Beim Entwerfen eines Hybrid- und Multi-Cloud-Netzwerks wirken sich verschiedene Faktoren auf Ihre Architekturentscheidungen aus. Berücksichtigen Sie bei der Analyse Ihres Hybrid- und Multi-Cloud-Netzwerkdesigns die folgenden Designaspekte. Um eine zusammenhängende Architektur zu erstellen, sollten Sie diese Überlegungen gemeinsam und nicht isoliert bewerten.
Hybrid- und Multi-Cloud-Konnektivität
Hybrid- und Multi-Cloud-Konnektivität bezieht sich auf Kommunikationsverbindungen,die lokale Systeme, Google Cloudund andere Cloud-Umgebungen verbinden. Die Wahl der richtigen Verbindungsmethode ist entscheidend für den Erfolg von Hybrid- und Multi-Cloud-Architekturen erfolgreich, da diese Verbindungen den gesamten Traffic zwischen den Umgebungen übertragen. Probleme mit der Netzwerkleistung wie Bandbreite, Latenz, Paketverlust oder Jitter können sich direkt auf die Leistung von Geschäftsanwendungen und ‑diensten auswirken.
Für die Verbindung zwischen einer lokalen Umgebung und Google Cloudoder anderen Clouds Google Cloud bietet Google CloudmehrereVerbindungsoptionen,aus denen Sie auswählen können, darunter:
Internetbasierte Verbindung über öffentliche IP-Adressen:
Daten zwischen Google Cloud und einer lokalen Umgebung oder einer anderen Cloud-Umgebung über das Internet übertragen. Bei dieser Option werden die öffentlichen externen IP-Adressen einer Instanz verwendet – idealerweise mit Verschlüsselung auf der Anwendungsebene während der Übertragung.
Sichere Verbindungen über APIs mit TLS-Verschlüsselung (Transport Layer Security) über das öffentliche Internet. Für diese Option ist es erforderlich, dass die Anwendung oder die Ziel-APIs öffentlich über das Internet erreichbar sind und dass die Anwendung die Verschlüsselung während der Übertragung durchführt.
Private sichere Verbindung über das öffentliche Internet mit Cloud VPN oder mit vom Kunden verwalteten VPN-Gateways. Diese Option umfasst die Verwendung einer virtuellen Netzwerk-Appliance (NVA), einschließlich softwaredefinierter WAN-Lösungen (SD-WAN) von Google Cloud -Partnern. Diese Lösungen sind auf dem Google Cloud Marketplace verfügbar.
Private Verbindung über einen privaten Transport mit Cloud Interconnect (Dedicated Interconnect oder Partner Interconnect), die eine deterministischere Leistung bietet und ein SLA hat. Wenn eine Verschlüsselung während der Übertragung auf der Ebene der Netzwerkverbindung erforderlich ist, können Sie können Folgendes verwenden: HA VPN über Cloud Interconnect oder MACsec für Cloud Interconnect.
Cross-Cloud Interconnect bietet Unternehmen, die Multi-Cloud-Umgebungen verwenden, private und sichere Verbindungen über Clouds hinweg (zwischenGoogle Cloud und unterstützten Cloud-Dienstanbietern an bestimmten Standorten): Diese Option bietet Line-Rate-Leistung mit Hochverfügbarkeitsoptionen von 99,9% und 99,99%, was letztendlich dazu beiträgt, die Gesamtbetriebskosten (TCO) zu senken, ohne die Komplexität und Kosten der Verwaltung der Infrastruktur. Wenn für die Netzwerkverbindung eine Verschlüsselung während der Übertragung für zusätzliche Sicherheit erforderlich ist, unterstützt Cross-Cloud Interconnect MACsec für Cloud Interconnect-Verschlüsselung.
Erwägen Sie die Verwendung von Network Connectivity Center wenn es zu Ihrem Anwendungsfall in der Cloud-Lösungsarchitektur passt. Network Connectivity Center ist ein Orchestrierungs-Framework, das Netzwerkverbindungen zwischen Spoke-Ressourcen herstellt, wie Virtual Private Clouds (VPCs), Router-Appliances oder Hybridverbindungen, die mit einer zentralen Verwaltungsressource, einem Hub, verbunden sind. Ein Network Connectivity Center Hub unterstützt entweder VPC-Spokes oder Hybrid-Spokes. Weitere Informationen finden Sie unter Routenaustausch mit VPC-Verbindung. Um den Routenaustausch mit der Cloud Router-Instanz zu erleichtern, ermöglicht Network Connectivity Center die Integration von Drittanbieter-Netzwerk-Appliances. Diese Integration umfasst SD-WAN-Router von Drittanbietern, die von Google Cloud Network Connectivity Center-Partnern unterstützt werden.
Aufgrund der Vielzahl von Hybrid- und Multi-Cloud-Verbindungsoptionen erfordert die Auswahl der geeigneten Option eine gründliche Bewertung Ihrer geschäftlichen und technischen Anforderungen. Diese Anforderungen umfassen die folgenden Faktoren:
- Netzwerkleistung
- Sicherheit
- Kosten
- Zuverlässigkeit und SLA
- Skalierbarkeit
Weitere Informationen zur Auswahl einer Verbindungsoption zu Google Cloudfinden Sie unter Produkt für Network Connectivity auswählen. Hilfe bei der Auswahl einer Option für die Netzwerkverbindung, die die Anforderungen Ihrer Multi-Cloud-Architektur erfüllt, finden Sie unter Muster zum Verbinden anderer Cloud-Dienstanbieter mit Google Cloud.
Google Cloud Projekte und VPCs
Sie können die in diesem Leitfaden beschriebenen Netzwerkarchitekturmuster mit ein oder mehrere Projekte verwenden, sofern dies unterstützt wird. Ein Projekt in Google Cloud enthält zugehörige Dienste und Arbeitslasten mit einer einzigen administrativen Domain. Projekte bilden die Grundlage für die folgenden Prozesse:
- Google Cloud -Dienste erstellen, aktivieren und verwenden
- Service-APIs verwalten
- Abrechnung aktivieren
- Mitbearbeiter hinzufügen und entfernen
- Berechtigungen verwalten
Ein Projekt kann ein oder mehrere VPC-Netzwerke enthalten. Ihre Organisation oder die Struktur der Anwendungen, die Sie in einem Projekt verwenden, sollten bestimmen, ob ein einzelnes Projekt oder mehrere Projekte verwendet werden. Ihre Organisation oder die Struktur der Anwendungen sollten auch bestimmen, wie VPCs verwendet werden. Weitere Informationen finden Sie unter Ressourcenhierarchie für Ihre Google Cloud Landing-Zone festlegen.
Die folgenden Faktoren können beeinflussen, ob Sie sich für eine einzelne VPC, mehrere VPCs oder eine freigegebene VPC mit einem oder mehreren Projekten entscheiden:
- Hierarchien von Organisationsressourcen
- Netzwerk-Traffic, Kommunikation und Anforderungen an die administrative Domain zwischen Arbeitslasten.
- Sicherheitsanforderungen
- Sicherheitsanforderungen können eine Layer-7-Firewallprüfung erfordern, die sich im Pfad zwischen bestimmten Netzwerken oder Anwendungen befindet.
- Ressourcenverwaltung
- Unternehmen, die ein Verwaltungsmodell nutzen, bei dem das Netzwerkbetriebsteam die Netzwerkressourcen verwaltet, können eine Arbeitslasttrennung auf Teamebene verlagen.
Entscheidungen zur VPC-Nutzung.
- Die Verwendung von freigegebenen VPCs für mehrere Google Cloud -Projekte vermeidet die Notwendigkeit, viele einzelne VPCs pro Arbeitslast oder pro Team zu verwalten.
- Die Verwendung freigegebener VPCs ermöglicht die zentrale Verwaltung der Host-VPC-Netzwerke, einschließlich der folgenden technischen Faktoren:
- Peering-Konfiguration
- Subnetzkonfiguration
- Cloud Firewall-Konfiguration
- Berechtigungskonfiguration
Manchmal müssen Sie möglicherweise mehr als eine VPC (oder freigegebene VPCs) verwenden, um die Skalierungsanforderungen zu erfüllen, ohne die Limits der Ressourcen für eine einzelne VPC zu überschreiten.
Weitere Informationen finden Sie unter Entscheiden, ob mehrere VPC-Netzwerke erstellt werden sollen.
DNS-Auflösung
In einer Hybrid- und Multi-Cloud-Architektur ist es wichtig, dass das Domain Name System (DNS) erweitert und in Umgebungen integriert wird, in denen die Kommunikation zulässig ist. Diese Aktion trägt zu einer reibungslosen Kommunikation zwischen verschiedenen Diensten und Anwendungen bei. Außerdem wird die private DNS-Auflösung zwischen diesen Umgebungen beibehalten.
In einer Hybrid- und Multi-Cloud-Architektur mit Google Cloudkönnen Sie die Funktionen DNS-Peering und DNS-Weiterleitung verwenden, um die DNS-Integration zwischen verschiedenen Umgebungen zu aktivieren. Mit diesen DNS-Funktionen können Sie die verschiedenen Anwendungsfälle abdecken, die mit unterschiedlichen Netzwerkkommunikationsmodellen übereinstimmen können. Technisch gesehen können Sie DNS-Weiterleitungszonen verwenden, um lokale DNS-Server abzufragen und eingehende DNS-Serverrichtlinien, um Abfragen von lokalen Umgebungen zu zulassen. Sie können auch DNS-Peering zum Weiterleiten von DNS-Anfragen in Google Cloud -Umgebungen verwenden.
Weitere Informationen finden Sie unter Best Practices für Cloud DNS und Referenzarchitekturen für Hybrid-DNS mit Google Cloud.
Informationen zu Redundanzmechanismen für die Aufrechterhaltung der Verfügbarkeit von Cloud DNS in einer Hybrideinrichtung finden Sie unter: Es handelt sich nicht um DNS: Für Hochverfügbarkeit in einer Hybrid-Cloud-Umgebung sorgen. Sehen Sie sich auch diese Demonstration zum Entwerfen und Einrichten eines privaten Multi-Cloud-DNS zwischen AWS und Google Cloudan.
Cloud-Netzwerksicherheit
Cloud-Netzwerksicherheit ist eine grundlegende Ebene der Cloud-Sicherheit. Um die Risiken des sich auflösenden Netzwerkperimeters zu bewältigen, können Unternehmen Sicherheitsmonitoring, Bedrohungsschutz und Netzwerksicherheitskontrollen einbetten.
Ein lokaler Standardansatz für die Netzwerksicherheit basiert in erster Linie auf einem bestimmten Perimeter zwischen dem Internet-Edge und dem internen Netzwerk einer Organisation. Es nutzt verschiedene mehrschichtige Sicherheitssysteme wie physische Firewalls, Router, Einbruchserkennungssysteme und andere.
Bei cloudbasiertem Computing ist dieser Ansatz in bestimmten Anwendungsfällen weiterhin anwendbar. Das reicht jedoch nicht aus, um die Skalierung und die verteilte und dynamische Natur von Cloud-Arbeitslasten wie Autoscaling und containerisierte Arbeitslasten zu bewältigen. Der Ansatz der Cloud-Netzwerksicherheit hilft Ihnen, Risiken zu minimieren, Compliance-Anforderungen zu erfüllen und einen sicheren und effizienten Betrieb über mehrere Cloud-First-Funktionen sicherzustellen. Weitere Informationen finden Sie unter Vorteile der Cloud-Netzwerksicherheit. Informationen zum Sichern Ihres Netzwerks finden Sie unter Herausforderungen der Cloud-Netzwerksicherheit und den allgemeinen Best Practices für die Cloud-Netzwerksicherheit.
Der Umstieg auf eine Hybrid-Cloud-Architektur erfordert eine Sicherheitsstrategie, die über das Replizieren des lokalen Ansatzes hinausgeht. Wenn Sie diesen Ansatz replizieren, kann das die Designflexibilität einschränken. Außerdem kann die Cloud-Umgebung dadurch potenziellen Sicherheitsbedrohungen ausgesetzt werden. Stattdessen sollten Sie zuerst die verfügbaren Cloud-First-Netzwerksicherheitsfunktionen ermitteln, die den Sicherheitsanforderungen Ihres Unternehmens entsprechen. Möglicherweise müssen Sie auch diese Funktionen mit Sicherheitslösungen von Drittanbietern von Google Cloud-Technologiepartnern kombinieren, wie virtuelle Netzwerk-Appliances.
Um eine einheitliche Architektur für verschiedene Umgebungen in einer Multi-Cloud-Architektur zu entwerfen, ist es wichtig, die verschiedenen Dienste und Funktionen zu identifizieren, die von jedem Cloud-Anbieter angeboten werden. Wir empfehlen in jedem Fall, eine einheitliche Sicherheitslage zu verwenden, die alle Umgebungen abdeckt.
Zum Schutz Ihrer Hybrid-Cloud-Architekturumgebungen sollten Sie auch Defense-in-Depth-Prinzipien in Betracht ziehen.
Und schließlich sollten Sie beim Entwerfen Ihrer Cloud-Lösung von Anfang an die Netzwerksicherheit im Auge behalten. Berücksichtigen Sie alle erforderlichen Funktionen in Ihrem ursprünglichen Design. So können Sie vermeiden, dass Sie später im Designprozess größere Änderungen am Design vornehmen müssen, um Sicherheitsfunktionen zu integrieren.
Cloud-Sicherheit ist jedoch nicht auf die Netzwerksicherheit beschränkt. Sie muss über den gesamten Anwendungsentwicklungszyklus hinweg im gesamten Anwendungsstack angewendet werden, von der Entwicklung über die Produktion bis hin zum Betrieb. Im Idealfall sollten Sie mehrere Schutzebenen (Defense-in-Depth-Ansatz) und Tools zur Sicherheitsübersicht verwenden. Weitere Informationen zum Entwerfen und Betreiben sicherer Dienste auf Google Cloudfinden Sie im Säule „Sicherheit, Datenschutz und Compliance“ des Google Cloud Well-Architected Framework.
Zum Schutz Ihrer wertvollen Daten und Infrastruktur vor einer Vielzahl von Bedrohungen sollten Sie einen umfassenden Ansatz für die Cloud-Sicherheit wählen. Um bestehenden Bedrohungen immer einen Schritt voraus zu sein, sollten Sie Ihre Sicherheitsstrategie kontinuierlich bewerten und optimieren.