在设计混合云和多云网络时,各种因素都会影响您的架构选择。在分析混合云和多云网络设计时,请考虑以下设计注意事项。如需构建一个有凝聚力的架构,请综合评估这些注意事项,而不是单独评估。
混合云和多云连接
混合云和多云连接是指将本地环境、 Google Cloud和其他云环境关联起来的通信连接。选择合适的连接方法对于混合云和多云端架构的成功至关重要,因为这些连接会承载所有环境间流量。任何网络性能问题(例如带宽、延迟时间、丟包或抖动)都会直接影响业务应用和服务的性能。
对于本地环境与 Google Cloud或其他云之间的连接, Google Cloud 提供了多种连接选项供您选择,包括:
使用公共 IP 地址的基于互联网的连接:
通过公共互联网使用 Cloud VPN 或客户管理的 VPN 网关建立专用安全连接。此选项包括使用网络虚拟设备 (NVA),包括 Google Cloud 合作伙伴提供的软件定义 WAN (SD-WAN) 解决方案。这些解决方案可在 Google Cloud Marketplace 上找到。
通过 Cloud Interconnect(专用互连或合作伙伴互连)使用专用传输的专用连接,可提供更确定的性能并具有 SLA。如果需要在网络连接层进行传输加密,您可以使用通过 Cloud Interconnect 实现的高可用性 VPN 或 MACsec for Cloud Interconnect。
Cross-Cloud Interconnect 可让使用多云环境的企业能够在云之间(在Google Cloud 与受支持的云服务提供商之间,位于特定位置)实现私密且安全的连接。 此选项具有线速性能,并提供 99.9% 和 99.99% 的高可用性选项,最终有助于降低总拥有成本 (TCO),而无需管理基础设施的复杂性和成本。 此外,如果需要在网络连接层进行传输加密以提高安全性,跨云互连支持 MACsec for Cloud Interconnect 加密。
如果 Network Connectivity Center 适合您的云解决方案架构使用场景,请考虑使用该服务。 Network Connectivity Center 是一个编排框架,用于在连接到名为 hub 的集中管理资源的 spoke 资源(例如虚拟私有云 (VPC)、路由器设备或混合连接)之间提供网络连接。Network Connectivity Center hub 支持 VPC spoke 或混合 spoke。如需了解详情,请参阅通过 VPC 连接进行路由交换。此外,为了方便与 Cloud Router 实例交换路由,Network Connectivity Center 支持集成第三方网络虚拟设备。该集成包括受 Google Cloud Network Connectivity Center 合作伙伴支持的第三方 SD-WAN 路由器。
由于混合云和多云连接选项种类繁多,因此选择最合适的选项需要全面评估您的业务和技术要求。这些要求包括以下因素:
- 网络性能
- 安全
- 费用
- 可靠性和服务等级协议 (SLA)
- 可伸缩性
如需详细了解如何选择连接选项以实现 Google Cloud,请参阅选择 Network Connectivity。 如需了解如何选择满足多云架构需求的网络连接选项,请参阅其他云服务提供商与 Google Cloud的连接模式。
Google Cloud 个项目和 VPC
您可以在支持单项目或多项目的环境中,使用本指南中讨论的网络架构模式。 Google Cloud 中的项目包含具有单个管理网域的相关服务和工作负载。项目是以下流程的基础:
- 创建、启用和使用 Google Cloud 服务
- 管理服务 API
- 启用结算功能
- 添加和删除协作者
- 管理权限
一个项目可以包含一个或多个 VPC 网络。您应根据组织或项目中所用应用的结构来确定是使用单个项目还是多个项目。组织或应用的结构也应决定如何使用 VPC。如需了解详情,请参阅确定 Google Cloud 着陆区的资源层次结构。
以下因素可能会影响您决定是使用单个 VPC、多个 VPC,还是使用一个或多个项目的共享 VPC:
- 组织资源层次结构。
- 工作负载之间的网络流量、通信和管理网域要求。
- 安全性要求。
- 安全要求可能需要通过位于特定网络或应用之间路径中的第三方 NVA 进行第 7 层防火墙检查。
- 资源管理。
- 如果企业采用由网络运营团队管理网络资源的管理模式,则可能需要在团队层面实现工作负载分离。
VPC 使用决策。
- 跨多个 Google Cloud 项目使用共享 VPC 可避免需要为每个工作负载或每个团队维护许多单独的 VPC。
- 使用共享 VPC 可实现对宿主 VPC 网络(包括以下技术因素)的集中式管理:
- 对等互连配置
- 子网配置
- Cloud Firewall 配置
- 权限配置
有时,您可能需要使用多个 VPC(或共享 VPC)来满足规模要求,而不会超出单个 VPC 的资源限制。
如需了解详情,请参阅决定是否创建多个 VPC 网络。
DNS 解析
在混合云和多云架构中,必须在允许通信的环境之间扩展和集成域名系统 (DNS)。此操作有助于在各种服务和应用之间实现顺畅的通信。它还维护这些环境之间的专用 DNS 解析。
在采用 Google Cloud的混合云和多云架构中,您可以使用 DNS 对等互连和 DNS 转发功能在不同环境之间实现 DNS 集成。借助这些 DNS 功能,您可以满足不同的使用场景,这些场景可以与不同的网络通信模型相契合。从技术上讲,您可以使用 DNS 转发可用区来查询本地 DNS 服务器,并使用入站 DNS 服务器政策来允许来自本地环境的查询。您还可以使用 DNS 对等互连在 Google Cloud 环境中转发 DNS 请求。
如需了解详情,请参阅 Cloud DNS 最佳实践和 Google Cloud混合 DNS 的参考架构。
如需了解在混合设置中用于保持 Cloud DNS 可用性的冗余机制,请参阅不是 DNS:确保混合云环境中的高可用性。 您还可以观看此演示,了解如何在 AWS 和 Google Cloud之间设计和设置多云专用 DNS。
云网络安全
云网络安全是云安全的基础层。为了帮助管理网络边界消失的风险,它使企业可以嵌入安全监控、威胁防范和网络安全控制。
标准的本地网络安全方法主要基于互联网边缘与组织内部网络之间的明显边界。它在网络路径中使用各种多层安全预防系统,例如物理防火墙、路由器、入侵检测系统等。
在基于云计算的方案中,此方法在某些使用情形下仍然适用。但仅靠它本身不足以处理云工作负载(例如自动扩缩和容器化工作负载)的规模以及分布式和动态特性。云网络安全方法可帮助您通过多种云优先功能最大限度地降低风险、满足合规性要求,并确保安全高效的运营。如需了解详情,请参阅云网络安全优势。 如需保护网络,另请参阅云网络安全挑战和一般云网络安全最佳实践。
采用混合云架构需要制定一种不仅仅是复制本地方法的安全策略。复制这种方法可能会限制设计灵活性。它还可能会使云环境面临安全威胁。相反,您应先确定可用的云优先网络安全功能,这些功能应能满足公司的安全要求。您可能还需要将这些功能与 Google Cloud技术合作伙伴提供的第三方安全解决方案(例如网络虚拟设备)相结合。
为了在多云架构中设计跨环境的一致架构,请务必确定每个云提供商提供的不同服务和功能。我们建议您在所有情况下都使用统一的安全态势,以便在所有环境中实现全面的可见性。
为了保护您的混合云架构环境,您还应考虑使用纵深防御原则。
最后,从一开始就应在设计云解决方案时考虑到网络安全。在初始设计中纳入所有必需的功能。 这项初步工作有助于您避免在设计流程后期需要对设计进行重大更改,以集成安全功能。
不过,云安全并不局限于网络安全。它必须应用于整个应用堆栈的整个应用开发生命周期,从开发到生产和运营。理想情况下,您应使用多层保护机制(纵深防御方法)和安全可见性工具。如需详细了解如何在 Google Cloud上设计和运行安全服务,请参阅 Google Cloud Well-Architected Framework 的安全性、隐私权和合规性支柱。
为保护您的宝贵数据和基础架构免遭各种威胁,请采用全面的云安全方法。 为防范现有威胁,请不断评估和完善您的安全策略。