Cross-Cloud Network per applicazioni distribuite

Cross-Cloud Network consente di creare un'architettura per l'assemblaggio di applicazioni distribuite. Cross-Cloud Network ti consente di distribuire carichi di lavoro e servizi su più reti cloud e on-premise. Questa soluzione offre a sviluppatori e operatori di applicazioni l'esperienza di un unico cloud su più cloud. Questa soluzione utilizza ed espande anche gli usi consolidati del networking ibrido e multi-cloud.

Questa guida è destinata agli architetti e agli ingegneri di rete che vogliono progettare e creare applicazioni distribuite su Cross-Cloud Network. Questa guida fornisce una comprensione completa delle considerazioni sulla progettazione di Cross-Cloud Network.

Questa guida alla progettazione è una serie che include i seguenti documenti:

• Progettazione di Cross-Cloud Network per applicazioni distribuite (questo documento)
• Segmentazione e connettività di rete per applicazioni distribuite in Cross-Cloud Network
• Networking di servizi per applicazioni distribuite in Cross-Cloud Network
• Sicurezza della rete per applicazioni distribuite in Cross-Cloud Network

L'architettura supporta gli stack di applicazioni regionali e globali ed è organizzata nei seguenti livelli funzionali:

• Segmentazione e connettività di rete: coinvolge la struttura di segmentazione di Virtual Private Cloud (VPC) e la connettività IP tra i VPC e le reti esterne.
• Networking di servizi: coinvolge il deployment di servizi applicativi, che vengono bilanciati del carico e resi disponibili tra progetti e organizzazioni.
• Sicurezza della rete: consente l'applicazione della sicurezza per le comunicazioni intra-cloud e inter-cloud, utilizzando sia la sicurezza cloud integrata sia le appliance virtuali di rete (NVA).

Segmentazione e connettività di rete

La struttura di segmentazione e la connettività sono alla base della progettazione. Il seguente diagramma mostra una struttura di segmentazione VPC, che puoi implementare utilizzando un'infrastruttura consolidata o segmentata. Questo diagramma non mostra le connessioni tra le reti.

Questa struttura include i seguenti componenti:

• VPC di transito: gestisce le connessioni di rete esterne e le policy di routing. Questo VPC può anche fornire connettività tra altri VPC.
• VPC di accesso ai servizi: contengono punti di accesso a diversi servizi. I punti di accesso ai servizi in questi VPC sono raggiungibili da altre reti.
• VPC di servizi gestiti: contengono servizi prodotti da altre entità. I servizi sono resi accessibili alle applicazioni in esecuzione nelle reti VPC utilizzando Private Service Connect o l'accesso privato ai servizi.
• VPC delle applicazioni: contengono i carichi di lavoro che compongono i servizi software creati e ospitati dalla tua organizzazione.

La scelta della struttura di segmentazione per i VPC delle applicazioni dipende dalla scalabilità dei VPC delle applicazioni richiesti, se prevedi di eseguire il deployment dei firewall perimetrali in Cross-Cloud Network o esternamente e dalla scelta della pubblicazione centralizzata o distribuita dei servizi.

Cross-Cloud Network supporta il deployment di stack di applicazioni regionali e stack di applicazioni globali. Entrambi questi archetipi di resilienza delle applicazioni sono supportati dalla struttura di segmentazione proposta con il pattern di connettività inter-VPC.

Puoi ottenere la connettività inter-VPC con Network Connectivity Center o utilizzando una combinazione di peering di rete VPC e pattern hub-and-spoke VPN ad alta disponibilità affidabilità.

Anche la progettazione dell'infrastruttura DNS è definita nel contesto della struttura di segmentazione, indipendentemente dal pattern di connettività.

Networking di servizi

Diversi archetipi di deployment applicazioni portano a diversi pattern per il networking di servizi. Per la progettazione di Cross-Cloud Network, concentrati su l'archetipo di deployment multiregionale, in cui uno stack di applicazioni viene eseguito in modo indipendente in più zone in due o più Google Cloud regioni.

Un archetipo di deployment multiregionale ha le seguenti funzionalità utili per la progettazione di Cross-Cloud Network:

• Puoi utilizzare le policy di routing DNS per instradare il traffico in entrata ai bilanciatori del carico regionali.
• I bilanciatori del carico regionali possono quindi distribuire il traffico allo stack di applicazioni.
• Puoi implementare il failover regionale riancorando i mapping DNS dello stack di applicazioni con una policy di routing di failover DNS.

Un'alternativa all'archetipo di deployment multiregionale è l'archetipo di deployment globale, in cui un singolo stack viene creato su bilanciatori del carico globali e si estende su più regioni. Quando lavori con la progettazione di Cross-Cloud Network, tieni presente le seguenti funzionalità di questo archetipo:

• I bilanciatori del carico distribuiscono il traffico alla regione più vicina all'utente.
• I frontend rivolti a internet sono globali, ma i frontend rivolti internamente sono regionali con accesso globale, quindi puoi raggiungerli negli scenari di failover.
• Puoi utilizzare le policy di routing DNS di geolocalizzazione e i controlli di integrità DNS sui livelli di servizio interni dello stack di applicazioni.

La modalità di accesso ai servizi gestiti pubblicati dipende dal servizio che deve essere raggiunto. I diversi modelli di raggiungibilità privata sono modularizzati e ortogonali alla progettazione dello stack di applicazioni.

A seconda del servizio, puoi utilizzare Private Service Connect o l'accesso privato ai servizi per l'accesso privato. Puoi creare uno stack di applicazioni combinando servizi integrati e servizi pubblicati da altre organizzazioni. Gli stack di servizi possono essere regionali o globali per soddisfare il livello di resilienza richiesto e la latenza di accesso ottimizzata.

Sicurezza della rete

Per la sicurezza dei carichi di lavoro, ti consigliamo di utilizzare le policy firewall da Google Cloud.

Se la tua organizzazione richiede funzionalità avanzate aggiuntive per soddisfare i requisiti di sicurezza o conformità, puoi incorporare firewall di sicurezza perimetrale inserendo appliance virtuali di rete (NVA) firewall di nuova generazione (NGFW).

Puoi inserire le NVA NGFW in una singola interfaccia di rete (modalità a singola NIC) o su più interfacce di rete (modalità multi-NIC). Le NVA NGFW possono supportare zone di sicurezza o policy perimetrali basate su CIDR (Classless Inter-Domain Routing). Cross-Cloud Network esegue il deployment delle NVA NGFW perimetrali utilizzando un VPC di transito e policy di routing VPC.

Passaggi successivi

• Progetta la segmentazione e la connettività di rete per le applicazioni Cross-Cloud Network.
• Scopri di più sui Google Cloud prodotti utilizzati in questa guida alla progettazione:
  • Reti VPC
  • VPC condiviso
  • Peering di rete VPC
  • Private Service Connect
  • Accesso privato ai servizi
• Per ulteriori architetture di riferimento, guide alla progettazione e best practice, esplora il Cloud Architecture Center.

Collaboratori

Autori:

• Victor Moreno | Product Manager, Cloud Networking
• Ghaleb Al-habian | Network Specialist
• Deepak Michael | Networking Specialist Customer Engineer
• Osvaldo Costa | Networking Specialist Customer Engineer
• Jonathan Almaleh | Staff Technical Solutions Consultant

Altri collaboratori:

• Zach Seils | Networking Specialist
• Christopher Abraham | Networking Specialist Customer Engineer
• Emanuele Mazza | Networking Product Specialist
• Aurélien Legrand | Strategic Cloud Engineer
• Eric Yu | Networking Specialist Customer Engineer
• Kumar Dhanagopal | Cross-Product Solution Developer
• Mark Schlagenhauf | Technical Writer, Networking
• Marwan Al Shawi | Partner Customer Engineer
• Ammett Williams | Developer Relations Engineer