Dokumen ini menyediakan arsitektur referensi yang dapat Anda gunakan untuk men-deploy topologi jaringan hub-and-spoke Jaringan Lintas Cloud di Google Cloud. Desain jaringan ini memungkinkan deployment layanan software di seluruh Google Cloud dan jaringan eksternal, seperti pusat data lokal atau Penyedia Layanan Cloud (CSP) lainnya.
Desain ini mendukung beberapa koneksi eksternal, beberapa jaringan Virtual Private Cloud (VPC) yang diakses layanan, dan beberapa jaringan VPC workload.
Audiens yang dituju untuk dokumen ini adalah administrator jaringan yang membangun konektivitas jaringan dan arsitek cloud yang merencanakan cara workload di-deploy. Dokumen ini mengasumsikan bahwa Anda memiliki pemahaman dasar tentang perutean dan konektivitas internet.
Arsitektur
Diagram berikut menunjukkan tampilan tingkat tinggi dari arsitektur jaringan dan empat alur paket yang didukung arsitektur ini.
Arsitektur ini berisi elemen tingkat tinggi berikut:
| Komponen | Tujuan | Interaksi |
|---|---|---|
| Jaringan eksternal (Jaringan lokal atau jaringan CSP lainnya) | Menghosting klien workload yang berjalan di VPC workload dan di VPC akses layanan. Jaringan eksternal juga dapat menghosting layanan. | Bertukar data dengan jaringan Virtual Private Cloud Google Cloudmelalui jaringan transit. Menghubungkan ke jaringan transportasi umum menggunakan Cloud Interconnect atau VPN dengan ketersediaan tinggi (HA). Menghentikan salah satu ujung alur berikut:
|
| Jaringan VPC Transit | Berfungsi sebagai hub untuk jaringan eksternal, jaringan VPC akses layanan, dan jaringan VPC beban kerja. | Menghubungkan jaringan eksternal, jaringan VPC akses layanan, dan jaringan VPC workload secara bersamaan melalui kombinasi Cloud Interconnect, VPN dengan ketersediaan tinggi (HA), dan Peering Jaringan VPC. |
| Jaringan VPC akses layanan | Memberikan akses ke layanan yang dibutuhkan oleh workload yang berjalan di jaringan VPC workload atau jaringan eksternal. Juga menyediakan titik akses ke layanan terkelola yang dihosting di jaringan lain. | Bertukar data dengan jaringan eksternal dan beban kerja melalui jaringan transportasi umum. Menghubungkan ke VPC transit menggunakan VPN dengan ketersediaan tinggi (HA). Perutean transitif yang disediakan oleh VPN dengan ketersediaan tinggi (HA) memungkinkan traffic eksternal menjangkau VPC layanan terkelola melalui jaringan VPC akses layanan. Menghentikan salah satu ujung alur berikut:
|
| Jaringan VPC layanan terkelola | Menghosting layanan terkelola yang diperlukan klien di jaringan lain. | Bertukar data dengan jaringan eksternal, akses layanan, dan beban kerja. Terhubung ke jaringan VPC akses layanan menggunakan akses layanan pribadi, yang menggunakan Peering Jaringan VPC, atau dengan menggunakan Private Service Connect. Menghentikan satu ujung alur dari semua jaringan lainnya. |
| Jaringan VPC beban kerja | Menghosting workload yang dibutuhkan oleh klien di jaringan lain. | Bertukar data dengan jaringan VPC eksternal dan jaringan akses layanan melalui jaringan VPC transit. Menghubungkan ke jaringan transportasi umum menggunakan Peering Jaringan VPC. Terhubung ke jaringan VPC workload lain menggunakan spoke VPC Network Connectivity Center. Menghentikan salah satu ujung alur berikut:
|
Diagram berikut menunjukkan tampilan arsitektur yang mendetail yang menyoroti empat koneksi di antara jaringan:
Deskripsi koneksi
Bagian ini menjelaskan empat koneksi yang ditunjukkan dalam diagram sebelumnya.
Koneksi 1: Antara jaringan eksternal dan jaringan VPC transit
Koneksi antara jaringan eksternal dan jaringan VPC transportasi umum ini terjadi melalui Cloud Interconnect atau VPN HA. Rute dipertukarkan menggunakan BGP antara Cloud Router di jaringan VPC transit dan router eksternal di jaringan eksternal.
- Router di jaringan eksternal mengumumkan rute untuk subnet eksternal ke Cloud Router VPC transit. Secara umum, router eksternal di lokasi tertentu mengumumkan rute dari lokasi eksternal yang sama sebagai lebih disarankan daripada rute untuk lokasi eksternal lainnya. Preferensi rute dapat dinyatakan dengan menggunakan metrik dan atribut BGP.
- Cloud Router di jaringan VPC transit mengiklankan rute awalan di VPC Google Cloudke jaringan eksternal. Rute ini harus diumumkan menggunakan pengumuman rute kustom Cloud Router.
Koneksi 2: Di antara jaringan VPC transit dan jaringan VPC akses layanan
Hubungan antara jaringan VPC transit dan jaringan VPC akses layanan ini terjadi melalui VPN dengan ketersediaan tinggi (HA) dengan tunnel terpisah untuk setiap region. Rute dipertukarkan menggunakan BGP antara Cloud Router regional dalam jaringan VPC transit dan jaringan VPC akses layanan.
- Cloud Router dengan ketersediaan tinggi (HA) di Transit VPC mengumumkan rute untuk awalan jaringan eksternal, VPC workload, dan VPC akses layanan lainnya ke VPC Cloud Router yang dapat diakses layanan. Rute ini harus diumumkan menggunakan pengumuman rute kustom Cloud Router.
- Jaringan VPC akses layanan mengumumkan subnet dan subnetnya dari setiap jaringan VPC layanan terkelola yang terpasang ke jaringan VPC transit. Rute VPC layanan terkelola dan rute subnet VPC akses layanan harus diumumkan menggunakan pengumuman rute kustom Cloud Router.
Koneksi 3: Di antara jaringan VPC transit dan jaringan VPC beban kerja
Hubungan antara jaringan VPC transit dan jaringan VPC workload ini diterapkan melalui peering VPC. Subnet dan rute awalan dipertukarkan menggunakan mekanisme peering VPC. Koneksi ini memungkinkan komunikasi antara jaringan VPC workload dan jaringan lain yang terhubung ke jaringan VPC transit, termasuk jaringan eksternal dan jaringan VPC yang mengakses layanan.
- Jaringan VPC transit menggunakan Peering Jaringan VPC untuk mengekspor rute kustom. Rute kustom ini mencakup semua rute dinamis yang telah dipelajari oleh jaringan VPC transit. Jaringan VPC beban kerja akan mengimpor rute kustom tersebut.
- Jaringan VPC workload otomatis mengekspor subnet ke jaringan VPC transit. Tidak ada rute kustom yang diekspor dari VPC beban kerja ke VPC transit.
Koneksi 4: Antara jaringan VPC beban kerja
- Jaringan VPC beban kerja dapat dihubungkan bersama menggunakan spoke VPC Network Connectivity Center. Ini adalah konfigurasi opsional. Anda dapat menghilangkannya jika tidak ingin jaringan VPC beban kerja berkomunikasi satu sama lain.
Arus lalu lintas
Diagram berikut menunjukkan empat alur yang diaktifkan oleh arsitektur referensi ini.
Tabel berikut menjelaskan alur dalam diagram:
| Sumber | Tujuan | Deskripsi |
|---|---|---|
| Jaringan eksternal | Jaringan VPC akses layanan |
|
| Jaringan VPC akses layanan | Jaringan eksternal |
|
| Jaringan eksternal | Jaringan VPC workload |
|
| Jaringan VPC workload | Jaringan eksternal |
|
| Jaringan VPC workload | Jaringan VPC akses layanan |
|
| Jaringan VPC akses layanan | Jaringan VPC workload |
|
| Jaringan VPC workload | Jaringan VPC workload | Traffic yang keluar dari satu VPC workload mengikuti rute yang lebih spesifik ke VPC workload lain melalui Network Connectivity Center. Traffic yang ditampilkan akan membalikkan jalur ini. |
Produk yang digunakan
Arsitektur referensi ini menggunakan produk Google Cloud berikut:
- Virtual Private Cloud (VPC): Sistem virtual yang menyediakan fungsi jaringan global dan skalabel untuk Google Cloud workload Anda. VPC mencakup Peering Jaringan VPC, Private Service Connect, akses layanan pribadi, dan VPC Bersama.
- Network Connectivity Center: Framework orkestrasi yang menyederhanakan konektivitas jaringan di antara resource lisan yang terhubung ke resource pengelolaan terpusat yang disebut hub.
- Cloud Interconnect: Layanan yang memperluas jaringan eksternal Anda ke jaringan Google melalui koneksi latensi rendah yang sangat tersedia.
- Cloud VPN: Layanan yang memperluas jaringan peer Anda dengan aman ke jaringan Google melalui tunnel VPN IPsec.
- Cloud Router: Penawaran terdistribusi dan terkelola sepenuhnya yang menyediakan kemampuan speaker dan responden Border Gateway Protocol (BGP). Cloud Router berfungsi dengan Cloud Interconnect, Cloud VPN, dan peralatan Router untuk membuat rute dinamis di jaringan VPC berdasarkan rute yang diterima BGP dan rute kustom.
Pertimbangan Desain
Bagian ini menjelaskan faktor desain, praktik terbaik, dan rekomendasi desain yang harus dipertimbangkan saat Anda menggunakan arsitektur referensi ini untuk mengembangkan topologi yang memenuhi persyaratan khusus untuk keamanan, keandalan, dan performa.
Keamanan dan kepatuhan
Daftar berikut menjelaskan pertimbangan keamanan dan kepatuhan untuk arsitektur referensi ini:
- Karena alasan kepatuhan, sebaiknya Anda men-deploy workload di satu region saja. Jika ingin menyimpan semua traffic di satu region, Anda dapat menggunakan topologi 99,9%. Untuk mengetahui informasi selengkapnya, lihat Menetapkan ketersediaan 99,9% untuk Dedicated Interconnect dan Menetapkan ketersediaan 99,9% untuk Partner Interconnect.
- Gunakan Cloud Next Generation Firewall untuk mengamankan traffic yang masuk dan keluar dari jaringan VPC workload dan akses layanan. Untuk mengamankan traffic yang melewati antara jaringan eksternal dan jaringan transportasi umum, Anda perlu menggunakan firewall eksternal atau firewall NVA.
- Aktifkan logging dan pemantauan yang sesuai untuk kebutuhan traffic dan kepatuhan Anda. Anda dapat menggunakan Log Aliran VPC untuk mendapatkan insight tentang pola traffic Anda.
- Gunakan Cloud IDS untuk mengumpulkan insight tambahan tentang traffic Anda.
Keandalan
Daftar berikut menjelaskan pertimbangan keandalan untuk arsitektur referensi ini:
- Untuk mendapatkan ketersediaan Cloud Interconnect sebesar 99,99%, Anda harus terhubung ke dua region Google Cloud yang berbeda.
- Untuk meningkatkan keandalan dan meminimalkan eksposur terhadap kegagalan regional, Anda dapat mendistribusikan workload dan resource cloud lainnya di seluruh region.
- Untuk menangani traffic yang Anda harapkan, buat jumlah tunnel VPN yang memadai. Setiap tunnel VPN memiliki batas bandwidth.
Pengoptimalan performa
Daftar berikut menjelaskan pertimbangan performa untuk arsitektur referensi ini:
- Anda mungkin dapat meningkatkan performa jaringan dengan meningkatkan unit transmisi maksimum (MTU) dari jaringan dan koneksi Anda. Untuk mengetahui informasi selengkapnya, lihat Unit transmisi maksimum.
- Komunikasi antara resource VPC transit dan workload dilakukan melalui Peering Jaringan VPC, yang memberikan throughput kecepatan penuh untuk semua VM di jaringan tanpa biaya tambahan. Pertimbangkan kuota dan batas Peering Jaringan VPC saat merencanakan deployment. Anda memiliki beberapa pilihan dalam menghubungkan jaringan eksternal ke jaringan transportasi umum. Untuk mengetahui informasi selengkapnya tentang pertimbangan biaya dan performa penyeimbangan, lihat Memilih produk Konektivitas Jaringan.
Deployment
Arsitektur dalam dokumen ini membuat tiga set koneksi ke jaringan VPC transit pusat ditambah koneksi yang berbeda di antara jaringan VPC workload. Setelah semua koneksi dikonfigurasi sepenuhnya, semua jaringan dalam deployment dapat berkomunikasi dengan semua jaringan lain.
Deployment ini mengasumsikan bahwa Anda membuat koneksi antara jaringan eksternal dan transit di dua region. Namun, subnet workload dapat berada di region mana pun. Jika Anda menempatkan workload hanya di satu region, Anda hanya perlu membuat subnet di region tersebut.
Untuk men-deploy arsitektur referensi ini, selesaikan tugas-tugas berikut:
- Mengidentifikasi region untuk menempatkan konektivitas dan workload
- Membuat subnet dan jaringan VPC
- Membuat koneksi antara jaringan eksternal dan jaringan VPC transportasi umum
- Membuat koneksi antara jaringan VPC transit dan jaringan VPC akses layanan
- Membuat koneksi antara jaringan VPC transportasi umum dan jaringan VPC workload
- Menghubungkan jaringan VPC workload Anda
- Menguji konektivitas ke workload
Mengidentifikasi region untuk menempatkan konektivitas dan workload
Secara umum, Anda ingin menempatkan konektivitas dan Google Cloud beban kerja dalam jarak yang dekat dengan jaringan lokal Anda atau klien cloud lainnya. Untuk mengetahui informasi selengkapnya tentang penempatan workload, lihat Google Cloud Pemilih Region dan Praktik terbaik untuk pemilihan region Compute Engine.
Membuat subnet dan jaringan VPC
Untuk membuat jaringan dan subnet VPC, selesaikan tugas berikut:
- Buat atau identifikasi project tempat Anda akan membuat jaringan VPC. Untuk panduan, lihat Segmentasi jaringan dan struktur project. Jika Anda ingin menggunakan jaringan VPC Bersama, sediakan project Anda sebagai project host VPC Bersama.
- Rencanakan alokasi alamat IP untuk jaringan Anda. Anda dapat mengalokasikan dan mencadangkan rentang dengan membuat rentang internal. Mengalokasikan blok alamat yang dapat digabungkan membuat konfigurasi dan operasi berikutnya menjadi lebih mudah.
- Buat VPC jaringan transit dengan perutean global yang diaktifkan.
- Membuat jaringan VPC layanan. Jika Anda akan memiliki workload di beberapa region, aktifkan perutean global.
- Membuat jaringan VPC beban kerja. Jika Anda akan memiliki workload di beberapa region, aktifkan perutean global.
Membuat koneksi antara jaringan eksternal dan jaringan VPC transportasi umum
Bagian ini mengasumsikan konektivitas di dua region dan mengasumsikan bahwa lokasi eksternal terhubung dan dapat saling kegagalan. Tutorial ini juga mengasumsikan bahwa ada preferensi bagi klien di lokasi eksternal A untuk menjangkau layanan di region A, dan seterusnya.
- Siapkan konektivitas antara jaringan eksternal dan jaringan transportasi umum Anda. Untuk memahami cara mempertimbangkan hal ini, lihat Konektivitas eksternal dan hybrid. Untuk panduan memilih produk konektivitas, lihat Memilih produk Konektivitas Jaringan.
- Konfigurasikan BGP di
setiap region yang terhubung sebagai berikut:
- Konfigurasikan router di lokasi eksternal tertentu sebagai berikut:
- Umumkan semua subnet untuk lokasi eksternal tersebut dengan menggunakan MED BGP yang sama pada kedua antarmuka, seperti 100. Jika kedua antarmuka mengumumkan MED yang sama, Google Cloud dapat menggunakan ECMP untuk melakukan load balancing pada traffic di kedua koneksi.
- Umumkan semua subnet dari lokasi eksternal lain menggunakan MED prioritas lebih rendah daripada MED region pertama, misalnya 200. Umumkan MED yang sama dari kedua antarmuka.
- Konfigurasikan Cloud Router eksternal di VPC
transit di region yang terhubung sebagai berikut:
- Tetapkan Cloud Router ASN Anda ke 16550.
- Dengan menggunakan iklan rute kustom, umumkan semua rentang subnet dari semua region melalui kedua antarmuka Cloud Router yang ditampilkan secara eksternal. Gabungkan jika memungkinkan. Gunakan MED yang sama di kedua antarmuka, seperti 100.
- Konfigurasikan router di lokasi eksternal tertentu sebagai berikut:
Membuat koneksi antara jaringan VPC transit dan jaringan VPC akses layanan
Untuk menyediakan perutean transitif antara jaringan eksternal dan VPC akses layanan, serta antara VPC workload dan VPC akses layanan, VPC akses layanan menggunakan VPN dengan ketersediaan tinggi (HA) untuk konektivitas.
- Perkirakan jumlah traffic yang perlu dilakukan antara VPC transit dan VPC yang mengakses layanan di setiap wilayah. Skalakan perkiraan jumlah tunnel Anda.
- Konfigurasikan VPN dengan ketersediaan tinggi (HA) antara VPC transit dan VPC akses layanan di region A dengan mengikuti petunjuk di Membuat gateway VPN dengan ketersediaan tinggi (HA) untuk menghubungkan jaringan VPC. Buat Cloud Router VPN HA khusus di jaringan transit. Tinggalkan router yang menghadap ke jaringan eksternal untuk koneksi jaringan
eksternal.
- Konfigurasi VPC Cloud Router Transit:
- Untuk mengumumkan subnet VPC jaringan eksternal dan workload ke VPC akses layanan, gunakan iklan rute kustom di Cloud Router di VPC transit.
- Konfigurasi VPC Cloud Router VPC akses layanan:
- Untuk mengumumkan subnet VPC akses layanan ke VPC transit, gunakan iklan rute kustom di Cloud Router VPC akses layanan.
- Jika Anda menggunakan akses layanan pribadi untuk menghubungkan VPC layanan terkelola ke VPC akses layanan, gunakan rute kustom untuk mengumumkan subnet tersebut juga.
- Konfigurasi VPC Cloud Router Transit:
- Jika Anda menghubungkan VPC layanan terkelola ke VPC yang dapat mengakses layanan menggunakan akses layanan pribadi, setelah koneksi Peering Jaringan VPC dibuat, perbarui sisi VPC akses layanan dari koneksi Peering Jaringan VPC untuk mengekspor rute kustom.
Membuat koneksi antara jaringan VPC transit dan jaringan VPC workload
Buat koneksi Peering Jaringan VPC antara VPC transit dan setiap VPC workload Anda:
- Aktifkan Export custom routes untuk sisi VPC transit dari setiap koneksi.
- Aktifkan Impor rute kustom untuk sisi VPC workload dari setiap koneksi.
- Dalam skenario default, hanya rute subnet VPC workload yang diekspor ke VPC Transit. Anda tidak perlu mengekspor rute kustom dari VPC workload.
Menghubungkan jaringan VPC workload
Hubungkan jaringan VPC workload bersama-sama menggunakan spons VPC Network Connectivity Center. Jadikan semua spoke bagian dari grup pembanding lisan Network Connectivity Center yang sama. Gunakan grup peer inti untuk memungkinkan komunikasi mesh penuh antara VPC.
Koneksi Network Connectivity Center mengumumkan rute spesifik di antara jaringan VPC workload. Traffic antarjaringan ini mengikuti rute tersebut.
Menguji konektivitas ke workload
Jika Anda memiliki workload yang telah di-deploy di jaringan VPC Anda, uji akses ke workload tersebut sekarang. Jika jaringan terhubung sebelum men-deploy workload, Anda dapat men-deploy-nya sekarang dan mengujinya.
Langkah berikutnya
- Pelajari lebih lanjut Google Cloud produk yang digunakan dalam panduan desain ini:
- Untuk mengetahui lebih banyak tentang arsitektur referensi, diagram, dan praktik terbaik lainnya, jelajahi Pusat Arsitektur Cloud.
Kontributor
Penulis:
- Deepak Michael | Spesialis Jaringan Customer Engineer
- Victor Moreno | Product Manager, Cloud Networking
- Osvaldo Costa | Spesialis Customer Engineer Jaringan
Kontributor lainnya:
- Mark Schlagenhauf | Technical Writer, Networking
- Ammett Williams | Developer Relations Engineer
- Ghaleb Al-habian | Spesialis Jaringan