Connessione a Google

Esistono diversi modi per collegare i cluster Google Distributed Cloud, in esecuzione nel tuo data center on-premise, alla rete Google Cloud. Le possibilità includono:

Connessione a internet standard

In alcuni scenari, puoi utilizzare internet come connessione tra Google e il tuo data center on-premise. Ad esempio:

  • Il tuo deployment di Google Distributed Cloud è autonomo on-premise e i componenti on-premise comunicano raramente con la rete di Google Cloud. Utilizzi la connessione principalmente per la gestione del cluster. La velocità, l'affidabilità e la sicurezza della connessione non sono fondamentali.

  • Il cluster on-premise è autonomo, tranne per l'accesso a un servizio Google come Cloud SQL. Il traffico tra il cluster on-premise e il servizio Google utilizza indirizzi IP pubblici. Configura le regole firewall per fornire sicurezza.

VPN ad alta disponibilità

Con VPN ad alta disponibilità e router Cloud, il traffico tra Google e il tuo data center on-premise attraversa internet pubblico, ma è criptato. I componenti on-premise possono comunicare con i componenti cloud utilizzando indirizzi IP privati. Il router Cloud scambia dinamicamente le route tra le tue reti Google Cloud e la tua rete on-premise. Il routing dinamico è particolarmente utile quando la rete si espande e cambia, perché garantisce che lo stato di routing corretto venga propagato al data center on-premise.

Partner Interconnect

Partner Interconnect fornisce connettività tra la tua rete on-premise e la reteGoogle Cloud tramite un fornitore di servizi supportato. Il traffico tra Google e il tuo data center on-premise non attraversa la rete internet pubblica. I componenti on-premise possono comunicare con i componenti cloud utilizzando indirizzi IP privati. La tua connessione a Google è veloce, sicura e affidabile.

Dedicated Interconnect

Dedicated Interconnect fornisce una connessione fisica diretta tra la tua rete on-premise e la reteGoogle Cloud . Questo tipo di connessione può essere conveniente se hai bisogno di una larghezza di banda elevata. Il traffico tra Google e il tuo centro dati on-premise non attraversa la rete internet pubblica. I componenti on-premise possono comunicare con i componenti cloud utilizzando indirizzi IP privati. La connessione a Google è sicura e affidabile ed è anche più veloce di una connessione che utilizza Partner Interconnect.

Impatto di una disconnessione temporanea

Per informazioni su cosa succede se la disconnessione è temporanea, consulta Impatto della disconnessione temporanea da Google Cloud.

Scelta di un tipo di connessione

Per ulteriori indicazioni sulla scelta di un tipo di connessione, consulta:

Monitoraggio della rete

Indipendentemente da come stabilisci una connessione di base con Google, puoi beneficiare degli approfondimenti forniti dal monitoraggio e dal logging di rete. Per ulteriori informazioni, consulta Logging e monitoraggio per Google Distributed Cloud.

Migliorare la connessione di base

Una volta stabilita la connessione di base, puoi aggiungere funzionalità che migliorano accesso, sicurezza e visibilità. Ad esempio, puoi attivare Accesso privato Google o Connetti.

Il resto delle indicazioni in questo argomento presuppone che tu stia utilizzando una delle seguenti opzioni per la connessione di base a Google:

Accesso privato Google

L'accesso privato Google consente alle VM con soli indirizzi IP privati di raggiungere gli indirizzi IP di API e servizi Google. Questo scenario include il caso in cui i nodi del cluster Google Distributed Cloud abbiano solo indirizzi IP privati. L'accesso privato Google viene abilitato a livello di subnet.

Con l'accesso privato Google, le richieste dal tuo data center on-premise ai servizi Google attraversano la connessione Cloud Interconnect o Cloud VPN anziché internet pubblico.

Utilizza l'accesso privato Google in queste situazioni:

  • Le VM on-premise senza indirizzi IP pubblici devono connettersi ai servizi Google come BigQuery, Pub/Sub o Container Registry.

  • Vuoi connetterti ai servizi Google senza passare per la rete internet pubblica.

Per un elenco dei servizi che supportano l'accesso privato Google dalle VM on-premise, consulta Servizi supportati. Per informazioni sull'utilizzo dell'accesso privato Google dalle VM on-premise, consulta Configurazione dell'accesso privato Google per gli host on-premise.

Servizi che non richiedono l'accesso privato Google

A volte non è necessario l'accesso privato Google per raggiungere un servizio da una VM con solo un indirizzo IP privato. Ad esempio:

  • Creazione di un'istanza Cloud SQL con un indirizzo IP pubblico e uno privato. In questo modo, i componenti on-premise possono accedere all'istanza Cloud SQL utilizzando il relativo indirizzo IP privato. In questo caso non è necessario Accesso privato Google, perché non devi raggiungere l'indirizzo IP pubblico di un servizio Google. Questo approccio funziona solo se il router Cloud annuncia l'indirizzo IP privato dell'istanza Cloud SQL alla tua rete on-premise.

  • Hai un cluster Google Distributed Cloud in Google Cloude i suoi nodi hanno indirizzi IP privati. I componenti on-premise possono accedere a un servizio NodePort o a un servizio di bilanciamento del carico interno nel cluster Google Distributed Cloud nel cloud.

Controlli di servizio VPC

Se vuoi una protezione aggiuntiva contro l'esfiltrazione, puoi utilizzare Controlli di servizio VPC. Con i Controlli di servizio VPC, puoi configurare perimetri di sicurezza attorno alle risorse dei tuoi servizi gestiti da Google e controllare il movimento dei dati oltre il confine del perimetro.

Se utilizzi Controlli di servizio VPC, potresti visualizzare errori quando esegui alcuni comandi gkectl, ad esempio "Validation Category: GCP - [UNKNOWN] GCP service: [Stackdriver] could not get GCP services". Per evitare questi errori, aggiungi il parametro --skip-validation-gcp ai comandi.

Connetti

Connect ti consente di visualizzare e gestire i cluster di utenti on-premise dalla console Google Cloud .

Passaggi successivi