Halaman ini diterjemahkan oleh Cloud Translation API.

Arsitektur jaringan hub-and-spoke
Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.

Dokumen ini menyajikan tiga opsi arsitektur untuk menyiapkan topologi jaringan hub-and-spoke di Google Cloud. Opsi pertama menggunakan Network Connectivity Center, opsi kedua menggunakan Peering Jaringan VPC, dan opsi ketiga menggunakan Cloud VPN.

Perusahaan dapat memisahkan workload menjadi beberapa jaringan VPC untuk tujuan penagihan, isolasi lingkungan, dan pertimbangan lainnya. Namun, perusahaan mungkin juga perlu berbagi resource tertentu di seluruh jaringan tersebut, seperti layanan bersama atau koneksi ke infrastruktur lokal. Dalam kasus tersebut, sebaiknya tempatkan resource bersama dalam jaringan hub (disebut jaringan routing di bagian lain dokumen ini) dan lampirkan jaringan VPC lain sebagai jaringan spoke (disebut jaringan beban kerja di bagian lain dokumen ini). Diagram berikut menunjukkan jaringan hub-and-spoke dengan dua VPC workload, meskipun lebih banyak VPC workload dapat ditambahkan.

Skema jaringan hub-and-spoke.

Dalam contoh ini, jaringan VPC beban kerja terpisah digunakan untuk beban kerja masing-masing unit bisnis dalam perusahaan besar. Setiap jaringan VPC beban kerja terhubung ke jaringan VPC pemilihan rute pusat yang berisi layanan bersama dan dapat berfungsi sebagai satu-satunya titik entri ke cloud dari jaringan lokal perusahaan.

Ringkasan opsi

Saat Anda memilih salah satu arsitektur yang dibahas dalam dokumen ini, pertimbangkan keunggulan relatif Network Connectivity Center, Peering Jaringan VPC, dan Cloud VPN:

Network Connectivity Center menyediakan bandwidth penuh antar-VPC workload dan memberikan transitivitas antar-VPC workload.
Peering Jaringan VPC menyediakan bandwidth penuh antara VPC workload dan VPC pemilihan rute. Peering ini tidak menyediakan transitivitas di antara VPC workload. Peering Jaringan VPC mendukung perutean ke NVA di VPC lain.
Cloud VPN memungkinkan pemilihan rute transitif, tetapi total bandwidth (akses masuk plus traffic keluar) antarjaringan dibatasi sesuai bandwidth tunnel. Tunnel tambahan dapat ditambahkan untuk meningkatkan bandwidth.

Arsitektur menggunakan Network Connectivity Center

Diagram berikut menunjukkan jaringan hub-and-spoke yang menggunakan Network Connectivity Center.

Arsitektur hub-and-spoke menggunakan Network Connectivity Center.

Network Connectivity Center memiliki resource hub yang menyediakan pengelolaan bidang kontrol, tetapi bukan jaringan hub untuk bidang data.

Network Connectivity Center dapat menghubungkan jaringan secara bersamaan menggunakan topologi bintang (hub-and-spoke) atau mesh. Penggunaan topologi bintang mencegah komunikasi antar-spoke VPC (VPC beban kerja), sedangkan topologi mesh tidak.
Jaringan VPC pemilihan rute (hub) memiliki koneksi ke jaringan lokal menggunakan koneksi Cloud VPN atau Cloud Interconnect.
Rute dinamis dapat disebarkan di seluruh jaringan VPC.
Rute Private Service Connect bersifat transitif antar-VPC beban kerja.
Rute akses layanan pribadi bersifat transitif di antara VPC beban kerja melalui penggunaan spoke produsen untuk banyak layanan yang disediakan Google. Untuk layanan yang rutenya tidak transitif, solusinya adalah menghubungkan jaringan VPC konsumen ke jaringan VPC perutean menggunakan Cloud VPN, bukan Network Connectivity Center.
Semua VM dalam jaringan yang di-peering dapat berkomunikasi dengan bandwidth penuh VM.
Setiap VPC beban kerja dan jaringan VPC pemilihan rute memiliki gateway Cloud NAT untuk komunikasi keluar dengan internet.
Peering dan penerusan DNS disiapkan agar workload di VPC workload dapat dijangkau dari infrastruktur lokal.

Arsitektur menggunakan Peering Jaringan VPC

Diagram berikut menunjukkan jaringan hub-and-spoke yang menggunakan Peering Jaringan VPC. Peering Jaringan VPC memungkinkan komunikasi menggunakan alamat IP internal antar-resource dalam jaringan VPC terpisah. Traffic tetap berada di jaringan internal Google dan tidak melintasi internet publik.

Arsitektur Hub-and-spoke menggunakan Peering Jaringan VPC

Setiap jaringan VPC workload (spoke) dalam arsitektur ini memiliki hubungan peering dengan jaringan VPC perutean (hub) pusat.
Jaringan VPC pemilihan rute memiliki koneksi ke jaringan lokal menggunakan koneksi Cloud VPN atau Cloud Interconnect.
Semua VM dalam jaringan yang di-peering dapat berkomunikasi dengan bandwidth penuh VM.
Koneksi Peering Jaringan VPC tidak transitif. Dalam arsitektur ini, jaringan VPC lokal dan beban kerja dapat bertukar traffic dengan jaringan perutean, tetapi tidak dengan satu sama lain. Untuk menyediakan layanan bersama, tempatkan layanan tersebut di jaringan pemilihan rute atau hubungkan ke jaringan pemilihan rute menggunakan Cloud VPN.
Setiap VPC beban kerja dan jaringan VPC pemilihan rute memiliki gateway Cloud NAT untuk komunikasi keluar dengan internet.
Peering dan penerusan DNS disiapkan sehingga workload di VPC workload dapat dijangkau dari infrastruktur lokal.

Arsitektur menggunakan Cloud VPN

Skalabilitas topologi hub-and-spoke yang menggunakan Peering Jaringan VPC tunduk pada batas Peering Jaringan VPC. Dan seperti yang telah disebutkan sebelumnya, koneksi Peering Jaringan VPC tidak mengizinkan traffic transitif di luar dua jaringan VPC yang berada dalam hubungan peering. Diagram berikut menunjukkan arsitektur jaringan hub-and-spoke alternatif yang menggunakan Cloud VPN untuk mengatasi batasan Peering Jaringan VPC.

Arsitektur huband-spoke menggunakan Cloud VPN

Tunnel VPN IPsec menghubungkan setiap jaringan VPC beban kerja (spoke) ke jaringan VPC pemilihan rute (hub).
Zona pribadi DNS di jaringan perutean serta zona peering DNS dan zona pribadi ada di setiap jaringan beban kerja.
Koneksi bersifat transitif. Jaringan VPC lokal dan spoke dapat menjangkau satu sama lain melalui jaringan perutean, meskipun hal ini dapat dibatasi.
Bandwidth antarjaringan dibatasi oleh total bandwidth tunnel.
Setiap VPC beban kerja (spoke) dan jaringan VPC pemilihan rute memiliki gateway Cloud NAT untuk komunikasi keluar dengan internet.
Peering Jaringan VPC tidak menyediakan pengumuman rute transitif.
Peering dan penerusan DNS disiapkan agar workload di VPC workload dapat dijangkau dari infrastruktur lokal.

Alternatif desain

Pertimbangkan alternatif arsitektur berikut untuk menghubungkan resource yang di-deploy dalam jaringan VPC terpisah di Google Cloud:

Konektivitas antar-spoke menggunakan gateway di jaringan VPC perutean

Untuk mengaktifkan komunikasi antar-spoke, Anda dapat men-deploy peralatan virtual jaringan (NVA) atau firewall generasi berikutnya (NGFW) di jaringan VPC perutean, sebagai gateway untuk traffic spoke-to-spoke.

Beberapa jaringan VPC Bersama

Buat jaringan VPC Bersama untuk setiap grup resource yang ingin Anda isolasi pada tingkat jaringan. Misalnya, untuk memisahkan resource yang digunakan untuk lingkungan produksi dan pengembangan, buat jaringan VPC Bersama untuk produksi dan jaringan VPC Bersama lainnya untuk pengembangan. Kemudian, lakukan peering antara kedua jaringan VPC untuk mengaktifkan komunikasi jaringan antar-VPC. Resource dalam masing-masing project untuk setiap aplikasi atau departemen dapat menggunakan layanan dari jaringan VPC Bersama yang sesuai.

Untuk konektivitas antara jaringan VPC dan jaringan lokal, Anda dapat menggunakan tunnel VPN terpisah untuk setiap jaringan VPC, atau lampiran VLAN terpisah pada koneksi Dedicated Interconnect yang sama.

Langkah berikutnya

Men-deploy terraform jaringan hub-and-spoke.
Pelajari cara menghubungkan topologi hub-and-spoke ke cloud lokal dan cloud lainnya di Panduan desain Jaringan Lintas Cloud.
Pelajari opsi desain lainnya untuk menghubungkan beberapa jaringan VPC.
Pelajari praktik terbaik untuk membuat topologi cloud yang aman dan tangguh yang dioptimalkan untuk biaya dan performa.

Arsitektur jaringan hub-and-spoke Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.