Questo documento fornisce un'architettura di riferimento che puoi utilizzare per eseguire il deployment di una topologia di rete hub e spoke Cross-Cloud Network in Google Cloud. Questa progettazione di rete consente il deployment di servizi software su Google Cloud reti esterne, ad esempio data center on-premise o altri fornitori di servizi cloud (CSP).
Questa progettazione supporta più connessioni esterne, reti VPC (Virtual Private Cloud) con accesso a più servizi e più reti VPC dei carichi di lavoro.
I destinatari di questo documento sono gli amministratori di rete che creano la connettività di rete e i cloud architect che pianificano il deployment dei carichi di lavoro. Il documento presuppone che tu abbia una conoscenza di base del routing e della connessione a internet.
Architettura
Il seguente diagramma mostra una visione generale dell'architettura delle reti e dei quattro flussi di pacchetti supportati da questa architettura.
L'architettura contiene i seguenti elementi di alto livello:
| Componente | Finalità | Interazioni |
|---|---|---|
| Reti esterne (on-premise o altra rete CSP) | Ospita i client dei carichi di lavoro in esecuzione nei VPC dei carichi di lavoro e nei VPC di accesso ai servizi. Anche le reti esterne possono ospitare servizi. | Scambia dati con le reti Virtual Private Cloud di Google Cloudattraverso la rete di transito. Si connette alla rete di transito utilizzando Cloud Interconnect o VPN ad alta disponibilità. Termina un'estremità dei seguenti flussi:
|
| Rete VPC di transito | Funge da hub per la rete esterna, la rete VPC di accesso ai servizi e le reti VPC dei carichi di lavoro. | Connette la rete esterna, la rete VPC di accesso ai servizi e le reti VPC dei carichi di lavoro tramite una combinazione di Cloud Interconnect, VPN ad alta disponibilità e peering di rete VPC. |
| Rete VPC con accesso ai servizi | Fornisce l'accesso ai servizi necessari per i carichi di lavoro in esecuzione nelle reti VPC dei carichi di lavoro o in reti esterne. Fornisce anche punti di accesso a servizi gestiti ospitati in altre reti. | Scambia dati con le reti esterne e dei carichi di lavoro tramite la rete di transito. Si connette al VPC di transito utilizzando la VPN ad alta disponibilità. Il routing transitivo fornito dalla VPN ad alta disponibilità consente al traffico esterno di raggiungere i VPC dei servizi gestiti attraverso la rete VPC di accesso ai servizi. Termina un'estremità dei seguenti flussi:
|
| Rete VPC di servizi gestiti | Ospita i servizi gestiti richiesti dai client in altre reti. | Scambia dati con le reti esterne, di accesso ai servizi e dei carichi di lavoro. Si connette alla rete VPC di accesso ai servizi utilizzando l'accesso privato ai servizi, che utilizza il peering di rete VPC, oppure mediante Private Service Connect. Termina un'estremità dei flussi da tutte le altre reti. |
| Reti VPC dei carichi di lavoro | Ospita i carichi di lavoro richiesti dai client in altre reti. | Scambia dati con le reti VPC esterne e di accesso ai servizi tramite la rete VPC di transito. Si connette alla rete di transito utilizzando il peering di rete VPC. Si connette ad altre reti VPC dei carichi di lavoro utilizzando gli spoke VPC di Network Connectivity Center. Termina un'estremità dei seguenti flussi:
|
Il seguente diagramma mostra una vista dettagliata dell'architettura che evidenzia le quattro connessioni tra le reti:
Descrizioni delle connessioni
Questa sezione descrive le quattro connessioni mostrate nel diagramma precedente.
Connessione 1: tra reti esterne e la rete VPC di transito
Questa connessione tra reti esterne e reti VPC di transito avviene tramite Cloud Interconnect o VPN ad alta disponibilità. Le route vengono scambiate tramite BGP tra i router Cloud nella rete VPC di transito e i router esterni nella rete esterna.
- I router nelle reti esterne annunciano le route per le subnet esterne ai router Cloud VPC di transito. In generale, i router esterni in una determinata posizione annunciano percorsi dalla stessa posizione esterna che sono più preferiti rispetto a quelli per altre posizioni esterne. La preferenza delle route può essere espressa utilizzando le metriche e gli attributi BGP.
- I router Cloud nella rete VPC di transito pubblicizzano le route per i prefissi nei VPC di Google Cloudalle reti esterne. Queste route devono essere annunciate utilizzando annunci di route personalizzati del router Cloud.
Connessione 2: tra le reti VPC di transito e le reti VPC con accesso ai servizi
Questa connessione tra le reti VPC di transito e le reti VPC con accesso ai servizi avviene tramite VPN ad alta disponibilità con tunnel separati per ogni regione. Le route vengono scambiate tramite BGP tra i router Cloud a livello di regione nelle reti VPC di transito e le reti VPC di accesso ai servizi.
- I router Cloud VPN ad alta disponibilità del VPC di transito annunciano route per prefissi di rete esterni, VPC dei carichi di lavoro e altri VPC di accesso ai servizi al router Cloud VPC di accesso ai servizi. Queste route devono essere annunciate utilizzando gli annunci di route personalizzati del router Cloud.
- La rete VPC con accesso ai servizi annuncia le proprie subnet e le subnet di qualsiasi rete VPC di servizi gestiti collegate alla rete VPC di transito. Le route VPC dei servizi gestiti e le route delle subnet VPC di accesso ai servizi devono essere annunciate utilizzando gli annunci di route personalizzate del router Cloud.
Connessione 3: tra le reti VPC di transito e le reti VPC dei carichi di lavoro
Questa connessione tra le reti VPC di transito e le reti VPC dei carichi di lavoro è implementata tramite il peering VPC. Lo scambio di subnet e route di prefisso avviene tramite meccanismi di peering VPC. Questa connessione consente la comunicazione tra le reti VPC dei carichi di lavoro e le altre reti connesse alla rete VPC di transito, incluse le reti esterne e le reti VPC di accesso ai servizi.
- La rete VPC di transito utilizza il peering di rete VPC per esportare route personalizzate. Includono tutte le route dinamiche apprese dalla rete VPC di transito. Le reti VPC dei carichi di lavoro importano le route personalizzate.
- La rete VPC dei carichi di lavoro esporta automaticamente le subnet nella rete VPC di transito. Nessuna route personalizzata viene esportata dai VPC del carico di lavoro al VPC di transito.
Connessione 4: tra le reti VPC dei carichi di lavoro
- Le reti VPC dei carichi di lavoro possono essere connesse insieme tramite gli spoke VPC di Network Connectivity Center. Questa è una configurazione facoltativa. Puoi ometterlo se non vuoi che le reti VPC dei carichi di lavoro comunichino tra loro.
Flussi di traffico
Il seguente diagramma mostra i quattro flussi abilitati da questa architettura di riferimento.
La seguente tabella descrive i flussi nel diagramma:
| Origine | Destinazione | Descrizione |
|---|---|---|
| Rete esterna | Rete VPC con accesso ai servizi |
|
| Rete VPC con accesso ai servizi | Rete esterna |
|
| Rete esterna | Rete VPC dei carichi di lavoro |
|
| Rete VPC dei carichi di lavoro | Rete esterna |
|
| Rete VPC dei carichi di lavoro | Rete VPC con accesso ai servizi |
|
| Rete VPC con accesso ai servizi | Rete VPC dei carichi di lavoro |
|
| Rete VPC dei carichi di lavoro | Rete VPC dei carichi di lavoro | Il traffico che lascia il VPC di un carico di lavoro segue la route più specifica all'altro VPC del carico di lavoro tramite Network Connectivity Center. Il traffico di ritorno inverte questo percorso. |
Prodotti utilizzati
Questa architettura di riferimento utilizza i seguenti Google Cloud prodotti:
- Virtual Private Cloud (VPC): un sistema virtuale che fornisce funzionalità di networking scalabili e globali per i tuoi Google Cloud carichi di lavoro. VPC include il peering di rete VPC, Private Service Connect, l'accesso privato ai servizi e VPC condiviso.
- Network Connectivity Center: un framework di orchestrazione che semplifica la connettività di rete tra risorse spoke collegate a una risorsa di gestione centrale denominata hub.
- Cloud Interconnect: un servizio che estende la tua rete esterna alla rete Google tramite una connessione a bassa latenza e alta disponibilità.
- Cloud VPN: un servizio che estende in modo sicuro la tua rete peer alla rete di Google tramite un tunnel VPN IPsec.
- Router Cloud: un'offerta distribuita e completamente gestita che fornisce funzionalità di speaker e risponditore BGP (Border Gateway Protocol). Il router Cloud funziona con le appliance Cloud Interconnect, Cloud VPN e router per creare route dinamiche nelle reti VPC basate su route di ricezione BGP e apprese personalizzate.
Considerazioni sul design
Questa sezione descrive i fattori di progettazione, le best practice e i suggerimenti di progettazione da tenere in considerazione quando si utilizza questa architettura di riferimento per sviluppare una topologia che soddisfi i requisiti specifici di sicurezza, affidabilità e prestazioni.
Sicurezza e conformità
L'elenco seguente descrive le considerazioni sulla sicurezza e sulla conformità per questa architettura di riferimento:
- Per motivi di conformità, potrebbe essere utile eseguire il deployment dei carichi di lavoro solo in un'unica regione. Per conservare tutto il traffico in un'unica regione, puoi utilizzare una topologia del 99,9%. Per ulteriori informazioni, consulta Stabilire una disponibilità del 99,9% per Dedicated Interconnect e Stabilire una disponibilità del 99,9% per Partner Interconnect.
- Utilizza il firewall di nuova generazione Cloud per proteggere il traffico che entra ed esce dalle reti VPC dei carichi di lavoro e di accesso ai servizi. Per proteggere il traffico che passa tra le reti esterne e la rete di transito, devi utilizzare firewall esterni o firewall NVA.
- Abilita il logging e il monitoraggio in base alle tue esigenze di traffico e conformità. Puoi utilizzare Log di flusso VPC per ottenere insight sui pattern di traffico.
- Utilizza Cloud IDS per raccogliere ulteriori insight sul tuo traffico.
Affidabilità
Nell'elenco seguente vengono descritte le considerazioni sull'affidabilità per questa architettura di riferimento:
- Per ottenere una disponibilità del 99,99% per Cloud Interconnect, devi connetterti a due diverse Google Cloud regioni.
- Per migliorare l'affidabilità e ridurre al minimo l'esposizione a errori regionali, puoi distribuire carichi di lavoro e altre risorse cloud tra le regioni.
- Per gestire il traffico previsto, crea un numero sufficiente di tunnel VPN. I singoli tunnel VPN hanno limiti di larghezza di banda.
Ottimizzazione delle prestazioni
Nell'elenco seguente vengono descritte le considerazioni sulle prestazioni per questa architettura di riferimento:
- Potresti essere in grado di migliorare le prestazioni della rete aumentando l'unità massima di trasmissione (MTU) delle reti e delle connessioni. Per maggiori informazioni, consulta Unità massima di trasmissione.
- La comunicazione tra il VPC di transito e le risorse del carico di lavoro avviene tramite peering di rete VPC, che fornisce una velocità effettiva a tariffa completa per tutte le VM nella rete senza costi aggiuntivi. Considera le quote e i limiti di peering di rete VPC quando pianifichi il deployment. Hai a disposizione diverse opzioni per connettere la tua rete esterna alla rete di trasporto pubblico. Per ulteriori informazioni su come trovare il giusto equilibrio tra costi e prestazioni, vedi Scelta di un prodotto per la connettività di rete.
Deployment
L'architettura descritta in questo documento crea tre insiemi di connessioni a una rete VPC di transito centrale più una connessione diversa tra le reti VPC dei carichi di lavoro. Una volta configurate completamente le connessioni, tutte le reti nel deployment possono comunicare con tutte le altre reti.
Questo deployment presuppone che tu stia creando connessioni tra le reti esterne e di transito in due regioni. Tuttavia, le subnet dei carichi di lavoro possono trovarsi in qualsiasi regione. Se posizioni i carichi di lavoro in una sola regione, devi creare solo subnet in quella regione.
Per eseguire il deployment di questa architettura di riferimento, completa le attività seguenti:
- Identifica le regioni in cui collocare connettività e carichi di lavoro
- Crea le tue reti e subnet VPC
- Crea connessioni tra reti esterne e la tua rete VPC di transito
- Crea connessioni tra la tua rete VPC di transito e le reti VPC con accesso ai servizi
- Crea connessioni tra la rete VPC di transito e le reti VPC dei carichi di lavoro
- Connetti le reti VPC dei tuoi carichi di lavoro
- Testare la connettività ai carichi di lavoro
Identifica le regioni in cui posizionare connettività e carichi di lavoro
In generale, è preferibile collocare la connettività e Google Cloud i carichi di lavoro nelle vicinanze delle reti on-premise o di altri client cloud. Per ulteriori informazioni sul posizionamento dei carichi di lavoro, consulta il Google Cloud selettore della regione e le best practice per la selezione delle regioni di Compute Engine.
Crea le tue reti e subnet VPC
Per creare le tue reti e subnet VPC, completa le seguenti attività:
- Creare o identificare i progetti in cui creerai le tue reti VPC. Per indicazioni, consulta Segmentazione della rete e struttura del progetto. Se intendi utilizzare reti VPC condivisi, esegui il provisioning dei progetti come progetti host del VPC condiviso.
- Pianifica l'allocazione degli indirizzi IP per le reti. Puoi preallocare e prenotare gli intervalli creando intervalli interni. L'allocazione di blocchi di indirizzi che possono essere aggregati semplifica la configurazione e le operazioni successive.
- Crea un VPC della rete di transito con routing globale abilitato.
- Creare reti VPC di servizio. Se hai carichi di lavoro in più regioni, abilita il routing globale.
- Creare reti VPC dei carichi di lavoro. Se hai carichi di lavoro in più regioni, abilita il routing globale.
Crea connessioni tra reti esterne e la tua rete VPC di transito
In questa sezione si presuppone che la connettività sia in due regioni e che le località esterne siano connesse e possano eseguire il failover l'una verso l'altra. Presuppone inoltre che esista una preferenza che i clienti nella località esterna A raggiungano i servizi nella regione A e così via.
- Configura la connettività tra le reti esterne e la rete di trasporto pubblico. Per capire come procedere, consulta Connettività esterna e ibrida. Per indicazioni sulla scelta di un prodotto per la connettività, consulta Scelta di un prodotto di connettività di rete.
- Configura BGP in ciascuna regione connessa come segue:
- Configura il router nella posizione esterna specificata nel seguente modo:
- Annuncia tutte le subnet per la località esterna utilizzando lo stesso MED BGP su entrambe le interfacce, ad esempio 100. Se entrambe le interfacce annunciano lo stesso MED, Google Cloud può utilizzare ECMP per bilanciare il carico del traffico su entrambe le connessioni.
- Annuncia tutte le subnet dall'altra località esterna utilizzando un MED a priorità inferiore rispetto a quello della prima regione, ad esempio 200. Annuncia lo stesso MED da entrambe le interfacce.
- Configura il router Cloud rivolto all'esterno nel VPC di transito della regione connessa come segue:
- Imposta l'ASN del router Cloud su 16550.
- Utilizzando annunci di route personalizzate, annuncia tutti gli intervalli di subnet da tutte le regioni tramite le interfacce del router Cloud rivolte all'esterno. Se possibile, aggregale. Utilizza lo stesso MED su entrambe le interfacce, ad esempio 100.
- Configura il router nella posizione esterna specificata nel seguente modo:
Crea connessioni tra la tua rete VPC di transito e le reti VPC con accesso ai servizi
Per fornire il routing transitivo tra reti esterne e il VPC di accesso ai servizi e tra i VPC dei carichi di lavoro e il VPC di accesso ai servizi, il VPC di accesso ai servizi utilizza la VPN ad alta disponibilità per la connettività.
- Stima la quantità di traffico necessario per viaggiare tra i VPC di transito e di accesso ai servizi in ogni regione. Scala il numero previsto di tunnel di conseguenza.
- Configura la VPN ad alta disponibilità tra il VPC di transito e il VPC di accesso ai servizi nella regione A utilizzando le istruzioni in Creare gateway VPN ad alta disponibilità per connettere le reti VPC. Crea un router Cloud VPN ad alta disponibilità dedicato nella rete in transito. Lascia il router rivolto alla rete esterno per le connessioni di rete esterne.
- Configurazione del router Cloud VPC per il trasporto pubblico:
- Per annunciare le subnet VPC di reti esterne e dei carichi di lavoro nel VPC di accesso ai servizi, utilizza annunci di route personalizzate sul router Cloud nel VPC di transito.
- Configurazione del router Cloud VPC con accesso ai servizi:
- Per annunciare le subnet VPC di accesso ai servizi al VPC di transito, usa annunci di route personalizzati sul router Cloud del VPC di accesso ai servizi.
- Se utilizzi l'accesso privato ai servizi per connettere un VPC di servizi gestiti al VPC di accesso ai servizi, utilizza le route personalizzate per annunciare anche queste subnet.
- Configurazione del router Cloud VPC per il trasporto pubblico:
- Se connetti un VPC di servizi gestiti al VPC di accesso ai servizi utilizzando l'accesso privato ai servizi, dopo aver stabilito la connessione di peering di rete VPC, aggiorna il lato VPC di accesso ai servizi della connessione di peering di rete VPC per esportare route personalizzate.
Crea connessioni tra la rete VPC di transito e le reti VPC dei carichi di lavoro
Crea connessioni di peering di rete VPC tra il VPC di transito e ciascun VPC dei carichi di lavoro:
- Abilita l'opzione Esporta route personalizzate per il lato VPC di transito di ogni connessione.
- Abilita Importa route personalizzate per il lato VPC del carico di lavoro di ogni connessione.
- Nello scenario predefinito, solo le route delle subnet VPC del carico di lavoro vengono esportate nel VPC di transito. Non devi esportare route personalizzate dai VPC dei carichi di lavoro.
Connetti le reti VPC dei tuoi carichi di lavoro
Connetti le reti VPC dei carichi di lavoro utilizzando gli spoke VPC di Network Connectivity Center. Imposta tutti gli spoke come parte dello stesso gruppo di spoke di Network Connectivity Center. Usa un gruppo di peering principale per consentire la comunicazione mesh completa tra i VPC.
La connessione di Network Connectivity Center annuncia route specifiche tra le reti VPC dei carichi di lavoro. Il traffico tra queste reti segue queste route.
Testa la connettività ai carichi di lavoro
Se hai già eseguito il deployment di carichi di lavoro nelle tue reti VPC, testa l'accesso a questi carichi ora. Se hai collegato le reti prima di eseguire il deployment dei carichi di lavoro, puoi eseguirne il deployment
Passaggi successivi
- Scopri di più sui Google Cloud prodotti utilizzati in questa guida alla progettazione:
- Per altre architetture di riferimento, diagrammi e best practice, visita il Centro architetture di Google Cloud.
Collaboratori
Autori:
- Deepak Michael | Customer Engineer esperto di networking
- Victor Moreno | Product Manager, Cloud Networking
- Osvaldo Costa | Customer Engineer esperto di networking
Altri collaboratori:
- Mark Schlagenhauf | Technical Writer, Networking
- Ammett Williams | Ingegnere per le relazioni con gli sviluppatori
- Ghaleb Al-habian | Esperto di rete