Quando progetti una rete ibrida e multicloud, vari fattori influenzano le tue scelte architetturali. Quando analizzi la progettazione della tua rete ibrida e multicloud, tieni presente i seguenti aspetti. Per creare un'architettura coerente, valuta questi aspetti collettivamente, non isolatamente.
Connettività ibrida e multi-cloud
Connettività ibrida e multi-cloud: si riferisce alle connessioni di comunicazione che collegano gli ambienti on-premise, Google Cloude altri ambienti cloud. La scelta del metodo di connettività giusto è essenziale per il successo delle architetture ibride e multicloud, perché queste connessioni trasportano tutto il traffico tra gli ambienti. Eventuali problemi di prestazioni di rete, come larghezza di banda, latenza, perdita di pacchetti o jitter, possono influire direttamente sulle prestazioni di applicazioni e servizi aziendali.
Per la connettività tra un ambiente on-premise e Google Cloud o altri cloud, Google Cloud offre diverse opzioni di connettività tra cui scegliere, tra cui:
Connettività basata su internet tramite indirizzi IP pubblici:
Trasferisci dati tra Google Cloud e un ambiente on-premise o un altro ambiente cloud su internet. Questa opzione utilizza gli indirizzi IP esterni pubblici di un'istanza, idealmente con crittografia in transito a livello di applicazione.
Connettività sicura tramite API con crittografia Transport Layer Security (TLS) su internet pubblico. Questa opzione richiede che le API dell'applicazione o di destinazione siano raggiungibili pubblicamente da internet e che l'applicazione esegua la crittografia in transito.
Connettività sicura privata su internet pubblico utilizzando Cloud VPN o gateway VPN gestiti dal cliente. Questa opzione include l'utilizzo di un'appliance virtuale di rete (NVA), incluse le soluzioni SD-WAN (software-defined WAN) dei partner Google Cloud . Queste soluzioni sono disponibili su Google Cloud Marketplace.
Connettività privata su un trasporto privato utilizzando Cloud Interconnect (Dedicated Interconnect o Partner Interconnect) che offre prestazioni più deterministiche e dispone di un SLA. Se è necessaria la crittografia in transito a livello di connettività di rete, puoi utilizzare la VPN ad alta disponibilità su Cloud Interconnect o MACsec per Cloud Interconnect.
Cross-Cloud Interconnect offre alle aziende che utilizzano ambienti multicloud la possibilità di attivare una connettività privata e sicura tra i cloud (tra Google Cloud e provider di servizi cloud supportati in determinate località). Questa opzione offre prestazioni a velocità di linea con opzioni di alta disponibilità del 99,9% e del 99,99%, il che contribuisce a ridurre il costo totale di proprietà (TCO) senza la complessità e il costo della gestione dell'infrastruttura. Inoltre, se è necessaria la crittografia in transito a livello di connettività di rete per una maggiore sicurezza, Cross-Cloud Interconnect supporta MACsec per la crittografia Cloud Interconnect.
Valuta l'utilizzo di Network Connectivity Center quando si adatta all'architettura della tua soluzione cloud caso d'uso. Network Connectivity Center è un framework di orchestrazione che fornisce la connettività di rete tra le risorse spoke, come i Virtual Private Cloud (VPC), le appliance router o le connessioni ibride connesse a una risorsa di gestione centrale chiamata hub. Un hub Network Connectivity Center supporta spoke VPC o spoke ibridi. Per maggiori informazioni, consulta Scambio di route con connettività VPC. Inoltre, per facilitare lo scambio di route con l'istanza router Cloud, Network Connectivity Center consente l'integrazione di appliance virtuali di rete di terze parti. Questa integrazione include router SD-WAN di terze parti supportati dai Google Cloud partner di Network Connectivity Center.
Data la varietà di opzioni di connettività ibrida e multicloud disponibili, la selezione di quella più adatta richiede una valutazione approfondita dei requisiti aziendali e tecnici. Questi requisiti includono i seguenti fattori:
- Prestazioni di rete
- Sicurezza
- Costo
- Affidabilità e SLA
- Scalabilità
Per ulteriori informazioni sulla selezione di un'opzione di connettività per Google Cloud, consulta Scelta di un prodotto per la connettività di rete. Per indicazioni sulla selezione di un'opzione di connettività di rete che soddisfi le esigenze della tua architettura multicloud, consulta Pattern per la connessione di altri provider di servizi cloud con Google Cloud.
Google Cloud progetti e VPC
Puoi utilizzare i pattern di architettura di rete descritti in questa guida con uno o più progetti, se supportati. Un progetto in Google Cloud contiene servizi e carichi di lavoro correlati che hanno un unico dominio amministrativo. I progetti costituiscono la base per le seguenti procedure:
- Creazione, abilitazione e utilizzo dei servizi Google Cloud
- Gestione delle API di servizio
- Abilitazione della fatturazione in corso
- Aggiunta e rimozione di collaboratori
- Gestione delle autorizzazioni
Un progetto può contenere una o più reti VPC. La tua organizzazione o la struttura delle applicazioni che utilizzi in un progetto devono determinare se utilizzare un singolo progetto o più progetti. La tua organizzazione o la struttura delle applicazioni devono anche determinare come utilizzare i VPC. Per saperne di più, consulta Scegliere una gerarchia delle risorse per la tua zona di destinazione Google Cloud .
I seguenti fattori possono influenzare la tua decisione di utilizzare una singola rete VPC, più reti VPC o una VPC condivisa con uno o più progetti:
- Gerarchie delle risorse organizzative.
- Requisiti di traffico di rete, comunicazione e dominio amministrativo tra i workload.
- Requisiti di sicurezza.
- I requisiti di sicurezza possono richiedere l'ispezione del firewall di livello 7 da parte di NVA di terze parti situate nel percorso tra determinate reti o applicazioni.
- Gestione delle risorse.
- Le aziende che utilizzano un modello amministrativo in cui il team di operazioni di rete gestisce le risorse di rete possono richiedere la separazione dei carichi di lavoro a livello di team.
Decisioni sull'utilizzo di VPC.
- L'utilizzo di VPC condivisi in più Google Cloud progetti evita la necessità di gestire molti VPC individuali per carico di lavoro o per team.
- L'utilizzo di VPC condivisi consente la gestione centralizzata del networking VPC host, inclusi i seguenti fattori tecnici:
- Configurazione peering
- Configurazione della subnet
- Configurazione di Cloud Firewall
- Configurazione delle autorizzazioni
A volte, potrebbe essere necessario utilizzare più di un VPC (o VPC condivisi) per soddisfare i requisiti di scalabilità senza superare i limiti delle risorse per un singolo VPC.
Per ulteriori informazioni, consulta Decidere se creare più reti VPC.
Risoluzione DNS
In un'architettura ibrida e multicloud, è essenziale che il DNS (Domain Name System) venga esteso e integrato tra gli ambienti in cui è consentita la comunicazione. Questa azione contribuisce a fornire una comunicazione fluida tra vari servizi e applicazioni. Inoltre, mantiene la risoluzione DNS privata tra questi ambienti.
In un'architettura ibrida e multicloud con Google Cloud, puoi utilizzare le funzionalità di peering DNS e forwarding DNS per attivare l'integrazione DNS tra ambienti diversi. Con queste funzionalità DNS, puoi coprire i diversi casi d'uso che possono allinearsi a diversi modelli di comunicazione di rete. Tecnicamente, puoi utilizzare le zone di inoltro DNS per eseguire query sui server DNS on-premise e le policy del server DNS in entrata per consentire le query dagli ambienti on-premise. Puoi anche utilizzare il peering DNS per inoltrare le richieste DNS all'interno degli ambienti Google Cloud .
Per saperne di più, vedi Best practice per Cloud DNS e architetture di riferimento per DNS ibrido con Google Cloud.
Per scoprire di più sui meccanismi di ridondanza per mantenere la disponibilità di Cloud DNS in una configurazione ibrida, consulta It's not DNS: Ensuring high availability in a cloud ibrido environment. Guarda anche questa dimostrazione di come progettare e configurare un DNS privato multicloud tra AWS e Google Cloud.
Sicurezza della rete cloud
La sicurezza di rete cloud è un livello fondamentale della sicurezza cloud. Per contribuire a gestire i rischi della dissoluzione del perimetro di rete, consente alle aziende di incorporare il monitoraggio della sicurezza, la prevenzione delle minacce e i controlli di sicurezza della rete.
Un approccio on-premise standard alla sicurezza di rete si basa principalmente su un perimetro distinto tra il perimetro di internet e la rete interna di un'organizzazione. Utilizza vari sistemi di prevenzione della sicurezza a più livelli nel percorso di rete, come firewall fisici, router, sistemi di rilevamento delle intrusioni e altri.
Con il cloud computing, questo approccio è ancora applicabile in determinati casi d'uso. Tuttavia, non è sufficiente per gestire la scalabilità e la natura distribuita e dinamica dei carichi di lavoro cloud, come la scalabilità automatica e i carichi di lavoro containerizzati. L'approccio alla sicurezza della rete cloud ti aiuta a ridurre al minimo i rischi, soddisfare i requisiti di conformità e garantire operazioni sicure ed efficienti grazie a diverse funzionalità cloud-first. Per maggiori informazioni, consulta la sezione Vantaggi della sicurezza della rete cloud. Per proteggere la tua rete, consulta anche Sfide relative alla sicurezza della rete cloud e le best practice per la sicurezza della rete cloud.
L'adozione di un'architettura cloud ibrido richiede una strategia di sicurezza che vada oltre la semplice replica dell'approccio on-premise. La replica di questo approccio può limitare la flessibilità di progettazione. Inoltre, può potenzialmente esporre l'ambiente cloud a minacce per la sicurezza. Invece, devi prima identificare le funzionalità di sicurezza di rete cloud-first disponibili che soddisfano i requisiti di sicurezza della tua azienda. Potresti anche dover combinare queste funzionalità con soluzioni di sicurezza di terze parti di partner tecnologici di Google Cloud, come appliance virtuali di rete.
Per progettare un'architettura coerente tra gli ambienti in un'architettura multi-cloud, è importante identificare i diversi servizi e funzionalità offerti da ciascun provider di servizi cloud. In tutti i casi, ti consigliamo di utilizzare una postura di sicurezza unificata che abbia visibilità in tutti gli ambienti.
Per proteggere gli ambienti dell'architettura cloud ibrido, devi anche valutare l'utilizzo dei principi di difesa in profondità.
Infine, progetta la tua soluzione cloud tenendo presente la sicurezza di rete fin dall'inizio. Incorpora tutte le funzionalità richieste nel progetto iniziale. Questo lavoro iniziale ti aiuterà a evitare la necessità di apportare modifiche importanti alla progettazione per integrare le funzionalità di sicurezza in un secondo momento.
Tuttavia, la sicurezza del cloud non si limita alla sicurezza di rete. Deve essere applicata durante l'intero ciclo di vita dello sviluppo dell'applicazione in tutto lo stack dell'applicazione, dallo sviluppo alla produzione e al funzionamento. Idealmente, dovresti utilizzare più livelli di protezione (l'approccio di difesa in profondità) e strumenti di visibilità della sicurezza. Per saperne di più su come progettare e gestire servizi sicuri su Google Cloud, consulta il pilastro Sicurezza, privacy e conformità del Google Cloud Well-Architected Framework.
Per proteggere i tuoi dati e la tua infrastruttura di valore da un'ampia gamma di minacce, adotta un approccio completo alla sicurezza del cloud. Per anticipare le minacce esistenti, valuta e perfeziona continuamente la tua strategia di sicurezza.