Connessione a Google

Ci sono vari modi per connettere Google Distributed Cloud di cluster in esecuzione nel tuo data center on-premise, a Google Cloud in ogni rete. Le possibilità includono:

Connessione normale a internet

In alcuni scenari, puoi utilizzare internet come connessione tra Google e il tuo data center on-premise. Ad esempio:

  • Il deployment di Google Distributed Cloud è autonomo on-premise e i componenti on-premise comunicano raramente con Google Cloud in ogni rete. La connessione viene utilizzata principalmente per la gestione del cluster. La velocità, l'affidabilità e la sicurezza della connessione non sono fondamentali.

  • Il cluster on-premise è indipendente, ad eccezione dell'accesso a un cluster come Cloud SQL. Traffico tra il cluster on-premise e Il servizio Google utilizza indirizzi IP pubblici. Puoi configurare le regole firewall garantire la sicurezza.

VPN ad alta disponibilità

Con VPN ad alta disponibilità e Router Cloud, il traffico tra Google e il tuo data center on-premise attraversa la rete internet pubblica, ma criptato. i componenti on-premise possono comunicare con i componenti cloud utilizzando e i loro indirizzi IP privati. Il router Cloud scambia dinamicamente le route tra dalle reti Google Cloud e dalla rete on-premise. Il routing dinamico è particolarmente utile quando la rete si espande e cambia, in quanto garantisce affinché lo stato di routing corretto venga propagato al data center on-premise.

Partner Interconnect

Partner Interconnect fornisce connettività tra la tua rete on-premise e tramite un provider di servizi supportato. Traffico tra Google e il tuo data center on-premise non attraversa il pubblico internet. I componenti on-premise possono comunicare con i componenti cloud utilizzando e i loro indirizzi IP privati. La tua connessione a Google è veloce, sicura e affidabile.

Dedicated Interconnect

Interconnessione dedicata una connessione fisica diretta tra la rete on-premise e rete Google Cloud. Questo tipo di connessione può essere conveniente se hai bisogno di larghezza di banda elevata. Traffico tra Google e i dati on-premise non attraversa la rete internet pubblica. I componenti on-premise possono comunicare con i componenti cloud usando indirizzi IP privati. La tua connessione a Google è sicura e affidabile ed è persino più veloce di una connessione che utilizza Partner Interconnect.

Impatto di una disconnessione temporanea

Per informazioni su cosa succede in caso di disconnessione, vedi Impatto della disconnessione temporanea da Google Cloud.

Scelta di un tipo di connessione

Per ulteriori indicazioni sulla scelta di un tipo di connessione, consulta:

Monitoraggio della rete

Indipendentemente da come stabilisci una connessione fondamentale con Google, puoi possono trarre vantaggio dagli insight forniti dal logging e dal monitoraggio della rete. Per ulteriori informazioni le informazioni, vedi Logging e monitoraggio per Google Distributed Cloud.

Rafforzare la connessione fondamentale

Una volta stabilita la connessione di base, puoi aggiungere funzionalità che migliorano accesso, sicurezza e visibilità. Ad esempio, potresti attivare Accesso privato Google oppure Connetti.

Il resto delle indicazioni in questo argomento presuppone che tu stia utilizzando uno dei seguenti opzioni per il tuo collegamento di base con Google:

Accesso privato Google

L'accesso privato Google consente alle VM che hanno solo indirizzi IP privati per raggiungere gli indirizzi IP delle API di Google e servizi aggiuntivi. Questo scenario include il caso in cui i nodi dei cluster Google Distributed Cloud abbiano solo e i loro indirizzi IP privati. L'accesso privato Google viene abilitato a livello di subnet.

Con l'accesso privato Google, le richieste dal tuo data center on-premise ai servizi Google attraversano Cloud Interconnect la connessione Cloud VPN anziché attraversare la rete internet pubblica.

Utilizza l'accesso privato Google nelle seguenti situazioni:

  • Le VM on-premise senza indirizzi IP pubblici devono connettersi a Google come BigQuery, Pub/Sub o Container Registry.

  • Vuoi connetterti ai servizi Google senza attraversare la rete internet pubblica.

Per un elenco dei servizi che supportano l'accesso privato Google dalle VM on-premise, vedi Servizi supportati. Per informazioni sull'utilizzo dell'accesso privato Google dalle VM on-premise, consulta Configurare l'accesso privato Google per gli host on-premise.

Servizi che non richiedono l'accesso privato Google

A volte non è necessario l'accesso privato Google per raggiungere un servizio da una VM che ha solo un indirizzo IP privato. Ad esempio:

  • Creerai un'istanza Cloud SQL che ha sia un indirizzo IP pubblico che l'indirizzo IP privato. Quindi i componenti on-premise possono accedere Cloud SQL utilizzando il relativo indirizzo IP privato. Non è necessario l'accesso privato Google in questo caso perché non è necessario raggiungere all'indirizzo IP pubblico di un servizio Google. Questo approccio funziona solo se Il router Cloud annuncia l'indirizzo IP privato dall'istanza Cloud SQL alla rete on-premise.

  • Disponi di un cluster Google Distributed Cloud in Google Cloud e i nodi dei cluster hanno indirizzi IP privati. I componenti on-premise Accedi a un servizio NodePort o a un servizio bilanciatore del carico interno nel cloud Google Distributed Cloud.

Controlli di servizio VPC

Per una maggiore protezione contro l'esfiltrazione, puoi utilizzare Controlli di servizio VPC. Con i Controlli di servizio VPC, puoi configurare i perimetri di sicurezza intorno al le risorse dei tuoi servizi gestiti da Google e controllare lo spostamento dei dati lungo il confine del perimetro.

Se utilizzi Controlli di servizio VPC, potresti riscontrare errori quando esegui Comandi gkectl, ad esempio "Validation Category: GCP - [UNKNOWN] GCP service: [Stackdriver] could not get GCP services". Per evitare questi errori, aggiungi il parametro --skip-validation-gcp ai tuoi comandi.

Connetti

Connect ti consente per visualizzare e gestire i cluster utente on-premise dalla console Google Cloud.

Passaggi successivi