Padrões de rede híbrida do Google Cloud - Parte 2

by Jasbir Singh, Staff Consulting Architect, Public Cloud, Rackspace Technology

Introdução

Nas duas primeiras publicações desta série, explorámos os padrões de rede fundamentais para a conetividade híbrida entre sistemas no local e o Google Cloud. A Parte 1 centrou-se na ligação a uma VPC única ou partilhada, enquanto a Parte 2 se expandiu para a conetividade híbrida em várias redes VPC. Nesta última parte, vamos aprofundar padrões mais avançados, especificamente a conetividade híbrida utilizando dispositivos em redes VPC partilhadas numa arquitetura de hub no Google Cloud.

Conectividade híbrida utilizando aparelhos (redes VPC partilhadas no Hub)

1. Interligação a instalações locais

Considere um caso de uso em que as cargas de trabalho são organizadas em redes VPC compartilhadas separadas para produção (Prod) e não produção (Non-Prod). A Interligação (ou HA-VPN) do local (ou de outras nuvens) termina diretamente na VPC Externa.

Este padrão fornece conetividade híbrida para:

  1. Recursos IaaS no âmbito da carga de trabalho Redes VPC partilhadas
  2. APIs e serviços Google (por exemplo, storage.googleapis.com, *.run.app) nos projectos de carga de trabalho
  3. Serviços geridos pelo Google Cloud utilizando o Acesso a serviços privados

Utilizar este padrão quando:

  1. Você tem várias redes VPC compartilhadas de carga de trabalho que exigem inspeção de camada 7 para o tráfego entre redes VPC e no local. Embora este exemplo mostre duas redes VPC partilhadas (Prod e Non-Prod), é possível suportar até sete redes VPC. As redes VPC de carga de trabalho comunicam através de dispositivos virtuais de rede (NVA), que aplicam políticas de segurança de rede para permitir ou negar tráfego.
  2. Tem várias redes VPC partilhadas de carga de trabalho que precisam de partilhar uma ligação comum às nuvens locais ou a outras nuvens. Neste exemplo, a conetividade com nuvens locais e outras nuvens é roteada por meio do NVA e da VPC externa.
  3. Precisa de conetividade de rede para serviços geridos utilizando o Acesso a Serviços Privados nas redes VPC Partilhadas de carga de trabalho. Este padrão permite o acesso a serviços geridos a partir do local e de qualquer VPC partilhada de carga de trabalho.

 

Expansão (número de VPCs partilhadas de carga de trabalho)

O número máximo de redes VPC partilhadas de carga de trabalho é sete, limitado pelo número máximo de interfaces de rede por instância. Se for necessária uma interface adicional para o tráfego de gestão para o NVA, apenas podem ser implementadas seis redes VPC Partilhadas de carga de trabalho.

  1. Interconexão na nuvem Configure uma interconexão dedicada ou uma interconexão de parceiro para o Google Cloud. Ligue-se a dois Edge Availability Domains (EAD) na mesma área metropolitana para obter um SLA de 99,99%. As suas Interligações Cloud podem ligar-se a várias regiões na mesma VPC partilhada.
  2. Anexo de VLAN Um anexo de VLAN conecta sua interconexão em um ponto de presença (PoP) do Google a um roteador de nuvem em uma região especificada.
  3. Cloud Router Um Cloud Router troca rotas dinâmicas entre as suas redes VPC e os routers locais. Pode configurar o encaminhamento dinâmico entre os seus routers no local e um Cloud Router numa determinada região. Cada Cloud Router é implementado por duas tarefas de software que fornecem duas interfaces para alta disponibilidade. Configurar o encaminhamento BGP para cada interface do Cloud Router.
  4. Roteamento dinâmico global da VPC Configure o roteamento dinâmico global na VPC compartilhada para permitir a troca de rotas dinâmicas entre todas as regiões.

< entidade drupal data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>

 

1.Cloud   HA-VPN O gateway Cloud HA-VPN estabelece túneis IPsec para o gateway VPN local através da Internet. O HA-VPN oferece um SLA de 99,99%. É possível configurar vários túneis HA-VPN em diferentes regiões na VPC externa.

2.Roteadores de nuvem Configure o roteamento dinâmico entre os roteadores locais e um roteador de nuvem em cada região. Cada Cloud Router fornece duas interfaces para alta disponibilidade. Configurar o encaminhamento BGP para ambas as interfaces do Cloud Router.

3.Roteamento dinâmico   global da VPC Configure o roteamento dinâmico global na VPC externa para permitir a troca de rotas dinâmicas entre todas as regiões.

< entidade drupal data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>

3. Opção 1 de DNS híbrido (reencaminhamento e emparelhamento de DNS na nuvem)

Em um ambiente híbrido, a resolução de DNS pode ser feita no Google Cloud ou no local. Vamos considerar um caso de uso de DNS híbrido em que os servidores DNS locais são autoritativos para zonas DNS locais e o Cloud DNS é autoritativo para zonas do Google Cloud.

  1. Configure seus servidores DNS locais para serem autoritativos para zonas DNS locais. Configure o encaminhamento de DNS (para nomes DNS do Google Cloud) visando o endereço IP de encaminhamento de entrada do Cloud DNS, que é criado por meio da política de servidor de entrada na VPC compartilhada Prod. Isso permite que a rede local resolva nomes DNS do Google Cloud.
  2. Anuncie o intervalo de proxy de saída do Google DNS 35.199.192.0/19 para a rede local através dos routers da nuvem. Os pedidos de DNS de saída do Google Cloud para o local são originados a partir deste intervalo de endereços IP.
  3. VPC externa - DNS na nuvem
a) Configure uma política de servidor de entrada para solicitações de DNS locais. b) Configure uma zona de encaminhamento de DNS na nuvem para nomes de DNS locais, visando resolvedores de DNS locais.
  4. Configure uma zona de emparelhamento de DNS para nomes DNS locais visando a VPC partilhada Prod como a rede de emparelhamento. Esta configuração permite que os recursos Não-Prod resolvam nomes DNS no local. b) Configure Zonas Privadas DNS Não-Prod no Projeto de Anfitrião do Hub e anexe VPC Partilhada Não-Prod, VPC Partilhada Prod e VPC Externa à zona. Isto permite que os anfitriões (no local e todos os projectos de serviço) resolvam os nomes DNS Prod.
  5. Configure uma zona de emparelhamento de DNS para nomes DNS locais visando a VPC partilhada Prod como a rede de emparelhamento. Isto permite que os recursos Prod resolvam nomes DNS no local. b) Configure Zonas Privadas de DNS Prod no Projeto de Anfitrião Hub e anexe VPC Partilhada Prod, VPC Partilhada Não-Prod e VPC Externa à zona. Isto permite que os anfitriões (no local e todos os projectos de serviço) resolvam os nomes DNS Prod.

 

< entidade drupal data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>

3 4. Private Service Connect (PSC) para APIs do Google (acesso a todas as APIs e serviços suportados)

Visão geral

Pode utilizar o Private Service Connect (PSC) para aceder a todas as APIs e serviços Google suportados a partir de anfitriões do Google Compute Engine (GCE) e anfitriões locais utilizando o endereço IP interno de um ponto de extremidade PSC num VPC partilhado. Consideremos o acesso PSC a um serviço no Projeto de Serviço 4 através da VPC Externa e da VPC Partilhada Prod.

Criar pontos de extremidade PSC

  1. Escolha um endereço de ponto de extremidade PSC (por exemplo, 10.2.2.2) e crie um ponto de extremidade PSC na VPC partilhada Prod com um destino de "all-apis", que dá acesso a todas as APIs e serviços Google suportados.
  2. Escolha um endereço de ponto de extremidade PSC (por exemplo, 10.2.2.2) e crie um ponto de extremidade PSC na VPC partilhada Prod com um destino de "all-apis", que dá acesso a todas as APIs e serviços Google suportados. O Diretório de Serviços cria automaticamente um registo DNS (com o nome DNS de p.googleapis.com) associado ao endereço IP do ponto final do PSC.

 

2) Acesso à API a partir de anfitriões GCE

Os anfitriões GCE podem aceder a todas as APIs e serviços Google suportados através do ponto de extremidade PSC na VPC partilhada Prod.

  1. 2. Active o Private Google Access em todas as sub-redes com instâncias de computação que requerem acesso às APIs do Google através do PSC.
  2. 3. Se os seus clientes GCE puderem utilizar nomes DNS personalizados (por exemplo, storage-xyz.p.googleapis.com), pode utilizar o nome DNS p.googleapis.com criado automaticamente.
  3. 4. Se os seus clientes GCE não puderem utilizar nomes DNS personalizados, pode criar registos Cloud DNS utilizando os nomes DNS predefinidos (por exemplo, storage.googleapis.com).

Acesso a partir de anfitriões no local

Os anfitriões no local podem aceder a todas as APIs e serviços Google suportados através do ponto de extremidade PSC no VPC partilhado Prod.

  • No roteador de nuvem, anuncie o endereço do ponto de extremidade do PSC para a rede local.
  • 5. Se os seus clientes no local puderem utilizar nomes DNS personalizados (por exemplo, storage-xyz.p.googleapis.com), pode criar registos A que mapeiem os nomes DNS personalizados para o endereço do ponto final do PSC.
  • 6. Se os seus clientes locais não puderem utilizar nomes DNS personalizados, pode criar registos A que mapeiem os nomes DNS predefinidos (por exemplo, storage.googleapis.com) para o endereço do ponto final do PSC.

< entidade drupal data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>

 

5. Private Service Connect (PSC) para APIs do Google (acesso a APIs e serviços suportados pelo Controlo de Serviços VPC)

Visão geral

Pode utilizar o Private Service Connect (PSC) para aceder a todas as APIs e serviços Google suportados a partir de anfitriões do Google Compute Engine (GCE) e anfitriões locais utilizando o endereço IP interno de um ponto de extremidade PSC num VPC partilhado. Consideremos o acesso PSC a um serviço no Projeto de Serviço 4 através da VPC Externa e da VPC Partilhada Prod.

 

Criar pontos de extremidade PSC

  1. Escolha um endereço de ponto de extremidade PSC (por exemplo, 10.2.2.2) e crie um ponto de extremidade PSC na VPC partilhada Prod com um destino de "all-apis", que dá acesso a todas as APIs e serviços Google suportados.
  2. Escolha um endereço de ponto de extremidade PSC (por exemplo, 10.2.2.2) e crie um ponto de extremidade PSC na VPC Partilhada Prod com o destino "vpc-sc" O Diretório de Serviços cria automaticamente um registo DNS (com o nome DNS de p.googleapis.com) associado ao endereço IP do ponto final do PSC.

2) Acesso à API a partir de anfitriões GCE

Os anfitriões GCE podem aceder a todas as APIs e serviços Google suportados através do ponto de extremidade PSC na VPC partilhada Prod.

1.2. Active o Private Google Access em todas as sub-redes com instâncias de computação que requerem acesso às APIs do Google através do PSC.

2.3. Se os seus clientes GCE puderem utilizar nomes DNS personalizados (por exemplo, storage-xyz.p.googleapis.com), pode utilizar o nome DNS p.googleapis.com criado automaticamente.

3.4. Se os seus clientes GCE não puderem utilizar nomes DNS personalizados, pode criar registos Cloud DNS utilizando os nomes DNS predefinidos (por exemplo, storage.googleapis.com).

 

Acesso a partir de anfitriões no local

  1. Os anfitriões no local podem aceder a todas as APIs e serviços Google suportados através do ponto de extremidade PSC no VPC partilhado Prod.
  2. No roteador de nuvem, anuncie o endereço do ponto de extremidade do PSC para a rede local.
  3. 5. Se os seus clientes no local puderem utilizar nomes DNS personalizados (por exemplo, storage-xyz.p.googleapis.com), pode criar registos A que mapeiem os nomes DNS personalizados para o endereço do ponto final do PSC.
  4. 6. Se os seus clientes locais não puderem utilizar nomes DNS personalizados, pode criar registos A que mapeiem os nomes DNS predefinidos (por exemplo, storage.googleapis.com) para o endereço do ponto final do PSC.

< entidade drupal data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>

 

6. Controlo do serviço VPC

Visão geral

O Controlo de Serviços VPC utiliza regras de entrada e saída para controlar o acesso de e para um perímetro. As regras especificam a direção do acesso permitido de e para diferentes identidades e recursos. 

Vamos considerar um caso de utilização específico em que é necessário o acesso a um serviço protegido no Projeto de Serviço 4 através da VPC partilhada Prod. Este é um exemplo simples e não exaustivo.

Controlo do serviço VPC

  1. Perímetro do projeto de serviço O perímetro contém o Projeto de Serviço 4 e inclui APIs e serviços do Google a proteger no projeto de serviço.
  2. Uma instância GCE pode aceder a APIs seguras através de um ponto de extremidade PSC na VPC partilhada. A interface de rede da instância GCE-4 está na VPC Partilhada Prod do Projeto Anfitrião do Hub. As chamadas de API da instância GCE-4 para um serviço (por exemplo, storage.googleapis.com) no Projeto de Serviço 4 parecem ter origem no projeto anfitrião Prod, onde a interface da instância e o ponto final PSC estão localizados.
  3. Configure uma regra de entrada que permita chamadas de API do Google do projeto de anfitrião Prod para os serviços protegidos dentro do perímetro do Projeto de Serviço 4. Esta regra permite chamadas API das instâncias GCE (por exemplo, GCE-4) para o perímetro.
  4. 4) Acesso à API para anfitriões no local Os anfitriões no local podem aceder a APIs seguras no Projeto de Serviço 4 através do ponto final PSC na VPC partilhada Prod. As chamadas de API do local para os serviços no Projeto de Serviço 4 parecem ter origem no projeto de anfitrião Prod, onde a Interligação (ou VPN) e o ponto final PSC estão localizados. A regra de entrada (mencionada no passo 3) permite chamadas de API do local para o perímetro do Projeto de Serviço 4 através do projeto de anfitrião Prod.

< entidade drupal data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>

 

Desbloqueando todo o potencial da nuvem híbrida

A conetividade híbrida é a chave para impulsionar a agilidade e a inovação na nuvem. Ao longo desta série, explorámos uma série de padrões de rede para o ajudar a ligar sistemas no local ao Google Cloud sem problemas, desde configurações básicas de VPC a arquitecturas avançadas baseadas em dispositivos. Ao escolher os padrões certos para as suas cargas de trabalho, pode obter operações na nuvem seguras, eficientes e escaláveis. Esperamos que esta série tenha proporcionado a clareza e a orientação de que necessita para conceber com confiança as suas soluções de rede híbrida. Se tiver alguma dúvida ou precisar de apoio personalizado, a nossa equipa da Rackspace Technology está aqui para o ajudar a desbloquear todo o potencial da sua infraestrutura de nuvem.

Solve Insights Read Now Button

Blog Links

Solve: Liderança de pensamento

Blog corporativo

Sala de imprensa

Blog técnico

Relações com investidores

Kit de mídia

Maximizar os benefícios da plataforma Google

Saber mais