Dokumen ini menyediakan arsitektur referensi yang dapat Anda gunakan untuk men-deploy topologi jaringan hub-and-spoke Cross-Cloud Network di Google Cloud. Desain jaringan ini memungkinkan deployment layanan software di seluruh jaringan internal dan eksternal, seperti pusat data lokal atau Penyedia Layanan Cloud (CSP) lainnya. Google Cloud
Desain ini mendukung beberapa koneksi eksternal, beberapa jaringan Virtual Private Cloud (VPC) akses layanan, dan beberapa jaringan VPC workload.
Audiens yang dituju untuk dokumen ini adalah administrator jaringan yang membangun konektivitas jaringan dan arsitek cloud yang merencanakan cara men-deploy workload. Dokumen ini mengasumsikan bahwa Anda memiliki pemahaman dasar tentang perutean dan konektivitas internet.
Arsitektur
Diagram berikut menunjukkan tampilan tingkat tinggi arsitektur jaringan dan empat alur paket yang didukung arsitektur ini.
Arsitektur ini berisi elemen tingkat tinggi berikut:
| Komponen | Tujuan | Interaksi |
|---|---|---|
| Jaringan eksternal (Jaringan lokal atau CSP lain) | Menampung klien workload yang berjalan di VPC workload dan di VPC akses layanan. Jaringan eksternal juga dapat menghosting layanan. | Bertukar data dengan jaringan Virtual Private Cloud Google Cloudmelalui jaringan transit. Terhubung ke jaringan transit menggunakan Cloud Interconnect atau VPN HA. Mengakhiri salah satu ujung dari alur berikut:
|
| Jaringan VPC transit | Berfungsi sebagai hub untuk jaringan eksternal, jaringan VPC akses layanan, dan jaringan VPC beban kerja. | Menghubungkan jaringan eksternal, jaringan VPC akses layanan, dan jaringan VPC beban kerja melalui kombinasi Cloud Interconnect, VPN HA, dan Peering Jaringan VPC. |
| Jaringan VPC akses layanan | Memberikan akses ke layanan yang diperlukan oleh beban kerja yang berjalan di jaringan VPC beban kerja atau jaringan eksternal. Juga menyediakan titik akses ke layanan terkelola yang dihosting di jaringan lain. | Mempertukarkan data dengan jaringan eksternal dan workload melalui jaringan transit. Terhubung ke VPC transit menggunakan HA VPN. Perutean transitif yang disediakan oleh VPN dengan ketersediaan tinggi (HA) memungkinkan traffic eksternal mencapai VPC layanan terkelola melalui jaringan VPC akses layanan. Mengakhiri salah satu ujung dari alur berikut:
|
| Jaringan VPC layanan terkelola | Menghosting layanan terkelola yang diperlukan oleh klien di jaringan lain. | Mempertukarkan data dengan jaringan eksternal, akses layanan, dan beban kerja. Terhubung ke jaringan VPC akses layanan menggunakan akses layanan pribadi, yang menggunakan Peering Jaringan VPC, atau menggunakan Private Service Connect. Menghentikan salah satu ujung alur dari semua jaringan lain. |
| Jaringan VPC workload | Menampung workload yang diperlukan oleh klien di jaringan lain. | Bertukar data dengan jaringan VPC eksternal dan akses layanan melalui jaringan VPC transit. Terhubung ke jaringan transit menggunakan Peering Jaringan VPC. Terhubung ke jaringan VPC workload lain menggunakan spoke VPC Network Connectivity Center. Mengakhiri salah satu ujung dari alur berikut:
|
Diagram berikut menunjukkan tampilan mendetail arsitektur yang menyoroti empat koneksi di antara jaringan:
Deskripsi koneksi
Bagian ini menjelaskan empat koneksi yang ditampilkan dalam diagram sebelumnya.
Koneksi 1: Antara jaringan eksternal dan jaringan VPC transit
Koneksi antara jaringan eksternal dan jaringan VPC transit ini terjadi melalui Cloud Interconnect atau VPN dengan ketersediaan tinggi (HA). Rute dipertukarkan menggunakan BGP antara Cloud Router di jaringan VPC transit dan router eksternal di jaringan eksternal.
- Router di jaringan eksternal mengumumkan rute untuk subnet eksternal ke Cloud Router VPC transit. Secara umum, router eksternal di lokasi tertentu mengumumkan rute dari lokasi eksternal yang sama sebagai lebih disukai daripada rute untuk lokasi eksternal lainnya. Preferensi rute dapat dinyatakan menggunakan metrik dan atribut BGP.
- Cloud Router di jaringan VPC transit mengiklankan rute untuk awalan di VPC Google Cloudke jaringan eksternal. Rute ini harus diumumkan menggunakan pengumuman rute kustom Cloud Router.
Koneksi 2: Antara jaringan VPC transit dan jaringan VPC akses layanan
Koneksi antara jaringan VPC transit dan jaringan VPC akses layanan ini terjadi melalui VPN dengan ketersediaan tinggi (HA) dengan tunnel terpisah untuk setiap region. Rute dipertukarkan menggunakan BGP antara Cloud Router regional di jaringan VPC transit dan jaringan VPC akses layanan.
- VPN dengan ketersediaan tinggi (HA) VPC Transit Cloud Router mengumumkan rute untuk awalan jaringan eksternal, VPC workload, dan VPC akses layanan lainnya ke Cloud Router VPC akses layanan. Rute ini harus diumumkan menggunakan pengumuman rute kustom Cloud Router.
- Jaringan VPC akses layanan mengumumkan subnetnya dan subnet jaringan VPC layanan terkelola yang terpasang ke jaringan VPC transit. Rute VPC layanan terkelola dan rute subnet VPC akses layanan harus diumumkan menggunakan pengumuman rute kustom Cloud Router.
Koneksi 3: Antara jaringan VPC transit dan jaringan VPC workload
Koneksi antara jaringan VPC transit dan jaringan VPC workload ini diimplementasikan melalui peering VPC. Subnet dan rute awalan dipertukarkan menggunakan mekanisme peering VPC. Koneksi ini memungkinkan komunikasi antara jaringan VPC workload dan jaringan lain yang terhubung ke jaringan VPC transit, termasuk jaringan eksternal dan jaringan VPC akses layanan.
- Jaringan VPC transit menggunakan Peering Jaringan VPC untuk mengekspor rute kustom. Rute kustom ini mencakup semua rute dinamis yang telah dipelajari oleh jaringan VPC transit. Jaringan VPC workload mengimpor rute kustom tersebut.
- Jaringan VPC workload secara otomatis mengekspor subnet ke jaringan VPC transit. Tidak ada rute kustom yang diekspor dari VPC workload ke VPC transit.
Koneksi 4: Antara jaringan VPC workload
- Jaringan VPC workload dapat dihubungkan satu sama lain menggunakan spoke VPC Network Connectivity Center. Konfigurasi ini bersifat opsional. Anda dapat menghapusnya jika tidak ingin jaringan VPC workload berkomunikasi satu sama lain.
Arus lalu lintas
Diagram berikut menunjukkan empat alur yang diaktifkan oleh arsitektur referensi ini.
Tabel berikut menjelaskan alur dalam diagram:
| Sumber | Tujuan | Deskripsi |
|---|---|---|
| Jaringan eksternal | Jaringan VPC akses layanan |
|
| Jaringan VPC akses layanan | Jaringan eksternal |
|
| Jaringan eksternal | Jaringan VPC beban kerja |
|
| Jaringan VPC beban kerja | Jaringan eksternal |
|
| Jaringan VPC beban kerja | Jaringan VPC akses layanan |
|
| Jaringan VPC akses layanan | Jaringan VPC beban kerja |
|
| Jaringan VPC beban kerja | Jaringan VPC beban kerja | Traffic yang keluar dari satu VPC workload mengikuti rute yang lebih spesifik ke VPC workload lainnya melalui Network Connectivity Center. Traffic kembali membalikkan jalur ini. |
Produk yang digunakan
Arsitektur referensi ini menggunakan produk Google Cloud berikut:
- Virtual Private Cloud (VPC): Sistem virtual yang menyediakan fungsionalitas jaringan global yang skalabel untuk workload Google Cloud Anda. VPC mencakup Peering Jaringan VPC, Private Service Connect, akses layanan pribadi, dan Shared VPC.
- Network Connectivity Center: Framework orkestrasi yang menyederhanakan konektivitas jaringan di antara resource spoke yang terhubung ke resource pengelolaan terpusat yang disebut hub.
- Cloud Interconnect: Layanan yang memperluas jaringan eksternal Anda ke jaringan Google melalui koneksi latensi rendah yang memiliki ketersediaan tinggi.
- Cloud VPN: Layanan yang memperluas jaringan peer Anda dengan aman ke jaringan Google melalui tunnel VPN IPsec.
- Cloud Router: Penawaran terdistribusi dan terkelola sepenuhnya yang menyediakan kemampuan speaker dan responder Border Gateway Protocol (BGP). Cloud Router berfungsi dengan Cloud Interconnect, Cloud VPN, dan appliance Router untuk membuat rute dinamis di jaringan VPC berdasarkan rute yang diterima BGP dan rute yang dipelajari kustom.
Pertimbangan Desain
Bagian ini menjelaskan faktor desain, praktik terbaik, dan rekomendasi desain yang harus Anda pertimbangkan saat menggunakan arsitektur referensi ini untuk mengembangkan topologi yang memenuhi persyaratan spesifik Anda terkait keamanan, keandalan, dan performa.
Keamanan dan kepatuhan
Daftar berikut menjelaskan pertimbangan keamanan dan kepatuhan untuk arsitektur referensi ini:
- Untuk alasan kepatuhan, Anda mungkin ingin men-deploy workload hanya di satu region. Jika ingin mempertahankan semua traffic dalam satu region, Anda dapat menggunakan topologi 99,9%. Untuk mengetahui informasi selengkapnya, lihat Menetapkan ketersediaan 99,9% untuk Dedicated Interconnect dan Menetapkan ketersediaan 99,9% untuk Partner Interconnect.
- Gunakan Cloud Next Generation Firewall untuk mengamankan traffic yang masuk dan keluar dari jaringan VPC akses layanan dan workload. Untuk mengamankan traffic yang melewati antara jaringan eksternal dan jaringan transit, Anda harus menggunakan firewall eksternal atau firewall NVA.
- Aktifkan logging dan pemantauan sesuai kebutuhan traffic dan kepatuhan Anda. Anda dapat menggunakan Log Aliran VPC untuk mendapatkan insight tentang pola traffic Anda.
- Gunakan Cloud IDS untuk mengumpulkan insight tambahan tentang traffic Anda.
Keandalan
Daftar berikut menjelaskan pertimbangan keandalan untuk arsitektur referensi ini:
- Untuk mendapatkan ketersediaan 99,99% untuk Cloud Interconnect, Anda harus terhubung ke dua region yang berbeda. Google Cloud
- Untuk meningkatkan keandalan dan meminimalkan eksposur terhadap kegagalan regional, Anda dapat mendistribusikan workload dan resource cloud lainnya di seluruh region.
- Untuk menangani traffic yang diharapkan, buat tunnel VPN dalam jumlah yang memadai. Setiap tunnel VPN memiliki batas bandwidth.
Pengoptimalan performa
Daftar berikut menjelaskan pertimbangan performa untuk arsitektur referensi ini:
- Anda mungkin dapat meningkatkan performa jaringan dengan meningkatkan unit transmisi maksimum (MTU) jaringan dan koneksi Anda. Untuk mengetahui informasi selengkapnya, lihat Unit transmisi maksimum.
- Komunikasi antara VPC transit dan resource workload dilakukan melalui Peering Jaringan VPC, yang memberikan throughput kecepatan penuh untuk semua VM dalam jaringan tanpa biaya tambahan. Pertimbangkan kuota dan batas Peering Jaringan VPC saat Anda merencanakan deployment. Anda memiliki beberapa pilihan untuk menghubungkan jaringan eksternal ke jaringan transit. Untuk mengetahui informasi selengkapnya tentang pertimbangan biaya dan performa yang seimbang, lihat Memilih produk Network Connectivity.
Deployment
Arsitektur dalam dokumen ini membuat tiga set koneksi ke jaringan VPC transit pusat serta koneksi yang berbeda di antara jaringan VPC workload. Setelah semua koneksi dikonfigurasi sepenuhnya, semua jaringan dalam deployment dapat berkomunikasi dengan semua jaringan lainnya.
Deployment ini mengasumsikan bahwa Anda membuat koneksi antara jaringan eksternal dan transit di dua region. Namun, subnet workload dapat berada di wilayah mana pun. Jika Anda hanya menempatkan workload di satu region, Anda hanya perlu membuat subnet di region tersebut.
Untuk men-deploy arsitektur referensi ini, selesaikan tugas berikut:
- Mengidentifikasi region untuk menempatkan konektivitas dan beban kerja
- Buat jaringan dan subnet VPC Anda
- Membuat koneksi antara jaringan eksternal dan jaringan VPC transit Anda
- Membuat koneksi antara jaringan VPC transit dan jaringan VPC akses layanan
- Buat koneksi antara jaringan VPC transit dan jaringan VPC workload Anda
- Hubungkan jaringan VPC workload Anda
- Menguji konektivitas ke beban kerja
Mengidentifikasi region untuk menempatkan konektivitas dan workload
Secara umum, Anda ingin menempatkan konektivitas dan Google Cloud workload di dekat dengan jaringan lokal atau klien cloud lainnya. Untuk mengetahui informasi selengkapnya tentang penempatan beban kerja, lihat Google Cloud Pemilih Region dan Praktik terbaik untuk pemilihan region Compute Engine.
Buat jaringan dan subnet VPC Anda
Untuk membuat jaringan dan subnet VPC, selesaikan tugas berikut:
- Buat atau identifikasi project tempat Anda akan membuat jaringan VPC. Untuk mendapatkan panduan, lihat Segmentasi jaringan dan struktur project. Jika Anda ingin menggunakan jaringan VPC Bersama, sediakan project Anda sebagai project host VPC Bersama.
- Rencanakan alokasi alamat IP untuk jaringan Anda. Anda dapat melakukan pra-alokasi dan mencadangkan rentang dengan membuat rentang internal. Mengalokasikan blok alamat yang dapat digabungkan akan mempermudah konfigurasi dan operasi selanjutnya.
- Buat VPC jaringan transit dengan perutean global diaktifkan.
- Buat jaringan VPC layanan. Jika Anda akan memiliki workload di beberapa region, aktifkan pemilihan rute global.
- Buat jaringan VPC beban kerja. Jika Anda akan memiliki workload di beberapa region, aktifkan pemilihan rute global.
Membuat koneksi antara jaringan eksternal dan jaringan VPC transit Anda
Bagian ini mengasumsikan konektivitas di dua region dan mengasumsikan bahwa lokasi eksternal terhubung dan dapat melakukan failover satu sama lain. Kebijakan ini juga mengasumsikan bahwa ada preferensi bagi klien di lokasi eksternal A untuk menjangkau layanan di region A, dan seterusnya.
- Siapkan konektivitas antara jaringan eksternal dan jaringan transit Anda. Untuk memahami cara memikirkannya, lihat Konektivitas eksternal dan hybrid. Untuk mendapatkan panduan tentang cara memilih produk konektivitas, lihat Memilih produk Network Connectivity.
- Konfigurasi BGP di
setiap region yang terhubung sebagai berikut:
- Konfigurasi router di lokasi eksternal yang ditentukan sebagai berikut:
- Umumkan semua subnet untuk lokasi eksternal tersebut dengan menggunakan MED BGP yang sama di kedua antarmuka, seperti 100. Jika kedua antarmuka mengumumkan MED yang sama, maka Google Cloud dapat menggunakan ECMP untuk menyeimbangkan beban traffic di kedua koneksi.
- Umumkan semua subnet dari lokasi eksternal lainnya menggunakan MED berprioritas lebih rendah daripada region pertama, seperti 200. Mengumumkan MED yang sama dari kedua antarmuka.
- Konfigurasi Cloud Router yang menghadap eksternal di VPC transit wilayah yang terhubung sebagai berikut:
- Tetapkan ASN Cloud Router Anda menjadi 16550.
- Dengan menggunakan pemberitahuan rute kustom, umumkan semua rentang subnet dari semua region melalui kedua antarmuka Cloud Router yang menghadap eksternal. Gabungkan jika memungkinkan. Gunakan MED yang sama di kedua antarmuka, seperti 100.
- Konfigurasi router di lokasi eksternal yang ditentukan sebagai berikut:
Membuat koneksi antara jaringan VPC transit dan jaringan VPC akses layanan
Untuk menyediakan perutean transitif antara jaringan eksternal dan VPC akses layanan serta antara VPC workload dan VPC akses layanan, VPC akses layanan menggunakan HA VPN untuk konektivitas.
- Perkirakan jumlah traffic yang perlu berpindah antara VPC transit dan akses layanan di setiap region. Sesuaikan skala perkiraan jumlah tunnel Anda.
- Konfigurasi VPN dengan ketersediaan tinggi (HA) antara VPC transit
dan VPC akses layanan di region A menggunakan petunjuk
di Membuat gateway VPN dengan ketersediaan tinggi (HA) untuk menghubungkan
jaringan
VPC. Buat Cloud Router VPN dengan ketersediaan tinggi (HA) khusus di jaringan transit. Biarkan router yang menghadap jaringan eksternal untuk koneksi jaringan eksternal.
- Konfigurasi Cloud Router Transit VPC:
- Untuk mengumumkan subnet VPC workload dan jaringan eksternal ke VPC akses layanan, gunakan pemberitahuan rute kustom di Cloud Router pada VPC transit.
- Konfigurasi Cloud Router VPC akses layanan:
- Untuk mengumumkan subnet VPC akses layanan ke VPC transit, gunakan pemberitahuan rute kustom di Cloud Router VPC akses layanan.
- Jika Anda menggunakan akses layanan pribadi untuk menghubungkan VPC layanan terkelola ke VPC akses layanan, gunakan rute kustom untuk mengumumkan subnet tersebut juga.
- Konfigurasi Cloud Router Transit VPC:
- Jika Anda menghubungkan VPC layanan terkelola ke VPC akses layanan menggunakan akses layanan pribadi, setelah koneksi Peering Jaringan VPC dibuat, perbarui sisi koneksi Peering Jaringan VPC akses layanan untuk mengekspor rute kustom.
Membuat koneksi antara jaringan VPC transit dan jaringan VPC workload
Buat koneksi Peering Jaringan VPC antara VPC transit dan setiap VPC workload Anda:
- Aktifkan Ekspor rute kustom untuk sisi VPC transit dari setiap koneksi.
- Aktifkan Impor rute kustom untuk sisi VPC workload dari setiap koneksi.
- Dalam skenario default, hanya rute subnet VPC workload yang diekspor ke Transit VPC. Anda tidak perlu mengekspor rute kustom dari VPC workload.
Menghubungkan jaringan VPC workload Anda
Hubungkan jaringan VPC workload menggunakan spoke VPC Network Connectivity Center. Jadikan semua spoke bagian dari grup peer spoke Network Connectivity Center yang sama. Gunakan grup peer inti untuk mengizinkan komunikasi mesh penuh antar-VPC.
Koneksi Network Connectivity Center mengumumkan rute tertentu di antara jaringan VPC beban kerja. Traffic di antara jaringan ini mengikuti rute tersebut.
Menguji konektivitas ke workload
Jika Anda telah men-deploy beban kerja di jaringan VPC, uji akses ke beban kerja tersebut sekarang. Jika Anda menghubungkan jaringan sebelum men-deploy workload, Anda dapat men-deploy-nya sekarang dan mengujinya.
Langkah berikutnya
- Pelajari lebih lanjut produk Google Cloud yang digunakan dalam panduan desain ini:
- Untuk mengetahui lebih banyak tentang arsitektur referensi, diagram, dan praktik terbaik lainnya, jelajahi Pusat Arsitektur Cloud.
Kontributor
Penulis:
- Deepak Michael | Networking Specialist Customer Engineer
- Victor Moreno | Product Manager, Cloud Networking
- Osvaldo Costa | Networking Specialist Customer Engineer
Kontributor lainnya:
- Mark Schlagenhauf | Technical Writer, Networking
- Ammett Williams | Developer Relations Engineer
- Ghaleb Al-habian | Network Specialist