封闭模式基于一种架构,该架构会根据不同环境之间公开的特定 API 或端点,以精细的方式公开选定应用和服务。本指南将此模式分为三种可能的选项,每种选项由具体的通信模型决定:
- 封闭出站流量
封闭出站流量和封闭入站流量(双向封闭)
如本指南中之前所述,此处介绍的网络架构模式可适用于具有各种不同要求的各种应用。为了满足不同应用的具体需求,您的主着陆区架构可能同时采用一种模式或多种模式的组合。所选架构的具体部署取决于每个门控模式的具体通信要求。
本系列文章将介绍每种限流模式及其可能的设计选项。不过,适用于所有门控模式的一个常见设计选项是适用于采用微服务架构的容器化应用的零信任分布式架构。此选项由 Cloud Service Mesh、Apigee 和 Apigee Adapter for Envoy(Kubernetes 集群内的轻量级 Apigee 网关部署)提供支持。 Apigee Adapter for Envoy 是一种广受欢迎的开源边缘和服务代理,专用于云优先型应用。此架构可在服务级别控制允许的安全服务间通信以及通信方向。您可以根据所选模式在服务级别设计、微调和应用流量通信政策。
通过门控模式,您可以实现具有入侵防御服务 (IPS) 的 Cloud Next Generation Firewall Enterprise,以便在不进行任何设计或路由修改的情况下执行深度数据包检测,从而防范威胁。该检查取决于要访问的具体应用、通信模型和安全要求。如果安全要求需要使用超出 Cloud Next Generation Firewall 功能的高级防火墙机制实现第 7 层和深度数据包检测,您可以使用托管在网络虚拟设备 (NVA) 中的集中式下一代防火墙 (NGFW)。多家 Google Cloud 安全合作伙伴提供可满足您的安全要求的 NGFW 设备。将 NVA 与这些门控模式集成可能需要在网络设计中引入多个安全区域,每个区域都有不同的访问权限控制级别。