Jaringan untuk workload hybrid dan multi-cloud: Arsitektur referensi

Last reviewed 2023-11-13 UTC

Dokumen ini adalah bagian dari rangkaian yang menjelaskan arsitektur jaringan dan keamanan untuk perusahaan yang memigrasikan workload pusat data ke Google Cloud.

Seri ini terdiri dari dokumen berikut:

Merancang jaringan untuk memigrasikan beban kerja perusahaan: Pendekatan arsitektur
Jaringan untuk akses intra-cloud yang aman: Arsitektur referensi
Jaringan untuk pengiriman aplikasi yang terhubung ke internet: Arsitektur referensi
Jaringan untuk workload hybrid dan multi-cloud: Referensi arsitektur (dokumen ini)

Dokumen ini membahas jaringan untuk skenario ketika beban kerja dijalankan di lebih dari satu tempat, seperti lokal dan cloud, atau di beberapa lingkungan cloud.

Arsitektur lift-and-shift

Skenario akses workload hybrid pertama adalah arsitektur lift-and-shift.

Membangun konektivitas pribadi

Anda dapat membuat konektivitas ke jaringan lokal menggunakan Dedicated Interconnect atau Partner Interconnect. Topologi yang diilustrasikan pada gambar 1 menunjukkan cara menggunakan empat koneksi Interconnect di dua metro dan domain ketersediaan edge yang berbeda untuk mencapai ketersediaan 99,99% menggunakan Dedicated Interconnect. Untuk mengetahui informasi selengkapnya dan rekomendasi mendetail, lihat Konektivitas hybrid antara lingkungan lokal dan Google Cloud dalam blueprint fondasi perusahaan.

Konfigurasi koneksi Cloud Interconnect redundan untuk ketersediaan 99,99%.

Gambar 1. Konfigurasi koneksi Cloud Interconnect redundan untuk ketersediaan 99,99%.

Network Connectivity Center memungkinkan Anda menggunakan jaringan Google untuk transfer data antara beberapa situs lokal atau yang dihosting di cloud. Pendekatan ini memungkinkan Anda memanfaatkan jangkauan dan keandalan jaringan Google saat Anda perlu memindahkan data. Anda dapat menggunakan peralatan router Cloud VPN, Cloud Interconnect, dan SD-WAN yang sudah ada sebagai jari-jari Network Connectivity Center untuk mendukung transfer data antara jaringan lokal dan situs cabang, seperti yang ditunjukkan pada gambar 2.

Konfigurasi Network Connectivity Center yang menghubungkan berbagai jaringan perusahaan lokal di luar Google Cloud menggunakan jaringan backbone Google.

Gambar 2. Konfigurasi Network Connectivity Center yang menghubungkan berbagai perusahaan lokal dan jaringan cloud lainnya di luar Google Cloud menggunakan jaringan backbone Google.

Untuk mengetahui informasi selengkapnya tentang cara menyiapkan Pusat Konektivitas Jaringan, lihat Pertimbangan dalam dokumentasi Network Connectivity Center.

Peralatan SD-WAN

Dengan Network Connectivity Center, Anda dapat menggunakan alat virtual jaringan pihak ketiga sebagai spoke Network Connectivity Center untuk membangun konektivitas antara situs eksternal dan resource jaringan VPC Anda. Peralatan router dapat berupa router SD-WAN pihak ketiga yang didukung oleh salah satu partner kami atau perangkat virtual lainnya yang memungkinkan Anda bertukar rute dengan instance Cloud Router. Solusi berbasis appliance ini merupakan tambahan untuk opsi konektivitas site-to-cloud saat ini yang tersedia dengan Cloud VPN dan Cloud Interconnect sebagai spoke. Gambar 3 menunjukkan topologi yang menggunakan peralatan SD-WAN.

Konfigurasi Network Connectivity Center menggunakan perangkat router untuk mengintegrasikan implementasi SD-WAN dengan jaringan Google.

Gambar 3. Konfigurasi Network Connectivity Center menggunakan perangkat router untuk mengintegrasikan implementasi SD-WAN dengan jaringan Google.

Anda dapat menggunakan peralatan pihak ketiga untuk menjalankan fungsi keamanan. Kemampuan keamanan alat ini dapat diintegrasikan dalam peralatan router seperti yang ditunjukkan pada gambar 3. Penggunaan perangkat virtual jaringan juga merupakan pola umum, dengan traffic dari infrastruktur lokal mendarat di jaringan VPC transit, dan alat tersebut menetapkan konektivitas dengan jaringan VPC beban kerja, seperti yang ditunjukkan pada gambar 4.

Untuk mengetahui informasi selengkapnya tentang cara menyiapkan Pusat Konektivitas Jaringan, lihat Pertimbangan dalam dokumentasi Network Connectivity Center.

Arsitektur layanan hybrid

Seperti dalam kasus penggunaan intra-cloud yang dibahas di bagian Networking untuk akses intra-cloud yang aman: Arsitektur referensi, Network Connectivity Center memungkinkan konektivitas dari situs cabang Anda dan jaringan lokal ke Google Cloud. Private Service Connect memberikan akses pribadi ke layanan yang dikelola Google atau memungkinkan Anda menggunakan layanan lain yang dibangun dan di-deploy di cloud.

Anda juga dapat menerapkan keamanan jaringan menggunakan kombinasi Kontrol Layanan VPC, firewall Google Cloud, dan peralatan virtual jaringan, seperti yang ditunjukkan pada gambar 4.

Jaringan dengan arsitektur yang menggunakan pola lift-and-shift serta pola desain layanan hybrid yang dirancang untuk menyediakan bidang data yang aman.

Gambar 4. Jaringan dengan arsitektur yang menggunakan pola lift-and-shift serta pola desain layanan hybrid yang dirancang untuk menyediakan bidang data yang aman.

Arsitektur Terdistribusi Zero-Trust

Dalam lingkungan hybrid, microservice berjalan di mesh layanan yang di-deploy di berbagai penyedia cloud dan lingkungan lokal. Anda dapat membantu mengamankan komunikasi antara microservice dengan menggunakan mTLS dan kebijakan otorisasi. Praktik yang umum bagi perusahaan adalah membangun mesh layanan di cloud dan memperluas mesh tersebut ke lokal. Gambar 5 menunjukkan contoh layanan yang di-deploy di infrastruktur lokal mengakses layanan di cloud. mTLS end-to-end antara layanan diaktifkan menggunakan gateway timur-barat dan perutean berbasis SNI. Anthos Service Mesh membantu Anda mengamankan komunikasi layanan ke layanan, sehingga Anda dapat mengonfigurasi kebijakan otorisasi untuk layanan, serta men-deploy sertifikat dan kunci yang disediakan oleh certificate authority terkelola ini.

Lingkungan hybrid biasanya menampilkan beberapa deployment mesh, seperti beberapa cluster GKE. Komponen penting dalam alur ini adalah perutean SNI, yang digunakan di gateway GKE timur-barat untuk setiap cluster. Konfigurasi ini memungkinkan perutean mTLS langsung ke beban kerja oleh gateway dengan tetap mempertahankan konektivitas mTLS secara menyeluruh.

Mesh layanan zero-trust yang di-deploy di seluruh lingkungan lokal dan Google Cloud.

Gambar 5. Mesh layanan zero-trust yang di-deploy di seluruh lingkungan lokal dan Google Cloud.

Perusahaan dapat menggunakan Anthos Service Mesh untuk melakukan deployment di seluruh cloud. Untuk mengatasi tantangan dalam mengelola identitas dan sertifikat di seluruh penyedia cloud, Anthos Service Mesh menyediakan identitas workload dan certificate authority (CA) perantara dalam cluster, menggunakan Layanan CA (Layanan CA). CA perantara dapat dirantai ke CA eksternal atau dapat dihosting di Google. Anda dapat menyesuaikan atribut CA seperti region dan algoritma tanda tangan, menggunakan HSM milik perusahaan dan Cloud HSM.

Dengan Workload Identity, Anda dapat menetapkan identitas dan otorisasi yang berbeda dan terperinci untuk setiap microservice di cluster Anda. Anthos Service Mesh mengelola proses penerbitan sertifikat serta rotasi kunci dan sertifikat secara otomatis tanpa mengganggu komunikasi. Hal ini juga memberikan root kepercayaan tunggal di seluruh cluster GKE.

Gambar 6 menunjukkan arsitektur yang menggunakan Anthos Service Mesh untuk mengelola identitas dan otorisasi.

Layanan di mesh dapat mengakses layanan Google Cloud menggunakan federasi identitas workload. Fitur ini memungkinkan layanan bertindak dengan otoritas akun layanan Google saat memanggil Google Cloud API. Penggabungan identitas workload juga memungkinkan mesh layanan yang diinstal di penyedia cloud lain mengakses Google Cloud API.

Mesh layanan zero-trust yang di-deploy di seluruh cloud.

Gambar 6. Mesh layanan zero-trust yang di-deploy di seluruh cloud.

Anda dapat menggunakan Traffic Director untuk merutekan traffic dari mesh ke infrastruktur lokal atau ke cloud lainnya.

Misalnya, Anda dapat membuat layanan di Traffic Director bernama on-prem-service dan other-cloud-service, serta menambahkan grup endpoint jaringan konektivitas hybrid (NEG) yang memiliki endpoint 10.1.0.1:80 dan 10.2.0.1:80. Traffic Director kemudian mengirimkan traffic ke kliennya, yang merupakan proxy file bantuan mesh yang berjalan bersama aplikasi Anda. Oleh karena itu, saat aplikasi Anda mengirimkan permintaan ke layanan on-prem-service, klien Traffic Director akan memeriksa permintaan tersebut dan mengarahkannya ke endpoint 10.0.0.1:80. Gambar 7 mengilustrasikan konfigurasi ini.

Traffic yang dialihkan dari mesh layanan menggunakan Traffic Director.

Gambar 7. Traffic yang dialihkan dari mesh layanan menggunakan Traffic Director.

Anda juga dapat menggabungkan fungsi lanjutan, seperti pengarahan traffic berbasis berat, seperti yang ditunjukkan pada gambar 8. Dengan kemampuan ini, Anda dapat memenuhi kebutuhan perusahaan yang penting, seperti migrasi cloud. Traffic Director berfungsi sebagai bidang kontrol serbaguna yang dikelola secara global untuk mesh layanan Anda.

Traffic berbobot diatur menggunakan Traffic Director.

Gambar 8. Traffic berbobot diatur menggunakan Traffic Director.

Langkah selanjutnya

Jaringan untuk akses intra-cloud yang aman: Arsitektur referensi.
Jaringan untuk pengiriman aplikasi yang terhubung ke internet: Arsitektur referensi
Migrasi ke Google Cloud dapat membantu Anda merencanakan, mendesain, dan menerapkan proses migrasi beban kerja Anda ke Google Cloud.
Desain zona landing di Google Cloud memiliki panduan untuk membuat jaringan zona landing.
Untuk arsitektur referensi, diagram, dan praktik terbaik lainnya, jelajahi Pusat Arsitektur Cloud.