Questa pagina è stata tradotta dall'API Cloud Translation.

Networking per carichi di lavoro ibridi e multi-cloud: architetture di riferimento

Last reviewed 2023-11-13 UTC

Questo documento fa parte di una serie che descrive il networking e la sicurezza architetture aziendali che eseguono la migrazione dei carichi di lavoro dei data center in Google Cloud.

La serie è costituita dai seguenti documenti:

Progettare reti per la migrazione dei carichi di lavoro aziendali: approcci architettonici
Networking per l'accesso sicuro all'interno del cloud: architetture di riferimento
Networking per la distribuzione di applicazioni su internet: architetture di riferimento
Networking per i carichi di lavoro ibridi e multi-cloud: architetture di riferimento (questo documento)

Questo documento illustra la rete per uno scenario in cui i carichi di lavoro vengono eseguiti in più di un luogo, ad esempio on-premise e nel cloud o in più ambienti cloud.

Architettura lift and shift

Il primo scenario di accesso al carico di lavoro ibrido è lift and shift dell'architettura.

Creazione di una connettività privata in corso...

Puoi stabilire la connettività alle reti on-premise utilizzando Dedicated Interconnect o Partner Interconnect. La topologia illustrata nella figura 1 mostra come utilizzare quattro interconnessioni in due aree metropolitane diverse e domini di disponibilità perimetrale diversi raggiungere una disponibilità del 99,99% utilizzando Dedicated Interconnect. Per ulteriori informazioni e consigli dettagliati, vedi Connettività ibrida tra un ambiente on-premise e Google Cloud nel progetto delle basi aziendali.

Configurazione di connessioni Cloud Interconnect ridondanti per una disponibilità del 99,99%.

Figura 1. Configurazione di Cloud Interconnect ridondante per una disponibilità del 99,99%.

Centro connettività di rete consente di utilizzare la rete Google trasferimento di dati tra più siti on-premise o con hosting su cloud. Questo approccio ti consente di sfruttare la copertura e l'affidabilità della rete di Google quando devi spostare i dati. Puoi utilizzare le appliance router Cloud VPN, Cloud Interconnect e SD-WAN esistenti come spoke di Network Connectivity Center per supportare il trasferimento di dati tra le reti on-premise e le sedi distaccate, come mostrato nella figura 2.

Configurazione di Network Connectivity Center che connette diverse reti aziendali on-premise esterne a Google Cloud utilizzando la rete backbone di Google.

Figura 2. Configurazione di Network Connectivity Center che connette diverse reti aziendali on-premise e altre reti cloud esterne a Google Cloud utilizzando la rete di backbone di Google.

Per ulteriori informazioni sulla configurazione di Network Connectivity Center, consulta Considerazioni nella documentazione di Network Connectivity Center.

Appliance SD-WAN

Network Connectivity Center consente di utilizzare un'appliance virtuale di rete di terze parti come uno spoke di Network Connectivity Center per stabilire la connettività tra un sito esterno e le tue risorse di rete VPC. Un appliance router può essere un di terze parti Router SD-WAN supportato da uno dei nostri partner o un'altra appliance virtuale che consente di scambiare le route dell'istanza del router Cloud. Queste soluzioni basate su appliance si aggiungono alle opzioni di connettività site-to-cloud attualmente disponibili con Cloud VPN e Cloud Interconnect come spoke. La figura 3 mostra una che utilizza appliance SD-WAN.

Configurazione di Network Connectivity Center utilizzando l'appliance router per integrare l'implementazione SD-WAN con la rete Google.

Figura 3. Configurazione di Network Connectivity Center utilizzando l'appliance router per integrare l'implementazione SD-WAN con la rete di Google.

Puoi utilizzare appliance di terze parti per eseguire funzioni di sicurezza. La sicurezza le funzionalità dell'appliance possono essere integrate nell'appliance router come illustrato come mostrato nella figura 3. È inoltre un metodo comune per utilizzare un'appliance virtuale di rete, dove il traffico da on-premise arriva a una rete VPC di transito, e l'appliance stabilisce la connettività con il carico di lavoro rete VPC, come mostrato nella Figura 4.

Per ulteriori informazioni sulla configurazione di Network Connectivity Center, consulta Considerazioni nella documentazione di Network Connectivity Center.

Architettura dei servizi ibridi

Come nel caso d'uso intra-cloud descritto in Networking per l'accesso intra-cloud sicuro: architetture di riferimento, Network Connectivity Center consente la connettività dai siti delle filiali e dalle reti on-premise a Google Cloud. Private Service Connect fornisce accesso privato ai servizi gestiti da Google o ti consente di utilizzare altri servizi creati e di cui è stato eseguito il deployment nel cloud.

Puoi anche implementare la sicurezza di rete utilizzando una combinazione di Controlli di servizio VPC, firewall Google Cloud e appliance virtuali di rete, come mostrato nella figura 4.

Reti con un'architettura che utilizza sia un pattern lift and shift sia un modello di progettazione di servizi ibridi, progettato per fornire un piano dati sicuro.

Figura 4. Reti con un'architettura che utilizza sia lift and shift e un modello di progettazione di servizi ibridi per fornire una un piano dati sicuro.

Architettura distribuita Zero Trust

In un ambiente ibrido, i microservizi vengono eseguiti mesh di servizi il cui deployment viene eseguito cloud provider e on-premise. Puoi contribuire a proteggere le comunicazioni di microservizi mediante mTLS e i criteri di autorizzazione. È prassi comune per le aziende creare mesh di servizi nel cloud ed estenderli on-premise. La figura 5 mostra un esempio di deployment di servizi per accedere ai servizi on-premise nel cloud. mTLS end-to-end tra viene abilitato utilizzando il gateway east-west e il routing basato su SNI. Cloud Service Mesh ti aiuta a proteggere le comunicazioni tra servizi, configuri i criteri di autorizzazione per i servizi ed esegui il deployment dei certificati e chiavi fornite da un modello autorità di certificazione.

Gli ambienti ibridi in genere prevedono più deployment mesh, ad esempio in più cluster GKE. Un componente importante di questo flusso è il routing SNI, che viene utilizzato gateway est-ovest per ogni cluster. Questa configurazione consente il routing mTLS diretto al carico di lavoro da parte del gateway, preservando al contempo la connettività mTLS end-to-end.

Mesh di servizi Zero Trust di cui è stato eseguito il deployment in un ambiente on-premise e in Google Cloud.

Figura 5. Mesh di servizi Zero Trust di cui è stato eseguito il deployment in un ambiente on-premise Google Cloud e Google Cloud.

Le aziende possono utilizzare Cloud Service Mesh per eseguire il deployment in più cloud. Per risolvere le difficoltà di gestione dell'identità e dei certificati tra i fornitori di servizi cloud, Cloud Service Mesh fornisce l'identità del carico di lavoro e un'autorità di certificazione (CA) intermedia all'interno del cluster utilizzando il servizio CA. La CA intermedia può essere collegata a una CA esterna o essere ospitata in Google. Puoi personalizzare CA come la regione e l'algoritmo di firma, usando sia gli attributi di proprietà HSM e Cloud HSM.

Workload Identity consente di assegnare identità distinte e granulari per ogni microservizio del tuo cluster. Cloud Service Mesh gestisce la procedura di emissione dei certificati e la rotazione automatica di chiavi e certificati, senza interrompere le comunicazioni. Fornisce inoltre un'unica radice di attendibilità tra i cluster GKE.

La Figura 6 mostra un'architettura che utilizza Cloud Service Mesh per gestire l'identità e l'autorizzazione.

I servizi nel mesh possono accedere ai servizi Google Cloud utilizzando la federazione delle identità dei carichi di lavoro. Questa funzionalità consente ai servizi di agire con l'autorità di un account di servizio Google quando richiamano le API Google Cloud. Federazione delle identità per i carichi di lavoro consente inoltre al mesh di servizi installato su altri cloud provider di accedere le API di Google Cloud.

Mesh di servizi zero trust di cui è stato eseguito il deployment in più cloud.

Figura 6. Mesh di servizi zero trust di cui è stato eseguito il deployment in più cloud.

Puoi utilizzare Cloud Service Mesh per instradare il traffico dal mesh alle risorse on-premise o a qualsiasi altro cloud.

Ad esempio, puoi creare servizi in Cloud Service Mesh chiamati on-prem-service e other-cloud-service e aggiungi una rete di connettività ibrida gruppi di endpoint (NEG) che hanno endpoint 10.1.0.1:80 e 10.2.0.1:80. Cloud Service Mesh invia quindi il traffico ai propri client, che sono sidecar mesh che vengono eseguiti insieme alle tue applicazioni. Pertanto, quando la tua applicazione invia una richiesta al servizio on-prem-service, al client Cloud Service Mesh esamina la richiesta e la indirizza all'endpoint 10.0.0.1:80. Figura 7 che illustra questa configurazione.

Traffico indirizzato da un mesh di servizi utilizzando Cloud Service Mesh.

Figura 7. Traffico indirizzato da un mesh di servizi utilizzando Cloud Service Mesh.

Puoi anche incorporare funzionalità avanzate come la gestione del traffico basata sul peso, come mostrato nella figura 8. Questa funzionalità ti consente di abilitare come la migrazione al cloud. Cloud Service Mesh funge da versatile e gestito a livello globale per i tuoi mesh di servizi.

Traffico ponderato indirizzato utilizzando Cloud Service Mesh.

Figura 8. Traffico ponderato indirizzato utilizzando Cloud Service Mesh.

Passaggi successivi

Networking per l'accesso intra-cloud sicuro: architetture di riferimento.
Networking per la distribuzione di applicazioni su internet: architetture di riferimento
Migrazione a Google Cloud può aiutarti a pianificare, progettare e implementare il processo di migrazione carichi di lavoro in Google Cloud.
Progettazione della zona di destinazione in Google Cloud fornisce le indicazioni per creare una rete per le zone di destinazione.
Per altre architetture di riferimento, diagrammi e best practice, esplora il Centro architetture cloud.