Pola dibatasi didasarkan pada arsitektur yang mengekspos aplikasi dan layanan tertentu secara terperinci, berdasarkan API atau endpoint tertentu yang diekspos di antara lingkungan yang berbeda. Panduan ini mengategorikan pola ini ke dalam tiga kemungkinan opsi, masing-masing ditentukan oleh model komunikasi tertentu:
- Traffic keluar dengan gerbang
Traffic keluar dan masuk dengan gerbang (dengan gerbang dua arah di kedua arah)
Seperti yang disebutkan sebelumnya dalam panduan ini, pola arsitektur jaringan yang dijelaskan di sini dapat disesuaikan dengan berbagai aplikasi dengan persyaratan yang beragam. Untuk memenuhi kebutuhan khusus berbagai aplikasi, arsitektur zona landing utama Anda mungkin menggabungkan satu pola atau kombinasi pola secara bersamaan. Deployment spesifik dari arsitektur yang dipilih ditentukan oleh persyaratan komunikasi spesifik untuk setiap pola dengan akses terbatas.
Seri ini membahas setiap pola dengan akses terbatas dan kemungkinan opsi desainnya. Namun, salah satu opsi desain umum yang berlaku untuk semua pola dengan akses terbatas adalah Arsitektur Terdistribusi Zero-Trust untuk aplikasi dalam container dengan arsitektur microservice. Opsi ini didukung oleh Cloud Service Mesh, Apigee, dan Apigee Adapter for Envoy, sebuah deployment gateway Apigee yang ringan dalam cluster Kubernetes. Adaptor Apigee untuk Envoy adalah proxy layanan dan edge open source yang populer yang dirancang untuk aplikasi cloud-first. Kontrol arsitektur ini memungkinkan komunikasi antarlayanan yang aman dan arah komunikasi pada tingkat layanan. Kebijakan komunikasi traffic dapat dirancang, disesuaikan, dan diterapkan di tingkat layanan berdasarkan pola yang dipilih.
Pola dengan batasan memungkinkan penerapan Cloud Next Generation Firewall Enterprise dengan intrusion prevention service (IPS) untuk melakukan pemeriksaan paket mendalam guna mencegah ancaman tanpa modifikasi desain atau pemilihan rute. Pemeriksaan tersebut bergantung pada aplikasi tertentu yang diakses, model komunikasi, dan persyaratan keamanan. Jika persyaratan keamanan menuntut Lapisan 7 dan pemeriksaan paket mendalam dengan mekanisme firewall lanjutan yang melebihi kemampuan Firewall Cloud Next Generation, Anda dapat menggunakan firewall generasi berikutnya (NGFW) terpusat yang dihosting di peralatan virtual jaringan (NVA). Beberapa partner keamanan Google Cloud menawarkan peralatan NGFW yang dapat memenuhi persyaratan keamanan Anda. Integrasi NVA dengan pola terbatas ini dapat memerlukan pengenalan beberapa zona keamanan dalam desain jaringan, masing-masing dengan tingkat kontrol akses yang berbeda. Untuk mengetahui informasi selengkapnya, lihat Peralatan jaringan terpusat di Google Cloud.