi ini mengharuskan API aplikasi atau target dapat dijangkau secara publik dari internet dan aplikasi melakukan enkripsi dalam pengiriman.

  • Konektivitas aman pribadi melalui internet publik menggunakan Cloud VPN atau gateway VPN yang dikelola pelanggan. Opsi ini mencakup penggunaan network virtual appliance (NVA) termasuk solusi WAN software-defined (SD-WAN) dari partner Google Cloud. Solusi ini tersedia di Google Cloud Marketplace.

  • Konektivitas pribadi melalui transportasi pribadi menggunakan Cloud Interconnect (Dedicated Interconnect atau Partner Interconnect) yang menawarkan performa yang lebih determenistik dan memiliki SLA. Jika enkripsi dalam pengiriman diperlukan pada lapisan konektivitas jaringan, Anda dapat menggunakan VPN dengan ketersediaan tinggi (HA) melalui Cloud Interconnect atau MACsec untuk Cloud Interconnect.

  • Cross-Cloud Interconnect menyediakan kemampuan bagi perusahaan yang menggunakan lingkungan multicloud untuk mengaktifkan konektivitas pribadi dan aman di berbagai cloud (antara Google Cloud dan penyedia layanan cloud yang didukung di lokasi tertentu). Opsi ini memiliki performa tarif baris dengan opsi ketersediaan tinggi 99,9% dan 99,99%, yang pada akhirnya membantu menurunkan total biaya kepemilikan (TCO) tanpa kerumitan dan biaya pengelolaan infrastruktur. Selain itu, jika enkripsi dalam pengiriman diperlukan pada lapisan konektivitas jaringan untuk keamanan tambahan, Cross-Cloud Interconnect mendukung enkripsi MAC untuk Cloud Interconnect.

Pertimbangkan untuk menggunakan Network Connectivity Center jika sesuai dengan kasus penggunaan arsitektur solusi cloud Anda. Network Connectivity Center adalah framework orkestrasi yang menyediakan konektivitas jaringan di antara resource lisan, seperti virtual private cloud (VPC), peralatan router, atau koneksi hybrid yang terhubung ke resource pengelolaan terpusat yang disebut hub. Hub Network Connectivity Center mendukung spoke VPC atau spoke hybrid. Untuk mengetahui informasi selengkapnya, lihat Pertukaran rute dengan konektivitas VPC. Selain itu, untuk memfasilitasi pertukaran rute dengan instance Cloud Router, Network Connectivity Center memungkinkan integrasi peralatan virtual jaringan pihak ketiga. Integrasi tersebut mencakup router SD-WAN pihak ketiga yang didukung oleh partner Network Connectivity Center Google Cloud.

Dengan beragam opsi konektivitas hybrid dan multicloud yang tersedia, memilih yang paling sesuai memerlukan evaluasi menyeluruh terhadap persyaratan bisnis dan teknis Anda. Persyaratan ini mencakup faktor-faktor berikut:

  • Performa jaringan
  • Keamanan
  • Biaya
  • Keandalan dan SLA
  • Skalabilitas

Untuk mengetahui informasi selengkapnya terkait cara memilih opsi konektivitas ke Google Cloud, lihat Memilih produk Konektivitas Jaringan. Untuk panduan memilih opsi konektivitas jaringan yang memenuhi kebutuhan arsitektur multicloud Anda, lihat Pola untuk menghubungkan penyedia layanan cloud lain dengan Google Cloud.

Project dan VPC Google Cloud

Anda dapat menggunakan pola arsitektur jaringan yang dibahas dalam panduan ini dengan satu atau beberapa project jika didukung. Sebuah project di Google Cloud berisi layanan dan workload terkait yang memiliki satu domain administratif. Project menjadi dasar untuk proses berikut:

  • Membuat, mengaktifkan, dan menggunakan layanan Google Cloud
  • Mengelola API layanan
  • Mengaktifkan penagihan
  • Menambah dan menghapus kolaborator
  • Mengelola Izin

Sebuah project dapat berisi satu atau beberapa jaringan VPC. Organisasi Anda, atau struktur aplikasi yang Anda gunakan dalam sebuah project, harus menentukan apakah akan menggunakan satu project atau beberapa project. Organisasi Anda, atau struktur aplikasi, juga harus menentukan cara menggunakan VPC. Untuk mengetahui informasi selengkapnya, lihat Menentukan hierarki resource untuk zona landing Google Cloud.

Faktor-faktor berikut dapat memengaruhi apakah Anda memutuskan untuk menggunakan VPC tunggal, beberapa VPC, atau VPC bersama dengan satu atau beberapa project:

  • Hierarki resource organisasi.
  • Persyaratan traffic jaringan, komunikasi, dan domain administratif antar-workload.
  • Persyaratan keamanan.
    • Persyaratan keamanan dapat mengharuskan pemeriksaan firewall Lapisan 7 oleh NVA pihak ketiga yang berada di jalur antara jaringan atau aplikasi tertentu.
  • Pengelolaan resource.
    • Perusahaan yang menggunakan model administratif dengan tim operasi jaringan mengelola resource jaringan, dapat memerlukan pemisahan workload di tingkat tim.

  • Keputusan penggunaan VPC.

    • Dengan menggunakan VPC bersama di beberapa project Google Cloud, Anda tidak perlu mengelola banyak VPC individual per workload atau per tim.
    • Penggunaan VPC bersama memungkinkan pengelolaan terpusat untuk jaringan VPC host, termasuk faktor teknis berikut:
      • Konfigurasi peering
      • Konfigurasi subnet
      • Konfigurasi Cloud Firewall
      • Konfigurasi izin

    Terkadang, Anda mungkin perlu menggunakan lebih dari satu VPC (atau VPC bersama) untuk memenuhi persyaratan skala tanpa melebihi batas resource untuk satu VPC.

    Untuk informasi selengkapnya, lihat Memutuskan apakah akan membuat beberapa jaringan VPC.

Resolusi DNS

Dalam arsitektur hybrid dan multicloud, sistem nama domain (DNS) harus diperluas dan diintegrasikan di antara lingkungan yang mengizinkan komunikasi. Tindakan ini membantu memberikan komunikasi yang lancar antara berbagai layanan dan aplikasi. DNS juga mempertahankan resolusi DNS pribadi antar-lingkungan ini.

Dalam arsitektur hybrid dan multicloud dengan Google Cloud, Anda dapat menggunakan kemampuan peering DNS dan penerusan DNS untuk mengaktifkan integrasi DNS di antara berbagai lingkungan. Dengan kemampuan DNS ini, Anda dapat mencakup berbagai kasus penggunaan yang dapat diselaraskan dengan berbagai model komunikasi jaringan. Secara teknis, Anda dapat menggunakan zona penerusan DNS untuk membuat kueri dari server DNS lokal dan kebijakan server DNS masuk untuk mengizinkan kueri dari lingkungan lokal. Anda juga dapat menggunakan peering DNS untuk meneruskan permintaan DNS dalam lingkungan Google Cloud.

Untuk mengetahui informasi selengkapnya, lihat Praktik terbaik untuk Cloud DNS dan arsitektur referensi untuk DNS hybrid dengan Google Cloud.

Untuk mempelajari mekanisme redundansi guna mempertahankan ketersediaan Cloud DNS dalam konfigurasi hybrid, lihat Ini bukan DNS: Memastikan ketersediaan tinggi di lingkungan hybrid cloud. Tonton juga demonstrasi cara mendesain dan menyiapkan DNS pribadi multicloud antara AWS dan Google Cloud.

Keamanan jaringan cloud

Keamanan jaringan cloud adalah lapisan dasar dari keamanan cloud. Untuk membantu mengelola risiko melarutkan perimeter jaringan, perusahaan dapat menyematkan pemantauan keamanan, pencegahan ancaman, dan kontrol keamanan jaringan.

Pendekatan lokal standar untuk keamanan jaringan terutama didasarkan pada perimeter yang berbeda antara edge internet dan jaringan internal organisasi. Protokol ini menggunakan berbagai sistem pencegahan keamanan berlapis di jalur jaringan, seperti firewall fisik, router, sistem deteksi penyusupan, dan lainnya.

Dengan komputasi berbasis cloud, pendekatan ini masih berlaku dalam kasus penggunaan tertentu. Namun, tidaklah cukup jika kemampuan untuk menangani skala dan sifat terdistribusi dan dinamis dari workload cloud—seperti penskalaan otomatis dan workload dalam container— sendiri. Pendekatan keamanan jaringan cloud membantu Anda meminimalkan risiko, memenuhi persyaratan kepatuhan, dan memastikan operasi yang aman dan efisien melalui beberapa kemampuan cloud-first. Untuk mengetahui informasi selengkapnya, lihat Manfaat keamanan jaringan cloud. Untuk mengamankan jaringan Anda, lihat juga tantangan keamanan jaringan Cloud, dan Praktik terbaik keamanan jaringan cloud umum.

Pengadopsian arsitektur hybrid cloud memerlukan strategi keamanan yang lebih dari sekadar mereplikasi pendekatan lokal. Mengulangi pendekatan tersebut dapat membatasi fleksibilitas desain. Hal ini juga berpotensi menimbulkan ancaman keamanan pada lingkungan cloud. Sebagai gantinya, Anda harus terlebih dahulu mengidentifikasi kemampuan keamanan jaringan cloud-first yang tersedia dan memenuhi persyaratan keamanan perusahaan Anda. Anda mungkin juga perlu menggabungkan kemampuan ini dengan solusi keamanan pihak ketiga dari partner teknologi Google Cloud, seperti peralatan virtual jaringan.

Untuk mendesain arsitektur yang konsisten di seluruh lingkungan dalam arsitektur multicloud, Anda harus mengidentifikasi berbagai layanan dan kemampuan yang ditawarkan oleh setiap penyedia cloud. Dalam semua kasus, sebaiknya Anda menggunakan postur keamanan terpadu yang memiliki visibilitas di semua lingkungan.

Untuk melindungi lingkungan arsitektur hybrid cloud, Anda juga harus mempertimbangkan untuk menggunakan prinsip-prinsip defense in depth.

Terakhir, desain solusi cloud Anda dengan mempertimbangkan keamanan jaringan sejak awal. Gabungkan semua kemampuan yang diperlukan sebagai bagian dari desain awal Anda. Pekerjaan awal ini akan membantu Anda menghindari perlunya membuat perubahan besar pada desain untuk mengintegrasikan kemampuan keamanan nanti dalam proses desain Anda.

Namun, keamanan cloud tidak terbatas pada keamanan jaringan. Solusi ini harus diterapkan di sepanjang siklus proses pengembangan aplikasi di seluruh stack aplikasi, mulai dari pengembangan hingga produksi dan operasi. Idealnya, Anda harus menggunakan beberapa lapisan perlindungan (pendekatan defense in depth) dan alat visibilitas keamanan. Untuk mengetahui informasi selengkapnya tentang cara merancang dan mengoperasikan layanan yang aman di Google Cloud, lihat pilar Keamanan, privasi, dan kepatuhan dari Framework Arsitektur Google Cloud.

Untuk melindungi data dan infrastruktur berharga Anda dari berbagai ancaman, gunakan pendekatan komprehensif terhadap keamanan cloud. Untuk bersiap menghadapi ancaman yang ada, teruslah menilai dan meningkatkan strategi keamanan Anda.

Sebelumnya
Ringkasan
Berikutnya
Pola arsitektur