適用於分散式應用程式的 Cross-Cloud Network

Cross-Cloud Network 可讓您建立分散式應用程式的組合架構。Cross-Cloud Network 可協助您在多個雲端和地端部署網路中，輕鬆分配工作負載和服務，讓應用程式開發人員和營運人員在多個雲端環境中享有單一雲端使用體驗。這個解決方案會使用並擴充已建立的混合式雲端和多雲端網路用途。

本指南適用於想在 Cross-Cloud Network 上設計及建構分散式應用程式的網路架構師和工程師。本指南可讓您全面瞭解跨雲網路設計的考量。

本設計指南是一系列文件，包括以下內容：

• 分散式應用程式適用的 Cross-Cloud Network 設計 (本文)
• Cross-Cloud Network 中分散式應用程式的網路區隔和連線功能
• Cross-Cloud Network 中分散式應用程式的服務網路
• Cross-Cloud Network 中分散式應用程式的網路安全性

此架構支援區域和全球應用程式堆疊，並按照下列功能層進行排序：

• 網路區隔和連線：涉及虛擬私有雲 (VPC) 區隔結構，以及跨 VPC 和外部網路的 IP 連線。
• 服務網路：涉及應用程式服務的部署作業，這些服務會經過負載平衡，並在各專案和機構中提供。
• 網路安全性：使用內建雲端安全性和網路虛擬設備 (NVA)，為雲端內部和雲端間通訊強制執行安全性。

網路區隔和連線

區隔結構和連結是設計的基礎。下圖顯示虛擬私人雲端區隔結構，您可以使用整合或區隔基礎架構來實作。此圖表未顯示網路之間的連結。

這個結構包含下列元件：

• 傳遞虛擬私有雲：處理外部網路連線和路由政策。這個 VPC 也可以提供其他 VPC 之間的連線。
• 服務存取虛擬私有雲端：包含不同服務的存取點。這些虛擬私有雲中的服務存取點可透過其他網路存取。
• 代管服務虛擬私人雲端：包含其他實體產生的服務。使用 Private Service Connect 或私人服務存取權，即可讓在 VPC 網路中執行的應用程式存取這些服務。
• 應用程式 VPC：包含組成貴機構自行建立及代管的軟體服務的工作負載。

您選擇的應用程式 VPC 區隔結構取決於所需的應用程式 VPC 規模、是否打算在跨雲網路或外部部署邊界防火牆，以及選擇集中式或分散式服務發布。

Cross-Cloud Network 支援地區應用程式堆疊和全球應用程式堆疊的部署作業。這兩種應用程式復原力原型結構都支援建議的區隔結構，並採用虛擬私有雲間連線模式。

您可以透過 Network Connectivity Center 或結合使用虛擬私有雲網路對等互連連線和高可用性 VPN 中樞輻輳模式，實現虛擬私有雲網路間的連線。

DNS 基礎架構的設計也必須在區隔結構的情況下定義，不受連線模式影響。

Service Networking

不同的應用程式部署原型會產生不同的服務網路模式。針對跨雲網路設計，請著重於多區域部署原型，其中應用程式堆疊會在兩個或更多Google Cloud 區域的多個可用區中獨立執行。

多區域部署範本具有下列功能，可用於 Cross-Cloud Network 設計：

• 您可以使用 DNS 轉送政策，將傳入流量轉送至區域負載平衡器。
• 區域性負載平衡器接著會將流量分配給應用程式堆疊。
• 您可以使用 DNS 復原路由政策，重新錨定應用程式堆疊的 DNS 對應項目，實作區域復原功能。

全球部署原型是多區域部署原型的替代方案，其中單一資料堆疊會建構在全球負載平衡器上，並跨越多個區域。使用跨雲網路設計時，請考量這個原型架構的下列功能：

• 負載平衡器會將流量分散到最靠近使用者的地區。
• 面向網際網路的前端是全球性，但面向內部端的前端是地區性，且具備全域存取權，因此您可以在備援情況下存取這些前端。
• 您可以在應用程式堆疊的內部服務層上使用地理位置 DNS 轉送政策和 DNS 健康狀態檢查。

您提供代管發布服務存取權的方式，取決於需要存取的服務。不同的私人可及性模型會模組化，並與應用程式堆疊的設計成直角。

視服務而定，您可以使用 Private Service Connect 或私人服務存取權進行私人存取。您可以結合內建服務和其他機構發布的服務，建立應用程式堆疊。服務堆疊可區域或全球性，以符合您所需的彈性和最佳化存取延遲。

網路安全

為了確保工作負載安全性，建議您使用 Google Cloud中的防火牆政策。

如果貴機構需要額外的進階功能來滿足安全性或法規遵循規定，您可以插入下一代防火牆 (NGFW) 網路虛擬機器 (NVA)，納入邊界安全防火牆。

您可以在單一網路介面 (單一 NIC 模式) 或多個網路介面 (多 NIC 模式) 中插入 NGFW NVA。NGFW NVA 可支援安全性區或以無類別跨網域路由 (CIDR) 為基礎的邊界政策。跨雲網路會使用轉接 VPC 和 VPC 路由政策，部署邊界 NGFW NVA。

後續步驟

• 設計 Cross-Cloud Network 應用程式的網路區隔和連線。
• 進一步瞭解本設計指南中使用的 Google Cloud 產品：
  • 虛擬私人雲端網路
  • 共用虛擬私有雲
  • 虛擬私有雲網路對接
  • Private Service Connect
  • 私人服務存取權
• 如需更多參考架構、設計指南和最佳做法，請造訪 雲端架構中心。

貢獻者

作者：

• Victor Moreno | 雲端網路產品經理
• Ghaleb Al-habian | 網路專家
• Deepak Michael | 網路專員客戶工程師
• Osvaldo Costa | 網路專家客戶工程師
• Jonathan Almaleh | 技術解決方案顧問

其他貢獻者：

• Zach Seils | 網路專員
• Christopher Abraham | 網路專家客戶工程師
• Emanuele Mazza | 網路產品專家
• Aurélien Legrand | 策略雲端工程師
• Eric Yu | 網路專員客戶工程師
• Kumar Dhanagopal | 跨產品解決方案開發人員
• Mark Schlagenhauf | 網路技術文件撰稿人
• Marwan Al Shawi | 合作夥伴客戶工程師
• Ammett Williams | 開發人員關係工程師