Questo documento fornisce un'architettura di riferimento che puoi utilizzare per eseguire il deployment di una topologia di rete hub-and-spoke Cross-Cloud Network in Google Cloud. Questa progettazione di rete consente il deployment di servizi software su reti Google Cloud ed esterne, come data center on-premise o altri provider di servizi cloud (CSP).
Questo design supporta più connessioni esterne, più reti Virtual Private Cloud (VPC) con accesso ai servizi e più reti VPC del workload.
Il pubblico di destinazione di questo documento è costituito da amministratori di rete che creano connettività di rete e architetti cloud che pianificano la modalità di deployment dei workload. Il documento presuppone che tu abbia una conoscenza di base del routing e della connettività a internet.
Architettura
Il seguente diagramma mostra una visione generale dell'architettura delle reti e dei quattro flussi di pacchetti supportati da questa architettura.
L'architettura contiene i seguenti elementi di alto livello:
| Componente | Finalità | Interazioni |
|---|---|---|
| Reti esterne (on-premise o di un altro CSP) | Ospita i client dei carichi di lavoro eseguiti nei VPC del carico di lavoro e nei VPC di accesso ai servizi. Anche le reti esterne possono ospitare servizi. | Scambia dati con le reti Virtual Private Cloud di Google Cloudtramite la rete di transito. Si connette alla rete di transito utilizzando Cloud Interconnect o la VPN ad alta disponibilità. Termina una delle seguenti sequenze:
|
| Rete VPC di transito | Funge da hub per la rete esterna, la rete VPC di accesso ai servizi e le reti VPC del carico di lavoro. | Collega la rete esterna, la rete VPC di accesso ai servizi e le reti VPC del workload tramite una combinazione di Cloud Interconnect, VPN ad alta disponibilità e peering di rete VPC. |
| Rete VPC services-access | Fornisce l'accesso ai servizi necessari ai carichi di lavoro in esecuzione nelle reti VPC del workload o nelle reti esterne. Fornisce anche punti di accesso a servizi gestiti ospitati in altre reti. | Scambia dati con le reti esterne e dei workload tramite la rete di transito. Si connette al VPC di transito utilizzando la VPN ad alta disponibilità. Il routing transitivo fornito da VPN ad alta disponibilità consente al traffico esterno di raggiungere i VPC dei servizi gestiti tramite la rete VPC di accesso ai servizi. Termina una delle seguenti sequenze:
|
| Rete VPC di servizi gestiti | Ospita i servizi gestiti necessari ai client in altre reti. | Scambia dati con le reti esterne, di accesso ai servizi e dei carichi di lavoro. Si connette alla rete VPC di accesso ai servizi utilizzando l'accesso privato ai servizi, che utilizza il peering di rete VPC, o utilizzando Private Service Connect. Termina un'estremità dei flussi da tutte le altre reti. |
| Reti VPC del workload | Ospita i workload necessari ai client di altre reti. | Scambia dati con le reti VPC esterne e di accesso ai servizi tramite la rete VPC di transito. Si connette alla rete di transito utilizzando il peering di rete VPC. Si connette ad altre reti VPC del workload utilizzando gli hub VPC di Network Connectivity Center. Termina una delle seguenti sequenze:
|
Il seguente diagramma mostra una visualizzazione dettagliata dell'architettura che evidenzia le quattro connessioni tra le reti:
Descrizioni delle connessioni
Questa sezione descrive le quattro connessioni mostrate nel diagramma precedente.
Connessione 1: tra reti esterne e la rete VPC di transito
Questa connessione tra reti esterne e reti VPC di transito avviene tramite Cloud Interconnect o VPN ad alta disponibilità. Le route vengono scambiate utilizzando BGP tra i router Cloud nella rete VPC di transito e i router esterni nella rete esterna.
- I router nelle reti esterne annunciano le route per le subnet esterne ai router Cloud VPC di transito. In generale, i router esterni in una determinata località annunciano le route dalla stessa località esterna come più preferite rispetto alle route per altre località esterne. La preferenza delle route può essere espressa utilizzando metriche e attributi BGP.
- I router cloud nella rete VPC di transito annunciano le route per i prefissi nei VPC di Google Cloudalle reti esterne. Queste route devono essere annunciate utilizzando gli annunci di route personalizzati del router Cloud.
Connessione 2: tra le reti VPC di transito e le reti VPC di accesso ai servizi
Questa connessione tra le reti VPC di transito e le reti VPC di accesso ai servizi avviene tramite VPN ad alta disponibilità con tunnel separati per ogni regione. Le route vengono scambiate utilizzando BGP tra i router Cloud regionali nelle reti VPC di transito e le reti VPC di accesso ai servizi.
- VPN ad alta disponibilità Transit VPC I router Cloud annunciano le route per i prefissi di rete esterni, i VPC dei carichi di lavoro e altri VPC di accesso ai servizi al router Cloud VPC di accesso ai servizi. Queste route devono essere annunciate utilizzando gli annunci di route personalizzati del router Cloud.
- La rete VPC di accesso ai servizi annuncia le proprie subnet e le subnet di tutte le reti VPC di servizi gestiti collegate alla rete VPC di transito. Le route VPC dei servizi gestiti e le route di subnet VPC di accesso ai servizi devono essere annunciate utilizzando gli annunci di route personalizzati del router Cloud.
Connessione 3: tra le reti VPC di transito e le reti VPC del workload
Questa connessione tra le reti VPC di transito e le reti VPC dei carichi di lavoro viene implementata tramite il peering VPC. Le subnet e le route con prefisso vengono scambiate utilizzando i meccanismi di peering VPC. Questa connessione consente la comunicazione tra le reti VPC del carico di lavoro e le altre reti connesse alla rete VPC di transito, incluse le reti esterne e le reti VPC di accesso ai servizi.
- La rete VPC di transito utilizza il peering di rete VPC per esportare route personalizzate. Queste route personalizzate includono tutte le route dinamiche apprese dalla rete VPC di transito. Le reti VPC del workload importano queste route personalizzate.
- La rete VPC del workload esporta automaticamente le subnet nella rete VPC di transito. Nessuna route personalizzata viene esportata dalle VPC del workload alla VPC di transito.
Connessione 4: tra le reti VPC del workload
- Le reti VPC del workload possono essere connesse tra loro utilizzando gli spoke VPC di Network Connectivity Center. Questa è una configurazione facoltativa. Puoi ometterlo se non vuoi che le reti VPC del workload comunichino tra loro.
Flussi di traffico
Il seguente diagramma mostra i quattro flussi abilitati da questa architettura di riferimento.
La tabella seguente descrive i flussi nel diagramma:
| Origine | Destinazione | Descrizione |
|---|---|---|
| Rete esterna | Rete VPC services-access |
|
| Rete VPC services-access | Rete esterna |
|
| Rete esterna | Rete VPC del carico di lavoro |
|
| Rete VPC del carico di lavoro | Rete esterna |
|
| Rete VPC del carico di lavoro | Rete VPC services-access |
|
| Rete VPC services-access | Rete VPC del carico di lavoro |
|
| Rete VPC del carico di lavoro | Rete VPC del carico di lavoro | Il traffico che esce da un VPC del carico di lavoro segue la route più specifica verso l'altro VPC del carico di lavoro tramite Network Connectivity Center. Il traffico di ritorno inverte questo percorso. |
Prodotti utilizzati
Questa architettura di riferimento utilizza i seguenti prodotti Google Cloud :
- Virtual Private Cloud (VPC): un sistema virtuale che fornisce funzionalità di rete globali e scalabili per i tuoi Google Cloud carichi di lavoro. VPC include il peering di rete VPC, Private Service Connect, l'accesso privato ai servizi e VPC condiviso.
- Network Connectivity Center: un framework di orchestrazione che semplifica la connettività di rete tra le risorse spoke connesse a una risorsa di gestione centrale chiamata hub.
- Cloud Interconnect: un servizio che estende la tua rete esterna alla rete Google tramite una connessione a disponibilità elevata e a bassa latenza.
- Cloud VPN: un servizio che estende in modo sicuro la tua rete peer alla rete di Google tramite un tunnel VPN IPsec.
- Cloud Router: un'offerta distribuita e completamente gestita che fornisce funzionalità di speaker e responder Border Gateway Protocol (BGP). Router Cloud funziona con Cloud Interconnect, Cloud VPN e le appliance router per creare route dinamiche nelle reti VPC in base alle route ricevute tramite BGP e a quelle apprese personalizzate.
Considerazioni sulla progettazione
Questa sezione descrive i fattori di progettazione, le best practice e i suggerimenti di progettazione da prendere in considerazione quando utilizzi questa architettura di riferimento per sviluppare una topologia che soddisfi i tuoi requisiti specifici di sicurezza, affidabilità e prestazioni.
Sicurezza e conformità
Il seguente elenco descrive le considerazioni relative a sicurezza e conformità per questa architettura di riferimento:
- Per motivi di conformità, potresti voler eseguire il deployment dei workload solo in una singola regione. Se vuoi mantenere tutto il traffico in una singola regione, puoi utilizzare una topologia al 99,9%. Per ulteriori informazioni, consulta Stabilisci una disponibilità del 99,9% per Dedicated Interconnect e Stabilisci una disponibilità del 99,9% per Partner Interconnect.
- Utilizza Cloud Next Generation Firewall per proteggere il traffico in entrata e in uscita dalle reti VPC di accesso ai servizi e dei carichi di lavoro. Per proteggere il traffico che passa tra le reti esterne e la rete di transito, devi utilizzare firewall esterni o firewall NVA.
- Abilita il logging e il monitoraggio in base alle tue esigenze di traffico e conformità. Puoi utilizzare i log di flusso VPC per ottenere informazioni sui pattern di traffico.
- Utilizza Cloud IDS per ottenere ulteriori informazioni sul tuo traffico.
Affidabilità
Il seguente elenco descrive le considerazioni sull'affidabilità per questa architettura di riferimento:
- Per ottenere una disponibilità del 99,99% per Cloud Interconnect, devi connetterti a due regioni Google Cloud diverse.
- Per migliorare l'affidabilità e ridurre al minimo l'esposizione a guasti regionali, puoi distribuire i workload e altre risorse cloud in più regioni.
- Per gestire il traffico previsto, crea un numero sufficiente di tunnel VPN. I singoli tunnel VPN hanno limiti di larghezza di banda.
Ottimizzazione delle prestazioni
Il seguente elenco descrive le considerazioni sul rendimento per questa architettura di riferimento:
- Potresti migliorare le prestazioni di rete aumentando l'unità massima di trasmissione (MTU) delle tue reti e connessioni. Per maggiori informazioni, consulta la sezione Unità massima di trasmissione.
- La comunicazione tra la VPC di transito e le risorse del carico di lavoro avviene tramite il peering di rete VPC, che fornisce una velocità effettiva a piena velocità di linea per tutte le VM nella rete senza costi aggiuntivi. Considera le quote e i limiti del peering di rete VPC quando pianifichi il deployment. Hai diverse opzioni per connettere la tua rete esterna alla rete di transito. Per ulteriori informazioni su come bilanciare i costi e le considerazioni sulle prestazioni, consulta Scegliere un prodotto per la connettività di rete.
Deployment
L'architettura descritta in questo documento crea tre set di connessioni a una rete VPC di transito centrale più una connessione diversa tra le reti VPC dei carichi di lavoro. Una volta configurate completamente tutte le connessioni, tutte le reti nel deployment possono comunicare con tutte le altre reti.
Questo deployment presuppone la creazione di connessioni tra le reti esterne e di transito in due regioni. Le subnet dei carichi di lavoro possono trovarsi in qualsiasi regione. Se posizioni i workload in una sola regione, devi creare subnet solo in quella regione.
Per eseguire il deployment di questa architettura di riferimento, completa le seguenti attività:
- Identificare le regioni in cui posizionare la connettività e i carichi di lavoro
- Crea le reti VPC e le subnet
- Crea connessioni tra reti esterne e la rete VPC di transito
- Crea connessioni tra la tua rete VPC di transito e le reti VPC di accesso ai servizi
- Crea connessioni tra la rete VPC di transito e le reti VPC del workload
- Connetti le reti VPC del tuo workload
- Test della connettività ai carichi di lavoro
Identificare le regioni in cui posizionare la connettività e i workload
In generale, vuoi posizionare la connettività e i Google Cloud carichi di lavoro in prossimità delle tue reti on-premise o di altri client cloud. Per saperne di più sul posizionamento dei carichi di lavoro, consulta Google Cloud Region Picker e Best practice per la scelta dell'area geografica per Compute Engine.
Crea le reti e le subnet VPC
Per creare le reti e le subnet VPC, completa le seguenti attività:
- Crea o identifica i progetti in cui creerai le reti VPC. Per indicazioni, vedi Segmentazione della rete e struttura del progetto. Se intendi utilizzare reti VPC condiviso, provisiona i tuoi progetti come progetti host VPC condiviso.
- Pianifica le allocazioni degli indirizzi IP per le tue reti. Puoi preallocare e riservare gli intervalli creando intervalli interni. L'allocazione di blocchi di indirizzi aggregabili semplifica la configurazione e le operazioni successive.
- Crea un VPC di rete di transito con il routing globale abilitato.
- Crea reti VPC di servizio. Se avrai carichi di lavoro in più regioni, attiva il routing globale.
- Crea reti VPC del workload. Se avrai carichi di lavoro in più regioni, attiva il routing globale.
Crea connessioni tra reti esterne e la tua rete VPC di transito
Questa sezione presuppone la connettività in due regioni e che le posizioni esterne siano connesse e possano eseguire il failover l'una sull'altra. Inoltre, presuppone che i client nella località esterna A preferiscano raggiungere i servizi nella regione A e così via.
- Configura la connettività tra le reti esterne e la tua rete di transito. Per capire come affrontare questo problema, vedi Connettività esterna e ibrida. Per indicazioni sulla scelta di un prodotto di connettività, consulta Scelta di un prodotto di connettività di rete.
- Configura BGP in
ogni regione connessa come segue:
- Configura il router nella posizione esterna specificata nel seguente modo:
- Annuncia tutte le subnet per la località esterna utilizzando lo stesso valore MED BGP su entrambe le interfacce, ad esempio 100. Se entrambe le interfacce annunciano lo stesso MED, Google Cloud può utilizzare ECMP per bilanciare il carico del traffico su entrambe le connessioni.
- Annuncia tutte le subnet dell'altra posizione esterna utilizzando un valore MED con priorità inferiore rispetto a quello della prima regione, ad esempio 200. Annuncia la stessa MED da entrambe le interfacce.
- Configura il router Cloud rivolto all'esterno nel VPC di transito della regione connessa nel seguente modo:
- Imposta l'ASN del router Cloud su 16550.
- Utilizzando gli annunci di route personalizzati, annuncia tutti gli intervalli di subnet di tutte le regioni su entrambe le interfacce del router Cloud rivolte verso l'esterno. Aggregali se possibile. Utilizza lo stesso MED su entrambe le interfacce, ad esempio 100.
- Configura il router nella posizione esterna specificata nel seguente modo:
Crea connessioni tra la tua rete VPC di transito e le reti VPC di accesso ai servizi
Per fornire il routing transitivo tra le reti esterne e il VPC di accesso ai servizi e tra i VPC dei carichi di lavoro e il VPC di accesso ai servizi, quest'ultimo utilizza VPN ad alta disponibilità per la connettività.
- Stima la quantità di traffico che deve spostarsi tra i VPC di transito e di accesso ai servizi in ogni regione. Scala di conseguenza il numero previsto di tunnel.
- Configura la VPN ad alta disponibilità tra il VPC di transito e il VPC di accesso ai servizi nella regione A seguendo le istruzioni riportate in Crea gateway VPN ad alta disponibilità per connettere le reti VPC. Crea un router Cloud VPN ad alta disponibilità dedicato nella rete di transito. Lascia il router rivolto alla rete esterna per le connessioni
alla rete esterna.
- Configurazione del router Cloud VPC di transito:
- Per annunciare le subnet VPC della rete esterna e del workload al VPC di accesso ai servizi, utilizza annunci di route personalizzate sul router Cloud nel VPC di transito.
- Configurazione del router Cloud VPC con accesso ai servizi:
- Per annunciare le subnet VPC di accesso ai servizi al VPC di transito, utilizza le pubblicità di route personalizzate sul router Cloud VPC di accesso ai servizi.
- Se utilizzi l'accesso privato ai servizi per connettere un VPC di servizi gestiti al VPC di accesso ai servizi, utilizza route personalizzate per annunciare anche queste subnet.
- Configurazione del router Cloud VPC di transito:
- Se connetti un VPC di servizi gestiti al VPC di accesso ai servizi utilizzando l'accesso privato ai servizi, dopo aver stabilito la connessione di peering di rete VPC, aggiorna il lato del VPC di accesso ai servizi della connessione di peering di rete VPC per esportare le route personalizzate.
Crea connessioni tra la rete VPC di transito e le reti VPC del workload
Crea connessioni di peering di rete VPC tra il VPC di transito e ciascuno dei tuoi VPC del workload:
- Attiva l'opzione Esporta route personalizzate per il lato VPC di transito di ogni connessione.
- Attiva l'opzione Importa route personalizzate per il lato VPC del workload di ogni connessione.
- Nello scenario predefinito, solo le route di subnet VPC del workload vengono esportate nel VPC di transito. Non è necessario esportare le route personalizzate dai VPC del workload.
Connetti le reti VPC del tuo workload
Collega le reti VPC del workload utilizzando gli hub VPC di Network Connectivity Center. Rendi tutti gli spoke parte dello stesso gruppo di peer spoke di Network Connectivity Center. Utilizza un gruppo di peer principale per consentire la comunicazione full mesh tra i VPC.
La connessione Network Connectivity Center annuncia route specifici tra le reti VPC del workload. Il traffico tra queste reti segue queste route.
Test della connettività ai workload
Se hai già eseguito il deployment di carichi di lavoro nelle tue reti VPC, testa l'accesso ora. Se hai connesso le reti prima di eseguire il deployment dei carichi di lavoro, ora puoi eseguirli e testarli.
Passaggi successivi
- Scopri di più sui prodotti Google Cloud utilizzati in questa guida alla progettazione:
- Per ulteriori architetture di riferimento, diagrammi e best practice, esplora il Cloud Architecture Center.
Collaboratori
Autori:
- Deepak Michael | Networking Specialist Customer Engineer
- Victor Moreno | Product Manager, Cloud Networking
- Osvaldo Costa | Networking Specialist Customer Engineer
Altri collaboratori:
- Mark Schlagenhauf | Technical Writer, Networking
- Ammett Williams | Developer Relations Engineer
- Ghaleb Al-habian | Specialista di rete