Questo documento fa parte di una serie che descrive il networking e la sicurezza per le aziende che migrano i carichi di lavoro dei data center in Google Cloud.
La serie è costituita dai seguenti documenti:
- Progettazione di reti per la migrazione dei carichi di lavoro aziendali: approcci dell'architettura
- Networking per un accesso intra-cloud sicuro: architetture di riferimento
- Networking per la distribuzione di applicazioni su internet: architetture di riferimento
- Networking per carichi di lavoro ibridi e multi-cloud: architetture di riferimento (questo non web)
Questo documento illustra il networking per uno scenario in cui i carichi di lavoro vengono eseguiti da un'unica posizione, ad esempio on-premise e nel cloud o in più ambienti ambienti cloud-native.
Architettura lift and shift
Il primo scenario di accesso al carico di lavoro ibrido è lift and shift dell'architettura.
Creazione di una connettività privata in corso...
Puoi stabilire la connettività alle reti on-premise utilizzando Dedicated Interconnect o Partner Interconnect. La topologia illustrata nella figura 1 mostra come utilizzare quattro interconnessioni in due aree metropolitane diverse e domini di disponibilità perimetrale diversi raggiungendo una disponibilità del 99,99% utilizzando Dedicated Interconnect. Per ulteriori informazioni e consigli dettagliati, vedi Connettività ibrida tra un ambiente on-premise e Google Cloud nel progetto delle basi aziendali.
Figura 1. Configurazione di Cloud Interconnect ridondante per una disponibilità del 99,99%.
Centro connettività di rete consente di utilizzare la rete Google trasferimento di dati tra più siti on-premise o con hosting su cloud. Questo approccio ti consente di sfruttare la copertura e l'affidabilità del quando devi spostare i dati. Puoi utilizzare le appliance router Cloud VPN, Cloud Interconnect e SD-WAN esistenti come spoke di Network Connectivity Center per supportare il trasferimento di dati tra on-premise delle reti e delle filiali, come mostrato nella figura 2.
Figura 2. Configurazione di Network Connectivity Center che collega diverse aziendali on-premise e di altre reti cloud al di fuori di Google Cloud utilizzando rete backbone.
Per ulteriori informazioni sulla configurazione di Network Connectivity Center, vedi Considerazioni nella documentazione di Network Connectivity Center.
Appliance SD-WAN
Network Connectivity Center consente di utilizzare un'appliance virtuale di rete di terze parti come uno spoke di Network Connectivity Center per stabilire la connettività tra un sito esterno e alle tue risorse di rete VPC. Un appliance router può essere un di terze parti Router SD-WAN supportato da uno dei nostri partner o un'altra appliance virtuale che consente di scambiare le route dell'istanza del router Cloud. Queste soluzioni basate su appliance si aggiungono le attuali opzioni di connettività site-to-cloud disponibili Cloud VPN e Cloud Interconnect come spoke. La figura 3 mostra una che utilizza appliance SD-WAN.
Figura 3. configurazione di Network Connectivity Center utilizzando l'appliance router per integrare la tua implementazione SD-WAN con la rete Google.
Puoi utilizzare appliance di terze parti per eseguire funzioni di sicurezza. La sicurezza le funzionalità dell'appliance possono essere integrate nell'appliance router come illustrato come mostrato nella figura 3. È inoltre un metodo comune per utilizzare un'appliance virtuale di rete, dove il traffico da on-premise arriva a una rete VPC di transito, e l'appliance stabilisce la connettività con il carico di lavoro rete VPC, come mostrato nella Figura 4.
Per ulteriori informazioni sulla configurazione di Network Connectivity Center, vedi Considerazioni nella documentazione di Network Connectivity Center.
Architettura dei servizi ibridi
Come nel caso d'uso intra-cloud discusso in Networking per l'accesso intra-cloud sicuro: architetture di riferimento, Network Connectivity Center consente la connettività dal tuo filiali e reti on-premise a Google Cloud. Private Service Connect fornisce l'accesso privato ai cluster gestiti da Google o di utilizzare altri servizi creati e di cui è stato eseguito il deployment cloud.
Puoi implementare la sicurezza di rete anche utilizzando una combinazione Controlli di servizio VPC, firewall Google Cloud e rete virtuale come mostrato nella Figura 4.
Figura 4. Reti con un'architettura che utilizza sia lift and shift e un modello di progettazione di servizi ibridi per fornire una un piano dati sicuro.
Architettura distribuita Zero Trust
In un ambiente ibrido, i microservizi vengono eseguiti mesh di servizi il cui deployment viene eseguito cloud provider e on-premise. Puoi contribuire a proteggere le comunicazioni di microservizi mediante mTLS e i criteri di autorizzazione. È una pratica comune per consentire alle aziende di creare mesh di servizi nel cloud ed estenderli anche on-premise. La figura 5 mostra un esempio di deployment di servizi per accedere ai servizi on-premise nel cloud. mTLS end-to-end tra viene abilitato utilizzando il gateway east-west e il routing basato su SNI. Cloud Service Mesh ti aiuta a proteggere le comunicazioni tra servizi, configuri i criteri di autorizzazione per i servizi ed esegui il deployment dei certificati e chiavi fornite da un modello autorità di certificazione.
Gli ambienti ibridi in genere prevedono più deployment mesh, ad esempio in più cluster GKE. Un componente importante di questo flusso è il routing SNI, che viene utilizzato gateway est-ovest per ogni cluster. Questo di configurazione consente il routing mTLS diretto al carico di lavoro da parte del gateway, preservando la connettività mTLS end-to-end.
Figura 5. Mesh di servizi Zero Trust di cui è stato eseguito il deployment in un ambiente on-premise e Google Cloud.
Le aziende possono utilizzare Cloud Service Mesh per eseguire il deployment in più cloud. Indirizzo di destinazione sfide nella gestione di identità e certificati tra cloud provider, Cloud Service Mesh fornisce identità dei carichi di lavoro e un'autorità di certificazione (CA) nel cluster intermedia, utilizzando CA Service (CA Service). La CA intermedia può essere concatenati a una CA esterna o che possono essere ospitati su Google. Puoi personalizzare CA come la regione e l'algoritmo di firma, usando sia gli attributi di proprietà HSM e Cloud HSM.
Workload Identity consente di assegnare identità distinte e granulari per ogni microservizio del tuo cluster. Cloud Service Mesh gestisce il processo di emissione dei certificati e di rotazione automatica delle chiavi senza interrompere le comunicazioni. Fornisce anche un'unica radice l'affidabilità tra i cluster GKE.
La figura 6 mostra un'architettura che utilizza Cloud Service Mesh per gestire di identità e autorizzazione.
I servizi nel mesh possono accedere ai servizi Google Cloud utilizzando federazione delle identità per i carichi di lavoro. Questa funzionalità consente ai servizi di agire con l'autorità di un account di servizio Google quando richiamano le API Google Cloud. Federazione delle identità per i carichi di lavoro consente inoltre al mesh di servizi installato su altri cloud provider di accedere le API di Google Cloud.
Figura 6. Mesh di servizi Zero Trust di cui è stato eseguito il deployment nei cloud.
Puoi utilizzare Cloud Service Mesh per instradare il traffico dal mesh agli ambienti on-premise in qualsiasi altro cloud.
Ad esempio, puoi creare servizi in Cloud Service Mesh chiamati
on-prem-service
e other-cloud-service
e aggiungi una rete di connettività ibrida
gruppi di endpoint (NEG) che hanno endpoint 10.1.0.1:80
e 10.2.0.1:80
.
Cloud Service Mesh invia quindi il traffico ai propri client, che sono sidecar mesh
che vengono eseguiti insieme alle tue applicazioni. Pertanto, quando la tua applicazione invia
una richiesta al servizio on-prem-service
, al client Cloud Service Mesh
esamina la richiesta e la indirizza all'endpoint 10.0.0.1:80
. Figura 7
che illustra questa configurazione.
Figura 7. Traffico indirizzato da un mesh di servizi mediante Cloud Service Mesh.
Puoi anche incorporare funzionalità avanzate, come il traffico basato sulla ponderazione dello sterzo, come mostrato nella Figura 8. Questa funzionalità ti consente di abilitare come la migrazione al cloud. Cloud Service Mesh funge da versatile e gestito a livello globale per i tuoi mesh di servizi.
Figura 8. Traffico ponderato indirizzato tramite Cloud Service Mesh.
Passaggi successivi
- Networking per l'accesso intra-cloud sicuro: architetture di riferimento.
- Networking per la distribuzione di applicazioni su internet: architetture di riferimento
- Migrazione a Google Cloud può aiutarti a pianificare, progettare e implementare il processo di migrazione carichi di lavoro in Google Cloud.
- Progettazione delle zone di destinazione in Google Cloud fornisce le indicazioni per creare una rete per le zone di destinazione.
- Per altre architetture di riferimento, diagrammi e best practice, esplora il Centro architetture cloud.