Questo documento fa parte di una serie che descrive le architetture di networking e sicurezza per le aziende che eseguono la migrazione dei carichi di lavoro dei data center su Google Cloud.
La serie è composta dai seguenti documenti:
- Progettazione di reti per la migrazione dei carichi di lavoro aziendali: approcci dell'architettura
- Networking per un accesso intra-cloud sicuro: architetture di riferimento
- Networking per la distribuzione di applicazioni per internet: architetture di riferimento (questo documento)
- Networking per carichi di lavoro ibridi e multi-cloud: architetture di riferimento
Google offre una serie di prodotti e funzionalità che semplificano la sicurezza e scalare le tue applicazioni più critiche rivolte a internet. La Figura 1 mostra un'architettura che utilizza i servizi Google Cloud per eseguire il deployment di un'applicazione web con più livelli.
Figura 1. Tipica applicazione web multi-livello di cui è stato eseguito il deployment su Google Cloud.
Architettura lift and shift
Man mano che le applicazioni per internet passano al cloud, devono essere in grado di scalare, e devono disporre di controlli di sicurezza e visibilità equivalenti a quelli dei controlli nell'ambiente on-premise. Puoi fornire questi controlli utilizzando di appliance virtuali di rete disponibili sul marketplace.
Figura 2. Applicazione di cui è stato eseguito il deployment con un carico esterno basato sull'appliance con il bilanciatore del carico di rete passthrough esterno regionale.
Queste appliance virtuali offrono funzionalità e visibilità in modo coerente con gli ambienti on-premise. Quando utilizzi un'appliance virtuale di rete, esegui il deployment dell'immagine dell'appliance software utilizzando gruppi di istanze gestite con scalabilità automatica. Spetta a te monitorare e gestire l'integrità delle istanze VM che eseguono l'appliance, nonché gestire gli aggiornamenti software dell'appliance.
Dopo aver eseguito il tuo turno iniziale, potresti voler la transizione da appliance virtuali di rete autogestite a servizi gestiti. Google Cloud offre una serie di servizi gestiti che semplificano per distribuire applicazioni su larga scala.
La Figura 2 mostra un'appliance virtuale di rete configurata come frontend di un'applicazione di livello web. Per un elenco di soluzioni per gli ecosistemi di partner, consulta Google Cloud Marketplace nella console Google Cloud.
Architettura dei servizi ibridi
Google Cloud offre i seguenti approcci per semplificare la gestione per internet su larga scala:
- Utilizza la rete globale di server dei nomi DNS anycast di Google che offrono alta disponibilità e bassa latenza per tradurre le richieste dei nomi di dominio in indirizzi IP.
- Utilizza il parco globale di bilanciatori del carico delle applicazioni esterni di Google per instradare il traffico a un'applicazione ospitata in Google Cloud, on-premise o in un altro cloud pubblico. Questi bilanciatori del carico si adattano automaticamente al tuo traffico e assicurano che ogni richiesta venga indirizzata a un backend funzionante. Configurando gruppi di endpoint di rete di connettività ibrida, puoi offrire i vantaggi delle funzionalità di rete di bilanciatori del carico delle applicazioni esterni ai servizi in esecuzione sulla tua infrastruttura esistente al di fuori di Google Cloud. La rete on-premise o l'altra rete pubblica le reti cloud siano connesse privatamente alla rete Google Cloud attraverso un tunnel VPN o tramite Cloud Interconnect.
Usa altri servizi perimetrali della rete come Cloud CDN per distribuire contenuti, Google Cloud Armor per la protezione e Identity-Aware Proxy (IAP) per controllare l'accesso ai servizi.
La figura 3 mostra la connettività ibrida che utilizza il bilanciatore del carico delle applicazioni esterno.
Figura 3. Configurazione della connettività ibrida tramite il bilanciatore del carico delle applicazioni esterno e per i servizi sul perimetro della rete.
La Figura 4 mostra un'opzione di connettività diversa: l'utilizzo di gruppi di endpoint di rete con connettività ibrida.
Figura 4. Configurazione del bilanciatore del carico delle applicazioni esterno con ibrido gruppi di endpoint di rete per la connettività.
Utilizza un bilanciatore del carico delle applicazioni (HTTP/HTTPS) per instradare le richieste in base a quali l'URI (Uniform Resource Identifier) HTTP. Utilizza un bilanciatore del carico di rete proxy per implementare l'offload TLS, il proxy TCP o il supporto per il bilanciamento del carico esterno verso i backend in più regioni. Utilizza un bilanciatore del carico di rete passthrough per preservare gli indirizzi IP di origine dei client, per evitare l'overhead dei proxy e per supportare ulteriori protocolli come UDP, ESP e ICMP.
Proteggi il tuo servizio con Google Cloud Armor. Si tratta di un prodotto di difesa dagli attacchi DDoS a livello perimetrale e alla sicurezza WAF, Disponibile per tutti i servizi a cui si accede tramite un bilanciatore del carico delle applicazioni esterno globale.
Utilizza certificati SSL gestiti da Google. Puoi riutilizzare i certificati e le chiavi private che utilizzi già per altri prodotti Google Cloud. In questo modo non è più necessario gestire certificati separati.
Abilita la memorizzazione nella cache nella tua applicazione per sfruttare l'impronta della distribuzione delle applicazioni distribuita di Cloud CDN.
Utilizza le appliance virtuali di rete per ispezionare e filtrare il traffico nord-sud (da e verso internet) ed est-ovest (da e verso la rete on-premise o le reti VPC), come mostrato nella figura 5.
Figura 5. Configurazione della rete virtuale ad alta disponibilità utilizzando un bilanciatore del carico di rete passthrough interno e il peering di rete VPC per analizzare il traffico.
Utilizza Cloud IDS per rilevare le minacce nel traffico nord-sud, come mostrato nella figura 6.
Figura 6. Configurazione Cloud IDS per eseguire il mirroring e l'ispezione tutto il traffico internet e interno.
Architettura distribuita Zero Trust
Puoi espandere l'architettura distribuita Zero Trust per includere l'applicazione la consegna da internet. In questo modello, il bilanciatore del carico delle applicazioni esterno di Google fornisce un bilanciamento del carico globale tra i cluster GKE che hanno mesh Cloud Service Mesh in cluster distinti. Per questo scenario, adotta un modello di importazione composito. Il bilanciatore del carico di primo livello fornisce la selezione del cluster, mentre un gateway di ingresso gestito da Cloud Service Mesh fornisce il bilanciamento del carico e la sicurezza di ingresso specifici del cluster. Un esempio. in entrata multi-cluster è Architettura di riferimento di Cymbal Bank come descritto nel progetto dell'applicazione aziendale. Per ulteriori informazioni Ingresso perimetrale di Cloud Service Mesh, vedi Da perimetrale al mesh: esposizione delle applicazioni mesh di servizi tramite GKE Ingress.
La figura 7 mostra una configurazione in cui indirizza un bilanciatore del carico delle applicazioni esterno traffico da la connessione a internet alla rete mesh di servizi tramite un gateway in entrata. Il gateway è un proxy dedicato nel mesh di servizi.
Figura 7. Distribuzione delle applicazioni in un ambiente di microservizi Zero Trust.
Passaggi successivi
- Networking per l'accesso sicuro all'interno del cloud: architetture di riferimento.
- Networking per carichi di lavoro ibridi e multi-cloud: architetture di riferimento.
- Migrazione a Google Cloud può aiutarti a pianificare, progettare e implementare il processo di migrazione dei carichi di lavoro in Google Cloud.
- La pagina Design della zona di destinazione in Google Cloud fornisce indicazioni per creare una rete della zona di destinazione.
- Per altre architetture di riferimento, diagrammi e best practice, esplora il Centro architetture cloud.