Rede entre nuvens para aplicações distribuídas

A rede entre nuvens permite uma arquitetura para a montagem de aplicações distribuídas. A rede entre nuvens permite-lhe distribuir cargas de trabalho e serviços por várias redes na nuvem e no local. Esta solução oferece aos programadores e operadores de aplicações a experiência de uma única nuvem em várias nuvens. Esta solução usa e também expande as utilizações estabelecidas de redes híbridas e de várias nuvens.

Este guia destina-se a arquitetos e engenheiros de rede que pretendem criar e desenvolver aplicações distribuídas na rede entre nuvens. Este guia oferece uma compreensão abrangente das considerações de design da rede entre clouds.

Este guia de design é uma série que inclui os seguintes documentos:

• Conceção de rede entre nuvens para aplicações distribuídas (este documento)
• Segmentação de rede e conetividade para aplicações distribuídas na rede entre nuvens
• Redes de serviços para aplicações distribuídas na rede entre clouds
• Segurança de rede para aplicações distribuídas na rede entre nuvens

A arquitetura suporta pilhas de aplicações regionais e globais, e está organizada nas seguintes camadas funcionais:

• Segmentação e conetividade de rede: envolve a estrutura de segmentação da nuvem virtual privada (VPC) e a conetividade IP entre VPCs e para redes externas.
• Redes de serviços: envolve a implementação de serviços de aplicações, que são equilibrados em termos de carga e disponibilizados em projetos e organizações.
• Segurança de rede: permite a aplicação da segurança para comunicações na nuvem e entre nuvens, usando a segurança na nuvem incorporada e os dispositivos virtuais de rede (NVAs).

Segmentação e conetividade de rede

A estrutura de segmentação e a conetividade são a base do design. O diagrama seguinte mostra uma estrutura de segmentação de VPC, que pode implementar através de uma infraestrutura consolidada ou segmentada. Este diagrama não mostra as ligações entre as redes.

Esta estrutura inclui os seguintes componentes:

• VPC de trânsito: processa as ligações de rede externas e as políticas de encaminhamento. Esta VPC também pode fornecer conetividade entre outras VPCs.
• VPCs de acesso aos serviços: contêm pontos de acesso a diferentes serviços. Os pontos de acesso ao serviço nestas VPCs podem ser alcançados a partir de outras redes.
• VPCs de serviços geridos: contêm serviços produzidos por outras entidades. Os serviços são disponibilizados às aplicações em execução em redes VPC através do Private Service Connect ou do acesso a serviços privados.
• VPCs de aplicações: contêm as cargas de trabalho que compõem os serviços de software que a sua organização cria e aloja.

A sua escolha da estrutura de segmentação para as VPCs de aplicações depende da escala das VPCs de aplicações necessárias, se planeia implementar firewalls de perímetro na rede entre nuvens ou externamente, e da escolha da publicação de serviços central ou distribuída.

A rede entre clouds suporta a implementação de conjuntos de aplicações regionais e conjuntos de aplicações globais. Ambos os arquétipos de resiliência de aplicações são suportados pela estrutura de segmentação proposta com o padrão de conetividade entre VPCs.

Pode alcançar a conetividade entre VPCs com o Network Connectivity Center ou usando uma combinação de intercâmbio da rede da VPC e padrões de hub e raio da VPN de alta disponibilidade.

A conceção da infraestrutura de DNS também é definida no contexto da estrutura de segmentação, independentemente do padrão de conetividade.

Networking de serviços

Diferentes arquétipos de implementação de aplicações levam a diferentes padrões de rede de serviços. Para a criação de redes entre nuvens, concentre-se no arquétipo de implementação multirregional, no qual um conjunto de aplicações é executado de forma independente em várias zonas em duas ou mais Google Cloud regiões.

Um arquétipo de implementação multirregional tem as seguintes funcionalidades úteis para o design da rede entre nuvens:

• Pode usar políticas de encaminhamento de DNS para encaminhar o tráfego recebido para os balanceadores de carga regionais.
• Os balanceadores de carga regionais podem, em seguida, distribuir o tráfego para a pilha de aplicações.
• Pode implementar a comutação por falha regional repondo as âncoras dos mapeamentos de DNS da pilha de aplicações com uma política de encaminhamento de comutação por falha de DNS.

Uma alternativa ao arquétipo de implementação multirregional seria o arquétipo de implementação global, no qual é criada uma única pilha em balanceadores de carga globais e abrange várias regiões. Considere as seguintes caraterísticas deste arquétipo quando trabalhar com o design de rede entre nuvens:

• Os balanceadores de carga distribuem o tráfego para a região mais próxima do utilizador.
• Os frontends virados para a Internet são globais, mas os frontends virados para o interior são regionais com acesso global, pelo que pode aceder a eles em cenários de comutação por falha.
• Pode usar políticas de encaminhamento de DNS de geolocalização e verificações de estado de DNS nas camadas de serviço internas da pilha de aplicações.

A forma como concede acesso aos serviços publicados geridos depende do serviço que tem de ser alcançado. Os diferentes modelos de acessibilidade privada são modularizados e ortogonais ao design da pilha de aplicações.

Consoante o serviço, pode usar o Private Service Connect ou o acesso a serviços privados para acesso privado. Pode criar uma pilha de aplicações combinando serviços incorporados e serviços publicados por outras organizações. Os conjuntos de serviços podem ser regionais ou globais para satisfazer o seu nível de resiliência necessário e a latência de acesso otimizada.

Segurança de redes

Para a segurança da carga de trabalho, recomendamos que use políticas de firewall do Google Cloud.

Se a sua organização precisar de capacidades avançadas adicionais para cumprir os requisitos de segurança ou conformidade, pode incorporar firewalls de segurança de perímetro inserindo dispositivos virtuais de rede (NVAs) de firewall de nova geração (NGFW).

Pode inserir NVAs NGFW numa única interface de rede (modo de NIC único) ou em várias interfaces de rede (modo de várias NICs). As NVAs NGFW podem suportar zonas de segurança ou políticas de perímetro baseadas em Classless Inter-Domain Routing (CIDR). A rede entre nuvens implementa NVAs NGFW de perímetro através de uma VPC de trânsito e políticas de encaminhamento de VPC.

O que se segue?

• Conceba a segmentação e a conetividade de rede para aplicações de rede entre nuvens.
• Saiba mais sobre os Google Cloud produtos usados neste guia de design:
  • Redes VPC
  • VPC partilhada
  • Intercâmbio da rede da VPC
  • Private Service Connect
  • Acesso a serviços privados
• Para ver mais arquiteturas de referência, guias de design e práticas recomendadas, explore o Centro de arquitetura na nuvem.

Colaboradores

Autores:

• Victor Moreno | Gestor de produtos, redes na nuvem
• Ghaleb Al-habian | Especialista em redes
• Deepak Michael | Customer Engineer especialista em redes
• Osvaldo Costa | Customer Engineer especialista em redes
• Jonathan Almaleh | Staff Technical Solutions Consultant

Outros colaboradores:

• Zach Seils | Especialista em redes
• Christopher Abraham | Networking Specialist Customer Engineer
• Emanuele Mazza | Especialista em produtos de rede
• Aurélien Legrand | Strategic Cloud Engineer
• Eric Yu | Customer Engineer especialista em redes
• Kumar Dhanagopal | Cross-Product Solution Developer
• Mark Schlagenhauf | Redator técnico, redes
• Marwan Al Shawi | Partner Customer Engineer
• Ammett Williams | Developer Relations Engineer