設計混合式和多雲端網路時,各種因素都會影響架構選擇。分析混合式和多雲網路設計時,請考量下列設計因素。如要建構連貫的架構,請一併評估這些考量因素,而非個別評估。
混合雲與多雲端連線
混合式和多雲端連線是指連結地端、 Google Cloud和其他雲端環境的通訊連線。選擇合適的連線方式,是混合式和多雲端架構能否成功的關鍵,因為這些連線會傳輸所有環境間的流量。任何網路效能問題 (例如頻寬、延遲、封包遺失或時基誤差),都會直接影響商用應用程式和服務的效能。
如要在地端部署環境與 Google CloudGoogle Cloud 其他雲端之間建立連線,提供多種連線選項,包括:
使用公開 IP 位址的網際網路連線:
透過網際網路在 Google Cloud 與內部部署環境或其他雲端環境之間轉移資料。這個選項會使用執行個體的公開外部 IP 位址,最好是搭配傳輸中的應用程式層加密。
透過 API 在公開網際網路上以傳輸層安全標準 (TLS) 加密,確保連線安全。這個選項需要應用程式或目標 API 可從網際網路公開連線,且應用程式會執行傳輸中加密。
透過公用網際網路使用 Cloud VPN 或客戶管理的 VPN 閘道,建立私密安全連線。這個選項包括使用網路虛擬設備 (NVA),包括合作夥伴提供的軟體定義 WAN (SD-WAN) 解決方案。 Google Cloud 這些解決方案可在 Google Cloud Marketplace 取得。
透過 Cloud Interconnect (專屬互連網路或合作夥伴互連網路) 使用私人傳輸的私人連線,可提供更具決定性的效能,並具有服務水準協議。如果網路連線層需要傳輸中加密,您可以使用採用 Cloud Interconnect 的高可用性 VPN 或 Cloud Interconnect 的 MACsec。
Cross-Cloud Interconnect 可讓使用多雲環境的企業,在雲端之間啟用私密安全連線 (在Google Cloud 和支援的雲端服務供應商之間,且須位於特定位置)。這個選項具有線速效能,並提供 99.9% 和 99.99% 的高可用性選項,最終有助於降低總持有成本 (TCO),且不必管理基礎架構,省去複雜性並降低成本。此外,如果需要網路連線層級的傳輸中資料加密機制,以提升安全性,Cross-Cloud Interconnect 支援 Cloud Interconnect 加密機制適用的 MACsec。
如果您的雲端解決方案架構適用,請考慮使用 Network Connectivity Center。NCC 是一種協調架構,可在輪輻資源之間提供網路連線,例如虛擬私有雲 (VPC) 網路、路由器設備或混合式連線,這些資源會連線至稱為中樞的中央管理資源。NCC 中樞支援 VPC 輪輻或混合式輪輻。詳情請參閱「透過虛擬私有雲連線交換路徑」。此外,為利於與 Cloud Router 執行個體交換路由,NCC 支援整合第三方網路虛擬設備。這項整合服務包括NCC 合作夥伴支援 Google Cloud 的第三方 SD-WAN 路由器。
混合式雲端和多雲端連線選項種類繁多,因此選取最適合的選項時,需要徹底評估您的業務和技術需求。這些規定包括下列因素:
- 網路效能
- 安全性
- 費用
- 可靠性和服務水準協議 (SLA)
- 擴充性
如要進一步瞭解如何選取連線選項,請參閱「選擇網路連線產品」。 Google Cloud如需選取符合多雲端架構需求的網路連線選項,請參閱連接其他雲端服務供應商與 Google Cloud 的模式 Google Cloud。
Google Cloud 專案和虛擬私有雲網路
您可以在支援單一或多個專案的情況下,使用本指南討論的網路架構模式。專案 包含相關服務和工作負載,這些服務和工作負載具有單一管理網域。 Google Cloud 專案是下列程序的基礎:
- 建立、啟用及使用 Google Cloud 服務
- 管理服務 API
- 正在啟用計費功能
- 新增及移除協作者
- 管理權限
專案可包含一或多個虛擬私有雲網路。貴機構或專案中使用的應用程式結構,應決定是否使用單一專案或多個專案。貴機構或應用程式的架構也應決定如何使用 VPC。詳情請參閱「為登陸區決定資源階層」。 Google Cloud
下列因素會影響您是否決定使用單一 VPC、多個 VPC,或搭配一或多個專案的共用 VPC:
- 機構資源階層。
- 工作負載之間的網路流量、通訊和管理網域需求。
- 安全性相關規定。
- 安全防護需求可能需要第三方 NVA 在特定網路或應用程式之間的路徑中,進行第 7 層防火牆檢查。
- 資源管理。
- 如果企業採用管理模式,由網路營運團隊管理網路資源,則可能需要在團隊層級進行工作負載分離。
虛擬私有雲使用決策。
- 在多個 Google Cloud 專案中使用共用虛擬私有雲網路,可避免為每個工作負載或團隊維護多個個別的虛擬私有雲網路。
- 使用共用虛擬私有雲網路可集中管理主機虛擬私有雲網路,包括下列技術因素:
- 對接設定
- 子網路設定
- Cloud Firewall 設定
- 權限設定
有時您可能需要使用多個虛擬私有雲 (或共用虛擬私有雲) 網路,才能滿足規模需求,且不會超過單一虛擬私有雲的資源限制。
詳情請參閱「決定是否建立多個虛擬私有雲網路」。
DNS 解析
在混合式和多雲架構中,網域名稱系統 (DNS) 必須在允許通訊的環境之間擴充及整合。這項動作有助於在各種服務和應用程式之間提供無縫通訊。此外,這項服務也會維護這些環境之間的私人 DNS 解析。
在採用 Google Cloud的混合式和多雲架構中,您可以使用 DNS 對等互連和 DNS 轉送功能,在不同環境之間啟用 DNS 整合。有了這些 DNS 功能,您就能因應各種用途,配合不同的網路通訊模型。從技術上來說,您可以使用 DNS 轉送區域查詢地端部署 DNS 伺服器,並使用傳入 DNS 伺服器政策允許來自地端部署環境的查詢。您也可以使用 DNS 對接,在 Google Cloud 環境中轉送 DNS 要求。
詳情請參閱「Cloud DNS 最佳做法」和「 Google Cloud混合式 DNS 參考架構」。
如要瞭解在混合式設定中維持 Cloud DNS 可用性的備援機制,請參閱「It's not DNS: Ensuring high availability in a hybrid cloud environment」。此外,您也可以觀看這段示範影片,瞭解如何設計及設定 AWS 與 Google Cloud之間的多雲私人 DNS。
雲端網路安全性
雲端網路安全是雲端安全防護最基礎的層級。可讓企業嵌入安全性監控、威脅防護和網路安全性控管機制,藉此協助管理網路範圍不清的風險。
網路安全性的標準地端方法主要以網際網路邊緣與機構內部網路之間的明顯邊界為基礎。網路路徑中會使用各種多層安全防護系統,例如實體防火牆、路由器、入侵偵測系統等。
在雲端運算中,這個方法仍適用於特定用途。但這不足以處理雲端工作負載的規模、分散式和動態特性,例如自動調度資源和容器化工作負載。雲端網路安全方法可透過多項雲端優先功能,協助您將風險降至最低、滿足法規遵循要求,並確保作業安全又有效率。詳情請參閱「雲端網路安全優勢」。如要保護網路安全,請參閱雲端網路安全驗證問題,以及一般雲端網路安全最佳做法。
採用混合式雲端架構時,需要制定不只是複製內部部署做法的安全策略。複製這種做法可能會限制設計彈性。也可能導致雲端環境暴露於安全威脅。您應先找出符合公司安全需求的雲端優先網路安全功能,您可能也需要將這些功能與 Google Cloud技術合作夥伴的第三方安全解決方案 (例如網路虛擬設備) 結合使用。
如要在多雲端架構中,為各個環境設計一致的架構,請務必找出各雲端供應商提供的不同服務和功能。在所有情況下,我們都建議您使用統一的安全防護,以便掌握所有環境的狀況。
如要保護混合雲架構環境,也請考慮使用縱深防禦原則。
最後,請從一開始就以網路安全為考量,設計雲端解決方案。在初始設計中納入所有必要功能。 這項初步工作有助於避免在設計流程的後續階段,為了整合安全性功能而需要大幅變更設計。
不過,雲端安全機制不只包含網路安全。從開發到生產和營運,都必須在整個應用程式堆疊的整個應用程式開發生命週期中套用。理想情況下,您應使用多層防護機制 (縱深防禦方法) 和安全可視性工具。如要進一步瞭解如何在 Google Cloud上建構及運作安全服務,請參閱 Google Cloud Well-Architected Framework 的安全性、隱私權和法規遵循支柱。
為保護寶貴的資料和基礎架構免於各種威脅,請採用全面的雲端安全防護方法。為防範現有威脅,請持續評估及調整安全策略。