混合式雲端和多雲端工作負載的網路:參考架構

Last reviewed 2025-01-13 UTC

本文是一系列文章之一,說明將資料中心工作負載遷移至 Google Cloud的企業網路和安全性架構。

本系列包含以下文件:

本文件將討論工作負載在多個位置 (例如地端部署環境和雲端,或多個雲端環境) 中執行的情況下的網路連線。

隨即轉移架構

第一個混合式工作負載存取情境是升級及轉移架構。

建立私人連線

您可以使用專屬互連網路或合作夥伴互連網路,建立內部部署網路連線。圖 1 所示的拓撲顯示如何在兩個不同的都會區和不同邊緣可用性網域中使用四個專屬互連網路連線,以達到 99.99% 的可用性。(您也可以使用合作夥伴互連網路達成 99.99% 的可用性)。

如要連結 Google Cloud 網路和其他雲端供應商代管的網路,請使用 Cross-Cloud Interconnect

如需詳細資訊和建議,請參閱企業基礎架構藍圖中的「內部部署環境與 Google Cloud之間的混合式連線」一節。

設定備援 Cloud Interconnect 連線,以達到 99.99% 的可用性。

圖 1. 設定備援專屬互連網路連線,以達到 99.99% 的可用性。

Network Connectivity Center 可讓您使用 Google 網路,在多個內部部署或雲端代管網站之間移轉資料。這種做法可讓您在需要移動資料時,充分利用 Google 網路的觸及範圍和可靠性。您可以使用現有的 Cloud VPN、Cloud Interconnect、SD-WAN 路由器設備和 VPC 網路做為 Network Connectivity Center 輪輻,以便在內部部署網路、分支機構網站、其他雲端供應商和Google Cloud VPC 網路之間進行資料移轉,如圖 2 所示。

Network Connectivity Center 設定,使用 Google 主幹網路連結 Google Cloud 以外的不同內部部署企業網路。

圖 2. Network Connectivity Center 設定,可連結使用 Google 主幹網路以外的不同內部部署企業網路和其他雲端網路。 Google Cloud

如要進一步瞭解如何設定 Network Connectivity Center,請參閱 Network Connectivity Center 說明文件中的「注意事項」。

SD-WAN 設備

Network Connectivity Center 可讓您使用第三方路由器裝置做為 Network Connectivity Center 輪輻,在外部網站與虛擬私有雲網路資源之間建立連線。路由器裝置可以是第三方的由合作夥伴支援的 SD-WAN 路由器,或是可讓您與 Cloud Router 執行個體交換路徑的其他虛擬裝置。除了目前的輪輻 Cloud VPN 和 Cloud Interconnect 可用的站點至雲端連線選項外,您還可以使用這些以機器為基礎的解決方案。圖 3 顯示使用 SD-WAN 設備的拓樸圖。

使用路由器設備的 Network Connectivity Center 設定,將 SD-WAN 導入作業與 Google 網路整合。

圖 3. 使用路由器設備的 Network Connectivity Center 設定,將 SD-WAN 導入作業與 Google 網路整合。

您可以使用第三方機器執行安全防護功能。如圖 3 所示,機器的安全功能可整合在路由器機器中。使用網路虛擬設備也是常見的模式,其中內部部署的流量會連至傳輸虛擬私有雲端網路,而設備會與工作負載虛擬私有雲端網路建立連線,如圖 4 所示。

如要進一步瞭解如何設定 Network Connectivity Center,請參閱 Network Connectivity Center 說明文件中的「注意事項」。

混合型服務架構

如同 Google CloudPrivate Service Connect 可提供私人存取權,讓您存取 Google 代管的服務,或使用在雲端建構及部署的其他服務。

您也可以同時使用 VPC 服務控管、 Google Cloud 防火牆和網路虛擬設備,實作網路安全性,如圖 4 所示。

架構中同時使用升遷模式和混合服務設計模式的網路,這類模式旨在提供安全的資料層。

圖 4. 網路架構同時採用升級與轉移模式,以及混合式服務設計模式,旨在提供安全的資料層。

零信任分散式架構

在混合式環境中,微服務會在跨不同雲端供應商和內部部署環境的服務網格中執行。您可以使用雙向傳輸層安全標準 (mTLS) 和授權政策,協助確保微服務之間的通訊安全無虞。企業通常會在雲端建構服務網格,並將網格擴充至內部部署。圖 5 顯示部署在內部部署的服務如何存取雲端服務。使用東西向閘道和以伺服器名稱指示 (SNI) 為基礎的路由,即可啟用服務之間的端對端 mTLS。Cloud Service Mesh 可協助您保護服務與服務之間的通訊,讓您為服務設定授權政策,並部署由受管理的憑證授權單位提供的憑證和金鑰。

混合雲環境通常會採用多個網格部署,例如多個 GKE 叢集。這個流程中的重要元件是 SNI 路由,用於每個叢集的 GKE 東西向閘道。這項設定可讓閘道直接將 mTLS 路由傳送至工作負載,同時保留端對端 mTLS 連線。

在內部部署環境和 Google Cloud中部署的零信任服務網格。

圖 5:在內部部署的環境和 Google Cloud中部署的零信任服務網格。

企業可以使用 Cloud Service Mesh 在各個雲端服務中部署。為解決跨雲端供應商管理身分和憑證的難題,Cloud Service Mesh 會使用 CA 服務提供工作負載身分和叢集內的中繼憑證授權單位 (CA)。中繼 CA 可以連結至外部 CA,也可以在 Google 中託管。您可以使用企業擁有的 HSM 和 Cloud HSM,自訂區域和簽章演算法等 CA 屬性。

您可以使用 Workload Identity,為叢集中的每個微服務指派不重複的精細身分和授權。Cloud Service Mesh 會管理核發憑證及自動輪替金鑰和憑證的程序,且不會中斷通訊。並在 GKE 叢集中提供單一信任根。

圖 6 顯示使用 Cloud Service Mesh 管理身分和授權的架構。

網格中的服務可以使用工作負載身分聯盟存取 Google Cloud 服務。這項功能可讓服務在叫用 API 時,以 Google 服務帳戶的權限執行作業。 Google Cloud Workload Identity 聯盟還可讓在其他雲端服務供應商中安裝的服務網狀結構存取 Google Cloud API。

跨雲部署的零信任服務網格。

圖 6. 跨雲部署的零信任服務網格。

您可以使用 Cloud Service Mesh,將流量從網狀結構路由至內部部署環境或任何其他雲端。

舉例來說,您可以在 Cloud Service Mesh 中建立名為 on-prem-serviceother-cloud-service 的服務,並新增混合式連線網路端點群組 (NEG),其中包含端點 10.1.0.1:8010.2.0.1:80。Cloud Service Mesh 接著會將流量傳送至其用戶端,也就是與應用程式一同執行的 Mesh Sidecar 代理程式。因此,當應用程式向 on-prem-service 服務傳送要求時,Cloud Service Mesh 用戶端會檢查要求,並將其導向 10.2.0.1:80 端點。圖 7 說明這個設定。

使用 Cloud Service Mesh 從服務網格轉送的流量。

圖 7. 使用 Cloud Service Mesh 從服務網格轉送的流量。

您也可以加入進階功能,例如以權重為依據的流量導向,如圖 8 所示。這項功能可滿足企業的重要需求,例如雲端遷移。Cloud Service Mesh 可為服務網格提供多功能的全球代管控制層。

使用 Cloud Service Mesh 引導的加權流量。

圖 8:使用 Cloud Service Mesh 引導的加權流量。

後續步驟