Cross-Cloud Network לאפליקציות מבוזרות

‫Cross-Cloud Network מאפשרת ארכיטקטורה להרכבה של אפליקציות מבוזרות. התכונה Cross-Cloud Network מאפשרת לכם לפרוס עומסי עבודה ושירותים במספר רשתות ענן ורשתות מקומיות. הפתרון הזה מאפשר למפתחי אפליקציות ולמפעילים ליהנות מחוויה של ענן יחיד בכמה עננים. הפתרון הזה משתמש בשימושים קיימים ברשתות היברידיות ומרובות עננים (multi-cloud) וגם מרחיב אותם.

המדריך הזה מיועד למהנדסי רשתות ולמומחי Cloud Architect שרוצים לתכנן ולבנות אפליקציות מבוזרות ב-Cross-Cloud Network. המדריך הזה מספק הבנה מקיפה של שיקולים בתכנון רשתות חוצות ענן.

מדריך התכנון הזה הוא סדרה שכוללת את המסמכים הבאים:

• תכנון של Cross-Cloud Network לאפליקציות מבוזרות (המסמך הזה)
• פילוח רשת וקישוריות לאפליקציות מבוזרות ב-Cross-Cloud Network
• רשת שירותים לאפליקציות מבוזרות ב-Cross-Cloud Network
• אבטחת רשת לאפליקציות מבוזרות ב-Cross-Cloud Network

הארכיטקטורה תומכת במערכות אזוריות וגלובליות של אפליקציות, והיא מאורגנת בשכבות הפונקציונליות הבאות:

• פילוח רשת וקישוריות: כולל את מבנה הפילוח של הענן הווירטואלי הפרטי (VPC) וקישוריות ה-IP בין רשתות VPC ורשתות חיצוניות.
• Service networking: פריסה של שירותי אפליקציות, עם איזון עומסים וזמינות בפרויקטים ובארגונים.
• אבטחת רשת: מאפשרת לאכוף אבטחה בתקשורת בתוך הענן ובין עננים שונים, באמצעות אבטחת ענן מובנית ומכשירים וירטואליים לרשת (NVA).

סגמנטציה של רשת וקישוריות

המבנה והקישוריות של הפילוח הם הבסיס לעיצוב. בתרשים הבא מוצג מבנה פילוח של VPC, שאפשר להטמיע באמצעות תשתית מאוחדת או מפולחת. התרשים הזה לא מציג את החיבורים בין הרשתות.

המבנה הזה כולל את הרכיבים הבאים:

• רשת VPC למעבר: מטפלת בחיבורים לרשתות חיצוניות ובמדיניות הניתוב. רשת ה-VPC הזו יכולה לספק קישוריות גם בין רשתות VPC אחרות.
• רשתות VPC עם גישה לשירותים: מכילות נקודות גישה לשירותים שונים. אפשר להגיע לנקודות הגישה לשירותים ברשתות ה-VPC האלה מרשתות אחרות.
• רשתות VPC של שירותים מנוהלים: מכילות שירותים שנוצרו על ידי ישויות אחרות. הגישה לשירותים מתאפשרת לאפליקציות שפועלות ברשתות VPC באמצעות Private Service Connect או גישה לשירותים פרטיים.
• רשתות VPC של אפליקציות: מכילות את עומסי העבודה שמרכיבים את שירותי התוכנה שהארגון יוצר ומארח בעצמו.

הבחירה של מבנה הפילוח עבור רשתות ה-VPC של האפליקציות תלויה בהיקף רשתות ה-VPC של האפליקציות שנדרשות, בשאלה אם אתם מתכננים לפרוס חומות אש היקפיות ברשת Cross-Cloud או באופן חיצוני, ובבחירה של פרסום שירות מרכזי או מבוזר.

רשתות חוצות-ענן תומכות בפריסה של חבילות אפליקציות אזוריות וחבילות אפליקציות גלובליות. שני ארכיטיפים של חוסן אפליקציות נתמכים על ידי מבנה הפילוח המוצע עם דפוס הקישוריות בין רשתות VPC.

אפשר להשיג קישוריות בין רשתות VPC באמצעות Network Connectivity Center או באמצעות שילוב של קישור בין רשתות VPC שכנות (peering) ודפוסי רכזת וחישורים של HA VPN.

התכנון של תשתית ה-DNS מוגדר גם הוא בהקשר של מבנה הפילוח, ללא קשר לדפוס הקישוריות.

Service Networking

ארכיטיפים שונים של פריסת אפליקציות מובילים לדפוסים שונים של רשתות שירותים. כשמתכננים רשת חוצת-ענן, כדאי להתמקד בארכיטיפ של פריסה בכמה אזורים, שבו מחסנית של אפליקציה פועלת באופן עצמאי בכמה אזורים בשניGoogle Cloud אזורים או יותר.

ארכיטיפ פריסה במספר אזורים כולל את התכונות הבאות, שימושיות לתכנון של Cross-Cloud Network:

• אתם יכולים להשתמש במדיניות ניתוב DNS כדי לנתב תנועה נכנסת למאזני העומסים האזוריים.
• לאחר מכן, מאזני העומסים האזוריים יכולים להפיץ את התעבורה למערך האפליקציות.
• כדי ליישם יתירות כשל אזורית, אפשר לעגן מחדש את מיפויי ה-DNS של חבילת האפליקציות באמצעות מדיניות ניתוב למעבר לגיבוי ב-DNS.

חלופה לארכיטקטורת הפריסה במספר אזורים היא ארכיטקטורת הפריסה הגלובלית, שבה נוצרת שכבה אחת במאזני עומסים גלובליים והיא משתרעת על פני מספר אזורים. כשעובדים עם תכנון של רשתות חוצות ענן, כדאי לשים לב לתכונות הבאות של הארכיטיפ הזה:

• מאזני העומסים מפזרים את התעבורה לאזור הקרוב ביותר למשתמש.
• החלקים הקדמיים שפונים לאינטרנט הם גלובליים, אבל החלקים הקדמיים שפונים פנימה הם אזוריים עם גישה גלובלית, כך שאפשר להגיע אליהם בתרחישי מעבר לגיבוי.
• אפשר להשתמש במדיניות ניתוב של DNS לפי מיקום גיאוגרפי ובבדיקות תקינות של DNS בשכבות השירות הפנימיות של חבילת האפליקציות.

האופן שבו מספקים גישה לשירותים מנוהלים שפורסמו תלוי בשירות שאליו רוצים להגיע. המודלים השונים של נגישות פרטית הם מודולריים ואורתוגונליים לעיצוב של ערימת האפליקציות.

בהתאם לשירות, אפשר להשתמש ב-Private Service Connect או בגישה לשירותים פרטיים כדי לקבל גישה פרטית. אפשר ליצור מחסנית אפליקציות על ידי שילוב של שירותים מובנים ושירותים שפורסמו על ידי ארגונים אחרים. מערכי השירותים יכולים להיות אזוריים או גלובליים, בהתאם לרמת העמידות הנדרשת ולזמן האחזור האופטימלי לגישה.

אבטחת רשת

לצורך אבטחת עומסי עבודה, מומלץ להשתמש במדיניות חומת אש מ- Google Cloud.

אם הארגון שלכם דורש יכולות מתקדמות נוספות כדי לעמוד בדרישות אבטחה או בדרישות תאימות, אתם יכולים לשלב חומות אש לאבטחת היקף על ידי הוספת מכשירים וירטואליים לרשת (NVA) של חומת אש מהדור הבא (NGFW).

אפשר להוסיף מכשירי NGFW NVA בממשק רשת יחיד (מצב NIC יחיד) או בכמה ממשקי רשת (מצב NIC מרובה). מכשירי ה-NVA של NGFW יכולים לתמוך באזורי אבטחה או במדיניות היקפית שמבוססת על Classless Inter-Domain Routing‏ (CIDR). רשת חוצת-ענן פורסת מכשירי NGFW וירטואליים היקפיים באמצעות VPC מעבר ומדיניות ניתוב של VPC.

המאמרים הבאים

• תכנון פילוח הרשת והקישוריות לאפליקציות של Cross-Cloud Network.
• מידע נוסף על Google Cloud המוצרים שבהם נעשה שימוש במדריך העיצוב הזה:
  • רשתות VPC
  • VPC משותף
  • VPC Network Peering
  • Private Service Connect
  • גישה לשירותים פרטיים
• לדוגמאות נוספות של ארכיטקטורות, מדריכי עיצוב ושיטות מומלצות, אפשר לעיין במאמר מרכז הארכיטקטורה של Cloud.

שותפים ביצירת התוכן

מחברים:

• ‫Victor Moreno | Product Manager, Cloud Networking
• Ghaleb Al-habian | Network Specialist
• ‫Deepak Michael | Networking Specialist Customer Engineer
• Osvaldo Costa | Networking Specialist Customer Engineer
• Jonathan Almaleh | Staff Technical Solutions Consultant

תורמי תוכן אחרים:

• Zach Seils | מומחה לרשתות
• Christopher Abraham | Networking Specialist Customer Engineer
• Emanuele Mazza | מומחה למוצרי רשת
• Aurélien Legrand | Strategic Cloud Engineer
• אריק יו | Customer Engineer מומחה לרשתות
• קומאר דהנגופאל | מפתח פתרונות חוצי-מוצרים
• מארק שלגנהוף | כותב טכני, רישות
• Marwan Al Shawi | Partner Customer Engineer
• Ammett Williams | Developer Relations Engineer