Decidi la progettazione di rete per la tua zona di destinazione Google Cloud

Quando progetti la tua zona di destinazione, devi scegliere un'architettura di rete adatta alla tua organizzazione. Questo documento descrive quattro progetti di rete comuni e ti aiuta a scegliere l'opzione che soddisfa meglio i requisiti della tua organizzazione e la preferenza per il controllo centralizzato o decentralizzato. È rivolta a tecnici, architetti di rete e professionisti tecnici coinvolti nella creazione del design di rete per la landing zone della tua organizzazione.

Questo articolo fa parte di una serie sulle landing zone.

Scegli il design della rete

Il design di rete scelto dipende principalmente dai seguenti fattori:

• Controllo centralizzato o decentralizzato:a seconda delle preferenze della tua organizzazione, devi scegliere una delle seguenti opzioni:
  • Centralizza il controllo della rete, inclusi l'indirizzamento IP, il routing e il firewall tra carichi di lavoro diversi.
  • Offri ai tuoi team una maggiore autonomia nella gestione dei propri ambienti e nella creazione di elementi di rete all'interno degli stessi.
• Opzioni di connettività on-premise o cloud ibrido: tutti i progetti di rete discussi in questo documento forniscono l'accesso dagli ambienti on-premise a quelli cloud tramite Cloud VPN o Cloud Interconnect. Tuttavia, alcuni progetti richiedono la configurazione di più connessioni in parallelo, mentre altri utilizzano la stessa connessione per tutti i carichi di lavoro.
• Requisiti di sicurezza: la tua organizzazione potrebbe richiedere che il traffico tra carichi di lavoro diversi in Google Cloud passi attraverso appliance di rete centralizzate come i firewall di nuova generazione (NGFW). Questo vincolo influisce sul design della rete Virtual Private Cloud (VPC).
• Scalabilità: alcuni design potrebbero essere migliori per la tua organizzazione rispetto ad altri, in base al numero di carichi di lavoro che vuoi implementare e al numero di VM (macchine virtuali), bilanciatori del carico interni e altre risorse che consumeranno.

Punti decisionali per la progettazione della rete

Il seguente diagramma di flusso mostra le decisioni che devi prendere per scegliere la progettazione di rete migliore per la tua organizzazione.

Il diagramma precedente ti guida attraverso le seguenti domande:

1. Hai bisogno di un'ispezione di livello 7 tramite appliance di rete tra diversi carichi di lavoro inGoogle Cloud?
   • In caso affermativo, consulta la sezione Topologia hub and spoke con appliance centralizzati.
   • In caso contrario, vai alla domanda successiva.
2. Molti dei tuoi carichi di lavoro richiedono connettività on-premise?
   • In caso affermativo, vai al punto decisionale 4.
   • In caso contrario, vai alla domanda successiva.
3. I tuoi carichi di lavoro possono comunicare utilizzando endpoint privati in un modello di consumer e producer di servizi?
   • In caso affermativo, consulta Esporre i servizi in un modello consumer-producer con Private Service Connect.
   • In caso contrario, vai alla domanda successiva.
4. Vuoi amministrare il firewall e il routing a livello centrale?
   • In caso affermativo, consulta Rete VPC condivisa per ogni ambiente.
   • In caso contrario, consulta Topologia hub-and-spoke senza appliance.

Questo grafico ha lo scopo di aiutarti a prendere una decisione, ma spesso può accadere che più design siano adatti alla tua organizzazione. In questi casi, ti consigliamo di scegliere il design più adatto alle tue esigenze.

Opzioni di progettazione della rete

Le sezioni seguenti descrivono quattro opzioni di progettazione comuni. Consigliamo l'opzione 1 per la maggior parte dei casi d'uso. Gli altri design discussi in questa sezione sono alternative che si applicano a requisiti organizzativi specifici.

La soluzione migliore per il tuo caso d'uso potrebbe anche essere una rete che combina elementi di più opzioni di progettazione discusse in questa sezione. Ad esempio, puoi utilizzare le reti VPC condiviso in topologie hub-and-spoke per una collaborazione migliore, un controllo centralizzato e per limitare il numero di spoke VPC. In alternativa, puoi progettare la maggior parte dei workload in una topologia VPC condiviso, ma isolare un numero ridotto di workload in reti VPC separate che espongono i servizi solo tramite alcuni endpoint definiti utilizzando Private Service Connect.

Opzione 1: rete VPC condiviso per ogni ambiente

Consigliamo questa progettazione di rete per la maggior parte dei casi d'uso. Questo design utilizza reti VPC condivise distinte per ogni ambiente di deployment diGoogle Cloud (sviluppo, test e produzione). Questo design ti consente di gestire centralmente le risorse di rete in una rete comune e fornisce l'isolamento della rete tra i diversi ambienti.

Utilizza questo design quando si verificano le seguenti condizioni:

• Vuoi un controllo centralizzato sulle regole di firewalling e routing.
• Hai bisogno di un'infrastruttura semplice e scalabile.
• Hai bisogno di una gestione centralizzata dello spazio degli indirizzi IP.

Evita questo design se si verificano le seguenti condizioni:

• Vuoi che i team di sviluppatori abbiano piena autonomia, inclusa la possibilità di gestire le proprie regole del firewall, il routing e il peering con le reti di altri team.
• È necessaria l'ispezione a livello 7 mediante appliance NGFW.

Il seguente diagramma mostra un esempio di implementazione di questo design.

Il diagramma precedente mostra quanto segue:

• La rete on-premise è distribuita su due località geografiche.
• La rete on-premise si connette tramite istanze Cloud Interconnect ridondanti a due reti VPC condivise distinte, una per la produzione e una per lo sviluppo.
• Gli ambienti di produzione e sviluppo sono collegati a entrambe le istanze Cloud Interconnect con diversi collegamenti VLAN.
• Ogni VPC condiviso ha progetti di servizio che ospitano i carichi di lavoro.
• Le regole firewall vengono amministrate centralmente nel progetto host.
• L'ambiente di sviluppo ha la stessa struttura VPC dell'ambiente di produzione.

Per impostazione predefinita, il traffico da un ambiente non può raggiungere un altro ambiente. Tuttavia, se carichi di lavoro specifici devono comunicare tra loro, puoi consentire il trasferimento dei dati tramite canali controllati on-premise oppure puoi condividere i dati tra le applicazioni con Google Cloud servizi come Cloud Storage o Pub/Sub. Ti consigliamo di evitare di collegare direttamente gli ambienti separati tramite il peering di rete VPC, in quanto aumenta il rischio di mescolare accidentalmente i dati tra gli ambienti. L'utilizzo del peering di rete VPC tra ambienti di grandi dimensioni aumenta anche il rischio di raggiungere le quote VPC per i peering e i gruppi di peering.

Per ulteriori informazioni, consulta le seguenti risorse:

• Panoramica della rete VPC condivisa
• Architettura VPC condivisa nella guida alle basi dell'enterprise
• Architettura di riferimento nelle best practice per la progettazione della VPC
• Fase di deployment di Terraform: networking con ambienti separati nell'ambito del framework Fabric FAST
• Fase di rete per la base di esempio Terraform utilizzando Cloud Foundation Toolkit

Per implementare questa opzione di progettazione, consulta Creare l'opzione 1: rete VPC condivisa per ogni ambiente.

Opzione 2: topologia hub-and-spoke con appliance centralizzati

Questa progettazione di rete utilizza una topologia hub and spoke. Una rete VPC di hub contiene un insieme di VM appliance, come NGFW, collegate alle reti VPC spoke che contengono i workload. Il traffico tra i workload, le reti on-premise o internet viene instradato tramite le VM dell'appliance per l'ispezione e il filtraggio.

Utilizza questo design quando si verificano le seguenti condizioni:

• Hai bisogno di ispezione di livello 7 tra carichi di lavoro o applicazioni diversi.
• Hai un mandato aziendale che specifica il fornitore di appliance di sicurezza per tutto il traffico.

Evita questo design se si verificano le seguenti condizioni:

• Non è richiesta l'ispezione a livello 7 per la maggior parte dei carichi di lavoro.
• Vuoi che i workload su Google Cloud non comunichino affatto tra loro.
• L'ispezione di livello 7 è necessaria solo per il traffico diretto alle reti on-premise.

Il seguente diagramma mostra un esempio di implementazione di questo pattern.

Il diagramma precedente mostra quanto segue:

• Un ambiente di produzione che include una rete VPC hub e più reti VPC spoke contenenti i workload.
• Le reti VPC spoke sono connesse alla rete VPC hub tramite il peering di rete VPC.
• La rete VPC dell'hub ha più istanze di un'appliance virtuale in un gruppo di istanze gestite. Il traffico al gruppo di istanze gestite passa attraverso un bilanciatore del carico di rete passthrough interno.
• Le reti VPC spoke comunicano tra loro tramite le appliance virtuali utilizzando route statiche con il bilanciatore del carico interno come hop successivo.
• Cloud Interconnect connette le reti VPC di transito alle sedi on-premise.
• Le reti on-premise sono collegate tramite le stesse interconnessioni cloud utilizzando collegamenti VLAN separati.
• Le reti VPC di transito sono connesse a un'interfaccia di rete distinta sulle appliance virtuali, che ti consente di ispezionare e filtrare tutto il traffico verso e da queste reti utilizzando l'appliance.
• L'ambiente di sviluppo ha la stessa struttura VPC dell'ambiente di produzione.
• Questa configurazione non utilizza la Network Address Translation (SNAT) di origine. SNAT non è obbligatorio perché Google Cloud utilizza l'hashing simmetrico. Per maggiori informazioni, consulta Hashing simmetrico.

Per impostazione predefinita, il traffico di una rete spoke non può raggiungere un'altra rete spoke. Tuttavia, se carichi di lavoro specifici devono comunicare tra loro, puoi configurare il peering diretto tra le reti spoke utilizzando il peering di rete VPC oppure puoi condividere i dati tra le applicazioni con Google Cloud servizi come Cloud Storage o Pub/Sub.

Per mantenere una bassa latenza quando l'appliance comunica tra i carichi di lavoro, deve trovarsi nella stessa regione dei carichi di lavoro. Se utilizzi più regioni nel tuo deployment cloud, puoi avere un set di appliance e un VPC hub per ogni ambiente in ogni regione. In alternativa, puoi utilizzare tag di rete con percorsi per fare in modo che tutte le istanze comunichino con l'appliance più vicina.

Le regole firewall possono limitare la connettività all'interno delle reti VPC spoke che contengono i carichi di lavoro. Spesso, i team che amministrano i carichi di lavoro gestiscono anche queste regole firewall. Per i criteri centrali, puoi utilizzare criteri firewall gerarchici. Se vuoi che un team di rete centrale abbia il controllo completo sulle regole firewall, valuta la possibilità di eseguire il deployment centralizzato di queste regole in tutte le reti VPC utilizzando un approccio GitOps. In questo caso, limita le autorizzazioni IAM solo agli amministratori che possono modificare le regole del firewall. Le reti VPC spoke possono essere anche reti VPC condiviso se più team eseguono il deployment negli spoke.

In questo design, ti consigliamo di utilizzare il peering di rete VPC per connettere la rete VPC hub e le reti VPC spoke, in quanto aggiunge una complessità minima. Tuttavia, il numero massimo di raggi è limitato da quanto segue:

• Il limite di connessioni in peering di rete VPC da una singola rete VPC.
• Limiti del gruppo di peering, ad esempio il numero massimo di regole di inoltro per il bilanciamento del carico TCP/UDP interno per ogni gruppo di peering.

Se prevedi di raggiungere questi limiti, puoi connettere le reti spoke tramite Cloud VPN. L'utilizzo di Cloud VPN comporta costi e complessità aggiuntivi e ogni tunnel Cloud VPN ha un limite di larghezza di banda.

Per ulteriori informazioni, consulta le seguenti risorse:

• Architettura di transitività hub e spoke nella guida alle basi dell'enterprise
• Fase di deployment di Terraform: Networking con Network Virtual Appliance nell'ambito del framework Fabric FAST
• Modulo di transitività hub-and-spoke Terraform nell'ambito della base di esempio

Per implementare questa opzione di progettazione, consulta Creare l'opzione 2: topologia hub-and-spoke con appliance centralizzati.

Opzione 3: topologia hub and spoke senza appliance

Questa progettazione di rete utilizza anche una topologia hub-and-spoke, con una rete VPC hub che si connette alle reti on-premise e alle reti VPC spoke che contengono i workload. Poiché il peering di rete VPC non è transitivo, le reti spoke non possono comunicare direttamente tra loro.

Utilizza questo design quando si verificano le seguenti condizioni:

• Non vuoi che i carichi di lavoro o gli ambienti in Google Cloud comunichino tra loro utilizzando indirizzi IP interni, ma vuoi che condividano la connettività on-premise.
• Vuoi dare ai team l'autonomia di gestire le proprie regole di firewall e routing.

Evita questo design se si verificano le seguenti condizioni:

• Hai bisogno di ispezione di livello 7 tra i carichi di lavoro.
• Vuoi gestire centralmente le regole di routing e firewall.
• Hai bisogno di comunicazioni dai servizi on-premise ai servizi gestiti collegati agli spoke tramite un altro peering di rete VPC, perché il peering di rete VPC non è transitivo.

Il seguente diagramma mostra un esempio di implementazione di questo design.

Il diagramma precedente mostra quanto segue:

• Un ambiente di produzione che include una rete VPC hub e più reti VPC spoke contenenti i workload.
• Le reti VPC spoke sono connesse alla rete VPC hub tramite il peering di rete VPC.
• La connettività alle sedi on-premise passa attraverso le connessioni Cloud Interconnect nella rete VPC dell'hub.
• Le reti on-premise sono collegate tramite le istanze Cloud Interconnect utilizzando collegamenti VLAN separati.
• L'ambiente di sviluppo ha la stessa struttura VPC dell'ambiente di produzione.

Per impostazione predefinita, il traffico di una rete spoke non può raggiungere un'altra rete spoke. Tuttavia, se carichi di lavoro specifici devono comunicare tra loro, puoi configurare il peering diretto tra le reti spoke utilizzando il peering di rete VPC oppure puoi condividere i dati tra le applicazioni con Google Cloud servizi come Cloud Storage o Pub/Sub.

Questa progettazione di rete viene spesso utilizzata in ambienti in cui i team agiscono in modo autonomo e non esiste un controllo centralizzato sulle regole di firewall e routing. Tuttavia, la scala di questo progetto è limitata da quanto segue:

• Il limite per le connessioni in peering di rete VPC da una singola rete VPC

• Limiti del gruppo di peering, ad esempio il numero massimo di regole di inoltro per il bilanciatore del carico di rete passthrough interno per ogni gruppo di peering

Pertanto, questo design non viene in genere utilizzato in grandi organizzazioni con molti carichi di lavoro distinti su Google Cloud.

Come variante del design, puoi utilizzare Cloud VPN anziché il peering di rete VPC. Cloud VPN ti consente di aumentare il numero di spoke, ma aggiunge un limite di larghezza di banda per ogni tunnel e aumenta la complessità e i costi. Quando utilizzi route pubblicizzati personalizzati, Cloud VPN consente anche la transitività tra gli spoke senza dover collegare direttamente tutte le reti spoke.

Per ulteriori informazioni, consulta le seguenti risorse:

• Architettura di rete hub-and-spoke
• Architettura hub-and-spoke nella guida alle basi dell'azienda
• Fase di deployment di Terraform: networking con il peering di rete VPC nell'ambito del framework Fabric FAST
• Fase di deployment di Terraform: Networking con Cloud VPN nell'ambito del framework Fabric FAST

Per implementare questa opzione di progettazione, consulta Creare l'opzione 3: topologia hub-and-spoke senza appliance.

Opzione 4: esponi i servizi in un modello consumer-producer con Private Service Connect

In questa progettazione di rete, ogni team o carico di lavoro ottiene la propria rete VPC, che può anche essere una rete VPC condivisa. Ogni rete VPC è gestita in modo indipendente e utilizza Private Service Connect per esporre tutti i servizi a cui è necessario accedere dall'esterno della rete VPC.

Utilizza questo design quando si verificano le seguenti condizioni:

• I carichi di lavoro comunicano tra loro e con l'ambiente on-premise solo tramite endpoint definiti.
• Vuoi che i team siano indipendenti l'uno dall'altro e gestiscano il proprio spazio indirizzi IP, i firewall e le regole di routing.

Evita questo design se si verificano le seguenti condizioni:

• La comunicazione tra servizi e applicazioni utilizza molte porte o canali diversi oppure le porte e i canali cambiano di frequente.
• La comunicazione tra i carichi di lavoro utilizza protocolli diversi da TCP o UDP.
• Hai bisogno di ispezione di livello 7 tra i carichi di lavoro.

Il seguente diagramma mostra un esempio di implementazione di questo pattern.

Il diagramma precedente mostra quanto segue:

• I carichi di lavoro separati si trovano in progetti e reti VPC distinti.
• Una VM client in una rete VPC può connettersi a un carico di lavoro in un'altra rete VPC tramite un endpoint Private Service Connect.
• L'endpoint è collegato a un collegamento del servizio nella rete VPC in cui si trova il servizio. Il collegamento del servizio può trovarsi in una regione diversa dall'endpoint se quest'ultimo è configurato per l'accesso globale.
• Il collegamento a un servizio si connette al carico di lavoro tramite Cloud Load Balancing.
• I client nella VPC del carico di lavoro possono raggiungere i carichi di lavoro situati on-premise come segue:
  • L'endpoint è collegato a un collegamento del servizio in una rete VPC di transito.
  • L'attacco del servizio è collegato alla rete on-premise utilizzando Cloud Interconnect.
• Un bilanciatore del carico delle applicazioni interno è collegato al collegamento del servizio e utilizza un gruppo di endpoint di rete ibrida per bilanciare il carico del traffico tra gli endpoint che si trovano on-premise.
• I client on-premise possono anche raggiungere gli endpoint nella rete VPC di transito che si connettono ai collegamenti di servizio nelle reti VPC del carico di lavoro.

Per ulteriori informazioni, consulta le seguenti risorse:

• Pubblicare servizi gestiti utilizzando Private Service Connect
• Accedere ai servizi pubblicati tramite endpoint

Per implementare questa opzione di progettazione, consulta Creare l'opzione 4: esponi i servizi in un modello consumer-producer con Private Service Connect.

Best practice per il deployment della rete

Dopo aver scelto il design di rete più adatto al tuo caso d'uso, ti consigliamo di implementare le seguenti best practice:

• Utilizza le reti VPC in modalità personalizzata ed elimina la rete predefinita per avere un maggiore controllo sugli indirizzi IP della tua rete.

• Limita l'accesso esterno utilizzando Cloud NAT per le risorse che richiedono l'accesso a internet e riducendo l'utilizzo di indirizzi IP pubblici per le risorse accessibili tramite il bilanciamento del carico di Cloud. Per ulteriori informazioni, consulta la sezione sulla creazione della connettività a internet per le VM private.

• Se utilizzi Cloud Interconnect, assicurati di seguire le topologie consigliate per le applicazioni non critiche o di livello di produzione. Utilizza connessioni ridondanti per soddisfare l'accordo sul livello del servizio per il servizio. In alternativa, Google Cloud puoi connetterti Google Cloud alle reti on-premise tramite Cloud VPN.

• Applica i criteri introdotti in Limitare l'accesso esterno utilizzando un criterio dell'organizzazione per limitare l'accesso diretto a internet dal tuo VPC.

• Utilizza criteri firewall gerarchici per ereditare i criteri firewall in modo coerente nell'organizzazione o nelle cartelle.

• Segui le best practice per il DNS per il DNS ibrido tra la tua rete on-premise e Google Cloud.

Per saperne di più, consulta Best practice e architetture di riferimento per la progettazione di VPC.

Passaggi successivi

• Implementare la progettazione di rete della zona di destinazione Google Cloud
• Decidi la sicurezza per la tua Google Cloud zona di destinazione (documento successivo di questa serie).
• Leggi Best practice per la progettazione di reti VPC.
• Scopri di più su Private Service Connect.