在设计混合云和多云网络时,各种因素都会影响您的架构选择。在分析混合云和多云网络设计时,请考虑以下设计注意事项。为了构建一个协调一致的架构,请综合评估这些注意事项,而不是单独评估。
混合云和多云连接
混合云/多云连接是指将本地环境、 Google Cloud和其他云环境关联起来的通信连接。选择合适的连接方法对混合云和多云架构的成功至关重要,因为这些连接会承载所有环境间流量。任何网络性能问题(例如带宽、延迟时间、丟包或抖动)都可能会直接影响企业应用和服务的性能。
对于本地环境与 Google Cloud或其他云之间的连接, Google Cloud 提供了多个连接选项可供选择,包括:
使用公共 IP 地址的基于互联网的连接:
使用 Cloud VPN 或客户管理的 VPN 网关在公共互联网上建立安全的专用连接。此选项包括使用网络虚拟设备 (NVA),包括 Google Cloud 合作伙伴提供的软件定义广域网 (SD-WAN) 解决方案。这些解决方案可在 Google Cloud Marketplace 上购买。
使用 Cloud Interconnect(专用互连或合作伙伴互连)通过专用传输进行私有连接,可提供更确定性的性能并具有 SLA。如果需要在网络连接层进行传输加密,您可以使用通过 Cloud Interconnect 实现的高可用性 VPN 或 Cloud Interconnect 专用 MACsec。
Cross-Cloud Interconnect 可让使用多云环境的企业跨云(在特定位置的Google Cloud 与受支持的云服务提供商之间)实现私密且安全的连接。此选项具有线路级性能,高可用性选项可达 99.9% 和 99.99%,最终有助于降低总拥有成本 (TCO),而无需管理基础架构的复杂性和成本。此外,如果需要在网络连接层进行传输加密以提高安全性,跨云互连支持将 MACsec 用于 Cloud Interconnect 加密。
当 Network Connectivity Center 适合您的云解决方案架构用例时,不妨考虑使用它。Network Connectivity Center 是一个编排框架,用于在连接到名为 hub 的集中管理资源的spoke 资源(例如虚拟私有云 [VPC]、路由器设备或混合连接)之间提供网络连接。Network Connectivity Center hub 支持 VPC spoke 或混合 spoke。如需了解详情,请参阅具有 VPC 连接的路由交换。此外,为了便于与 Cloud Router 实例交换路由,Network Connectivity Center 支持集成第三方网络虚拟设备。该集成包括由 Network Connectivity Center 合作伙伴 Google Cloud 支持的第三方 SD-WAN 路由器。
由于可用的混合云和多云连接选项众多,因此您需要对自己的业务和技术要求进行全面评估,才能选择最合适的选项。这些要求包括以下因素:
- 网络性能
- 安全
- 费用
- 可靠性和服务等级协议 (SLA)
- 可扩缩性
如需详细了解如何为 Google Cloud选择连接选项,请参阅选择 Network Connectivity。如需有关选择符合多云架构需求的网络连接选项的指导,请参阅其他云服务提供商与 Google Cloud的连接模式。
Google Cloud 项目和 VPC
您可以将本指南中介绍的网络架构模式用于单个项目或多个项目(如果受支持)。 Google Cloud 中的项目包含具有单个管理网域的相关服务和工作负载。项目是以下流程的基础:
- 创建、启用和使用 Google Cloud 服务
- 管理服务 API
- 启用结算功能
- 添加和删除协作者
- 管理权限
一个项目可以包含一个或多个 VPC 网络。您所在的组织或您在项目中使用的应用的结构应决定是使用单个项目还是多个项目。您的组织或应用的结构也应决定如何使用 VPC。如需了解详情,请参阅确定 Google Cloud 着陆区的资源层次结构。
以下因素可能会影响您决定为一个或多个项目使用单个 VPC、多个 VPC 还是共享 VPC:
- 组织资源层次结构。
- 工作负载之间的网络流量、通信和管理域要求。
- 安全性要求。
- 安全要求可能要求位于某些网络或应用之间路径中的第三方 NVA 执行第 7 层防火墙检查。
- 资源管理。
- 如果企业采用由网络运营团队管理网络资源的管理模式,则可能需要在团队一级进行工作负载分离。
VPC 使用决策。
- 在多个项目中使用共享 VPC Google Cloud 可避免为每个工作负载或每个团队维护多个单独的 VPC。
- 使用共享 VPC 可实现对宿主 VPC 网络的集中式管理,包括以下技术因素:
- 对等互连配置
- 子网配置
- Cloud Firewall 配置
- 权限配置
有时,您可能需要使用多个 VPC(或共享 VPC),以在不超出单个 VPC 资源限制的情况下满足扩缩要求。
如需了解详情,请参阅决定是否创建多个 VPC 网络。
DNS 解析
在混合云和多云架构中,必须在允许通信的环境之间扩展和集成域名系统 (DNS)。此操作有助于在各种服务和应用之间实现流畅的通信。它还会在这些环境之间维护专用 DNS 解析。
在采用 Google Cloud的混合和多云架构中,您可以使用 DNS 对等连接和 DNS 转发功能,实现不同环境之间的 DNS 集成。借助这些 DNS 功能,您可以覆盖与不同的网络通信模型相适应的不同用例。从技术层面讲,您可以使用 DNS 转发可用区查询本地 DNS 服务器,并使用入站 DNS 服务器政策允许来自本地环境的查询。您还可以使用 DNS 对等互连在 Google Cloud 环境中转发 DNS 请求。
如需了解详情,请参阅 Cloud DNS 最佳实践以及适用于混合 DNS 的参考架构 Google Cloud。
如需了解用于在混合设置中维护 Cloud DNS 可用性的冗余机制,请参阅 It's not DNS: Ensuring high availability in a hybrid cloud environment。另请观看此演示,了解如何在 AWS 和 Google Cloud之间设计和设置多云专用 DNS。
云网络安全
云网络安全是云安全的基础层。为了帮助管理网络边界消失的风险,它使企业可以嵌入安全监控、威胁防范和网络安全控制。
标准的本地网络安全方法主要基于互联网边缘和组织内部网络之间的明显边界。它在网络路径中使用各种多层安全防范系统,例如物理防火墙、路由器、入侵检测系统等。
在云端计算时代,这种方法在某些用例中仍然适用。但仅靠它还不足以处理云工作负载(例如自动扩缩和容器化工作负载)的规模、分布式和动态特性。云网络安全方法可通过多项云优先功能帮助您最大限度地降低风险、满足合规性要求,并确保安全高效的运营。如需了解详情,请参阅 Cloud 网络安全优势。如需保护网络安全,还应参阅云网络安全挑战和常见的云网络安全最佳实践。
采用混合云架构需要超越复制本地方法的安全策略。复制这种方法可能会限制设计灵活性。这也可能会使云环境面临安全威胁。相反,您应先确定符合贵公司安全要求的可用云优先网络安全功能。您可能还需要将这些功能与 Google Cloud技术合作伙伴提供的第三方安全解决方案(例如网络虚拟设备)相结合。
为了在多云架构中跨环境设计一致的架构,请务必确定每个云服务提供商提供的不同服务和功能。在所有情况下,我们都建议您采用统一的安全状态,以便在所有环境中实现可见性。
为了保护您的混合云架构环境,您还应考虑使用纵深防御原则。
最后,从一开始就将网络安全纳入云解决方案的设计考虑范围。在初始设计中纳入所有必需的功能。 这项初始工作有助于您避免在设计流程的后续阶段需要对设计进行重大更改来集成安全功能。
不过,云安全不仅仅局限于网络安全。它必须在整个应用开发生命周期内应用于整个应用堆栈,从开发到生产和运维。理想情况下,您应使用多层保护措施(纵深防御方法)和安全可见性工具。如需详细了解如何在 Google Cloud上构建和运营安全服务,请参阅 Google Cloud 架构框架的安全性、隐私权和合规性支柱。
为了保护您的宝贵数据和基础架构免受各种威胁,请采用全面的云安全方法。为了提前防范现有威胁,请持续评估和优化您的安全策略。