Cross-Cloud Network לאפליקציות מבוזרות

‫Cross-Cloud Network מאפשרת ליצור ארכיטקטורה להרכבת אפליקציות מבוזרות. בעזרת Cross-Cloud Network אפשר לפזר עומסי עבודה ושירותים בין כמה רשתות בענן ורשתות מקומיות. הפתרון הזה מספק למפתחי אפליקציות ולמפעילים חוויה של ענן יחיד בכמה עננים. הפתרון הזה משתמש בשימושים מבוססים ברשתות היברידיות וברשתות מרובות עננים וגם מרחיב אותם.

המדריך הזה מיועד למהנדסי רשתות ולמומחי Cloud Architect שרוצים לתכנן ולבנות אפליקציות מבוזרות ב-Cross-Cloud Network. המדריך הזה מספק הבנה מקיפה של שיקולים לעיצוב רשתות חוצות עננים.

מדריך התכנון הזה הוא סדרה שכוללת את המסמכים הבאים:

• תכנון של Cross-Cloud Network לאפליקציות מבוזרות (המסמך הזה)
• פילוח רשת וקישוריות לאפליקציות מבוזרות ב-Cross-Cloud Network
• רשת שירותים לאפליקציות מבוזרות ב-Cross-Cloud Network
• אבטחת רשת לאפליקציות מבוזרות ב-Cross-Cloud Network

הארכיטקטורה תומכת במערכות אזוריות וגלובליות של אפליקציות, והיא מאורגנת בשכבות הפונקציונליות הבאות:

• פילוח וקישוריות של הרשת: כולל את מבנה הפילוח של הענן הווירטואלי הפרטי (VPC) וקישוריות ה-IP בין רשתות VPC ורשתות חיצוניות.
• Service networking: פריסה של שירותי אפליקציות, שמתבצעת עם איזון עומסים והופכת את השירותים לזמינים בפרויקטים ובארגונים.
• אבטחת רשת: מאפשרת לאכוף אבטחה בתקשורת בתוך הענן ובין עננים שונים, באמצעות אבטחת ענן מובנית ומכשירים וירטואליים לרשת (NVA).

סגמנטציה של רשת וקישוריות

מבנה הפילוח והקישוריות הם הבסיס של התכנון. בתרשים הבא מוצג מבנה פילוח של VPC, שאפשר להטמיע באמצעות תשתית מאוחדת או מפולחת. בתרשים לא מוצגים החיבורים בין הרשתות.

המבנה הזה כולל את הרכיבים הבאים:

• רשת VPC למעבר: מטפלת בחיבורים לרשתות חיצוניות ובמדיניות הניתוב. רשת ה-VPC הזו יכולה לספק קישוריות גם בין רשתות VPC אחרות.
• רשתות VPC עם גישה לשירותים: מכילות נקודות גישה לשירותים שונים. אפשר להגיע לנקודות הגישה לשירותים ברשתות ה-VPC האלה מרשתות אחרות.
• רשתות VPC של שירותים מנוהלים: מכילות שירותים שנוצרו על ידי ישויות אחרות. הגישה לשירותים מתאפשרת לאפליקציות שפועלות ברשתות VPC באמצעות Private Service Connect או גישה לשירותים פרטיים.
• רשתות VPC של אפליקציות: מכילות את עומסי העבודה שמרכיבים את שירותי התוכנה שהארגון יוצר ומארח בעצמו.

הבחירה שלכם במבנה פילוח ל-VPC של האפליקציות תלויה בהיקף ה-VPC של האפליקציות שנדרש, בשאלה אם אתם מתכננים לפרוס חומות אש היקפיות ב-Cross-Cloud Network או באופן חיצוני, ובבחירה של פרסום שירות מרכזי או מבוזר.

רשתות חוצות-ענן תומכות בפריסה של מחסניות אפליקציות אזוריות ומחסניות אפליקציות גלובליות. שני הארכיטיפים האלה של עמידות האפליקציה נתמכים על ידי מבנה הפילוח המוצע עם דפוס הקישוריות בין רשתות ה-VPC.

אפשר להשיג קישוריות בין רשתות VPC באמצעות Network Connectivity Center או באמצעות שילוב של קישור בין רשתות שכנות (peering) של VPC ודפוסי רשת מסוג Hub-and-Spoke של HA VPN.

העיצוב של תשתית ה-DNS מוגדר גם בהקשר של מבנה הפילוח, ללא קשר לתבנית הקישוריות.

Service Networking

ארכיטיפים שונים של פריסת אפליקציות מובילים לדפוסים שונים של רשתות שירותים. כשמתכננים רשת חוצת-ענן, כדאי להתמקד בארכיטיפ של פריסה במספר אזורים, שבו מחסנית אפליקציות פועלת באופן עצמאי במספר אזורים בשניGoogle Cloud אזורים או יותר.

ארכיטיפ פריסה מרובת אזורים כולל את התכונות הבאות, שימושיות לתכנון של Cross-Cloud Network:

• אתם יכולים להשתמש במדיניות ניתוב של DNS כדי לנתב תנועה נכנסת למאזני עומסים אזוריים.
• לאחר מכן, מאזני העומסים האזוריים יכולים להפיץ את התעבורה אל מחסנית האפליקציות.
• אפשר להטמיע יתירות כשל אזורית על ידי עיגון מחדש של מיפויי ה-DNS של סטאק האפליקציות באמצעות מדיניות ניתוב יתירות כשל ב-DNS.

חלופה לארכיטיפ של פריסה במספר אזורים היא ארכיטיפ של פריסה גלובלית, שבו נוצרת שכבה אחת במאזני עומסים גלובליים והיא משתרעת על פני מספר אזורים. כשעובדים עם עיצוב של רשת חוצת-ענן, כדאי לשקול את התכונות הבאות של הארכיטיפ הזה:

• מאזני העומסים מפזרים את התעבורה לאזור שהכי קרוב למשתמש.
• ממשקי הקצה שפונים לאינטרנט הם גלובליים, אבל ממשקי הקצה שפונים פנימה הם אזוריים עם גישה גלובלית, כך שאפשר להגיע אליהם בתרחישי מעבר לגיבוי.
• אפשר להשתמש במדיניות ניתוב של DNS לפי מיקום גיאוגרפי ובבדיקות תקינות של DNS בשכבות השירות הפנימיות של חבילת האפליקציות.

האופן שבו מספקים גישה לשירותים מנוהלים שפורסמו תלוי בשירות שאליו רוצים להגיע. המודלים השונים של נגישות פרטית הם מודולריים ואורתוגונליים לעיצוב של ערימת האפליקציות.

בהתאם לשירות, אפשר להשתמש ב-Private Service Connect או בגישה לשירותים פרטיים כדי לקבל גישה פרטית. אתם יכולים ליצור חבילת אפליקציות על ידי שילוב של שירותים מובנים ושירותים שפורסמו על ידי ארגונים אחרים. מערכי השירותים יכולים להיות אזוריים או גלובליים, בהתאם לרמת העמידות הנדרשת ולזמן האחזור האופטימלי לגישה.

אבטחת רשת

לצורך אבטחת עומסי עבודה, מומלץ להשתמש במדיניות חומת אש מ- Google Cloud.

אם הארגון שלכם דורש יכולות מתקדמות נוספות כדי לעמוד בדרישות אבטחה או בדרישות תאימות, אתם יכולים לשלב חומות אש לאבטחת היקף על ידי הוספה של מכשירים וירטואליים לרשת (NVA) של חומת אש מהדור הבא (NGFW).

אפשר להוסיף מכשירי NGFW NVA בממשק רשת יחיד (מצב NIC יחיד) או בכמה ממשקי רשת (מצב multi-NIC). מכשירי NGFW NVA יכולים לתמוך באזורי אבטחה או במדיניות היקפית שמבוססת על Classless Inter-Domain Routing‏ (CIDR).‏ Cross-Cloud Network פורס מכשירי NGFW NVA היקפיים באמצעות מדיניות ניתוב של VPC ו-VPC מעבר.

המאמרים הבאים

• תכנון פילוח הרשת והקישוריות של אפליקציות ברשתות חוצות-ענן.
• מידע נוסף על Google Cloud המוצרים שבהם נעשה שימוש במדריך העיצוב הזה:
  • רשתות VPC
  • VPC משותף
  • VPC Network Peering
  • ‫Private Service Connect
  • גישה לשירותים פרטיים
• לדוגמאות נוספות של ארכיטקטורות, מדריכי עיצוב ושיטות מומלצות, אפשר לעיין במאמר מרכז הארכיטקטורה של Cloud.

שותפים ביצירת התוכן

מחברים:

• Victor Moreno | Product Manager, Cloud Networking
• Ghaleb Al-habian | Network Specialist
• ‫Deepak Michael | Networking Specialist Customer Engineer
• Osvaldo Costa | Networking Specialist Customer Engineer
• Jonathan Almaleh | Staff Technical Solutions Consultant

תורמי תוכן אחרים:

• Zach Seils | מומחה לרשתות
• Christopher Abraham | Networking Specialist Customer Engineer
• Emanuele Mazza | מומחה למוצרי רשת
• Aurélien Legrand | Strategic Cloud Engineer
• אריק יו (Eric Yu) | מהנדס לקוחות מומחה לרשתות
• קומאר דהנגופאל | מפתח פתרונות חוצי-מוצרים
• מארק שלגנהוף | כותב טכני, רשתות
• Marwan Al Shawi | Partner Customer Engineer
• Ammett Williams | Developer Relations Engineer