Questo documento fa parte di una serie che descrive il networking e la sicurezza per le aziende che migrano i carichi di lavoro dei data center in Google Cloud.
La serie è costituita dai seguenti documenti:
- Progettazione di reti per la migrazione dei carichi di lavoro aziendali: approcci dell'architettura
- Networking per un accesso intra-cloud sicuro: architetture di riferimento
- Networking per la distribuzione di applicazioni per internet: architetture di riferimento (questo documento)
- Networking per carichi di lavoro ibridi e multi-cloud: architetture di riferimento
Google offre una serie di prodotti e funzionalità che semplificano la sicurezza e scalare le tue applicazioni più critiche rivolte a internet. La figura 1 mostra una che utilizza i servizi Google Cloud per eseguire il deployment di un'applicazione web con più livelli.
Figura 1. Tipica applicazione web multi-livello di cui è stato eseguito il deployment su Google Cloud.
Architettura lift and shift
Man mano che le applicazioni per internet passano al cloud, devono essere in grado di scalare, e devono disporre di controlli di sicurezza e visibilità equivalenti a quelli dei controlli nell'ambiente on-premise. Puoi fornire questi controlli utilizzando di appliance virtuali di rete disponibili sul marketplace.
Figura 2. Applicazione di cui è stato eseguito il deployment con un carico esterno basato sull'appliance con il bilanciatore del carico di rete passthrough esterno regionale.
Queste appliance virtuali offrono funzionalità e visibilità in modo coerente con gli ambienti on-premise. Quando utilizzi una rete virtuale di Google Cloud, esegui il deployment dell'immagine dell'appliance software utilizzando gruppi di istanze. Spetta a te monitorare e gestire l'integrità della VM che eseguono l'appliance, inoltre manterrai gli aggiornamenti del software dell'appliance di ricerca.
Dopo aver eseguito il tuo turno iniziale, potresti voler la transizione da appliance virtuali di rete autogestite a servizi gestiti. Google Cloud offre una serie di servizi gestiti che semplificano per distribuire applicazioni su larga scala.
La figura 2 mostra un'appliance virtuale di rete configurata come frontend di un'applicazione di livello web. Per un elenco di soluzioni per gli ecosistemi di partner, consulta Google Cloud Marketplace nella console Google Cloud.
Architettura dei servizi ibridi
Google Cloud offre i seguenti approcci per semplificare la gestione per internet su larga scala:
- Utilizza la rete globale di Google di server dei nomi DNS anycast che forniscono alta disponibilità e bassa latenza per tradurre le richieste dei nomi di dominio in indirizzi IP.
- Utilizza il parco risorse globale di bilanciatori del carico delle applicazioni esterni di Google per instradare il traffico a un un'applicazione ospitata all'interno di Google Cloud, ospitata on-premise in hosting su un altro cloud pubblico. Questi bilanciatori del carico scalano automaticamente con il tuo traffico e assicurarti che ogni richiesta sia indirizzata a un server di un backend cloud. Impostando gruppi di endpoint di rete con connettività ibrida, puoi sfruttare i vantaggi del networking del bilanciatore del carico delle applicazioni esterno funzionalità per i servizi in esecuzione sull'infrastruttura esistente al di fuori di Google Cloud. La rete on-premise o l'altra rete pubblica le reti cloud siano connesse privatamente alla rete Google Cloud attraverso un tunnel VPN o tramite Cloud Interconnect.
Usa altri servizi perimetrali della rete come Cloud CDN per distribuire contenuti, Google Cloud Armor per la protezione e Identity-Aware Proxy (IAP) per controllare l'accesso ai servizi.
La figura 3 mostra la connettività ibrida che utilizza il bilanciatore del carico delle applicazioni esterno.
Figura 3. Configurazione della connettività ibrida tramite il bilanciatore del carico delle applicazioni esterno e per i servizi sul perimetro della rete.
La figura 4 mostra un'opzione di connettività diversa utilizzando il modello ibrido gruppi di endpoint di rete per la connettività.
Figura 4. Configurazione del bilanciatore del carico delle applicazioni esterno con ibrido gruppi di endpoint di rete per la connettività.
Utilizza un bilanciatore del carico delle applicazioni (HTTP/HTTPS) per instradare le richieste in base a quali l'URI (Uniform Resource Identifier) HTTP. Utilizza un bilanciatore del carico di rete proxy per implementare l'offload TLS, il proxy TCP o il supporto per del carico esterno con backend in più regioni. Utilizza un bilanciatore del carico di rete passthrough per preservare gli indirizzi IP di origine dei client, evita l'overhead di proxy e il supporto di protocolli aggiuntivi come UDP, ESP ICMP
Proteggi il tuo servizio con Google Cloud Armor. Si tratta di un prodotto di difesa dagli attacchi DDoS a livello perimetrale e alla sicurezza WAF, Disponibile per tutti i servizi a cui si accede tramite un bilanciatore del carico delle applicazioni esterno globale.
Utilizza le funzionalità di Certificati SSL gestiti da Google. Puoi riutilizzare i certificati e le chiavi private che già utilizzi per altre Google Cloud. In questo modo non sarà necessario gestire certificati.
Abilita la memorizzazione nella cache dell'applicazione per sfruttare i vantaggi di distribuzione delle applicazioni di Cloud CDN.
Utilizza le appliance virtuali di rete per ispezionare e filtrare sia nord-sud (da e verso internet) e est-ovest (verso e dalla rete on-premise o reti VPC), come mostrato nella Figura 5.
Figura 5. Configurazione della rete virtuale ad alta disponibilità utilizzando un bilanciatore del carico di rete passthrough interno e il peering di rete VPC per analizzare il traffico.
Utilizza Cloud IDS per rilevare le minacce nel traffico nord-sud, come mostrato nella figura 6.
Figura 6. Configurazione Cloud IDS per eseguire il mirroring e l'ispezione tutto il traffico internet e interno.
Architettura distribuita Zero Trust
Puoi espandere l'architettura distribuita Zero Trust per includere l'applicazione la consegna da internet. In questo modello, il bilanciatore del carico delle applicazioni esterno di Google fornisce del carico globale tra i cluster GKE che hanno Mesh di servizi Cloud mesh in cluster distinti. Per questo scenario, adotti una un modello in entrata composito. Il bilanciatore del carico di primo livello fornisce cluster e un gateway in entrata gestito da Cloud Service Mesh il bilanciamento del carico specifico per il cluster e la sicurezza in entrata. Un esempio. in entrata multi-cluster è Architettura di riferimento di Cymbal Bank come descritto nel progetto dell'applicazione aziendale. Per ulteriori informazioni Ingresso perimetrale di Cloud Service Mesh, vedi Da perimetrale al mesh: esposizione delle applicazioni mesh di servizi tramite GKE Ingress.
La figura 7 mostra una configurazione in cui indirizza un bilanciatore del carico delle applicazioni esterno traffico da la connessione a internet alla rete mesh di servizi tramite un gateway in entrata. Il gateway è un proxy dedicato nel mesh di servizi.
Figura 7. Distribuzione delle applicazioni in un ambiente di microservizi Zero Trust.
Passaggi successivi
- Networking per l'accesso intra-cloud sicuro: architetture di riferimento.
- Networking per carichi di lavoro ibridi e multi-cloud: architetture di riferimento.
- Migrazione a Google Cloud può aiutarti a pianificare, progettare e implementare il processo di migrazione carichi di lavoro in Google Cloud.
- Progettazione delle zone di destinazione in Google Cloud fornisce le indicazioni per creare una rete per le zone di destinazione.
- Per altre architetture di riferimento, diagrammi e best practice, esplora il Centro architetture cloud.