Cross-Cloud Network para aplicaciones distribuidas

Cross-Cloud Network habilita una arquitectura para el ensamblaje de aplicaciones distribuidas. Cross-Cloud Network te permite distribuir cargas de trabajo y servicios en varias redes locales y en la nube. Esta solución proporciona a los operadores y los desarrolladores de aplicaciones la experiencia de una sola nube en múltiples nubes. En esta solución, se usan y también se amplían los usos establecidos de las herramientas de redes híbridas y de múltiples nubes.

Esta guía está dirigida a ingenieros y arquitectos de red que deseen diseñar y compilar aplicaciones distribuidas en Cross-Cloud Network. En esta guía, se proporciona una comprensión integral de las consideraciones de diseño de red entre nubes.

Esta guía de diseño es una serie que incluye los siguientes documentos:

• Diseño de Cross-Cloud Network para aplicaciones distribuidas (este documento)
• Segmentación y conectividad de red para aplicaciones distribuidas en Cross-Cloud Network
• Seguridad de red para aplicaciones distribuidas en Cross-Cloud Network

La arquitectura admite pilas de aplicaciones regionales y globales, y se organiza en las siguientes capas funcionales:

• Conectividad y segmentación de red: implica la estructura de segmentación de la nube privada virtual (VPC) y la conectividad IP entre VPC y redes externas.
• Herramientas de redes de servicio: implica la implementación de servicios de aplicaciones, que se balancean de cargas y están disponibles en todos los proyectos y las organizaciones.
• Seguridad de red: permite la aplicación de la seguridad para las comunicaciones dentro de la nube y entre nubes mediante seguridad en la nube integrada y dispositivos virtuales de red (NVAs).

Conectividad y segmentación de redes

La estructura y conectividad de segmentación son la base del diseño. En el siguiente diagrama, se muestra una estructura de segmentación de VPC, que puedes implementar mediante una infraestructura consolidada o segmentada. Este diagrama no muestra las conexiones entre las redes.

Esta estructura incluye los siguientes componentes:

• VPC de tránsito: Controla conexiones de red externas y políticas de enrutamiento. Esta VPC también actúa como un concentrador de conectividad compartido para otras VPC.
• VPC de servicios centrales: contiene los servicios que tu organización crea y aloja. Los servicios se proporcionan para las VPCs de las aplicaciones a través de un concentrador. Aunque no es obligatorio, recomendamos que esta sea una VPC compartida.
• VPC de servicios administrados: contiene los servicios proporcionados por otras entidades. Las aplicaciones que se ejecutan en redes de VPC pueden acceder a los servicios mediante Private Service Connect o el acceso privado a servicios.

La elección de la estructura de segmentación para las VPC de la aplicación depende de la escala de las VPC de la aplicación necesarias, ya sea que planees implementar firewalls perimetrales en una red de Cross-Cloud o de forma externa y de la elección del servicio central o distribuido. publicación.

Cross-Cloud Network admite la implementación de pilas de aplicaciones regionales y pilas de aplicaciones globales. Ambos arquetipos de resiliencia de aplicaciones son compatibles con la estructura de segmentación propuesta con el patrón de conectividad entre VPC.

Puedes lograr conectividad entre VPC entre segmentos mediante una combinación de intercambio de tráfico entre redes de VPC y patrones de concentrador y radio de VPN con alta disponibilidad. Como alternativa, puedes usar Network Connectivity Center para incluir todas las VPC como radios en un concentrador de Network Connectivity Center.

El diseño de la infraestructura de DNS también se define en el contexto de la estructura de segmentación, independientemente del patrón de conectividad.

Herramientas de redes de servicio

Los diferentes arquetipos de implementación de la aplicación generan diferentes patrones para las herramientas de redes de servicios. Para el diseño de Cross-Cloud Network, enfócate en el arquetipo de implementación multirregional, en el que una pila de aplicaciones se ejecuta de forma independiente en varias zonas de dos o más Google. Regiones de Cloud.

Un arquetipo de implementación multirregional tiene las siguientes características que son útiles para el diseño de Cross-Cloud Network:

• Puedes usar las políticas de enrutamiento de DNS para enrutar el tráfico entrante a los balanceadores de cargas regionales.
• Luego, los balanceadores de cargas regionales pueden distribuir el tráfico a la pila de aplicaciones.
• Puedes implementar la conmutación por error regional si vuelves a anclar las asignaciones de DNS de la pila de aplicaciones con una política de enrutamiento de conmutación por error de DNS.

Una alternativa al arquetipo de implementación multirregional sería el arquetipo de implementación global, en el que una sola pila se compila en balanceadores de cargas globales y abarca varias regiones. Ten en cuenta las siguientes funciones de este arquetipo cuando trabajes con el diseño de Cross-Cloud Network:

• Los balanceadores de cargas distribuyen el tráfico a la región más cercana al usuario.
• Los frontends orientados a Internet son globales, pero los frontends internos son regionales con acceso global, por lo que puedes acceder a ellos en situaciones de conmutación por error.
• Puedes usar políticas de enrutamiento de DNS de ubicación geográfica y verificaciones de estado de DNS en las capas de servicio internas de la pila de aplicaciones.

La forma en que proporcionas acceso a los servicios publicados administrados depende del servicio al que se debe acceder. Los diferentes modelos de accesibilidad privada son modularizados y ortogonal al diseño de la pila de aplicaciones.

Según el servicio, puedes usar Private Service Connect o el acceso privado a los servicios para el acceso privado. Puedes compilar una pila de aplicaciones si combinas servicios integrados y servicios que publican otras organizaciones. Las pilas de servicios pueden ser regionales o globales para cumplir con el nivel requerido de resiliencia y la latencia de acceso optimizada.

Seguridad de red

Para la seguridad de las cargas de trabajo, te recomendamos que uses las políticas de firewall de Google Cloud.

Si tu organización requiere capacidades avanzadas adicionales para cumplir con los requisitos de seguridad o cumplimiento, puedes incorporar firewalls de seguridad perimetral mediante la inserción de dispositivos virtuales de red (NVAs) de firewall de última generación (NGFW).

Puedes insertar NVAs de NGFW en una sola interfaz de red (modo de NIC única) o en varias interfaces de red (modo de varias NICs). Los NVAs de NGFW pueden admitir zonas de seguridad o políticas perimetrales basadas en enrutamiento entre dominios sin clases (CIDR). Cross-Cloud Network implementa los NVAs de NGFW perimetral mediante una VPC de tránsito y políticas de enrutamiento de VPC.

¿Qué sigue?

• Diseña la segmentación y conectividad de red para aplicaciones de Cross-Cloud Network.
• Obtén más información sobre los productos de Google Cloud que se usan en esta guía de diseño:
  • Redes de VPC
  • VPC compartida
  • Intercambio de tráfico entre redes de VPC
  • Private Service Connect
  • Acceso privado a servicios
• Para obtener información sobre la implementación de NVAs de firewall, consulta Dispositivos de red centralizados en Google Cloud.
• Para obtener más información sobre las arquitecturas de referencia, las guías de diseño y las prácticas recomendadas, explora el Centro de arquitectura de Cloud.

Colaboradores

Autores:

• Victor Moreno | Gerente de producto, Herramientas de redes de Cloud
• Ghaleb Al-habian | Especialista en redes
• Deepak Michael | Ingeniero de Atención al cliente especializado en herramientas de redes
• Osvaldo Costa | Ingeniero de Atención al cliente especializado en herramientas de redes
• Jonathan Almaleh | Consultor de soluciones técnicas de personal

Otros colaboradores:

• Zach Seils | Especialista en herramientas de redes
• Christopher Abraham | Ingeniero de atención al cliente especializado en herramientas de redes
• Emanuele Maze | Especialista en productos de herramientas de redes
• Aurélien Legrand | Ingeniero estratégico de la nube
• Eric Yu | Ingeniero de atención al cliente especializado en herramientas de redes
• Autor: Kumar Dhanagopal | Desarrollador de soluciones entre productos
• Mark Schlagenhauf | Escritor técnico, Herramientas de redes
• Marwan Al Shawi | Ingeniero de Atención al Cliente para Socios
• Ammett Williams | Ingeniero de relaciones con desarrolladores