Traffic masuk dengan akses terbatas

Last reviewed 2023-12-14 UTC

Arsitektur pola gated ingress didasarkan pada mengekspos API workload tertentu yang berjalan di Google Cloud ke lingkungan komputasi pribadi tanpa mengeksposnya ke internet publik. Pola ini adalah kebalikan dari pola traffic keluar, dan sangat cocok untuk skenario edge hybrid, tiered hybrid, dan cloud yang dipartisi.

Seperti halnya pola traffic keluar dengan akses terbatas, Anda dapat memfasilitasi eksposur terbatas ini melalui gateway API atau load balancer yang berfungsi sebagai fasad untuk workload atau layanan yang ada. Hal tersebut akan membuatnya dapat diakses oleh lingkungan komputasi pribadi, lingkungan lokal, atau di lingkungan cloud lainnya, sebagai berikut:

  • Workload yang Anda deploy di lingkungan komputasi pribadi atau lingkungan cloud lainnya dapat berkomunikasi dengan gateway API atau load balancer dengan menggunakan alamat IP internal. Sistem lain yang di-deploy di Google Cloud tidak dapat dijangkau.
  • Komunikasi dari Google Cloud ke lingkungan komputasi pribadi atau ke lingkungan cloud lainnya tidak diizinkan. Traffic hanya dimulai dari lingkungan pribadi atau lingkungan cloud lainnya ke API di Google Cloud.

Arsitektur

Diagram berikut menunjukkan arsitektur referensi yang memenuhi persyaratan pola masuk dengan akses terbatas.

Data yang mengalir ke satu arah dari lingkungan lokal atau cloud melalui Cloud VPN atau Cloud Interconnect ke lingkungan Google Cloud dan berakhir di workload.

Deskripsi arsitektur dalam diagram sebelumnya adalah sebagai berikut:

  • Di sisi Google Cloud, Anda men-deploy workload ke satu VPC aplikasi (atau beberapa VPC).
  • Jaringan lingkungan Google Cloud dapat diperluas ke lingkungan komputasi lainnya (lokal atau di cloud lainnya) dengan menggunakan konektivitas jaringan hybrid atau multicloud untuk memfasilitasi komunikasi antar lingkungan.
  • Secara opsional, Anda dapat menggunakan VPC transit untuk melakukan hal berikut:
    • Berikan lapisan keamanan perimeter tambahan untuk mengizinkan akses ke API tertentu di luar VPC aplikasi Anda.
    • Rutekan traffic ke alamat IP API. Anda dapat membuat aturan firewall VPC untuk mencegah beberapa sumber mengakses API tertentu melalui endpoint.
    • Memeriksa traffic Lapisan 7 di VPC transit dengan mengintegrasikan alat virtual (NVA) jaringan.
  • Akses API melalui gateway API atau load balancer (load balancer proxy atau aplikasi) untuk menyediakan lapisan proxy, dan lapisan abstraksi atau fasad untuk API layanan Anda. Jika perlu mendistribusikan traffic di beberapa instance gateway API, Anda dapat menggunakan Load Balancer Jaringan passthrough internal.
  • Berikan akses terbatas dan terperinci ke layanan yang dipublikasikan melalui endpoint Private Service Connect dengan menggunakan load balancer melalui Private Service Connect untuk mengekspos aplikasi atau layanan.
  • Semua lingkungan harus menggunakan ruang alamat IP RFC 1918 bebas tumpang-tindih.

Diagram berikut mengilustrasikan desain pola ini menggunakan Apigee sebagai platform API.

Data mengalir ke lingkungan Google Cloud dan dikirimkan ke dalam project di instance Apigee dari lingkungan lokal atau cloud melalui Cloud VPN atau Cloud Interconnect.

Pada diagram sebelumnya, penggunaan Apigee sebagai platform API memberikan fitur dan kemampuan berikut untuk mengaktifkan pola gated ingress:

  • Fungsi proxy atau gateway
  • Kemampuan keamanan
  • Pembatasan kapasitas
  • Analisis

Dalam desain:

  • Konektivitas jaringan yang menuju ke utara (untuk traffic yang berasal dari lingkungan lain) melewati endpoint Private Service Connect di VPC aplikasi Anda yang terkait dengan VPC Apigee.
  • Di VPC aplikasi, load balancer internal digunakan untuk mengekspos API aplikasi melalui endpoint Private Service Connect yang disajikan di VPC Apigee. Untuk informasi selengkapnya, lihat Arsitektur dengan peering VPC dinonaktifkan.

  • Mengonfigurasi aturan firewall dan pemfilteran traffic di VPC aplikasi. Tindakan ini akan memberikan akses yang mendetail dan terkontrol. Hal ini juga membantu menghentikan sistem agar tidak langsung menjangkau aplikasi Anda tanpa melewati endpoint Private Service Connect dan gateway API.

    Selain itu, Anda juga dapat membatasi iklan subnet alamat IP internal dari workload backend di VPC aplikasi ke jaringan lokal untuk menghindari keterjangkauan langsung tanpa melewati endpoint Private Service Connect dan gateway API.

Persyaratan keamanan tertentu mungkin memerlukan pemeriksaan keamanan perimeter di luar VPC aplikasi, termasuk traffic konektivitas hybrid. Dalam kasus semacam ini, Anda dapat menyertakan VPC transit untuk menerapkan lapisan keamanan tambahan. Lapisan ini, seperti NVA firewall generasi berikutnya (NGFW) dengan beberapa antarmuka jaringan, atau Cloud Next Generation Firewall Enterprise dengan intrusion prevention service (IPS), melakukan pemeriksaan paket mendalam di luar VPC aplikasi Anda, seperti yang diilustrasikan dalam diagram berikut:

Data mengalir ke lingkungan Google Cloud dan dikirimkan ke aplikasi dari lingkungan lokal atau cloud melalui Cloud VPN atau Cloud Interconnect.

Seperti yang digambarkan dalam diagram sebelumnya:

  • Konektivitas jaringan yang menuju ke utara (untuk traffic yang berasal dari lingkungan lain) melewati VPC transit terpisah menuju endpoint Private Service Connect di VPC transit yang terkait dengan VPC Apigee.
  • Di VPC aplikasi, load balancer internal (ILB dalam diagram) digunakan untuk mengekspos aplikasi melalui endpoint Private Service Connect di Apigee VPC.

Anda dapat menyediakan beberapa endpoint di jaringan VPC yang sama, seperti yang ditunjukkan pada diagram berikut. Untuk mencakup berbagai kasus penggunaan, Anda dapat mengontrol berbagai kemungkinan jalur jaringan menggunakan Cloud Router dan aturan firewall VPC. Misalnya, jika Anda menghubungkan jaringan lokal ke Google Cloud menggunakan beberapa koneksi jaringan hybrid, Anda dapat mengirim sebagian traffic dari infrastruktur lokal ke Google API spesifik atau layanan yang dipublikasikan melalui satu koneksi dan sisanya melalui koneksi lain. Selain itu, Anda dapat menggunakan akses global Private Service Connect untuk memberikan opsi failover.

Data mengalir ke lingkungan Google Cloud dan dikirimkan melalui beberapa endpoint Private Service Connect ke beberapa VPC produsen dari lingkungan lokal atau cloud melalui Cloud VPN atau Cloud Interconnect.

Variasi

Pola arsitektur masuk dengan akses terbatas dapat digabungkan dengan pendekatan lain untuk memenuhi persyaratan desain yang berbeda, sambil tetap mempertimbangkan persyaratan komunikasi pola tersebut. Pola ini menawarkan opsi berikut:

Mengakses Google API dari lingkungan lain

Untuk skenario yang memerlukan akses ke layanan Google, seperti Cloud Storage atau BigQuery, tanpa mengirim traffic melalui internet publik, Private Service Connect menawarkan solusinya. Seperti yang ditunjukkan dalam diagram berikut, konfigurasi ini memungkinkan keterjangkauan ke Google API yang didukung dan layanan (termasuk Google Maps, Google Ads, dan Google Cloud) dari lingkungan lokal atau cloud lainnya melalui koneksi jaringan hybrid menggunakan alamat IP endpoint Private Service Connect. Untuk mengetahui informasi selengkapnya tentang mengakses Google API melalui endpoint Private Service Connect, lihat Tentang mengakses Google API melalui endpoint.

Data mengalir dari lingkungan lokal ke layanan Google ke dalam lingkungan Google Cloud.

Pada diagram sebelumnya, jaringan lokal Anda harus terhubung ke jaringan VPC transit (konsumen) menggunakan tunnel Cloud VPN atau lampiran VLAN Cloud Interconnect.

Google API dapat diakses menggunakan endpoint atau backend. Dengan Endpoint, Anda dapat menargetkan sepaket Google API. Dengan backend, Anda dapat menargetkan Google API regional tertentu.

Mengekspos backend aplikasi ke lingkungan lain menggunakan Private Service Connect

Dalam skenario tertentu, seperti yang ditandai oleh pola hibrida bertingkat, Anda mungkin perlu men-deploy backend di Google Cloud sambil mempertahankan frontend di lingkungan komputasi pribadi. Meskipun kurang umum, pendekatan ini berlaku saat menangani frontend monolitik berat yang mungkin mengandalkan komponen lama. Atau, yang lebih umum, saat mengelola aplikasi terdistribusi di berbagai lingkungan, termasuk cloud lokal dan cloud lainnya, yang memerlukan konektivitas ke backend yang dihosting di Google Cloud melalui jaringan hybrid.

Dalam arsitektur seperti ini, Anda dapat menggunakan gateway API lokal atau load balancer di lingkungan lokal pribadi, atau lingkungan cloud lainnya, untuk langsung mengekspos frontend aplikasi ke internet publik. Penggunaan Private Service Connect di Google Cloud memfasilitasi konektivitas pribadi ke backend yang diekspos melalui endpoint Private Service Connect, idealnya menggunakan API yang telah ditetapkan, seperti yang diilustrasikan dalam diagram berikut:

Data mengalir ke lingkungan Google Cloud dari lingkungan lokal atau lingkungan cloud lain. Data mengalir melalui instance Apigee dan layanan frontend di lingkungan non-Google Cloud dan berakhir di VPC aplikasi project pelanggan.

Desain pada diagram sebelumnya menggunakan deployment Apigee Hybrid yang terdiri dari bidang pengelolaan di Google Cloud dan bidang runtime yang dihosting di lingkungan Anda yang lain. Anda dapat menginstal dan mengelola bidang runtime pada gateway API terdistribusi pada salah satu platform Kubernetes yang didukung di lingkungan lokal Anda atau di lingkungan cloud lainnya. Berdasarkan persyaratan Anda untuk workload terdistribusi di Google Cloud dan lingkungan lainnya, Anda dapat menggunakan Apigee di Google Cloud dengan Apigee Hybrid. Untuk mengetahui informasi selengkapnya, lihat Gateway API terdistribusi.

Menggunakan arsitektur hub dan spoke untuk mengekspos backend aplikasi ke lingkungan lain

Dalam skenario tertentu, mengekspos API dari backend aplikasi yang dihosting di Google Cloud pada berbagai jaringan VPC. Seperti yang digambarkan dalam diagram berikut, VPC hub berfungsi sebagai titik pusat interkoneksi untuk berbagai VPC (jari-jari), yang memungkinkan komunikasi yang aman melalui konektivitas hybrid pribadi. Secara opsional, kemampuan gateway API lokal di lingkungan lain, seperti Apigee Hybrid, dapat digunakan untuk menghentikan permintaan klien secara lokal tempat frontend aplikasi dihosting.

Data mengalir antara lingkungan Google Cloud dan lingkungan lokal atau lingkungan cloud lainnya, dan mengekspos API dari backend aplikasi yang dihosting di Google Cloud di berbagai jaringan VPC.

Seperti yang digambarkan dalam diagram sebelumnya:

  • Untuk memberikan kemampuan pemeriksaan NGFW Lapisan 7 tambahan, NVA dengan kemampuan NGFW terintegrasi secara opsional dengan desain. Anda mungkin memerlukan kemampuan ini untuk mematuhi persyaratan keamanan tertentu dan standar kebijakan keamanan organisasi Anda.

  • Desain ini mengasumsikan bahwa VPC TalkBack tidak memerlukan komunikasi VPC langsung ke VPC.

    • Jika komunikasi speech-to-spoke diperlukan, Anda dapat menggunakan NVA untuk memfasilitasi komunikasi tersebut.
    • Jika memiliki backend berbeda di VPC yang berbeda, Anda dapat menggunakan Private Service Connect untuk mengekspos backend ini ke VPC Apigee.
    • Jika peering VPC digunakan untuk konektivitas menuju utara dan selatan antara VPC spoke dan VPC hub, Anda perlu mempertimbangkan batasan transitivitas jaringan VPC melalui peering VPC. Untuk mengatasi keterbatasan ini, Anda dapat menggunakan salah satu opsi berikut:
      • Untuk menghubungkan VPC, gunakan NVA.
      • Jika memungkinkan, pertimbangkan model Private Service Connect.
      • Untuk membangun konektivitas antara VPC Apigee dan backend yang berada di project Google Cloud lain di organisasi yang sama tanpa komponen jaringan tambahan, gunakan VPC Bersama.

  • Jika NVA diperlukan untuk pemeriksaan traffic, termasuk traffic dari lingkungan lain, konektivitas hybrid ke lingkungan lokal atau lingkungan cloud lainnya harus dihentikan di VPC transportasi umum.

  • Jika desainnya tidak menyertakan NVA, Anda dapat menghentikan konektivitas hibrid di VPC hub.

  • Jika fungsi load balancing atau kemampuan keamanan tertentu diperlukan, seperti menambahkan perlindungan DDoS atau WAF Google Cloud Armor, Anda dapat memilih untuk men-deploy Load Balancer Aplikasi eksternal di perimeter melalui VPC eksternal sebelum merutekan permintaan klien eksternal ke backend.

Praktik terbaik

  • Jika permintaan klien dari internet perlu diterima secara lokal oleh frontend yang dihosting di lingkungan lokal pribadi atau lingkungan cloud lainnya, pertimbangkan untuk menggunakan Apigee Hybrid sebagai solusi gateway API. Pendekatan ini juga memfasilitasi migrasi solusi yang lancar ke lingkungan yang sepenuhnya dihosting Google Cloud sambil menjaga konsistensi platform API (Apigee).
  • Gunakan Adaptor Apigee untuk Envoy dengan arsitektur deployment Hybrid Apigee dengan Kubernetes jika berlaku untuk persyaratan dan arsitektur Anda.
  • Desain VPC dan project di Google Cloud harus mengikuti hierarki resource dan persyaratan model komunikasi yang aman, seperti yang dijelaskan dalam panduan ini.
  • Penggabungan VPC transit ke dalam desain ini memberikan fleksibilitas untuk menyediakan tindakan keamanan perimeter tambahan dan konektivitas hybrid di luar VPC workload.
  • Gunakan Private Service Connect untuk mengakses Google API dan layanan Google dari lingkungan lokal atau lingkungan cloud lainnya menggunakan alamat IP internal endpoint melalui jaringan konektivitas hybrid. Untuk informasi selengkapnya, lihat Mengakses endpoint dari host lokal.
  • Untuk membantu melindungi layanan Google Cloud di project Anda dan membantu mengurangi risiko pemindahan data yang tidak sah, gunakan Kontrol Layanan VPC untuk menentukan perimeter layanan di tingkat project atau jaringan VPC.
  • Gunakan aturan firewall VPC atau kebijakan firewall untuk mengontrol akses tingkat jaringan ke resource Private Service Connect melalui endpoint Private Service Connect. Misalnya, aturan firewall keluar di VPC aplikasi (konsumen) dapat membatasi akses dari instance VM ke alamat IP atau subnet endpoint Anda. Untuk mengetahui informasi selengkapnya tentang aturan firewall VPC secara umum, lihat Aturan firewall VPC.
  • Saat mendesain solusi yang menyertakan NVA, penting untuk mempertimbangkan ketersediaan tinggi (HA) NVA untuk menghindari titik tunggal kegagalan yang dapat memblokir semua komunikasi. Ikuti panduan desain dan penerapan HA dan redundansi yang disediakan oleh vendor NVA. Untuk mengetahui informasi selengkapnya, tentang mencapai ketersediaan tinggi di antara peralatan virtual, lihat bagian Opsi arsitektur pada Peralatan jaringan terpusat di Google Cloud.
  • Untuk memperkuat keamanan perimeter dan mengamankan gateway API Anda yang di-deploy di lingkungan masing-masing, Anda dapat memilih untuk menerapkan mekanisme load balancing dan firewall aplikasi web di lingkungan komputasi Anda yang lain (hybrid atau cloud lainnya). Terapkan opsi ini di jaringan perimeter yang terhubung langsung ke internet.
  • Jika instance memerlukan akses internet, gunakan Cloud NAT di VPC aplikasi untuk mengizinkan beban kerja mengakses internet. Dengan begitu, Anda dapat menghindari penetapan instance VM dengan alamat IP publik eksternal dalam sistem yang di-deploy di belakang gateway API atau load balancer.

  • Untuk traffic web keluar, gunakan Proxy Web Aman. Proxy ini menawarkan sejumlah manfaat.

  • Tinjau praktik terbaik umum untuk pola jaringan hybrid dan multicloud.

Sebelumnya
Traffic keluar dengan akses terbatas
Berikutnya
Traffic keluar dan masuk dengan akses terbatas