Gateway-Muster

Das Gateway-Muster basiert auf einer Architektur, die ausgewählte Anwendungen und Dienste basierend auf bestimmten freigegebenen APIs oder Endpunkten zwischen den verschiedenen Umgebungen detailliert freigibt. In diesem Leitfaden wird dieses Muster in drei mögliche Optionen unterteilt, die jeweils vom jeweiligen Kommunikationsmodell abhängen:

• Gatewaygesteuerter ausgehender Traffic

• Gatewaygesteuerter eingehender Traffic

• Gatewaygesteuerter ausgehender und eingehender Traffic (bidirektional in beide Richtungen)

Wie bereits in diesem Leitfaden erwähnt, können die hier beschriebenen Netzwerkarchitekturmuster an verschiedene Anwendungen mit unterschiedlichen Anforderungen angepasst werden. Um den spezifischen Anforderungen verschiedener Anwendungen gerecht zu werden, kann Ihre Haupt-Landingzone-Architektur ein Muster oder eine Kombination von Mustern gleichzeitig enthalten. Die spezifische Bereitstellung der ausgewählten Architektur wird durch die spezifischen Kommunikationsanforderungen des einzelnen Gateway-Musters bestimmt.

In dieser Reihe werden die einzelnen Gateway-Muster und ihre möglichen Designoptionen erläutert. Eine gängige Designoption, die für alle Gateway-Muster gilt, ist jedoch die verteilte Zero-Trust-Architektur für containerisierte Anwendungen mit Mikrodienstarchitektur. Diese Option basiert auf Cloud Service Mesh, Apigee und Apigee Adapter for Envoy, einer schlanken Apigee-Gateway-Bereitstellung in einem Kubernetes-Cluster. Apigee Adapter for Envoy ist ein beliebter Open-Source-Edge- und ‑Dienstproxy, der für Cloud-First-Anwendungen entwickelt wurde. Diese Architektur steuert die zulässige sichere Kommunikation zwischen Diensten und die Kommunikationsrichtung auf Dienstebene. Richtlinien für die Traffic-Kommunikation können basierend auf dem ausgewählten Muster entworfen, optimiert und auf Dienstebene angewendet werden.

Mit Gateway-Mustern können Sie Cloud Next Generation Firewall Enterprise mit Intrusion Prevention Service (IPS) implementieren, um eine Deep Packet Inspection zur Bedrohungsprävention ohne Design- oder Routingänderungen durchzuführen. Diese Prüfung hängt von den jeweiligen Anwendungen ab, auf die zugegriffen wird, vom Kommunikationsmodell und von den Sicherheitsanforderungen. Wenn die Sicherheitsanforderungen eine Layer-7-Prüfung und Deep Packet Inspection mit erweiterten Firewallmechanismen erfordern, die über die Möglichkeiten der Cloud Next Generation Firewall hinausgehen, können Sie eine zentrale Next Generation Firewall (NGFW) verwenden, die in einer virtuellen Netzwerk-Appliance (NVA) gehostet wird. Mehrere Google Cloud Sicherheitspartner bieten NGFW-Appliances an, die Ihre Sicherheitsanforderungen erfüllen können. Die Integration von NVAs in diese Gateway-Muster kann die Einführung mehrerer Sicherheitszonen im Netzwerkdesign erfordern, die jeweils unterschiedliche Zugriffssteuerungsebenen haben.