Jaringan untuk workload hybrid dan multi-cloud: Arsitektur referensi

Last reviewed 2025-01-13 UTC

Dokumen ini adalah bagian dari rangkaian yang menjelaskan arsitektur keamanan dan jaringan untuk perusahaan yang memigrasikan workload pusat data ke Google Cloud.

Seri ini terdiri dari dokumen berikut:

Dokumen ini membahas jaringan untuk skenario saat beban kerja berjalan di lebih dari satu tempat, seperti di infrastruktur lokal dan cloud, atau di beberapa lingkungan cloud.

Arsitektur lift-and-shift

Skenario akses beban kerja hybrid pertama adalah arsitektur lift-and-shift.

Membangun konektivitas pribadi

Anda dapat membuat konektivitas ke jaringan lokal menggunakan Dedicated Interconnect atau Partner Interconnect. Topologi yang diilustrasikan dalam gambar 1 menunjukkan cara menggunakan empat koneksi Dedicated Interconnect di dua metro yang berbeda dan domain ketersediaan edge yang berbeda untuk mencapai ketersediaan 99,99%. (Anda juga dapat mencapai ketersediaan 99,99% menggunakan Partner Interconnect.)

Untuk konektivitas antara jaringan Google Cloud dan jaringan Anda yang dihosting oleh penyedia cloud lain, gunakan Cross-Cloud Interconnect.

Untuk informasi selengkapnya dan rekomendasi mendetail, lihat Konektivitas campuran antara lingkungan on-premise dan Google Cloud dalam blueprint fondasi perusahaan.

Konfigurasi koneksi Cloud Interconnect redundan untuk ketersediaan 99,99%.

Gambar 1. Konfigurasi koneksi Dedicated Interconnect redundan untuk ketersediaan 99,99%.

Network Connectivity Center memungkinkan Anda menggunakan jaringan Google untuk transfer data antara beberapa situs yang dihosting di lokal atau di cloud. Pendekatan ini memungkinkan Anda memanfaatkan jangkauan dan keandalan jaringan Google saat Anda perlu memindahkan data. Anda dapat menggunakan Cloud VPN, Cloud Interconnect, perangkat router SD-WAN, dan jaringan VPC yang ada sebagai spoke Network Connectivity Center untuk mendukung transfer data antara jaringan lokal, situs cabang, penyedia cloud lainnya, dan jaringan VPCGoogle Cloud seperti yang ditunjukkan pada gambar 2.

Konfigurasi Network Connectivity Center yang menghubungkan berbagai jaringan perusahaan lokal di luar Google Cloud menggunakan jaringan backbone Google.

Gambar 2. Konfigurasi Network Connectivity Center yang menghubungkan berbagai jaringan perusahaan lokal dan jaringan cloud lainnya di luar Google Cloud menggunakan jaringan backbone Google.

Untuk mengetahui informasi selengkapnya tentang cara menyiapkan Network Connectivity Center, lihat Pertimbangan dalam dokumentasi Network Connectivity Center.

Peralatan SD-WAN

Dengan Network Connectivity Center, Anda dapat menggunakan perangkat router pihak ketiga sebagai spoke Network Connectivity Center untuk membuat konektivitas antara situs eksternal dan resource jaringan VPC Anda. Peralatan router dapat berupa router SD-WAN pihak ketiga yang didukung oleh salah satu partner kami atau perangkat virtual lainnya yang memungkinkan Anda bertukar rute dengan instance Cloud Router. Solusi berbasis appliance ini merupakan tambahan dari opsi konektivitas situs ke cloud saat ini yang tersedia dengan Cloud VPN dan Cloud Interconnect sebagai spoke. Gambar 3 menunjukkan topologi yang menggunakan perangkat SD-WAN.

Konfigurasi Network Connectivity Center menggunakan perangkat router untuk mengintegrasikan implementasi SD-WAN dengan jaringan Google.

Gambar 3. Konfigurasi Network Connectivity Center menggunakan perangkat router untuk mengintegrasikan implementasi SD-WAN dengan jaringan Google.

Anda dapat menggunakan perangkat pihak ketiga untuk menjalankan fungsi keamanan. Kemampuan keamanan perangkat dapat diintegrasikan dalam router appliance seperti yang ditunjukkan dalam gambar 3. Ini juga merupakan pola umum untuk menggunakan peralatan virtual jaringan, dengan traffic dari lokal yang masuk ke jaringan VPC transit, dan peralatan tersebut membuat konektivitas dengan jaringan VPC workload, seperti yang ditunjukkan pada gambar 4.

Untuk mengetahui informasi selengkapnya tentang cara menyiapkan Network Connectivity Center, lihat Pertimbangan dalam dokumentasi Network Connectivity Center.

Arsitektur layanan hybrid

Seperti pada kasus penggunaan intra-cloud yang dibahas dalam Jaringan untuk akses intra-cloud yang aman: Arsitektur referensi, Network Connectivity Center memungkinkan konektivitas dari situs cabang dan jaringan lokal Anda ke Google Cloud. Private Service Connect memberikan akses pribadi ke layanan yang dikelola Google atau memungkinkan Anda menggunakan layanan lain yang dibuat dan di-deploy di cloud.

Anda juga dapat menerapkan keamanan jaringan menggunakan kombinasi Kontrol Layanan VPC,firewall Google Cloud , dan virtual appliance jaringan, seperti yang ditunjukkan pada gambar 4.

Jaringan dengan arsitektur yang menggunakan pola lift-and-shift dan pola desain layanan hybrid yang dirancang untuk menyediakan bidang data yang aman.

Gambar 4. Jaringan dengan arsitektur yang menggunakan pola lift-and-shift dan pola desain layanan hybrid yang dirancang untuk menyediakan bidang data yang aman.

Arsitektur Terdistribusi Zero-Trust

Dalam lingkungan hybrid, microservice berjalan di service mesh yang di-deploy di berbagai penyedia cloud dan lingkungan lokal. Anda dapat membantu mengamankan komunikasi antar-microservice dengan menggunakan Transport Layer Security (mTLS) bersama dan kebijakan otorisasi. Membangun mesh layanan di cloud dan memperluas mesh ke on-premise adalah praktik umum bagi perusahaan. Gambar 5 menunjukkan contoh layanan yang di-deploy di lokalitas mengakses layanan di cloud. mTLS menyeluruh antara layanan diaktifkan menggunakan gateway east-west dan pemilihan rute berbasis Server Name Indication (SNI). Cloud Service Mesh membantu Anda mengamankan komunikasi layanan ke layanan, sehingga Anda dapat mengonfigurasi kebijakan otorisasi untuk layanan, serta men-deploy sertifikat dan kunci yang disediakan oleh certificate authority terkelola ini.

Lingkungan hybrid biasanya menampilkan beberapa deployment mesh, seperti beberapa cluster GKE. Komponen penting dalam alur ini adalah perutean SNI, yang digunakan di gateway east-west GKE untuk setiap cluster. Konfigurasi ini memungkinkan perutean mTLS langsung ke beban kerja oleh gateway sekaligus mempertahankan konektivitas mTLS menyeluruh.

Mesh layanan zero trust yang di-deploy di seluruh lingkungan lokal dan Google Cloud.

Gambar 5. Mesh layanan zero-trust yang di-deploy di seluruh lingkungan on-premise dan Google Cloud.

Perusahaan dapat menggunakan Cloud Service Mesh untuk men-deploy di seluruh cloud. Untuk mengatasi tantangan dalam mengelola identitas dan sertifikat di seluruh penyedia cloud, Cloud Service Mesh menyediakan identitas workload dan certificate authority (CA) dalam cluster perantara, menggunakan CA Service (CA Service). CA perantara dapat dikaitkan ke CA eksternal atau dapat dihosting di Google. Anda dapat menyesuaikan atribut CA seperti region dan algoritma tanda tangan, menggunakan HSM milik perusahaan dan Cloud HSM.

Dengan Workload Identity, Anda dapat menetapkan identitas dan otorisasi yang berbeda secara terperinci untuk setiap microservice di cluster. Cloud Service Mesh mengelola proses penerbitan sertifikat serta rotasi kunci dan sertifikat secara otomatis, tanpa mengganggu komunikasi. Layanan ini juga menyediakan satu root trust di seluruh cluster GKE.

Gambar 6 menunjukkan arsitektur yang menggunakan Cloud Service Mesh untuk mengelola identitas dan otorisasi.

Layanan dalam mesh dapat mengakses layanan Google Cloud menggunakan Workload Identity Federation. Fitur ini memungkinkan layanan bertindak dengan otorisasi akun layanan Google saat memanggil API Google Cloud . Workload identity federation juga memungkinkan mesh layanan yang diinstal di penyedia cloud lain mengakses API Google Cloud.

Mesh layanan zero-trust yang di-deploy di seluruh cloud.

Gambar 6. Mesh layanan zero-trust yang di-deploy di seluruh cloud.

Anda dapat menggunakan Cloud Service Mesh untuk merutekan traffic dari mesh ke infrastruktur lokal atau ke cloud lainnya.

Misalnya, Anda dapat membuat layanan di Cloud Service Mesh yang disebut on-prem-service dan other-cloud-service serta menambahkan grup endpoint jaringan konektivitas campuran (NEG) yang memiliki endpoint 10.1.0.1:80 dan 10.2.0.1:80. Cloud Service Mesh kemudian mengirimkan traffic ke kliennya, yang merupakan proxy sidecar mesh yang berjalan bersama aplikasi Anda. Dengan demikian, saat aplikasi Anda mengirim permintaan ke layanan on-prem-service, klien Cloud Service Mesh akan memeriksa permintaan tersebut dan mengarahkannya ke endpoint 10.2.0.1:80. Gambar 7 mengilustrasikan konfigurasi ini.

Traffic yang diarahkan dari mesh layanan menggunakan Cloud Service Mesh.

Gambar 7. Traffic yang diarahkan dari mesh layanan menggunakan Cloud Service Mesh.

Anda juga dapat menggabungkan fungsi lanjutan, seperti pengarahan traffic berbasis berat, seperti yang ditunjukkan pada gambar 8. Dengan kemampuan ini, Anda dapat memenuhi kebutuhan perusahaan yang penting, seperti migrasi cloud. Cloud Service Mesh berfungsi sebagai bidang kontrol serbaguna yang dikelola secara global untuk mesh layanan Anda.

Traffic berbobot yang diarahkan menggunakan Cloud Service Mesh.

Gambar 8. Traffic berbobot yang diarahkan menggunakan Cloud Service Mesh.

Langkah selanjutnya