Quando progetti una rete ibrida e multicloud, vari fattori influenzano le tue scelte di architettura. Quando analizzi il design della rete ibrida e multicloud, tieni presenti le seguenti considerazioni. Per creare un'architettura coesa, valuta queste considerazioni collettivamente, non singolarmente.
Connettività ibrida e multi-cloud
La connettività ibrida e multi-cloud si riferisce alle connessioni di comunicazione che collegano ambienti on-premise, Google Cloude altri ambienti cloud. Scegliere il metodo di connettività giusto è fondamentale per il successo delle architetture ibride e multicloud, perché queste connessioni trasportano tutto il traffico tra gli ambienti. Eventuali problemi di prestazioni della rete, come larghezza di banda, latenza, perdita di pacchetti o jitter, possono influire direttamente sulle prestazioni di servizi e applicazioni aziendali.
Per la connettività tra un ambiente on-premise e Google Cloud o altri cloud, Google Cloud sono disponibili diverse opzioni di connettività tra cui scegliere, tra cui:
Connettività basata su internet che utilizza indirizzi IP pubblici:
Trasferisci dati tra Google Cloud e un ambiente on-premise o un altro ambiente cloud tramite internet. Questa opzione utilizza gli indirizzi IP esterni pubblici di un'istanza, idealmente con la crittografia in transito a livello di applicazione.
Connettività sicura tramite API con crittografia Transport Layer Security (TLS) sulla rete internet pubblica. Questa opzione richiede che l'applicazione o le API di destinazione siano accessibili pubblicamente da internet e che l'applicazione esegua la crittografia in transito.
Connettività privata sicura tramite internet pubblico utilizzando Cloud VPN o gateway VPN gestiti dal cliente. Questa opzione include l'utilizzo di un'appliance virtuale di rete (NVA), incluse le soluzioni SD-WAN (WAN software-defined) Google Cloud di partner. Queste soluzioni sono disponibili su Google Cloud Marketplace.
Connettività privata tramite un trasporto privato utilizzando Cloud Interconnect (Dedicated Interconnect o Partner Interconnect) che offre prestazioni più deterministiche e dispone di uno SLA. Se è richiesta la crittografia in transito a livello di connettività di rete, puoi utilizzare la VPN ad alta disponibilità su Cloud Interconnect o MACsec per Cloud Interconnect.
Cross-Cloud Interconnect offre alle aziende che utilizzano ambienti multicloud la possibilità di attivare una connettività privata e sicura tra i cloud (tra Google Cloud e provider di servizi cloud supportati in determinate località). Questa opzione offre prestazioni a velocità di linea con opzioni di alta disponibilità del 99,9% e del 99,99%, il che contribuisce a ridurre il costo totale di proprietà (TCO) senza la complessità e i costi della gestione dell'infrastruttura. Inoltre, se per una maggiore sicurezza è richiesta la crittografia in transito a livello di rete, Cross-Cloud Interconnect supporta la crittografia MACsec per Cloud Interconnect.
Valuta la possibilità di utilizzare Network Connectivity Center se è adatto all'uso del tuo caso d'uso di architettura della soluzione cloud. Network Connectivity Center è un framework di orchestrazione che fornisce connettività di rete tra le risorse spoke, come i cloud privati virtuali (VPC), le appliance router o le connessioni ibride collegate a una risorsa di gestione centrale chiamata hub. Un hub di Network Connectivity Center supporta spoke VPC o spoke ibridi. Per ulteriori informazioni, consulta Scambio di route con connettività VPC. Inoltre, per facilitare lo scambio di route con l'istanza Cloud Router, Network Connectivity Center consente l'integrazione di appliance virtuali di rete di terze parti. Questa integrazione include router SD-WAN di terze parti supportati dai Google Cloud partner di Network Connectivity Center.
Con la varietà di opzioni di connettività ibrida e multicloud disponibili, la scelta della più adatta richiede una valutazione approfondita della tua attività e dei tuoi requisiti tecnici. Questi requisiti includono i seguenti fattori:
- Prestazioni della rete
- Sicurezza
- Costo
- Affidabilità e SLA
- Scalabilità
Per ulteriori informazioni sulla selezione di un'opzione di connettività per Google Cloud, consulta Scegliere un prodotto per la connettività di rete. Per indicazioni su come selezionare un'opzione di connettività di rete che soddisfi le esigenze della tua architettura multicloud, consulta Modelli per la connessione di altri provider di servizi cloud a Google Cloud.
Google Cloud progetti e VPC
Puoi utilizzare i pattern di architettura di rete descritti in questa guida con progetti singoli o multipli, se supportati. Un progetto in Google Cloud contiene servizi e carichi di lavoro correlati che hanno un singolo dominio amministrativo. I progetti costituiscono la base per le seguenti procedure:
- Creazione, attivazione e utilizzo dei Google Cloud servizi
- API di gestione dei servizi
- Abilitazione della fatturazione in corso
- Aggiunta e rimozione di collaboratori
- Gestione delle autorizzazioni
Un progetto può contenere una o più reti VPC. La tua organizzazione o la struttura delle applicazioni che utilizzi in un progetto deve determinare se utilizzare un singolo progetto o più progetti. La tua organizzazione o la struttura delle applicazioni deve anche determinare come utilizzare le VPC. Per ulteriori informazioni, consulta Decidere una gerarchia delle risorse per la Google Cloud landing zone.
I seguenti fattori possono influire sulla scelta di utilizzare un singolo VPC, più VPC o un VPC condiviso con uno o più progetti:
- Gerarchie delle risorse dell'organizzazione.
- Requisiti relativi al traffico di rete, alle comunicazioni e al dominio amministrativo tra i carichi di lavoro.
- Requisiti di sicurezza.
- I requisiti di sicurezza possono richiedere l'ispezione del firewall di livello 7 da parte di NVA di terze parti situate nel percorso tra determinate reti o applicazioni.
- Gestione delle risorse.
- Le aziende che utilizzano un modello amministrativo in cui il team di operazioni di rete gestisce le risorse di rete possono richiedere la separazione dei carichi di lavoro a livello di team.
Decisioni relative all'utilizzo di VPC.
- L'utilizzo di VPC condivisi in più Google Cloud progetti evita la necessità di gestire molti singoli VPC per carico di lavoro o per team.
- L'utilizzo di VPC condivisi consente la gestione centralizzata della rete VPC
host, inclusi i seguenti fattori tecnici:
- Configurazione del peering
- Configurazione della subnet
- Configurazione di Cloud Firewall
- Configurazione delle autorizzazioni
A volte, potresti dover utilizzare più di un VPC (o VPC condivisi) per soddisfare i requisiti di scalabilità senza superare i limiti delle risorse per un singolo VPC.
Per saperne di più, consulta Decidere se creare più reti VPC.
Risoluzione DNS
In un'architettura ibrida e multicloud, è essenziale che il DNS (Domain Name System) sia esteso e integrato tra gli ambienti in cui è consentita la comunicazione. Questa azione contribuisce a garantire una comunicazione senza interruzioni tra vari servizi e applicazioni. Inoltre, gestisce la risoluzione DNS privata tra questi ambienti.
In un'architettura ibrida e multicloud con Google Cloud, puoi utilizzare le funzionalità di peering DNS e di forwarding DNS per abilitare l'integrazione DNS tra ambienti diversi. Con queste funzionalità DNS, puoi coprire i diversi casi d'uso che possono essere in linea con diversi modelli di comunicazione di rete. Tecnicamente, puoi utilizzare le zone di inoltro DNS per eseguire query sui server DNS on-premise e i criteri dei server DNS in entrata per consentire le query dagli ambienti on-premise. Puoi anche utilizzare il peering DNS per inoltrare le richieste DNS all'interno degli ambienti. Google Cloud
Per ulteriori informazioni, consulta le best practice per Cloud DNS e le architetture di riferimento per il DNS ibrido con Google Cloud.
Per scoprire di più sui meccanismi di ridondanza per mantenere la disponibilità di Cloud DNS in una configurazione ibrida, consulta Non è DNS: garantire l'alta disponibilità in un ambiente cloud ibrido. Guarda anche questa dimostrazione di come progettare e configurare un DNS privato multicloud tra AWS e Google Cloud.
Sicurezza della rete cloud
La sicurezza della rete cloud è un livello di base della sicurezza cloud. Per contribuire a gestire i rischi correlati alla progressiva scomparsa del perimetro della rete, consente alle aziende di incorporare il monitoraggio della sicurezza, la prevenzione delle minacce e i controlli di sicurezza della rete.
Un approccio on-premise standard alla sicurezza di rete si basa principalmente su un perimetro distinto tra l'edge di internet e la rete interna di un'organizzazione. Utilizza vari sistemi di sicurezza preventiva a più livelli nel percorso di rete, come firewall fisici, router, sistemi di rilevamento delle intrusioni e altri.
Con il calcolo basato su cloud, questo approccio è ancora applicabile in determinati casi d'uso. Tuttavia, da sola non è sufficiente per gestire la scala e la natura distribuita e dinamica dei carichi di lavoro cloud, come la scalabilità automatica e i carichi di lavoro containerizzati. L'approccio alla sicurezza della rete cloud ti aiuta a ridurre al minimo i rischi, a soddisfare i requisiti di conformità e a garantire operazioni sicure ed efficienti grazie a diverse funzionalità cloud-first. Per ulteriori informazioni, consulta la pagina Vantaggi della sicurezza della rete cloud. Per proteggere la tua rete, consulta anche le sfide relative alla sicurezza della rete cloud e le best practice generali per la sicurezza della rete cloud.
L'adozione di un'architettura cloud ibrida richiede una strategia di sicurezza che vada oltre la replica dell'approccio on-premise. La replica di questo approccio può limitare la flessibilità del design. Inoltre, può potenzialmente esporre l'ambiente cloud a minacce alla sicurezza. Devi invece identificare innanzitutto le funzionalità di sicurezza di rete cloud-first disponibili che soddisfano i requisiti di sicurezza della tua azienda. Potresti anche dover combinare queste funzionalità con soluzioni di sicurezza di terze parti di Google Cloud partner tecnologici, come le appliance virtuali di rete.
Per progettare un'architettura coerente in ambienti diversi in un'architettura multi-cloud, è importante identificare i diversi servizi e le diverse funzionalità offerti da ciascun provider cloud. In ogni caso, ti consigliamo di utilizzare una strategia di sicurezza unificata che abbia visibilità su tutti gli ambienti.
Per proteggere gli ambienti dell'architettura cloud ibrida, ti consigliamo inoltre di utilizzare i principi di difesa in profondità.
Infine, progetta la tua soluzione cloud tenendo presente la sicurezza della rete fin dall'inizio. Incorpora tutte le funzionalità richieste nell'ambito del progetto iniziale. Questo lavoro iniziale ti aiuterà a evitare di dover apportare modifiche sostanziali al design per integrare le funzionalità di sicurezza in un secondo momento nel processo di progettazione.
Tuttavia, la sicurezza del cloud non si limita alla sicurezza di rete. Deve essere applicato durante l'intero ciclo di vita dello sviluppo dell'applicazione nell'intero stack dell'applicazione, dallo sviluppo alla produzione e all'utilizzo. Idealmente, dovresti utilizzare più livelli di protezione (l'approccio di difesa in profondità) e strumenti di visibilità della sicurezza. Per saperne di più su come progettare e gestire servizi sicuri su Google Cloud, consulta il pilastro Sicurezza, privacy e conformità del Google Cloud Framework dell'architettura.
Per proteggere i tuoi dati e la tua infrastruttura preziosi da un'ampia gamma di minacce, adotta un approccio completo alla sicurezza del cloud. Per stare al passo con le minacce esistenti, valuta e perfeziona continuamente la tua strategia di sicurezza.