适用于混合和多云工作负载的网络:参考架构

Last reviewed 2023-11-13 UTC

本文档是系列文章中的一篇,该系列介绍了将数据中心工作负载迁移到 Google Cloud 的企业的网络和安全架构。

该系列包含以下文档:

本文档讨论了针对工作负载在多个位置(例如本地和云)或多个云环境中运行的场景的网络。

直接原样迁移架构

第一个混合工作负载访问场景是直接原样迁移架构。

建立专用连接

您可以使用专用互连或合作伙伴互连与本地网络建立连接。图 1 所示的拓扑展示了如何使用两个不同都市圈和不同边缘可用性网域中的四个互连连接通过专用互连实现 99.99% 可用性。如需了解详情和详细建议,请参阅企业基础蓝图中的本地环境与 Google Cloud 之间的混合连接

可实现 99.99% 可用性的冗余 Cloud Interconnect 连接配置。

图 1. 可实现 99.99% 可用性的冗余 Cloud Interconnect 连接配置。

Network Connectivity Center 可让您使用 Google 的网络在多个本地站点或云托管站点之间传输数据。通过此方法,您可以在需要移动数据时利用 Google 网络的覆盖范围和可靠性。您可以使用现有的 Cloud VPN、Cloud Interconnect 和 SD-WAN 路由器设备作为 Network Connectivity Center spoke 来支持本地网络与分支站点之间的数据传输,如图 2 所示。

使用 Google 骨干网连接 Google Cloud 以外的不同本地企业网络的 Network Connectivity Center 配置。

图 2. 使用 Google 骨干网连接不同的本地企业网络和 Google Cloud 以外的其他云网络的 Network Connectivity Center 配置。

如需详细了解如何设置 Network Connectivity Center,请参阅 Network Connectivity Center 文档中的注意事项

SD-WAN 设备

Network Connectivity Center 可让您使用第三方网络虚拟设备作为 Network Connectivity Center spoke,在外部站点与 VPC 网络资源之间建立连接。路由器设备可以是我们的合作伙伴之一支持的第三方 SD-WAN 路由器,也可以是允许您与 Cloud Router 实例交换路由的其他虚拟设备。这些基于设备的解决方案是对当前站点到云连接方案的补充,后者可通过 Cloud VPN 和 Cloud Interconnect 作为 spoke 提供。图 3 展示了使用 SD-WAN 设备的拓扑。

使用路由器设备将 SD-WAN 实现与 Google 的网络集成的 Network Connectivity Center 配置

图 3:使用路由器设备将 SD-WAN 实现与 Google 的网络集成的 Network Connectivity Center 配置。

您可以使用第三方设备来执行安全功能。该设备的安全功能可以集成到路由器设备中,如图 3 所示。使用网络虚拟设备也是一种常见模式,在该模式下,来自本地的流量会进入中转 VPC 网络,并且该设备会建立与工作负载 VPC 网络的连接,如图 4 所示。

如需详细了解如何设置 Network Connectivity Center,请参阅 Network Connectivity Center 文档中的注意事项

混合服务架构

适用于云内安全访问的网络:参考架构中所述的云内使用场景一样,Network Connectivity Center 可实现从分支站点和本地网络到 Google Cloud 的连接。Private Service Connect 可提供对 Google 管理的服务的专用访问通道,或者可让您使用在云端构建和部署的其他服务。

您还可以结合使用 VPC Service Controls、Google Cloud 防火墙和网络虚拟设备来实现网络安全,如图 4 所示。

其架构同时使用直接原样迁移模式和旨在提供安全数据平面的混合服务设计模式的网络。

图 4:其架构同时使用直接原样迁移模式和旨在提供安全数据平面的混合服务设计模式的网络。

零信任分布式架构

在混合环境中,微服务在服务网格中运行,这些服务网格部署在不同的云服务提供商和本地环境中。您可以使用 mTLS 和授权政策来帮助确保微服务之间的通信安全。企业在云端构建服务网格并将网格扩展到本地是一种常见做法。图 5 展示了在本地部署的服务访问云端服务的示例。使用东西向网关和基于 SNI 的路由在服务之间启用端到端 mTLS。Cloud Service Mesh 可帮助您确保服务之间的通信安全,从而配置服务的授权政策,并部署由代管式证书授权机构提供的证书和密钥。

混合环境通常具有多个网格部署,例如多个 GKE 集群。此流程的一个重要组成部分是 SNI 路由,该路由用于每个集群的 GKE 东西向网关。此配置允许网关进行定向到工作负载 mTLS 路由,同时保留端到端 mTLS 连接。

跨本地环境和 Google Cloud 部署的零信任服务网格。

图 5. 跨本地环境和 Google Cloud 部署的零信任服务网格。

企业可以使用 Cloud Service Mesh 跨多个云进行部署。为了应对跨云服务提供商管理身份和证书的挑战,Cloud Service Mesh 使用 CA Service 提供了工作负载身份和集群内中间证书授权机构 (CA)。中间 CA 可以链接到外部 CA,也可以托管在 Google 中。您可以使用企业拥有的 HSM 和 Cloud HSM 来自定义 CA 特性,例如区域和签名算法。

工作负载身份可让您为集群中的每个微服务分配不同的精细身份和授权。Cloud Service Mesh 会管理颁发证书以及自动轮替密钥和证书的过程,而不会中断通信。它还会在 GKE 集群中提供单一信任根。

图 6 展示了使用 Cloud Service Mesh 管理身份和授权的架构。

网格中的服务可以使用工作负载身份联合访问 Google Cloud 服务。此功能可让服务在调用 Google Cloud API 时使用 Google 服务账号的权限执行操作。工作负载身份联合还可让安装在其他云服务提供商中的服务网格访问 Google Cloud API。

跨云部署的零信任服务网格。

图 6. 跨云部署的零信任服务网格。

您可以使用 Cloud Service Mesh 将流量从网格路由到本地或任何其他云。

例如,您可以在 Cloud Service Mesh 中创建名为 on-prem-serviceother-cloud-service 的服务并添加具有端点 10.1.0.1:8010.2.0.1:80 的混合连接网络端点组 (NEG)。然后,Cloud Service Mesh 将流量发送至其客户端,这些客户端是与您的应用一起运行的网格边车代理。因此,当您的应用向 on-prem-service 服务发送请求时,Cloud Service Mesh 客户端会检查请求并将其定向到 10.0.0.1:80 端点。图 7 说明了此配置。

使用 Cloud Service Mesh 从服务网格引导的流量。

图 7. 使用 Cloud Service Mesh 从服务网格引导的流量。

您还可以整合高级功能,例如基于权重的流量导向,如图 8 所示。此功能使您可以实现关键企业需求,例如云迁移。Cloud Service Mesh 用作服务网格的全球托管式通用控制平面。

使用 Cloud Service Mesh 引导的加权流量。

图 8. 使用 Cloud Service Mesh 引导的加权流量。

后续步骤