Este documento faz parte de uma série que descreve as arquiteturas de rede e segurança para empresas que estão a migrar cargas de trabalho de centros de dados para aGoogle Cloud.
A série é composta pelos seguintes documentos:
- Conceber redes para a migração de cargas de trabalho empresariais: abordagens arquitetónicas
- Redes para acesso seguro na nuvem: arquiteturas de referência
- Redes para a entrega de aplicações viradas para a Internet: arquiteturas de referência (este documento)
- Trabalho em rede para cargas de trabalho híbridas e de várias nuvens: arquiteturas de referência
A Google oferece um conjunto de produtos e capacidades que ajudam a proteger e dimensionar as suas aplicações mais críticas viradas para a Internet. A Figura 1 mostra uma arquitetura que usa serviços para implementar uma aplicação Web com vários níveis. Google Cloud
Figura 1. Aplicação Web de várias camadas típica implementada no Google Cloud.
Arquitetura de lift-and-shift
À medida que as aplicações viradas para a Internet se movem para a nuvem, têm de ser capazes de se adaptar e ter controlos de segurança e visibilidade equivalentes aos controlos no ambiente no local. Pode fornecer estes controlos através de dispositivos virtuais de rede disponíveis no mercado.
Figura 2. Aplicação implementada com um equilibrador de carga externo baseado em dispositivo.
Estes dispositivos virtuais oferecem funcionalidade e visibilidade consistentes com os seus ambientes no local. Quando usa um dispositivo virtual de rede, implementa a imagem do dispositivo de software através de grupos de instâncias geridos com dimensionamento automático. É da sua responsabilidade monitorizar e gerir o estado de funcionamento das instâncias de VM que executam o dispositivo, bem como manter as atualizações de software do dispositivo.
Depois de fazer a mudança inicial, pode querer fazer a transição de dispositivos virtuais de rede autogeridos para serviços geridos. OGoogle Cloud oferece vários serviços geridos para fornecer aplicações em grande escala.
A Figura 2 mostra um dispositivo virtual de rede configurado como o front-end de uma aplicação de camada Web. Para ver uma lista de soluções do ecossistema de parceiros, consulte a página do Google Cloud Marketplace na Google Cloud consola.
Arquitetura de serviços híbridos
Google Cloud oferece as seguintes abordagens para gerir aplicações acessíveis pela Internet em grande escala:
- Use a rede global de servidores de nomes DNS anycast da Google que oferece alta disponibilidade e baixa latência para traduzir pedidos de nomes de domínios em endereços IP.
- Use a frota global de balanceadores de carga de aplicações externos da Google para encaminhar tráfego para uma aplicação alojada no interior Google Cloud, alojada nas instalações ou alojada noutra nuvem pública. Estes equilibradores de carga são dimensionados automaticamente com o seu tráfego e garantem que cada pedido é direcionado para um servidor de back-end em bom estado. Ao configurar grupos de pontos finais de rede de conetividade híbrida, pode usufruir das vantagens das capacidades de rede do Application Load Balancer externo para serviços que estão a ser executados na sua infraestrutura existente fora do Google Cloud. A rede no local ou as outras redes de nuvem pública estão ligadas de forma privada à sua Google Cloud rede através de um túnel VPN ou do Cloud Interconnect.
Use outros serviços de limite de rede, como o Cloud CDN, para distribuir conteúdo, o Google Cloud Armor para proteger o seu conteúdo e o Identity-Aware Proxy (IAP) para controlar o acesso aos seus serviços.
A Figura 3 mostra a conetividade híbrida que usa o equilibrador de carga da aplicação externo.
Figura 3. Configuração de conetividade híbrida através do Application Load Balancer externo e dos serviços de limite de rede.
A Figura 4 mostra uma opção de conetividade diferente: usar grupos de pontos finais de rede de conetividade híbrida.
Figura 4. Configuração do balanceador de carga de aplicações externo com grupos de pontos finais da rede de conetividade híbrida.
Use um balanceador de carga de aplicações (HTTP/HTTPS) para encaminhar pedidos com base nos respetivos atributos, como o identificador uniforme de recursos (URI) HTTP. Use um balanceador de carga de rede de proxy para implementar a transferência de TLS, o proxy TCP ou o suporte para balanceamento de carga externo para back-ends em várias regiões. Use um equilibrador de carga de passagem para preservar os endereços IP de origem do cliente, evitar a sobrecarga de proxies e suportar protocolos adicionais, como UDP, ESP e ICMP.
Proteja o seu serviço com o Cloud Armor. Este produto é um produto de segurança WAF e de defesa contra DDoS de limite que está disponível para todos os serviços acedidos através de equilibradores de carga.
Use certificados SSL geridos pela Google. Pode reutilizar certificados e chaves privadas que já usa para outros Google Cloud produtos. Isto elimina a necessidade de gerir certificados separados.
Ative o armazenamento em cache na sua aplicação para tirar partido da área de cobertura de fornecimento de aplicações distribuídas do Cloud CDN.
Use a firewall de nova geração da nuvem para inspecionar e filtrar o tráfego nas suas redes VPC.
Use o Cloud IDS para detetar ameaças no tráfego norte-sul, conforme mostrado na figura 6.
Figura 6. Configuração do Cloud IDS para duplicar e inspecionar todo o tráfego interno e da Internet.
Arquitetura distribuída de confiança zero
Pode expandir a arquitetura distribuída de confiança zero para incluir a entrega de aplicações a partir da Internet. Neste modelo, o Application Load Balancer externo da Google oferece equilíbrio de carga global em clusters do GKE que têm malhas do Cloud Service Mesh em clusters distintos. Para este cenário, adota um modelo de entrada composto. O equilibrador de carga de primeiro nível fornece a seleção de clusters e, em seguida, um gateway de entrada gerido pela Cloud Service Mesh fornece o equilíbrio de carga específico do cluster e a segurança de entrada. Um exemplo deste acesso de entrada de vários clusters é a arquitetura de referência do Cymbal Bank conforme descrito no projeto de aplicação empresarial. Para mais informações sobre a entrada de limite do Cloud Service Mesh, consulte o artigo Do limite à malha: expor aplicações de malha de serviços através da entrada do GKE.
A Figura 7 mostra uma configuração na qual um Application Load Balancer externo direciona o tráfego da Internet para a malha de serviços através de um gateway de entrada. O gateway é um proxy dedicado na malha de serviços.
Figura 7. Fornecimento de aplicações num ambiente de microserviços de confiança zero.
O que se segue?
- Redes para acesso seguro na nuvem: arquiteturas de referência.
- Redes para cargas de trabalho híbridas e multinuvem: arquiteturas de referência.
- Use o Cloud Armor, o balanceamento de carga e o Cloud CDN para implementar front-ends globais programáveis
- A migração para o Google Cloud pode ajudar a planear, conceber e implementar o processo de migração das suas cargas de trabalho para o Google Cloud.
- O design da zona de destino no Google Cloud tem orientações para criar uma rede de zona de destino.
- Para ver mais arquiteturas de referência, diagramas e práticas recomendadas, explore o Centro de arquitetura na nuvem.