Cross-Cloud Network para aplicaciones distribuidas

Cross-Cloud Network habilita una arquitectura para el ensamblaje de aplicaciones distribuidas. Cross-Cloud Network te permite distribuir cargas de trabajo y servicios en varias redes locales y en la nube. En esta solución, se brinda a los desarrolladores y operadores de aplicaciones la experiencia de una sola nube en múltiples nubes. Esta solución utiliza y también amplía los usos establecidos de las nubes híbridas y múltiples herramientas de redes.

Esta guía está dirigida a ingenieros y arquitectos de red que deseen diseñar y compilar aplicaciones distribuidas en Cross-Cloud Network. En esta guía, se proporciona una comprensión integral de las consideraciones de diseño de Cross-Cloud Network.

Esta guía de diseño es una serie que incluye los siguientes documentos:

• Diseño de Cross-Cloud Network para aplicaciones distribuidas (este documento)
• Segmentación y conectividad de red para aplicaciones distribuidas en Cross-Cloud Network
• Herramientas de redes de servicio para aplicaciones distribuidas en la red entre nubes
• Seguridad de redes para aplicaciones distribuidas en Cross-Cloud Network

La arquitectura admite pilas de aplicaciones regionales y globales, y se organiza en las siguientes capas funcionales:

• Segmentación y conectividad de la red: Incluye lo siguiente: de segmentación de la nube privada virtual (VPC) y la conectividad IP a VPC y redes externas.
• Herramientas de redes de servicio: implica la implementación de servicios de aplicaciones, que tienen balanceo de cargas y están disponibles en todos los proyectos y las organizaciones.
• Seguridad de red: permite la aplicación de la seguridad para las comunicaciones dentro de la nube y entre nubes mediante seguridad en la nube integrada y dispositivos virtuales de red (NVAs).

Segmentación y conectividad de la red

La estructura y la conectividad de la segmentación son la base del diseño. El en el siguiente diagrama se muestra una estructura de segmentación de VPC, que que puedes implementar usando una infraestructura consolidada o segmentada. Esta no muestra las conexiones entre las redes.

Esta estructura incluye los siguientes componentes

• VPC de tránsito: Controla conexiones de red externas y políticas de enrutamiento. Esta VPC también funciona como un servicio hub de conectividad de red para otras VPC.
• VPC de servicios centrales: Contiene los servicios que tu organización crea y se aloja a sí misma. Los servicios se proporcionan para las VPCs de las aplicaciones a través de un concentrador. Si bien no es obligatorio, recomendar que sea una VPC compartida.
• VPC de servicios administrados: Contiene los servicios que proporciona otras entidades. Las aplicaciones que se ejecutan en redes de VPC pueden acceder a los servicios mediante Private Service Connect o el acceso privado a los servicios.

La elección de la estructura de segmentación para las VPC de aplicaciones depende de la escala de las VPC de aplicaciones necesarias, ya sea que planees implementar firewalls perimetrales en Cross-Cloud Network o de forma externa, y la elección del servicio central o distribuido publicación.

Cross-Cloud Network admite la implementación de pilas de aplicaciones regionales y globales. Ambas opciones los arquetipos de resiliencia de las aplicaciones se respaldan con la segmentación de VPC con el patrón de conectividad entre VPC.

Puedes lograr la conectividad entre VPC entre segmentos mediante una combinación de intercambio de tráfico entre redes de VPC y patrones de concentrador y radio de VPN con alta disponibilidad. Como alternativa, puedes usar Network Connectivity Center para incluir todas las VPC como radios en un concentrador de Network Connectivity Center.

El diseño de la infraestructura de DNS también se define en el contexto de la estructura de segmentación, independientemente del patrón de conectividad.

Herramientas de redes de servicio

Los diferentes arquetipos de implementación de aplicaciones generan diferentes patrones para las herramientas de redes de servicios. Para el diseño de redes entre nubes, enfócate en el rol de implementación arquetipo, en el que se la pila de aplicaciones se ejecuta de forma independiente en varias zonas en dos o más regiones de Google Cloud.

Un arquetipo de implementación multirregional tiene las siguientes características que son útiles para el diseño de Cross-Cloud Network:

• Puedes usar las políticas de enrutamiento de DNS para enrutar el tráfico entrante a los balanceadores de cargas regionales.
• Los balanceadores de cargas regionales pueden distribuir el tráfico a la pila de aplicaciones.
• Puedes implementar la conmutación por error regional si vuelves a anclar las asignaciones de DNS de la pila de aplicaciones con una política de enrutamiento de conmutación por error de DNS.

Una alternativa al arquetipo de implementación multirregional sería el arquetipo de implementación global, en el que una sola pila se compila en balanceadores de cargas globales y abarca varias regiones. Considera las siguientes características de este arquetipo cuando trabajes con el diseño de Cross-Cloud Network:

• Los balanceadores de cargas distribuyen el tráfico a la región más cercana al usuario.
• Los frontends de Internet son globales, pero los internos son regionales con acceso global, por lo que puedes llegar a ellos en situaciones de conmutación por error.
• Puedes usar las políticas de enrutamiento de DNS de ubicación geográfica y las verificaciones de estado de DNS en las capas de servicio internas de la pila de aplicaciones.

La forma en que proporcionas acceso a los servicios publicados administrados depende del servicio al que se debe acceder. Los diferentes modelos de accesibilidad privada se modularizan y son ortogonales al diseño de la pila de aplicaciones.

Según el servicio, puedes usar Private Service Connect o el acceso privado a servicios para el acceso privado. Puedes compilar una aplicación de la pila combinando servicios integrados y servicios publicados por otras organizaciones. Las pilas de servicios pueden ser regionales o globales para cumplir con tu nivel requerido de resiliencia y latencia de acceso optimizada.

Seguridad de red

Para la seguridad de las cargas de trabajo, te recomendamos que uses políticas de firewall de Google Cloud.

Si tu organización requiere capacidades avanzadas adicionales para cumplir con los requisitos de seguridad o cumplimiento, puedes incorporar firewalls de seguridad perimetral mediante la inserción de dispositivos virtuales de red (NVAs) de firewall de última generación (NGFW).

Puedes insertar NVAs de NGFW en una sola interfaz de red (modo de NIC única) o en varias interfaces de red (modo de varias NICs). Los NVAs de NGFW pueden admitir zonas de seguridad o políticas perimetrales basadas en enrutamiento entre dominios sin clases (CIDR). Cross-Cloud Network implementa los NVAs de NGFW perimetral mediante una VPC de tránsito y políticas de enrutamiento de VPC.

¿Qué sigue?

• Diseño de la segmentación y conectividad de red para aplicaciones de red entre nubes.
• Obtén más información sobre los productos de Google Cloud que se usan en esta guía de diseño:
  • Redes de VPC
  • VPC compartida
  • Intercambio de tráfico entre redes de VPC
  • Private Service Connect
  • Acceso privado a servicios
• Para obtener información sobre la implementación de NVAs de firewall, consulta Dispositivos de red centralizados en Google Cloud.
• Para obtener más información sobre las arquitecturas de referencia, las guías de diseño y las prácticas recomendadas, explora el Centro de arquitectura de Cloud.

Colaboradores

Autores:

• Victor Moreno | Gerente de producto, Herramientas de redes de Cloud
• Ghaleb Al-habian | Especialista en redes
• Deepak Michael | Ingeniero de Atención al cliente especializado en herramientas de redes
• Osvaldo Costa | Ingeniero de Atención al cliente especializado en herramientas de redes
• Jonathan Almaleh | Consultor de soluciones técnicas de personal

Otros colaboradores:

• Zach Seils | Especialista en herramientas de redes
• Christopher Abraham | Ingeniero de atención al cliente especializado en herramientas de redes
• Emanuele Mazza | Especialista en productos de herramientas de redes
• Aurélien Legrand | Ingeniero estratégico de la nube
• Eric Yu | Ingeniero de atención al cliente especializado en herramientas de redes
• Autor: Kumar Dhanagopal | Desarrollador de soluciones entre productos
• Mark Schlagenhauf | Escritor técnico, Herramientas de redes
• Marwan Al Shawi | Ingeniero de Atención al Cliente para Socios
• Ammett Williams | Ingeniero de relaciones con desarrolladores