閘道模式

gated 模式是一種架構，可根據不同環境之間的特定公開 API 或端點，以精細的方式公開特定應用程式和服務。本指南將此模式分為三種可能的選項，每個選項都由特定的通訊模式決定：

• 閘道式輸出

• 閘道式輸入

• 閘道式輸出和輸入 (雙向閘道)

如本指南先前所述，這裡所述的網路架構模式可配合不同需求的各種應用程式進行調整。為了滿足不同應用程式的特定需求，主要到達區架構可能會同時納入一種模式或多種模式的組合。所選架構的具體部署方式，取決於各個受控模式的具體通訊需求。

本系列文章將討論各個受控模式及其可能的設計選項。不過，對於採用微服務架構的容器化應用程式，零信任分散式架構是適用於所有控管模式的常見設計選項。這個選項由 Cloud Service Mesh、Apigee 和 Apigee Adapter for Envoy 提供支援，後者是 Kubernetes 叢集中的輕量 Apigee 閘道部署。Apigee Adapter for Envoy 是熱門的開放原始碼邊緣和服務 Proxy，專為雲端優先應用程式而設計。這個架構可控管允許的安全服務對服務通訊，以及服務層級的通訊方向。您可以根據所選模式設計、微調及套用流量通訊政策，並在服務層級套用。

閘控模式可讓您搭配入侵預防服務 (IPS) 導入 Cloud Next Generation Firewall Enterprise，在不修改設計或路由的情況下，執行深層封包檢查來防範威脅。這項檢查作業會根據要存取的特定應用程式、通訊模型和安全性規定而定。如果安全性需求要求採用第 7 層和深層封包檢查，並搭配超越 Cloud Next Generation Firewall 功能的進階防火牆機制，您可以使用在網路虛擬機器 (NVA) 中代管的集中式下一代防火牆 (NGFW)。多家 Google Cloud 安全合作夥伴提供可滿足安全性需求的 NGFW 設備。將 NVA 與這些控管模式整合時，可能需要在網路設計中導入多個安全區，每個安全區都有不同的存取控制層級。