Pertimbangan desain

Saat mendesain jaringan hybrid dan multicloud, berbagai faktor memengaruhi pilihan arsitektur Anda. Saat Anda menganalisis desain jaringan hybrid dan multicloud, pertimbangkan pertimbangan desain berikut. Untuk membangun arsitektur yang kohesif, nilai pertimbangan ini secara kolektif, bukan secara terpisah.

Konektivitas hybrid dan multicloud

Konektivitas hybrid dan multicloud mengacu pada koneksi komunikasi yang menghubungkan lingkungan lokal, Google Cloud, dan lingkungan cloud lainnya. Memilih metode konektivitas yang tepat sangat penting untuk keberhasilan arsitektur hybrid dan multicloud, karena koneksi ini membawa semua traffic antarlingkungan. Setiap masalah performa jaringan, seperti bandwidth, latensi, kehilangan paket, atau jitter, dapat secara langsung memengaruhi performa aplikasi dan layanan bisnis.

Untuk konektivitas antara lingkungan lokal dan Google Cloud atau cloud lainnya, Google Cloud menawarkan beberapa opsi konektivitas yang dapat dipilih, termasuk:

  • Konektivitas berbasis internet menggunakan alamat IP publik:

    • Mentransfer data antara Google Cloud dan lingkungan lokal atau lingkungan cloud lain melalui internet. Opsi ini menggunakan alamat IP eksternal publik instance—idealnya dengan enkripsi saat transit lapisan aplikasi.

    • Konektivitas yang aman melalui API dengan enkripsi Transport Layer Security (TLS) melalui internet publik. Opsi ini mengharuskan API aplikasi atau target dapat dijangkau secara publik dari internet dan aplikasi melakukan enkripsi saat transit.

  • Konektivitas pribadi yang aman melalui internet publik menggunakan Cloud VPN atau gateway VPN yang dikelola pelanggan. Opsi ini mencakup penggunaan peralatan virtual jaringan (NVA), termasuk solusi WAN yang ditentukan software (SD-WAN) dari partner. Google Cloud Solusi ini tersedia di Google Cloud Marketplace.

  • Konektivitas pribadi melalui transport pribadi menggunakan Cloud Interconnect (Dedicated Interconnect atau Partner Interconnect) yang menawarkan performa yang lebih deterministik dan memiliki SLA. Jika enkripsi saat transit diperlukan di lapisan konektivitas jaringan, Anda dapat menggunakan VPN dengan ketersediaan tinggi (HA) melalui Cloud Interconnect atau MACsec untuk Cloud Interconnect.

  • Cross-Cloud Interconnect memberikan kemampuan kepada perusahaan yang menggunakan lingkungan multicloud untuk mengaktifkan konektivitas pribadi dan aman di seluruh cloud (antara Google Cloud dan penyedia layanan cloud yang didukung di lokasi tertentu). Opsi ini memiliki performa kecepatan saluran dengan opsi ketersediaan tinggi 99,9% dan 99,99%, yang pada akhirnya membantu menurunkan total biaya kepemilikan (TCO) tanpa kompleksitas dan biaya pengelolaan infrastruktur. Selain itu, jika enkripsi saat transit diperlukan di lapisan konektivitas jaringan untuk keamanan tambahan, Cross-Cloud Interconnect mendukung enkripsi MACsec untuk Cloud Interconnect.

Pertimbangkan untuk menggunakan Network Connectivity Center jika sesuai dengan arsitektur solusi cloud kasus penggunaan Anda. Network Connectivity Center adalah framework orkestrasi yang menyediakan konektivitas jaringan di antara resource spoke, seperti virtual private cloud (VPC), perangkat router, atau koneksi hybrid yang terhubung ke resource pengelolaan terpusat yang disebut hub. Hub Network Connectivity Center mendukung spoke VPC atau spoke hybrid. Untuk mengetahui informasi selengkapnya, lihat Pertukaran rute dengan konektivitas VPC. Selain itu, untuk memfasilitasi pertukaran rute dengan instance Cloud Router, Network Connectivity Center memungkinkan integrasi perangkat virtual jaringan pihak ketiga. Integrasi tersebut mencakup router SD-WAN pihak ketiga yang didukung oleh Google Cloud partner Network Connectivity Center.

Dengan berbagai opsi konektivitas hybrid dan multicloud yang tersedia, Anda harus mengevaluasi kebutuhan bisnis dan teknis Anda secara menyeluruh untuk memilih opsi yang paling sesuai. Persyaratan ini mencakup faktor-faktor berikut:

  • Performa jaringan
  • Keamanan
  • Biaya
  • Keandalan dan SLA
  • Skalabilitas

Untuk mengetahui informasi selengkapnya tentang cara memilih opsi konektivitas untuk Google Cloud, lihat Memilih produk Network Connectivity. Untuk mendapatkan panduan tentang memilih opsi konektivitas jaringan yang memenuhi kebutuhan arsitektur multicloud Anda, lihat Pola untuk menghubungkan penyedia layanan cloud lain dengan Google Cloud.

Google Cloud project dan VPC

Anda dapat menggunakan pola arsitektur jaringan yang dibahas dalam panduan ini dengan satu atau beberapa project jika didukung. Project di Google Cloud berisi layanan dan workload terkait yang memiliki satu domain administratif. Project menjadi dasar untuk proses berikut:

  • Membuat, mengaktifkan, dan menggunakan Google Cloud layanan
  • API pengelolaan layanan
  • Mengaktifkan penagihan
  • Menambahkan dan menghapus kolaborator
  • Mengelola Izin

Project dapat berisi satu atau beberapa jaringan VPC. Organisasi Anda, atau struktur aplikasi yang Anda gunakan dalam project, akan menentukan apakah akan menggunakan satu project atau beberapa project. Organisasi Anda, atau struktur aplikasi, juga harus menentukan cara menggunakan VPC. Untuk mengetahui informasi selengkapnya, lihat artikel Menentukan hierarki resource untuk Google Cloud zona landing Anda.

Faktor berikut dapat memengaruhi apakah Anda memutuskan untuk menggunakan satu VPC, beberapa VPC, atau VPC bersama dengan satu atau beberapa project:

  • Hierarki resource organisasi.
  • Persyaratan traffic jaringan, komunikasi, dan domain administratif antar-beban kerja.
  • Persyaratan keamanan.
    • Persyaratan keamanan dapat memerlukan pemeriksaan firewall Lapisan 7 oleh NVA pihak ketiga yang berada di jalur antara jaringan atau aplikasi tertentu.
  • Pengelolaan resource.
    • Perusahaan yang menggunakan model administratif di mana tim operasi jaringan mengelola resource jaringan, dapat mewajibkan pemisahan workload di tingkat tim.

  • Keputusan penggunaan VPC.

    • Penggunaan VPC bersama di beberapa project akan menghindari kebutuhan untuk mengelola banyak VPC individual per workload atau per tim. Google Cloud
    • Penggunaan VPC bersama memungkinkan pengelolaan terpusat untuk jaringan VPC host, termasuk faktor teknis berikut:
      • Konfigurasi peering
      • Konfigurasi subnet
      • Konfigurasi Cloud Firewall
      • Konfigurasi izin

    Terkadang, Anda mungkin perlu menggunakan lebih dari satu VPC (atau VPC Bersama) untuk memenuhi persyaratan skala tanpa melampaui batas resource untuk satu VPC.

    Untuk mengetahui informasi selengkapnya, lihat Menentukan apakah akan membuat beberapa jaringan VPC atau tidak.

Resolusi DNS

Dalam arsitektur hybrid dan multicloud, penting agar sistem nama domain (DNS) diperluas dan diintegrasikan di antara lingkungan tempat komunikasi diizinkan. Tindakan ini membantu menyediakan komunikasi yang lancar antara berbagai layanan dan aplikasi. Layanan ini juga mempertahankan resolusi DNS pribadi di antara lingkungan ini.

Dalam arsitektur hybrid dan multicloud dengan Google Cloud, Anda dapat menggunakan kemampuan peering DNS dan penerusan DNS untuk mengaktifkan integrasi DNS antara lingkungan yang berbeda. Dengan kemampuan DNS ini, Anda dapat mencakup berbagai kasus penggunaan yang dapat selaras dengan berbagai model komunikasi jaringan. Secara teknis, Anda dapat menggunakan zona penerusan DNS untuk membuat kueri server DNS lokal dan kebijakan server DNS masuk untuk mengizinkan kueri dari lingkungan lokal. Anda juga dapat menggunakan peering DNS untuk meneruskan permintaan DNS dalam lingkungan Google Cloud .

Untuk mengetahui informasi selengkapnya, lihat Praktik terbaik untuk Cloud DNS dan arsitektur referensi untuk DNS hybrid dengan Google Cloud.

Untuk mempelajari mekanisme redundansi untuk mempertahankan ketersediaan Cloud DNS dalam penyiapan hybrid, lihat It's not DNS: Ensuring high availability in a hybrid cloud environment. Tonton juga demonstrasi cara merancang dan menyiapkan DNS pribadi multicloud antara AWS dan Google Cloud.

Keamanan jaringan cloud

Keamanan jaringan cloud adalah lapisan dasar keamanan cloud. Untuk membantu mengelola risiko pengikisan perimeter jaringan, layanan ini memungkinkan perusahaan menyematkan pemantauan keamanan, pencegahan ancaman, dan kontrol keamanan jaringan.

Pendekatan lokal standar untuk keamanan jaringan terutama didasarkan pada perimeter yang berbeda antara edge internet dan jaringan internal organisasi. Google menggunakan berbagai sistem pencegahan keamanan berlapis di jalur jaringan, seperti firewall fisik, router, sistem deteksi penyusupan, dan lain-lain.

Dengan komputasi berbasis cloud, pendekatan ini masih dapat diterapkan dalam kasus penggunaan tertentu. Namun, hal itu saja tidak cukup untuk menangani skala serta sifat workload cloud yang terdistribusi dan dinamis, seperti penskalaan otomatis dan workload yang dikontainerkan. Pendekatan keamanan jaringan cloud membantu Anda meminimalkan risiko, memenuhi persyaratan kepatuhan, serta memastikan operasi yang aman dan efisien melalui beberapa kemampuan cloud-first. Untuk mengetahui informasi selengkapnya, lihat Manfaat keamanan jaringan cloud. Untuk mengamankan jaringan Anda, lihat juga Tantangan keamanan jaringan cloud, dan Praktik terbaik keamanan jaringan cloud secara umum.

Mengadopsi arsitektur cloud hybrid memerlukan strategi keamanan yang melampaui replikasi pendekatan lokal. Mereplikasi pendekatan tersebut dapat membatasi fleksibilitas desain. Hal ini juga berpotensi mengekspos lingkungan cloud terhadap ancaman keamanan. Sebagai gantinya, Anda harus terlebih dahulu mengidentifikasi kemampuan keamanan jaringan cloud-first yang tersedia dan memenuhi persyaratan keamanan perusahaan Anda. Anda mungkin juga perlu menggabungkan kemampuan ini dengan solusi keamanan pihak ketiga dari partner teknologi Google Cloud, seperti peralatan virtual jaringan.

Untuk mendesain arsitektur yang konsisten di seluruh lingkungan dalam arsitektur multicloud, penting untuk mengidentifikasi berbagai layanan dan kemampuan yang ditawarkan oleh setiap penyedia cloud. Dalam semua kasus, sebaiknya gunakan postur keamanan terpadu yang memiliki visibilitas di semua lingkungan.

Untuk melindungi lingkungan arsitektur hybrid cloud, Anda juga harus mempertimbangkan penggunaan prinsip pertahanan mendalam.

Terakhir, desain solusi cloud Anda dengan mempertimbangkan keamanan jaringan sejak awal. Sertakan semua kemampuan yang diperlukan sebagai bagian dari desain awal Anda. Pekerjaan awal ini akan membantu Anda menghindari kebutuhan untuk melakukan perubahan besar pada desain guna mengintegrasikan kemampuan keamanan di kemudian hari dalam proses desain Anda.

Namun, keamanan cloud tidak terbatas pada keamanan jaringan. Hal ini harus diterapkan di seluruh siklus proses pengembangan aplikasi di seluruh stack aplikasi, mulai dari pengembangan hingga produksi dan operasi. Sebaiknya Anda menggunakan beberapa lapisan perlindungan (pendekatan pertahanan mendalam) dan alat visibilitas keamanan. Untuk mengetahui informasi selengkapnya tentang cara merancang dan mengoperasikan layanan yang aman di Google Cloud, lihat Pilar keamanan, privasi, dan kepatuhan dari Google Cloud Framework yang Dirancang dengan Baik.

Untuk melindungi data dan infrastruktur Anda yang berharga dari berbagai ancaman, terapkan pendekatan komprehensif terhadap keamanan cloud. Untuk mengantisipasi ancaman yang ada, terus evaluasi dan tingkatkan strategi keamanan Anda.

Sebelumnya
Ringkasan
Berikutnya
Pola arsitektur