Decidi la progettazione della rete per la tua zona di destinazione di Google Cloud

Quando progetti la zona di destinazione, devi scegliere una rete adatta alla tua organizzazione. Questo documento descrive quattro progettazioni di rete comuni e ti aiuta a scegliere l'opzione che meglio soddisfa i requisiti della tua organizzazione e le preferenze della tua organizzazione in termini di controllo centralizzato o decentralizzato. È destinata a tecnici di rete, architetti e professionisti tecnici coinvolti nella creazione della progettazione di rete per la zona di destinazione della tua organizzazione.

Questo articolo fa parte di una serie sulle zone di destinazione.

Scegli la progettazione della rete

La progettazione della rete che scegli dipende principalmente dai seguenti fattori:

• Controllo centralizzato o decentralizzato: a seconda delle preferenze dell'organizzazione, devi scegliere una delle seguenti opzioni:
  • Centralizza il controllo sulla rete, compresi indirizzi IP, routing e firewall tra diversi carichi di lavoro.
  • Offri ai team una maggiore autonomia nella gestione dei propri ambienti e nella creazione di elementi di rete al loro interno.
• Opzioni di connettività on-premise o su cloud ibrido: tutte le configurazioni di rete discusse in questo documento forniscono l'accesso da ambienti on-premise a ambienti cloud tramite Cloud VPN o Cloud Interconnect. Tuttavia, alcune progettazioni richiedono la configurazione di più connessioni in parallelo, mentre altre utilizzano la stessa connessione per tutti i carichi di lavoro.
• Requisiti di sicurezza: la tua organizzazione potrebbe richiedere che il traffico tra diversi carichi di lavoro in Google Cloud passi attraverso appliance di rete centralizzate come i firewall di nuova generazione (NGFW). Questo vincolo influenza la progettazione della tua rete Virtual Private Cloud (VPC).
• Scalabilità: alcuni progetti potrebbero essere migliori per la tua organizzazione di altri, in base al numero di carichi di lavoro di cui vuoi eseguire il deployment e al numero di macchine virtuali (VM), bilanciatori del carico interni e altre risorse che utilizzeranno.

Punti decisionali per la progettazione di rete

Il seguente diagramma di flusso mostra le decisioni che devi prendere per scegliere la progettazione di rete migliore per la tua organizzazione.

Il diagramma precedente illustra le seguenti domande:

1. Hai bisogno dell'ispezione di livello 7 utilizzando appliance di rete tra diversi carichi di lavoro in Google Cloud?
   • In caso affermativo, consulta Topologia hub e spoke con appliance centralizzate.
   • In caso contrario, passa alla domanda successiva.
2. Molti dei tuoi carichi di lavoro richiedono connettività on-premise?
   • In caso affermativo, vai al punto decisionale 4.
   • In caso contrario, passa alla domanda successiva.
3. I carichi di lavoro possono comunicare usando endpoint privati in un producer di servizi e in un modello consumer?
   • In caso affermativo, consulta Esporre i servizi in un modello consumer-producer con Private Service Connect.
   • In caso contrario, passa alla domanda successiva.
4. Vuoi amministrare il firewall e il routing a livello centrale?
   • In caso affermativo, vedi Rete VPC condivisa per ogni ambiente.
   • In caso contrario, consulta Topologia hub e parlato senza appliance.

Questo grafico ha lo scopo di aiutarti a prendere una decisione, ma spesso è possibile che più design siano adatti alla tua organizzazione. In questi casi, consigliamo di scegliere il design più adatto al tuo caso d'uso.

Opzioni di progettazione della rete

Le seguenti sezioni descrivono quattro opzioni di progettazione comuni. Consigliamo l'opzione 1 per la maggior parte dei casi d'uso. Gli altri progetti discussi in questa sezione sono alternative applicabili a requisiti specifici per casi periferici a livello organizzativo.

La soluzione migliore per il tuo caso d'uso potrebbe essere anche una rete che combina elementi di più opzioni di progettazione illustrate in questa sezione. Ad esempio, puoi utilizzare le reti VPC condivisi in topologie hub e spoke per migliorare la collaborazione, il controllo centralizzato e per limitare il numero di spoke VPC. In alternativa, puoi progettare la maggior parte dei carichi di lavoro in una topologia VPC condiviso, ma isolare un numero ridotto di carichi di lavoro in reti VPC separate che espongono i servizi solo tramite alcuni endpoint definiti mediante Private Service Connect.

Opzione 1: rete VPC condiviso per ogni ambiente

Consigliamo questa progettazione di rete per la maggior parte dei casi d'uso. Questa progettazione utilizza reti VPC condiviso separate per ogni ambiente di deployment presente in Google Cloud (sviluppo, test e produzione). Questa progettazione consente di gestire centralmente le risorse di rete in una rete comune e fornisce l'isolamento della rete tra i diversi ambienti.

Utilizza questo design quando si verifica quanto segue:

• Vuoi un controllo centralizzato sulle regole di firewall e routing.
• Hai bisogno di un'infrastruttura semplice e scalabile.
• Hai bisogno di una gestione centralizzata dello spazio degli indirizzi IP.

Evita questa struttura quando si verifica quanto segue:

• Vuoi che i team di sviluppatori abbiano una piena autonomia, inclusa la possibilità di gestire le proprie regole firewall, il routing e il peering ad altre reti dei team.
• È necessaria l'ispezione di livello 7 mediante appliance NGFW.

Il seguente diagramma mostra un'implementazione di esempio di questa struttura.

Il diagramma precedente mostra quanto segue:

• La rete on-premise è distribuita in due località geografiche.
• La rete on-premise si connette tramite istanze Cloud Interconnect ridondanti a due reti VPC condiviso separate, una per la produzione e una per lo sviluppo.
• Gli ambienti di produzione e di sviluppo sono connessi a entrambe le istanze Cloud Interconnect con collegamenti VLAN diversi.
• Ogni VPC condiviso dispone di progetti di servizio che ospitano i carichi di lavoro.
• Le regole firewall sono amministrate centralmente nel progetto host.
• L'ambiente di sviluppo ha la stessa struttura VPC dell'ambiente di produzione.

In base alla progettazione, il traffico proveniente da un ambiente non può raggiungerne un altro. Tuttavia, se carichi di lavoro specifici devono comunicare tra loro, puoi consentire il trasferimento di dati attraverso canali controllati on-premise oppure puoi condividere i dati tra le applicazioni con servizi Google Cloud come Cloud Storage o Pub/Sub. Consigliamo di evitare di connettere direttamente ambienti separati tramite peering di rete VPC, perché aumenta il rischio di combinare accidentalmente i dati tra gli ambienti. L'utilizzo del peering di rete VPC tra ambienti di grandi dimensioni aumenta anche il rischio di raggiungere le quote di VPC relative ai gruppi di peering e peering.

Per ulteriori informazioni, consulta le seguenti risorse:

• Panoramica della rete VPC condivisa
• Architettura VPC condivisa nella guida ai concetti di base aziendali
• Architettura di riferimento nelle best practice di progettazione di VPC
• Fase di deployment Terraform: networking con ambienti separati come parte del framework Fabic FAST
• Fase di rete per una base di esempio di Terraform con il toolkit di Cloud Foundation

Per implementare questa opzione di progettazione, consulta Crea opzione 1: rete VPC condiviso per ogni ambiente.

Opzione 2: topologia hub e spoke con elettrodomestici centralizzati

Questa progettazione di rete utilizza una topologia hub e spoke. Una rete VPC hub contiene un insieme di VM delle appliance, come NGFW, collegate alle reti VPC spoke che contengono i carichi di lavoro. Il traffico tra i carichi di lavoro, le reti on-premise o internet viene instradato tramite le VM dell'appliance a scopo di ispezione e filtro.

Utilizza questo design quando si verifica quanto segue:

• È necessaria un'ispezione di livello 7 tra diversi carichi di lavoro o applicazioni.
• Hai un mandato aziendale che specifica il fornitore dell'appliance di sicurezza per tutto il traffico.

Evita questa struttura quando si verifica quanto segue:

• Non è necessaria l'ispezione di livello 7 per la maggior parte dei carichi di lavoro.
• Vuoi che i carichi di lavoro su Google Cloud non comunichino del tutto tra loro.
• È necessaria solo l'ispezione di livello 7 per il traffico diretto alle reti on-premise, come descritto in Caso d'uso speciale con una rete VPC condivisa su Google Cloud.

Il seguente diagramma mostra un'implementazione di esempio di questo pattern.

Il diagramma precedente mostra quanto segue:

• Un ambiente di produzione che include una rete VPC hub e più reti VPC spoke che contengono i carichi di lavoro.
• Le reti VPC spoke sono connesse alla rete VPC hub tramite peering di rete VPC.
• La rete VPC dell'hub ha più istanze di un'appliance virtuale in un gruppo di istanze gestite. Il traffico verso il gruppo di istanze gestite passa attraverso un bilanciatore del carico di rete passthrough interno.
• Le reti VPC spoke comunicano tra loro attraverso le appliance virtuali utilizzando route statiche con il bilanciatore del carico interno come hop successivo.
• Cloud Interconnect connette le reti VPC di transito a località on-premise.
• Le reti on-premise sono collegate tramite le stesse interconnessioni Cloud con collegamenti VLAN separati.
• Le reti VPC di transito sono collegate a un'interfaccia di rete separata sulle appliance virtuali, che consente di ispezionare e filtrare tutto il traffico da e verso queste reti utilizzando l'appliance.
• L'ambiente di sviluppo ha la stessa struttura VPC dell'ambiente di produzione.
• Questa configurazione non utilizza SNAT (Network Address Translation) di origine. SNAT non è necessaria perché Google Cloud utilizza l'hashing simmetrico. Per maggiori informazioni, consulta Hashing simmetrico.

In base alla progettazione, il traffico proveniente da una rete spoke non può raggiungere un'altra rete spoke. Tuttavia, se carichi di lavoro specifici devono comunicare tra loro, puoi configurare il peering diretto tra le reti spoke utilizzando il peering di rete VPC oppure puoi condividere i dati tra le applicazioni con servizi Google Cloud come Cloud Storage o Pub/Sub.

Per mantenere una bassa latenza quando l'appliance comunica tra carichi di lavoro, l'appliance deve trovarsi nella stessa regione dei carichi di lavoro. Se utilizzi più regioni nel tuo deployment cloud, puoi avere un set di appliance e un VPC hub per ogni ambiente in ogni regione. In alternativa, puoi utilizzare tag di rete con route per fare in modo che tutte le istanze comunichino con l'appliance più vicina.

Le regole firewall possono limitare la connettività all'interno delle reti VPC spoke che contengono carichi di lavoro. Spesso, i team che amministrano i carichi di lavoro amministrano anche queste regole firewall. Per i criteri centrali, puoi utilizzare i criteri firewall gerarchici. Se hai bisogno che un team di rete centrale abbia il controllo completo sulle regole firewall, valuta la possibilità di eseguire il deployment centrale di queste regole in tutte le reti VPC, utilizzando un approccio GitOps. In questo caso, limita le autorizzazioni IAM solo agli amministratori che possono modificare le regole firewall. Le reti VPC spoke possono anche essere reti VPC condiviso se più team eseguono il deployment negli spoke.

In questa progettazione, consigliamo di utilizzare il peering di rete VPC per connettere la rete VPC dell'hub e le reti VPC spoke, in quanto aggiunge complessità minima. Tuttavia, il numero massimo di spoke è limitato da quanto segue:

• Il limite di connessioni di peering di rete VPC da una singola rete VPC.
• Limiti del gruppo di peering, ad esempio il numero massimo di regole di forwarding per il bilanciamento del carico TCP/UDP interno di ciascun gruppo di peering.

Se prevedi di raggiungere questi limiti, puoi connettere le reti spoke tramite Cloud VPN. L'uso di Cloud VPN comporta costi e complessità aggiuntivi e ciascun tunnel Cloud VPN ha un limite di larghezza di banda.

Per ulteriori informazioni, consulta le seguenti risorse:

• appliance di rete centralizzate su Google Cloud
• Architettura di transitività Hub e spoke nella guida ai concetti di base aziendali
• Fase di deployment Terraform: Networking con appliance virtuale di rete come parte del framework Fabbric FAST
• Modulo di transitività Terraform hub-and-spoke come parte della base di esempio

Per implementare questa opzione di progettazione, consulta Creazione dell'opzione 2: topologia hub e spoke con appliance centralizzate.

Opzione 3: topologia hub e spoke senza appliance

Questa progettazione di rete utilizza anche una topologia hub e spoke, con una rete VPC hub che si connette alle reti on-premise e a reti VPC spoke che contengono i carichi di lavoro. Poiché il peering di rete VPC non è transitivo, le reti spoke non possono comunicare direttamente tra loro.

Utilizza questo design quando si verifica quanto segue:

• Vuoi che i carichi di lavoro o gli ambienti in Google Cloud non comunichino tra loro utilizzando indirizzi IP interni, ma vuoi che condividano la connettività on-premise.
• Vuoi concedere ai team l'autonomia nella gestione dei propri firewall e delle regole di routing.

Evita questa struttura quando si verifica quanto segue:

• È necessaria un'ispezione di livello 7 tra i carichi di lavoro.
• Vuoi gestire centralmente le regole di routing e firewall.
• Hai bisogno di comunicazioni da servizi on-premise a servizi gestiti connessi agli spoke tramite un altro peering di rete VPC, perché il peering di rete VPC non è transitivo.

Il seguente diagramma mostra un'implementazione di esempio di questa struttura.

Il diagramma precedente mostra quanto segue:

• Un ambiente di produzione che include una rete VPC hub e più reti VPC spoke che contengono i carichi di lavoro.
• Le reti VPC spoke sono connesse alla rete VPC hub tramite peering di rete VPC.
• La connettività a località on-premise passa attraverso le connessioni Cloud Interconnect nella rete VPC dell'hub.
• Le reti on-premise sono collegate tramite le istanze Cloud Interconnect con collegamenti VLAN separati.
• L'ambiente di sviluppo ha la stessa struttura VPC dell'ambiente di produzione.

In base alla progettazione, il traffico proveniente da una rete spoke non può raggiungere un'altra rete spoke. Tuttavia, se carichi di lavoro specifici devono comunicare tra loro, puoi configurare il peering diretto tra le reti spoke utilizzando il peering di rete VPC oppure puoi condividere i dati tra le applicazioni con servizi Google Cloud come Cloud Storage o Pub/Sub.

Questa progettazione di rete viene spesso utilizzata in ambienti in cui i team agiscono in modo autonomo e non esiste un controllo centralizzato sulle regole del firewall e di routing. Tuttavia, la portata di questa struttura è limitata da quanto segue:

• Il limite per le connessioni di peering di rete VPC da una singola rete VPC

• I limiti del gruppo di peering, ad esempio il numero massimo di regole di forwarding per il bilanciatore del carico di rete passthrough interno,

Pertanto, questa progettazione non è tipicamente utilizzata nelle grandi organizzazioni che hanno molti carichi di lavoro separati su Google Cloud.

Come variante della progettazione, puoi utilizzare Cloud VPN anziché il peering di rete VPC. Cloud VPN consente di aumentare il numero di spoke, ma aggiunge un limite di larghezza di banda per ogni tunnel e aumenta complessità e costi. Quando utilizzi route annunciate personalizzate, Cloud VPN consente anche la transitività tra gli spoke senza che tu debba connettere direttamente tutte le reti spoke.

Per ulteriori informazioni, consulta le seguenti risorse:

• Architettura di rete Hub e spoke
• Architettura Hub e spoke nella guida ai concetti di base aziendali
• Fase di deployment Terraform: networking con peering di rete VPC come parte del framework Fabric FAST
• Fase di deployment Terraform: networking con Cloud VPN come parte del framework Fabric FAST

Per implementare questa opzione di progettazione, consulta Creazione dell'opzione 3: topologia hub e spoke senza appliance.

Opzione 4: esponi i servizi in un modello consumer-producer con Private Service Connect

In questa progettazione di rete, ogni team o carico di lavoro riceve la propria rete VPC, che può essere anche una rete VPC condiviso. Ogni rete VPC è gestita in modo indipendente e utilizza Private Service Connect per esporre tutti i servizi a cui è necessario accedere dall'esterno della rete VPC.

Utilizza questo design quando si verifica quanto segue:

• I carichi di lavoro comunicano tra loro e con l'ambiente on-premise solo attraverso endpoint definiti.
• I team devono essere indipendenti gli uni dagli altri e gestire il proprio spazio di indirizzi IP, i firewall e le regole di routing.

Evita questa struttura quando si verifica quanto segue:

• La comunicazione tra servizi e applicazioni utilizza molte porte o canali diversi oppure porte e canali cambiano di frequente.
• La comunicazione tra i carichi di lavoro utilizza protocolli diversi da TCP o UDP.
• È necessaria un'ispezione di livello 7 tra i carichi di lavoro.

Il seguente diagramma mostra un'implementazione di esempio di questo pattern.

Il diagramma precedente mostra quanto segue:

• I carichi di lavoro separati si trovano in progetti e reti VPC separati.
• Una VM client in una rete VPC può connettersi a un carico di lavoro in un'altra rete VPC tramite un endpoint Private Service Connect.
• L'endpoint è collegato a un collegamento a un servizio nella rete VPC in cui si trova il servizio. Il collegamento al servizio può trovarsi in una regione diversa dall'endpoint se quest'ultimo è configurato per l'accesso globale.
• Il collegamento al servizio si connette al carico di lavoro tramite Cloud Load Balancing.
• I client nel VPC del carico di lavoro possono raggiungere i carichi di lavoro situati on-premise nel seguente modo:
  • L'endpoint è connesso a un collegamento a un servizio in una rete VPC di transito.
  • Il collegamento al servizio viene connesso alla rete on-premise tramite Cloud Interconnect.
• Un bilanciatore del carico delle applicazioni interno è collegato al collegamento al servizio e utilizza un gruppo di endpoint di rete ibrido per bilanciare il carico di traffico tra gli endpoint che si trovano on-premise.
• I client on-premise possono anche raggiungere gli endpoint nella rete VPC di transito che si connettono ai collegamenti ai servizi nelle reti VPC dei carichi di lavoro.

Per ulteriori informazioni, consulta le seguenti risorse:

• Pubblicare servizi gestiti utilizzando Private Service Connect
• Accedere ai servizi pubblicati tramite endpoint

Per implementare questa opzione di progettazione, consulta Crea opzione 4: esponi i servizi in un modello consumer-producer con Private Service Connect.

Best practice per il deployment di rete

Dopo aver scelto la progettazione della rete più adatta al tuo caso d'uso, ti consigliamo di implementare le seguenti best practice:

• Utilizza le reti VPC in modalità personalizzata ed elimina la rete predefinita per avere un maggiore controllo sugli indirizzi IP della rete.

• Limita l'accesso esterno utilizzando Cloud NAT per le risorse che richiedono l'accesso a internet e riducendo l'uso di indirizzi IP pubblici alle risorse accessibili tramite Cloud Load Balancing. Per ulteriori informazioni, consulta la sezione sulla creazione di una connettività a internet per le VM private.

• Se utilizzi Cloud Interconnect, assicurati di seguire le topologie consigliate per applicazioni non critiche o a livello di produzione. Utilizzare connessioni ridondanti per soddisfare lo SLA (accordo sul livello del servizio) del servizio. In alternativa, puoi connettere Google Cloud alle reti on-premise tramite Cloud VPN.

• Applica i criteri introdotti nella sezione Limitare l'accesso esterno tramite un criterio dell'organizzazione per limitare l'accesso diretto a internet dal VPC.

• Utilizza i criteri firewall gerarchici per ereditare criteri firewall in modo coerente nell'organizzazione o nelle cartelle.

• Segui le best practice relative al DNS per il DNS ibrido tra la tua rete on-premise e Google Cloud.

Per maggiori informazioni, consulta Best practice e architetture di riferimento per la progettazione di VPC.

Passaggi successivi

• Implementare la progettazione della rete della zona di destinazione di Google Cloud
• Stabilisci la sicurezza per la tua zona di destinazione di Google Cloud (prossimo documento di questa serie).
• Consulta Best practice per la progettazione di una rete VPC.
• Scopri come utilizzare appliance di rete centralizzate su Google Cloud.
• Scopri di più su Private Service Connect.