混合式雲端和多雲端工作負載的網路:參考架構

Last reviewed 2025-01-13 UTC

本文是系列文章之一,說明企業將資料中心工作負載遷移至 Google Cloud時的網路和安全架構。

本系列包含以下文件:

本文將討論工作負載在多個位置 (例如地端部署環境和雲端) 或多個雲端環境中執行的情境網路。

隨即轉移架構

第一個混合式工作負載存取情境是「直接轉移」架構。

建立私人連線

您可以透過專屬互連網路或合作夥伴互連網路,與內部部署網路建立連線。圖 1 所示的拓撲說明如何使用兩個不同都會區和不同邊緣可用性網域中的四個專屬互連連線,達到 99.99% 的可用性。(您也可以使用合作夥伴互連網路達到 99.99% 的可用性)。

如要在 Google Cloud 網路與其他雲端供應商代管的網路之間建立連線,請使用 Cross-Cloud Interconnect

如需更多資訊和詳細建議,請參閱企業基礎藍圖中的「地端環境與 Google Cloud 之間的混合式連線 Google Cloud」。

具備 99.99% 可用性的備援 Cloud Interconnect 連線設定。

圖 1. 設定備援專屬互連網路連線,達到 99.99% 的可用性。

NCC 可讓您使用 Google 的網路,在多個內部部署或雲端代管的網站之間移轉資料。這種做法可讓您在需要移動資料時,充分運用 Google 網路的觸及範圍和可靠性。您可以將現有的 Cloud VPN、Cloud Interconnect、SD-WAN 路由器裝置和虛擬私有雲網路做為 NCC 輪輻,支援內部部署網路、分公司據點、其他雲端供應商和Google Cloud 虛擬私有雲網路之間的資料移轉作業,如圖 2 所示。

NCC 設定:使用 Google 骨幹網路,連線至 Google Cloud 以外的不同內部部署企業網路。

圖 2. NCC 設定可將 Google Cloud 以外的不同內部部署企業和其他雲端網路連線,並使用 Google 骨幹網路。

如要進一步瞭解如何設定 NCC,請參閱 NCC 說明文件中的「注意事項」。

SD-WAN 設備

NCC 可讓您使用第三方路由器設備做為 NCC 輪輻,在外部網站和虛擬私有雲網路資源之間建立連線。路由器設備可以是合作夥伴支援的第三方 SD-WAN 路由器,也可以是其他虛擬設備,讓您與 Cloud Router 執行個體交換路徑。除了目前透過 Cloud VPN 和 Cloud Interconnect 做為輪輻提供的網站對雲端連線選項,您也可以使用這些設備型解決方案。圖 3 顯示使用 SD-WAN 設備的拓撲。

使用路由器設備進行 NCC 設定,將 SD-WAN 導入作業與 Google 網路整合。

圖 3. 使用路由器設備進行 NCC 設定,將 SD-WAN 實作項目與 Google 網路整合。

您可以使用第三方設備執行安全性功能。如圖 3 所示,設備的安全防護功能可整合至路由器設備。使用網路虛擬設備也是常見模式,地端部署的流量會進入傳輸虛擬私有雲網路,而設備會建立與工作負載虛擬私有雲網路的連線,如圖 4 所示。

如要進一步瞭解如何設定 NCC,請參閱 NCC 說明文件中的「注意事項」。

混合型服務架構

如「Networking for secure intra-cloud access: Reference architectures」一文討論的雲端內使用案例,NCC 可讓分支機構和地端網路連線至 Google Cloud。Private Service Connect 可提供 Google 管理服務的私人存取權,或讓您使用在雲端建構及部署的其他服務。

您也可以結合使用 VPC 服務控管、 Google Cloud 防火牆和網路虛擬設備,實作網路安全措施,如圖 4 所示。

網路架構同時採用升級轉移模式和混合式服務設計模式,可提供安全的資料層。

圖 4. 網路架構同時採用升級轉移模式和混合式服務設計模式,可提供安全的資料層。

零信任分散式架構

在混合式環境中,微服務會在服務網格中執行,這些網格部署在不同的雲端服務供應商和地端環境中。您可以使用相互傳輸層安全標準 (mTLS) 和授權政策,確保微服務之間的通訊安全無虞。企業通常會在雲端建構服務網格,並將網格擴充至地端。圖 5 顯示的範例中,部署於地端的服務會存取雲端中的服務。使用東西向閘道和以伺服器名稱指示 (SNI) 為基礎的路由,即可在服務之間啟用端對端 mTLS。Cloud Service Mesh 可協助您保護服務間的通訊,讓您為服務設定授權政策,並部署由受管理憑證授權單位提供的憑證和金鑰。

混合環境通常會有多個網格部署,例如多個 GKE 叢集。這個流程的重要元件是 SNI 路由,用於每個叢集的 GKE 東西向閘道。這項設定可讓閘道直接將 mTLS 流量轉送至工作負載,同時保留端對端 mTLS 連線。

在內部部署環境和 Google Cloud中部署零信任服務網格。

圖 5:在內部部署環境和 Google Cloud中部署零信任服務網格。

企業可使用 Cloud Service Mesh 跨雲端部署。為解決跨雲端供應商管理身分和憑證時遇到的挑戰,Cloud Service Mesh 提供工作負載身分和叢集內中繼憑證授權單位 (CA),並使用 CA 服務 (CA 服務)。中繼 CA 可以連結至外部 CA,也可以託管於 Google。您可以使用企業擁有的 HSM 和 Cloud HSM,自訂區域和簽章演算法等 CA 屬性。

透過 Workload Identity,您可以為叢集中的每項微服務指派不重複的精細身分與授權。Cloud Service Mesh 會管理憑證核發程序,並自動輪替金鑰和憑證,不會中斷通訊。此外,這項功能也會在 GKE 叢集中提供單一信任根。

圖 6 顯示使用 Cloud Service Mesh 管理身分和授權的架構。

網格中的服務可以使用 Google Cloud 工作負載身分聯盟存取服務。這項功能可讓服務在叫用 Google Cloud API 時,以 Google 服務帳戶的授權身分執行動作。工作負載身分聯盟也可讓安裝在其他雲端供應商的服務網格存取 Google Cloud API。

在多個雲端環境中部署零信任服務網格。

圖 6. 在多個雲端環境中部署零信任服務網格。

您可以使用 Cloud Service Mesh,將流量從網格路由至地端部署環境或其他雲端。

舉例來說,您可以在 Cloud Service Mesh 中建立名為 on-prem-serviceother-cloud-service 的服務,並新增具有端點 10.1.0.1:8010.2.0.1:80 的混合式連線網路端點群組 (NEG)。接著,Cloud Service Mesh 會將流量傳送至用戶端,也就是與應用程式並行執行的網格 Sidecar Proxy。因此,當應用程式將要求傳送至 on-prem-service 服務時,Cloud Service Mesh 用戶端會檢查要求,並將要求導向 10.2.0.1:80 端點。圖 7 說明這項設定。

使用 Cloud Service Mesh 從服務網格轉送的流量。

圖 7. 使用 Cloud Service Mesh 從服務網格轉送的流量。

您也可以納入進階功能,例如根據權重導向流量,如圖 8 所示。這項功能可讓您啟用雲端遷移等重要企業需求。Cloud Service Mesh 是服務網格的全球代管控制層,用途十分廣泛。

使用 Cloud Service Mesh 導向加權流量。

圖 8:使用 Cloud Service Mesh 導向加權流量。

後續步驟