Redes para cargas de trabalho híbridas e de várias nuvens: arquiteturas de referência

Last reviewed 2025-01-13 UTC

Este documento faz parte de uma série que descreve as arquiteturas de rede e segurança para empresas que estão a migrar cargas de trabalho de centros de dados para a Google Cloud.

A série é composta pelos seguintes documentos:

Este documento aborda as redes para um cenário em que as cargas de trabalho são executadas em mais do que um local, como nas instalações e na nuvem, ou em vários ambientes de nuvem.

Arquitetura de lift-and-shift

O primeiro cenário de acesso à carga de trabalho híbrida é uma arquitetura de lift-and-shift.

Estabelecer conetividade privada

Pode estabelecer a conetividade com redes nas instalações através da Interligação dedicada ou da Interligação de parceiro. A topologia ilustrada na figura 1 mostra como pode usar quatro ligações Dedicated Interconnect em dois metros diferentes e domínios de disponibilidade de limite diferentes para alcançar uma disponibilidade de 99,99%. (Também pode alcançar uma disponibilidade de 99,99% através da Interligação de parceiros.)

Para a conetividade entre as suas redes Google Cloud e as suas redes alojadas por outro fornecedor de nuvem, use o Cross-Cloud Interconnect.

Para mais informações e recomendações detalhadas, consulte o artigo Conetividade híbrida entre um ambiente no local e Google Cloud no projeto de base empresarial.

Configuração de ligações redundantes do Cloud Interconnect para uma disponibilidade de 99,99%.

Figura 1. Configuração de ligações Dedicated Interconnect redundantes para uma disponibilidade de 99,99%.

O Network Connectivity Center permite-lhe usar a rede da Google para a transferência de dados entre vários sites alojados no local ou na nuvem. Esta abordagem permite-lhe tirar partido do alcance e da fiabilidade da rede da Google quando precisa de mover dados. Pode usar as suas redes VPC, dispositivos de router SD-WAN, Cloud VPN e Cloud Interconnect existentes como hubs do Network Connectivity Center para suportar a transferência de dados entre as redes nas instalações, os sites de filiais, outros fornecedores de nuvem e as redes VPC, conforme mostrado na figura 2.Google Cloud

Configuração do Network Connectivity Center que liga diferentes redes empresariais no local fora de Google Cloud através da rede principal da Google.

Figura 2. Configuração do Network Connectivity Center que liga diferentes empresas no local e outras redes na nuvem fora do Google Cloud usando a rede principal da Google.

Para mais informações sobre a configuração do Centro de conetividade de rede, consulte as Considerações na documentação do Centro de conetividade de rede.

Dispositivos SD-WAN

O Network Connectivity Center permite-lhe usar um dispositivo de router de terceiros como um spoke do Network Connectivity Center para estabelecer a conetividade entre um site externo e os recursos da sua rede da VPC. Um dispositivo de router pode ser um router SD-WAN de terceiros suportado por um dos nossos parceiros ou outro dispositivo virtual que lhe permita trocar rotas com a instância do Cloud Router. Estas soluções baseadas em dispositivos são adicionais às opções de conetividade atuais entre o site e a nuvem que estão disponíveis com o Cloud VPN e o Cloud Interconnect como hubs. A Figura 3 mostra uma topologia que usa dispositivos SD-WAN.

Configuração do Network Connectivity Center com o dispositivo de router para integrar a implementação de SD-WAN com a rede da Google.

Figura 3. Configuração do Network Connectivity Center com o dispositivo de router para integrar a implementação de SD-WAN com a rede da Google.

Pode usar dispositivos de terceiros para realizar funções de segurança. As capacidades de segurança do dispositivo podem ser integradas no dispositivo de router, conforme mostrado na figura 3. Também é um padrão comum usar um dispositivo virtual de rede, em que o tráfego no local é encaminhado para uma rede VPC de trânsito, e o dispositivo estabelece a conetividade com a rede VPC de carga de trabalho, conforme mostrado na figura 4.

Para mais informações sobre a configuração do Centro de conetividade de rede, consulte as Considerações na documentação do Centro de conetividade de rede.

Arquitetura de serviços híbridos

Tal como no exemplo de utilização na nuvem abordado no artigo Redes para acesso seguro na nuvem: arquiteturas de referência, o Network Connectivity Center permite a conetividade a partir dos seus sites de filiais e redes no local para Google Cloud. O Private Service Connect oferece acesso privado a serviços geridos pela Google ou permite-lhe consumir outros serviços criados e implementados na nuvem.

Também pode implementar a segurança de rede através de uma combinação de VPC Service Controls, Google Cloud firewalls e dispositivos virtuais de rede, conforme mostrado na figura 4.

Redes com uma arquitetura que usa um padrão de mudança e elevação e um padrão de design de serviços híbridos concebido para fornecer um plano de dados seguro.

Figura 4. Redes com uma arquitetura que usa um padrão de lift-and-shift e um padrão de design de serviços híbridos concebido para fornecer um plano de dados seguro.

Arquitetura distribuída de confiança zero

Num ambiente híbrido, os microsserviços são executados em malhas de serviços implementadas em diferentes fornecedores de serviços na nuvem e ambientes no local. Pode ajudar a proteger a comunicação entre os microsserviços através da utilização do protocolo Transport Layer Security (mTLS) mútuo e de políticas de autorização. É uma prática comum para as empresas criar malhas de serviços na nuvem e estender as malhas para no local. A Figura 5 mostra um exemplo em que os serviços implementados no local acedem aos serviços na nuvem. O mTLS ponto a ponto entre os serviços está ativado através do gateway leste-oeste e do encaminhamento baseado na Indicação do nome do servidor (SNI). O Cloud Service Mesh ajuda a proteger as comunicações entre serviços, permitindo-lhe configurar políticas de autorização para os serviços e implementar certificados e chaves fornecidos por uma autoridade de certificação gerida.

Os ambientes híbridos incluem normalmente várias implementações de malhas, como vários clusters do GKE. Um componente importante neste fluxo é o encaminhamento SNI, que é usado no gateway leste-oeste do GKE para cada cluster. Esta configuração permite o encaminhamento mTLS direto para a carga de trabalho pela gateway, ao mesmo tempo que preserva a conetividade mTLS ponto a ponto.

Malha de serviços de confiança zero implementada num ambiente no local e Google Cloud.

Figura 5. Rede de serviços de confiança zero implementada num ambiente local e na Google Cloud.

As empresas podem usar o Cloud Service Mesh para implementar em várias nuvens. Para resolver os desafios na gestão de identidades e certificados em fornecedores de nuvem, a malha de serviços na nuvem fornece identidade da carga de trabalho e uma autoridade de certificação (AC) no cluster intermédia, através do serviço de AC (serviço de AC). A AC intermédia pode ser encadeada a uma AC externa ou pode ser alojada na Google. Pode personalizar os atributos da AC, como a região e o algoritmo de assinatura, usando HSMs pertencentes à empresa e o Cloud HSM.

A identidade de carga de trabalho permite-lhe atribuir identidades distintas e detalhadas, bem como autorização para cada microsserviço no seu cluster. O Cloud Service Mesh gere o processo de emissão de certificados e de alternância automática de chaves e certificados, sem interromper as comunicações. Também fornece uma única raiz de fidedignidade em todos os clusters do GKE.

A Figura 6 mostra uma arquitetura que usa a malha de serviço do Google Cloud para gerir a identidade e a autorização.

Os serviços na malha podem aceder a Google Cloud serviços através da federação de identidades da carga de trabalho. Esta funcionalidade permite que os serviços atuem com a autoridade de uma conta de serviço Google quando invocam APIs. Google Cloud A federação de identidade da carga de trabalho também permite que a malha de serviços instalada noutros fornecedores de nuvem aceda às APIs Google Cloud.

Zero-trust service mesh implementada em várias nuvens.

Figura 6. Zero-trust service mesh implementada em várias nuvens.

Pode usar o Cloud Service Mesh para encaminhar tráfego da malha para local ou para qualquer outra nuvem.

Por exemplo, pode criar serviços na malha de serviços na nuvem denominados on-prem-service e other-cloud-service e adicionar grupos de pontos finais (NEGs) da rede de conetividade híbrida que tenham pontos finais 10.1.0.1:80 e 10.2.0.1:80. Em seguida, a Cloud Service Mesh envia o tráfego para os respetivos clientes, que são proxies sidecar de malha executados juntamente com as suas aplicações. Assim, quando a sua aplicação envia um pedido para o serviço on-prem-service, o cliente do Cloud Service Mesh inspeciona o pedido e direciona-o para o ponto final 10.2.0.1:80. A Figura 7 ilustra esta configuração.

Tráfego encaminhado a partir de uma malha de serviços através do Cloud Service Mesh.

Figura 7. Tráfego encaminhado a partir de uma malha de serviços através do Cloud Service Mesh.

Também pode incorporar funcionalidades avançadas, como o encaminhamento de tráfego baseado no peso, conforme mostrado na figura 8. Esta capacidade permite-lhe ativar necessidades empresariais críticas, como a migração para a nuvem. O Cloud Service Mesh funciona como um plano de controlo gerido globalmente e versátil para as suas malhas de serviços.

Tráfego ponderado encaminhado através do Cloud Service Mesh.

Figura 8. Tráfego ponderado encaminhado através do Cloud Service Mesh.

O que se segue?