Halaman ini diterjemahkan oleh Cloud Translation API.

Jaringan untuk workload hybrid dan multi-cloud: Arsitektur referensi

Last reviewed 2023-11-13 UTC

Dokumen ini adalah bagian dari rangkaian yang menjelaskan arsitektur keamanan dan jaringan untuk perusahaan yang memigrasikan workload pusat data ke Google Cloud.

Seri ini terdiri dari dokumen berikut:

Merancang jaringan untuk memigrasikan beban kerja perusahaan: Pendekatan arsitektur
Jaringan untuk akses intra-cloud yang aman: Arsitektur referensi
Jaringan untuk pengiriman aplikasi yang terhubung ke internet: Arsitektur referensi
Jaringan untuk workload hybrid dan multi-cloud: Arsitektur referensi (dokumen ini)

Dokumen ini membahas jaringan untuk skenario saat beban kerja berjalan di lebih dari satu tempat, seperti di infrastruktur lokal dan cloud, atau di beberapa lingkungan cloud.

Arsitektur lift-and-shift

Skenario akses beban kerja hybrid pertama adalah arsitektur lift-and-shift.

Membangun konektivitas pribadi

Anda dapat membuat konektivitas ke jaringan lokal menggunakan Dedicated Interconnect atau Partner Interconnect. Topologi yang diilustrasikan dalam gambar 1 menunjukkan cara menggunakan empat koneksi Interconnect di dua metro yang berbeda dan domain ketersediaan edge yang berbeda untuk mencapai ketersediaan 99,99% menggunakan Dedicated Interconnect. Untuk informasi selengkapnya dan rekomendasi mendetail, lihat Konektivitas hybrid antara lingkungan on-premise dan Google Cloud dalam blueprint fondasi perusahaan.

Konfigurasi koneksi Cloud Interconnect redundan untuk ketersediaan 99,99%.

Gambar 1. Konfigurasi koneksi Cloud Interconnect redundan untuk ketersediaan 99,99%.

Network Connectivity Center memungkinkan Anda menggunakan jaringan Google untuk transfer data antar-beberapa situs yang dihosting di cloud atau lokal. Pendekatan ini memungkinkan Anda memanfaatkan jangkauan dan keandalan jaringan Google saat Anda perlu memindahkan data. Anda dapat menggunakan perangkat router Cloud VPN, Cloud Interconnect, dan SD-WAN yang ada sebagai spoke Network Connectivity Center untuk mendukung transfer data antara jaringan lokal dan situs cabang, seperti yang ditunjukkan pada gambar 2.

Konfigurasi Network Connectivity Center yang menghubungkan berbagai jaringan perusahaan lokal di luar Google Cloud menggunakan jaringan backbone Google.

Gambar 2. Konfigurasi Network Connectivity Center yang menghubungkan berbagai jaringan perusahaan lokal dan jaringan cloud lainnya di luar Google Cloud menggunakan jaringan backbone Google.

Untuk mengetahui informasi selengkapnya tentang cara menyiapkan Pusat Konektivitas Jaringan, lihat Pertimbangan dalam dokumentasi Pusat Konektivitas Jaringan.

Peralatan SD-WAN

Dengan Network Connectivity Center, Anda dapat menggunakan perangkat virtual jaringan pihak ketiga sebagai spoke Network Connectivity Center untuk membuat konektivitas antara situs eksternal dan resource jaringan VPC Anda. Peralatan router dapat berupa router SD-WAN pihak ketiga yang didukung oleh salah satu partner kami atau perangkat virtual lainnya yang memungkinkan Anda bertukar rute dengan instance Cloud Router. Solusi berbasis appliance ini merupakan tambahan dari opsi konektivitas situs ke cloud saat ini yang tersedia dengan Cloud VPN dan Cloud Interconnect sebagai spoke. Gambar 3 menunjukkan topologi yang menggunakan perangkat SD-WAN.

Konfigurasi Network Connectivity Center menggunakan perangkat router untuk mengintegrasikan implementasi SD-WAN dengan jaringan Google.

Gambar 3. Konfigurasi Network Connectivity Center menggunakan perangkat router untuk mengintegrasikan implementasi SD-WAN dengan jaringan Google.

Anda dapat menggunakan perangkat pihak ketiga untuk menjalankan fungsi keamanan. Kemampuan keamanan perangkat dapat diintegrasikan di router appliance seperti yang ditunjukkan pada gambar 3. Menggunakan peralatan virtual jaringan juga merupakan pola umum, dengan traffic dari lokal diarahkan ke jaringan VPC transit, dan peralatan tersebut membuat konektivitas dengan jaringan VPC workload, seperti yang ditunjukkan pada gambar 4.

Untuk mengetahui informasi selengkapnya tentang cara menyiapkan Pusat Konektivitas Jaringan, lihat Pertimbangan dalam dokumentasi Pusat Konektivitas Jaringan.

Arsitektur layanan hybrid

Seperti pada kasus penggunaan intra-cloud yang dibahas dalam Jaringan untuk akses intra-cloud yang aman: Arsitektur referensi, Network Connectivity Center memungkinkan konektivitas dari situs cabang dan jaringan lokal ke Google Cloud. Private Service Connect memberikan akses pribadi ke layanan yang dikelola Google atau memungkinkan Anda menggunakan layanan lain yang dibuat dan di-deploy di cloud.

Anda juga dapat menerapkan keamanan jaringan menggunakan kombinasi Kontrol Layanan VPC, firewall Google Cloud, dan virtual appliance jaringan, seperti yang ditunjukkan pada gambar 4.

Jaringan dengan arsitektur yang menggunakan pola lift-and-shift dan pola desain layanan hybrid yang dirancang untuk menyediakan bidang data yang aman.

Gambar 4. Jaringan dengan arsitektur yang menggunakan pola lift-and-shift dan pola desain layanan campuran yang dirancang untuk menyediakan bidang data yang aman.

Arsitektur Terdistribusi Zero-Trust

Dalam lingkungan hybrid, microservice berjalan di service mesh yang di-deploy di berbagai penyedia cloud dan lingkungan lokal. Anda dapat membantu mengamankan komunikasi antar-microservice dengan menggunakan mTLS dan kebijakan otorisasi. Membangun mesh layanan di cloud dan memperluas mesh ke on-premise adalah praktik umum bagi perusahaan. Gambar 5 menunjukkan contoh layanan yang di-deploy di lokalitas mengakses layanan di cloud. mTLS end-to-end di antara layanan diaktifkan menggunakan gateway timur-barat dan perutean berbasis SNI. Cloud Service Mesh membantu Anda mengamankan komunikasi layanan ke layanan, sehingga Anda dapat mengonfigurasi kebijakan otorisasi untuk layanan, serta men-deploy sertifikat dan kunci yang disediakan oleh certificate authority terkelola ini.

Lingkungan hybrid biasanya menampilkan beberapa deployment mesh, seperti beberapa cluster GKE. Komponen penting dalam alur ini adalah perutean SNI, yang digunakan di gateway east-west GKE untuk setiap cluster. Konfigurasi ini memungkinkan perutean mTLS langsung ke beban kerja oleh gateway sekaligus mempertahankan konektivitas mTLS menyeluruh.

Mesh layanan zero-trust yang di-deploy di seluruh lingkungan on-premise dan Google Cloud.

Gambar 5. Mesh layanan zero-trust yang di-deploy di seluruh lingkungan lokal dan Google Cloud.

Perusahaan dapat menggunakan Cloud Service Mesh untuk men-deploy di seluruh cloud. Untuk mengatasi tantangan dalam mengelola identitas dan sertifikat di seluruh penyedia cloud, Cloud Service Mesh menyediakan identitas workload dan certificate authority (CA) dalam cluster perantara, menggunakan CA Service (CA Service). CA perantara dapat dikaitkan ke CA eksternal atau dapat dihosting di Google. Anda dapat menyesuaikan atribut CA seperti region dan algoritma tanda tangan, menggunakan HSM milik perusahaan dan Cloud HSM.

Dengan Workload Identity, Anda dapat menetapkan identitas dan otorisasi yang berbeda secara terperinci untuk setiap microservice di cluster. Cloud Service Mesh mengelola proses penerbitan sertifikat serta memutar kunci dan sertifikat secara otomatis, tanpa mengganggu komunikasi. Layanan ini juga menyediakan satu root trust di seluruh cluster GKE.

Gambar 6 menunjukkan arsitektur yang menggunakan Cloud Service Mesh untuk mengelola identitas dan otorisasi.

Layanan dalam mesh dapat mengakses layanan Google Cloud menggunakan Workload Identity Federation. Fitur ini memungkinkan layanan bertindak dengan otorisasi akun layanan Google saat memanggil Google Cloud API. Workload identity federation juga memungkinkan mesh layanan yang diinstal di penyedia cloud lain mengakses API Google Cloud.

Mesh layanan zero-trust yang di-deploy di seluruh cloud.

Gambar 6. Mesh layanan zero-trust yang di-deploy di seluruh cloud.

Anda dapat menggunakan Cloud Service Mesh untuk merutekan traffic dari mesh ke infrastruktur lokal atau ke cloud lainnya.

Misalnya, Anda dapat membuat layanan di Cloud Service Mesh yang disebut on-prem-service dan other-cloud-service, serta menambahkan grup endpoint jaringan konektivitas campuran (NEG) yang memiliki endpoint 10.1.0.1:80 dan 10.2.0.1:80. Cloud Service Mesh kemudian mengirimkan traffic ke kliennya, yang merupakan proxy sidecar mesh yang berjalan bersama aplikasi Anda. Dengan demikian, saat aplikasi Anda mengirim permintaan ke layanan on-prem-service, klien Cloud Service Mesh akan memeriksa permintaan tersebut dan mengarahkannya ke endpoint 10.0.0.1:80. Gambar 7 mengilustrasikan konfigurasi ini.

Traffic yang diarahkan dari mesh layanan menggunakan Cloud Service Mesh.

Gambar 7. Traffic yang diarahkan dari mesh layanan menggunakan Cloud Service Mesh.

Anda juga dapat menggabungkan fungsi lanjutan, seperti pengarahan traffic berbasis berat, seperti yang ditunjukkan pada gambar 8. Dengan kemampuan ini, Anda dapat memenuhi kebutuhan perusahaan yang penting, seperti migrasi cloud. Cloud Service Mesh berfungsi sebagai bidang kontrol serbaguna yang dikelola secara global untuk mesh layanan Anda.

Traffic berbobot yang diarahkan menggunakan Cloud Service Mesh.

Gambar 8. Traffic berbobot yang diarahkan menggunakan Cloud Service Mesh.

Langkah selanjutnya

Jaringan untuk akses intra-cloud yang aman: Arsitektur referensi.
Jaringan untuk pengiriman aplikasi yang terhubung ke internet: Arsitektur referensi
Migrasi ke Google Cloud dapat membantu Anda merencanakan, mendesain, dan menerapkan proses migrasi workload ke Google Cloud.
Desain zona landing di Google Cloud memiliki panduan untuk membuat jaringan zona landing.
Untuk arsitektur referensi, diagram, dan praktik terbaik lainnya, jelajahi Pusat Arsitektur Cloud.