Dieses Dokument ist Teil einer Reihe, in der Netzwerk- und Sicherheitsarchitekturen für Unternehmen beschrieben werden, die Arbeitslasten von Rechenzentren zu Google Cloud migrieren.
Die Reihe besteht aus folgenden Dokumenten:
- Netzwerke für die Migration von Unternehmensarbeitslasten entwerfen: Architekturansätze
- Netzwerk für sicheren Intra-Cloud-Zugriff: Referenzarchitekturen
- Netzwerk für die Internetbereitstellung von Anwendungen: Referenzarchitekturen (dieses Dokument)
- Netzwerke für Hybrid- und Multi-Cloud-Arbeitslasten: Referenzarchitekturen
Google bietet eine Reihe von Produkten und Funktionen, mit denen Sie Ihre wichtigsten Internetanwendungen ganz einfach schützen und skalieren können. Abbildung 1 zeigt eine Architektur, bei der mit Google Cloud-Diensten eine Webanwendung mit mehreren Ebenen bereitgestellt wird.
Abbildung 1. Typische, mehrstufige Webanwendung in Google Cloud.
Lift-and-Shift-Architektur
Sobald Internetanwendungen in die Cloud verschoben werden, müssen sie skalierbar sein und Sicherheitskontrollen und Sichtbarkeit haben, die diesen Steuerelementen in der lokalen Umgebung entsprechen. Sie können diese Steuerelemente mithilfe von virtuellen Netzwerk-Appliances bereitstellen, die auf dem Marktplatz verfügbar sind.
Abbildung 2. Mit einem Appliance-basierten externen Load-Balancer bereitgestellte Anwendung.
Diese virtuellen Appliances bieten Funktionen und Transparenz, die Ihren lokalen Umgebungen entsprechen. Wenn Sie eine virtuelle Netzwerk-Appliance verwenden, stellen Sie das Software-Appliance-Image mithilfe automatisch skalierter verwalteter Instanzgruppen bereit. Sie müssen den Zustand der VM-Instanzen, auf denen die Appliance ausgeführt wird, überwachen und verwalten sowie Softwareupdates für die Appliance warten.
Nach der ersten Verschiebung möchten Sie möglicherweise von selbstverwalteten virtuellen Netzwerk-Appliances zu verwalteten Diensten wechseln. Google Cloud bietet eine Reihe von verwalteten Diensten, die die Bereitstellung von Anwendungen im großen Maßstab vereinfachen.
Abbildung 2 zeigt eine virtuelle Netzwerk-Appliance, die als Frontend einer Webstufe-Anwendung konfiguriert ist. Eine Liste der Lösungen für Partnernetzwerke finden Sie in der Google Cloud Console auf der Seite Google Cloud Marketplace.
Hybriddienstarchitektur
Google Cloud bietet die folgenden Ansätze, um die Verwaltung von Internetanwendungen in großem Umfang zu vereinfachen:
- Verwenden Sie das globale Google-Netzwerk von Anycast-DNS-Nameservern, die Hochverfügbarkeit und niedrige Latenz bieten, um Anfragen für Domainnamen in IP-Adressen zu übersetzen.
- Verwenden Sie die globale Flotte externer Application Load Balancer von Google, um Traffic an eine Anwendung weiterzuleiten, die in Google Cloud, lokal oder in einer anderen öffentlichen Cloud gehostet wird. Diese Load Balancer werden automatisch mit Ihrem Traffic skaliert und sorgen dafür, dass jede Anfrage an ein fehlerfreies Backend weitergeleitet wird. Durch das Einrichten von Hybridkonnektivitäts-Netzwerkendpunktgruppen können Sie die Vorteile der Netzwerkfunktionen eines externen Application Load Balancer für Dienste nutzen, die in Ihrer vorhandenen Infrastruktur außerhalb von Google Cloud ausgeführt werden. Das lokale Netzwerk oder die anderen öffentlichen Cloudnetzwerke sind über einen VPN-Tunnel oder über Cloud Interconnect privat mit Ihrem Google Cloud-Netzwerk verbunden.
Verwenden Sie andere Edge-Netzwerkdienste wie Cloud CDN zur Verteilung von Inhalten, Google Cloud Armor zum Schutz Ihrer Inhalte und Identity-Aware Proxy (IAP) zur Kontrolle des Zugriffs auf Ihre Dienste.
Abbildung 3 zeigt Hybridkonnektivität, die den externen Application Load Balancer verwendet.
Abbildung 3. Hybridkonnektivitätskonfiguration mit externem Application Load Balancer und Netzwerk-Edge-Diensten.
Abbildung 4 zeigt eine andere Konnektivitätsoption – mithilfe von Netzwerk-Endpunktgruppen mit Hybridkonnektivität.
Abbildung 4. Konfiguration eines externen Application Load Balancers mithilfe von Netzwerk-Endpunktgruppen mit Hybridkonnektivität.
Verwenden Sie einen Application Load Balancer (HTTP/HTTPS), um Anfragen anhand ihrer Attribute wie dem URI (Uniform Resource Identifier) (URI) weiterzuleiten. Verwenden Sie einen Proxy-Netzwerk-Load-Balancer, um TLS-Übertragungen, TCP-Proxys oder Unterstützung für externes Load Balancing zu Back-Ends in mehreren Regionen zu implementieren. Verwenden Sie einen Passthrough-Netzwerk-Load-Balancer, um Client-Quell-IP-Adressen beizubehalten, den Overhead von Proxys zu vermeiden und zusätzliche Protokolle wie UDP, ESP und ICMP zu unterstützen.
Schützen Sie Ihren Dienst mit Google Cloud Armor. Dieses Produkt ist ein Edge-DDoS-Sicherheitsprodukt und ein WAF-Sicherheitsprodukt, das für alle Dienste verfügbar ist, auf die über einen globalen externen Application Load Balancer zugegriffen wird.
Von Google verwaltete SSL-Zertifikate verwenden. Sie können Zertifikate und private Schlüssel wiederverwenden, die Sie bereits für andere Google Cloud-Produkte verwenden. Sie müssen somit keine separaten Zertifikate verwalten.
Aktivieren Sie das Caching für Ihre Anwendung, um die Vorteile der verteilten Application Delivery von Cloud CDN zu nutzen.
Verwenden Sie virtuelle Netzwerk-Appliances, um den Traffic sowohl in Nord-Süd-Richtung (von und zum Internet) als auch in Ost-West-Richtung (von und zu lokalen Umgebungen oder VPC-Netzwerken) zu prüfen und zu filtern, wie in Abbildung 5 dargestellt.
Abbildung 5. Konfiguration der hochverfügbaren virtuellen Netzwerk-Appliance mit einem internen Passthrough-Netzwerk-Load-Balancer und VPC-Netzwerk-Peering zum Prüfen von Traffic.
Verwenden Sie Cloud IDS, um Bedrohungen im Nord-Süd-Traffic zu erkennen, wie in Abbildung 6 dargestellt.
Abbildung 6. Screenshot: Cloud IDS-Konfiguration, um den gesamten Internettraffic und internen Traffic zu spiegeln und zu prüfen.
Verteilte Zero-Trust-Architektur
Sie können die Zero Trust Distributed Architecture so erweitern, dass die Application Delivery aus dem Internet einbezogen wird. In diesem Modell bietet der externe Application Load Balancer globales Load-Balancing für GKE-Cluster mit Anthos Service Mesh-Meshes in verschiedenen Clustern. In diesem Szenario verwenden Sie ein zusammengesetztes Modell für eingehenden Traffic. Der Load-Balancer der ersten Stufe bietet Clusterauswahl und ein von Anthos Service Mesh verwaltetes Ingress-Gateway bietet clusterspezifisches Load Balancing und Sicherheit für eingehenden Traffic. Ein Beispiel für diesen Multi-Cluster-Ingress ist die Cymbal Bank-Referenzarchitektur, wie im Unternehmensanwendungs-Blueprint beschrieben. Weitere Informationen zu Anthos Service Mesh-Edge-Ingress finden Sie unter Von Edge zu Mesh: Service Mesh-Anwendungen über GKE Ingress verfügbar machen.
Abbildung 7 zeigt eine Konfiguration, bei der ein externer Application Load Balancer den Traffic aus dem Internet zum Service Mesh über ein Ingress-Gateway leitet. Das Gateway ist ein dedizierter Proxy im Service Mesh.
Abbildung 7. Application Delivery in einer Zero-Trust-Mikrodienstumgebung.
Nächste Schritte
- Netzwerk für sicheren Intra-Cloud-Zugriff: Referenzarchitekturen.
- Netzwerke für Hybrid- und Multi-Cloud-Arbeitslasten: Referenzarchitekturen
- Die Migration zu Google Cloud kann Ihnen bei der Planung, Gestaltung und Implementierung der Migration Ihrer Arbeitslasten zu Google Cloud helfen.
- Das Design von Landing Zones in Google Cloud enthält eine Anleitung zum Erstellen eines Netzwerks für Landing Zones.
- Weitere Referenzarchitekturen, Diagramme und Best Practices finden Sie im Cloud-Architekturcenter.