Pertimbangan desain

Last reviewed 2023-12-14 UTC

Saat mendesain jaringan hybrid dan multicloud, berbagai faktor memengaruhi pilihan arsitektur Anda. Saat Anda menganalisis desain jaringan hybrid dan multi-cloud, pikirkan pertimbangan desain berikut. Untuk membuat arsitektur yang kohesif, nilai pertimbangan ini secara kolektif, bukan secara terpisah.

Konektivitas hybrid dan multi-cloud

Konektivitas hybrid dan multi-cloud mengacu pada koneksi komunikasi yang menautkan lingkungan lokal, Google Cloud, dan lingkungan cloud lainnya. Memilih metode konektivitas yang tepat sangat penting untuk keberhasilan arsitektur hybrid dan multicloud, karena koneksi ini membawa semua traffic antar-lingkungan. Setiap masalah performa jaringan, seperti bandwidth, latensi, kehilangan paket, atau jitter, dapat secara langsung memengaruhi performa aplikasi dan layanan bisnis.

Untuk konektivitas antara lingkungan lokal dan Google Cloud atau cloud lainnya, Google Cloud menawarkan beberapa opsi konektivitas yang dapat dipilih, termasuk:

  • Konektivitas berbasis internet menggunakan alamat IP publik:

    • Mentransfer data antara Google Cloud dan lingkungan lokal atau lingkungan cloud lain melalui internet. Opsi ini menggunakan alamat IP eksternal publik dari instance—idealnya dengan enkripsi dalam pengiriman lapisan aplikasi.

    • Konektivitas aman melalui API dengan enkripsi Transport Layer Security (TLS) melalui internet publik. Opsi ini mengharuskan aplikasi atau API target dapat dijangkau secara publik dari internet dan aplikasi melakukan enkripsi dalam pengiriman.

  • Konektivitas pribadi yang aman melalui internet publik menggunakan Cloud VPN atau gateway VPN yang dikelola pelanggan. Opsi ini mencakup penggunaan peralatan virtual jaringan (NVA) termasuk solusi software-defined WAN (SD-WAN) dari partner Google Cloud. Solusi ini tersedia di Google Cloud Marketplace.

  • Konektivitas pribadi melalui transpor pribadi menggunakan Cloud Interconnect (Dedicated Interconnect atau Partner Interconnect) yang menawarkan performa yang lebih deterministik dan memiliki SLA. Jika enkripsi dalam pengiriman diperlukan di lapisan konektivitas jaringan, Anda dapat menggunakan VPN dengan ketersediaan tinggi (HA) melalui Cloud Interconnect atau MACsec untuk Cloud Interconnect.

  • Cross-Cloud Interconnect memberikan kemampuan kepada perusahaan yang menggunakan lingkungan multicloud untuk mengaktifkan konektivitas pribadi dan aman di seluruh cloud (antara Google Cloud dan penyedia layanan cloud yang didukung di lokasi tertentu). Opsi ini memiliki performa kecepatan lini dengan opsi ketersediaan tinggi 99,9% dan 99,99%, yang pada akhirnya membantu menurunkan total biaya kepemilikan (TCO) tanpa kompleksitas dan biaya pengelolaan infrastruktur. Selain itu, jika enkripsi saat transit diperlukan di lapisan konektivitas jaringan untuk keamanan tambahan, Cross-Cloud Interconnect mendukung enkripsi MACsec untuk Cloud Interconnect.

Pertimbangkan untuk menggunakan Network Connectivity Center jika sesuai dengan kasus penggunaan arsitektur solusi cloud Anda. Network Connectivity Center adalah framework orkestrasi yang menyediakan konektivitas jaringan di antara resource spoke, seperti virtual private cloud (VPC), perangkat router, atau koneksi hybrid yang terhubung ke resource pengelolaan terpusat yang disebut hub. Hub Network Connectivity Center mendukung spoke VPC atau spoke hybrid. Untuk mengetahui informasi selengkapnya, lihat Pertukaran rute dengan konektivitas VPC. Selain itu, untuk memfasilitasi pertukaran rute dengan instance Cloud Router, Network Connectivity Center memungkinkan integrasi perangkat virtual jaringan pihak ketiga. Integrasi tersebut mencakup router SD-WAN pihak ketiga yang didukung oleh partner Network Connectivity Center Google Cloud.

Dengan berbagai opsi konektivitas hybrid dan multicloud yang tersedia, memilih opsi yang paling sesuai memerlukan evaluasi menyeluruh terhadap persyaratan bisnis dan teknis Anda. Persyaratan ini mencakup faktor-faktor berikut:

  • Performa jaringan
  • Keamanan
  • Biaya
  • Keandalan dan SLA
  • Skalabilitas

Untuk informasi selengkapnya tentang cara memilih opsi konektivitas ke Google Cloud, lihat Memilih produk Network Connectivity. Untuk panduan tentang cara memilih opsi konektivitas jaringan yang memenuhi kebutuhan arsitektur multicloud Anda, lihat Pola untuk menghubungkan penyedia layanan cloud lain dengan Google Cloud.

Project dan VPC Google Cloud

Anda dapat menggunakan pola arsitektur jaringan yang dibahas dalam panduan ini dengan satu atau beberapa project jika didukung. Project di Google Cloud berisi layanan dan beban kerja terkait yang memiliki satu domain administratif. Project menjadi dasar untuk proses berikut:

  • Membuat, mengaktifkan, dan menggunakan layanan Google Cloud
  • Mengelola API layanan
  • Mengaktifkan penagihan
  • Menambahkan dan menghapus kolaborator
  • Mengelola Izin

Project dapat berisi satu atau beberapa jaringan VPC. Organisasi Anda, atau struktur aplikasi yang Anda gunakan dalam project, harus menentukan apakah akan menggunakan satu project atau beberapa project. Organisasi Anda, atau struktur aplikasi, juga harus menentukan cara menggunakan VPC. Untuk informasi selengkapnya, lihat Menentukan hierarki resource untuk zona landing Google Cloud Anda.

Faktor berikut dapat memengaruhi apakah Anda memutuskan untuk menggunakan satu VPC, beberapa VPC, atau VPC bersama dengan satu atau beberapa project:

  • Hierarki resource organisasi.
  • Persyaratan traffic jaringan, komunikasi, dan domain administratif antar-beban kerja.
  • Persyaratan keamanan.
    • Persyaratan keamanan dapat mewajibkan pemeriksaan firewall Lapisan 7 oleh NVA pihak ketiga yang terletak di jalur antara jaringan atau aplikasi tertentu.
  • Pengelolaan resource.
    • Perusahaan yang menggunakan model administratif dengan tim operasi jaringan mengelola resource jaringan, dapat memerlukan pemisahan beban kerja di tingkat tim.
  • Keputusan penggunaan VPC.

    • Menggunakan VPC bersama di beberapa project Google Cloud menghindari kebutuhan untuk mengelola banyak VPC individual per beban kerja atau per tim.
    • Penggunaan VPC bersama memungkinkan pengelolaan terpusat untuk jaringan VPC host, termasuk faktor teknis berikut:
      • Konfigurasi peering
      • Konfigurasi subnet
      • Konfigurasi Cloud Firewall
      • Konfigurasi izin

    Terkadang, Anda mungkin perlu menggunakan lebih dari satu VPC (atau VPC bersama) untuk memenuhi persyaratan skala tanpa melebihi batas resource untuk satu VPC.

    Untuk informasi selengkapnya, lihat Menentukan apakah akan membuat beberapa jaringan VPC atau tidak.

Resolusi DNS

Dalam arsitektur hybrid dan multi-cloud, sistem nama domain (DNS) harus diperluas dan diintegrasikan di antara lingkungan tempat komunikasi diizinkan. Tindakan ini membantu memberikan komunikasi yang lancar antara berbagai layanan dan aplikasi. DNS juga mempertahankan resolusi DNS pribadi di antara lingkungan ini.

Dalam arsitektur hybrid dan multicloud dengan Google Cloud, Anda dapat menggunakan kemampuan peering DNS dan penerusan DNS untuk mengaktifkan integrasi DNS di antara berbagai lingkungan. Dengan kemampuan DNS ini, Anda dapat mencakup berbagai kasus penggunaan yang dapat selaras dengan berbagai model komunikasi jaringan. Secara teknis, Anda dapat menggunakan zona penerusan DNS untuk membuat kueri server DNS lokal dan kebijakan server DNS masuk untuk mengizinkan kueri dari lingkungan lokal. Anda juga dapat menggunakan peering DNS untuk meneruskan permintaan DNS dalam lingkungan Google Cloud.

Untuk informasi selengkapnya, lihat Praktik terbaik untuk Cloud DNS dan arsitektur referensi untuk DNS hybrid dengan Google Cloud.

Untuk mempelajari mekanisme redundansi guna mempertahankan ketersediaan Cloud DNS dalam penyiapan hybrid, lihat Bukan DNS: Memastikan ketersediaan tinggi di lingkungan cloud hybrid. Tonton juga demonstrasi ini tentang cara mendesain dan menyiapkan DNS pribadi multi-cloud antara AWS dan Google Cloud.

Keamanan jaringan cloud

Keamanan jaringan cloud adalah lapisan dasar keamanan cloud. Untuk membantu mengelola risiko pengikisan perimeter jaringan, hal ini memungkinkan perusahaan menyematkan pemantauan keamanan, pencegahan ancaman, dan kontrol keamanan jaringan.

Pendekatan lokal standar untuk keamanan jaringan terutama didasarkan pada perimeter yang berbeda antara edge internet dan jaringan internal organisasi. Pendekatan ini menggunakan berbagai sistem pencegahan keamanan berlapis di jalur jaringan, seperti firewall fisik, router, sistem deteksi penyusupan, dan lainnya.

Dengan komputasi berbasis cloud, pendekatan ini masih berlaku dalam kasus penggunaan tertentu. Namun, hal ini saja tidak cukup untuk menangani skala serta sifat workload cloud yang terdistribusi dan dinamis—seperti workload penskalaan otomatis dan container—saja. Pendekatan keamanan jaringan cloud membantu Anda meminimalkan risiko, memenuhi persyaratan kepatuhan, dan memastikan operasi yang aman dan efisien melalui beberapa kemampuan cloud-first. Untuk mengetahui informasi selengkapnya, lihat Manfaat keamanan jaringan cloud. Untuk mengamankan jaringan Anda, lihat juga Tantangan keamanan jaringan cloud, dan Praktik terbaik keamanan jaringan cloud umum.

Mengadopsi arsitektur cloud hybrid memerlukan strategi keamanan yang melampaui replikasi pendekatan lokal. Mereplikasi pendekatan tersebut dapat membatasi fleksibilitas desain. Hal ini juga berpotensi mengekspos lingkungan cloud terhadap ancaman keamanan. Sebagai gantinya, Anda harus terlebih dahulu mengidentifikasi kemampuan keamanan jaringan cloud-first yang tersedia dan memenuhi persyaratan keamanan perusahaan Anda. Anda mungkin juga perlu menggabungkan kemampuan ini dengan solusi keamanan pihak ketiga dari partner teknologi Google Cloud, seperti peralatan virtual jaringan.

Untuk mendesain arsitektur yang konsisten di seluruh lingkungan dalam arsitektur multicloud, penting untuk mengidentifikasi berbagai layanan dan kemampuan yang ditawarkan oleh setiap penyedia cloud. Dalam semua kasus, sebaiknya Anda menggunakan postur keamanan terpadu yang memiliki visibilitas di semua lingkungan.

Untuk melindungi lingkungan arsitektur hybrid cloud, Anda juga harus mempertimbangkan untuk menggunakan prinsip defense-in-depth.

Terakhir, desain solusi cloud Anda dengan mempertimbangkan keamanan jaringan sejak awal. Gabungkan semua kemampuan yang diperlukan sebagai bagian dari desain awal Anda. Pekerjaan awal ini akan membantu Anda menghindari perlunya melakukan perubahan besar pada desain untuk mengintegrasikan kemampuan keamanan nanti dalam proses desain Anda.

Namun, keamanan cloud tidak terbatas pada keamanan jaringan. Hal ini harus diterapkan di seluruh siklus proses pengembangan aplikasi di seluruh stack aplikasi, mulai dari pengembangan hingga produksi dan operasi. Idealnya, Anda harus menggunakan beberapa lapisan perlindungan (pendekatan defense-in-depth) dan alat visibilitas keamanan. Untuk informasi selengkapnya tentang cara merancang dan mengoperasikan layanan yang aman di Google Cloud, lihat Pillar keamanan, privasi, dan kepatuhan dari Framework Arsitektur Google Cloud.

Untuk melindungi data dan infrastruktur berharga Anda dari berbagai ancaman, terapkan pendekatan komprehensif untuk keamanan cloud. Untuk mengantisipasi ancaman yang ada, teruslah menilai dan meningkatkan strategi keamanan Anda.