Pola meshed didasarkan pada penetapan arsitektur jaringan hybrid. Arsitektur tersebut mencakup beberapa lingkungan komputasi. Dalam lingkungan ini, semua sistem dapat berkomunikasi satu sama lain dan tidak terbatas pada komunikasi satu arah berdasarkan persyaratan keamanan aplikasi Anda. Pola jaringan ini berlaku terutama pada arsitektur hibrida bertingkat, cloud berpartisi, atau bursting. Hal ini juga berlaku untuk desain kelangsungan bisnis guna menyediakan lingkungan pemulihan dari bencana (DR) di Google Cloud. Dalam semua kasus, Anda harus menghubungkan lingkungan komputasi dengan cara yang selaras dengan persyaratan komunikasi berikut:
- Workload dapat berkomunikasi satu sama lain di seluruh batas lingkungan menggunakan alamat IP RFC 1918 pribadi.
- Komunikasi dapat dimulai dari kedua sisi. Detail model komunikasi dapat bervariasi berdasarkan persyaratan aplikasi dan keamanan, seperti model komunikasi yang dibahas dalam opsi desain yang mengikutinya.
- Aturan firewall yang Anda gunakan harus mengizinkan traffic antara sumber alamat IP dan tujuan tertentu berdasarkan persyaratan aplikasi, atau aplikasi, yang polanya dirancang. Idealnya, Anda dapat menggunakan pendekatan keamanan berlapis untuk membatasi aliran traffic secara mendetail, baik di antara maupun di dalam lingkungan komputasi.
Arsitektur
Diagram berikut mengilustrasikan arsitektur referensi tingkat tinggi dari pola meshed.
- Semua lingkungan harus menggunakan ruang alamat IP RFC 1918 bebas tumpang-tindih.
- Di sisi Google Cloud, Anda dapat men-deploy workload ke dalam satu atau beberapa VPC bersama atau VPC non-bersama. Untuk opsi desain lain yang mungkin dari pola ini, lihat variasi desain yang mengikutinya. Struktur VPC yang dipilih harus selaras dengan project dan desain hierarki resource organisasi Anda.
- Jaringan VPC Google Cloud terperluas ke lingkungan komputasi lainnya. Lingkungan tersebut dapat berada di infrastruktur lokal atau di cloud lain. Gunakan salah satu opsi konektivitas jaringan hybrid dan multicloud yang memenuhi kebutuhan bisnis dan aplikasi Anda.
Batasi komunikasi hanya ke alamat IP yang diizinkan dari sumber dan tujuan Anda. Gunakan salah satu kemampuan berikut, atau kombinasinya:
Alat virtual jaringan (NVA) dengan kemampuan pemeriksaan firewall (NGFW) generasi berikutnya, yang ditempatkan di jalur jaringan.
Cloud Next Generation Firewall Enterprise dengan Intrusion Prevention Service (IPS) guna mengimplementasikan pemeriksaan paket mendalam untuk pencegahan ancaman tanpa mengubah desain atau perutean jaringan.
Variasi
Pola arsitektur meshed dapat digabungkan dengan pendekatan lain untuk memenuhi berbagai persyaratan desain, sambil tetap mempertimbangkan persyaratan komunikasi pola tersebut. Opsi pola dijelaskan di bagian berikut:
- Satu VPC per lingkungan
- Menggunakan firewall lapisan aplikasi terpusat
- Arsitektur terdistribusi zero-trust Microservice
Satu VPC per lingkungan
Alasan umum untuk mempertimbangkan opsi satu VPC per lingkungan adalah sebagai berikut:
- Lingkungan cloud memerlukan pemisahan tingkat jaringan untuk jaringan dan resource VPC, sesuai dengan desain hierarki resource organisasi Anda.
Jika pemisahan domain administratif diperlukan, pemisahan tersebut juga dapat digabungkan dengan project terpisah per lingkungan.
- Untuk mengelola resource jaringan secara terpusat dalam sebuah jaringan bersama dan menyediakan isolasi jaringan di antara berbagai lingkungan, gunakan VPC bersama untuk setiap lingkungan yang Anda miliki di Google Cloud, seperti pengembangan, pengujian, dan produksi.
- Persyaratan penskalaan yang mungkin perlu melebihi kuota VPC untuk satu VPC atau project.
Seperti dalam diagram berikut, desain satu VPC per lingkungan memungkinkan setiap VPC terintegrasi langsung dengan lingkungan lokal atau lingkungan cloud lainnya menggunakan VPN, atau Cloud Interconnect dengan beberapa lampiran VLAN.
Pola yang ditampilkan dalam diagram sebelumnya dapat diterapkan pada topologi jaringan hub-dan-spoke zona landing. Dalam topologi tersebut, satu (atau beberapa) koneksi hybrid dapat dibagikan dengan semua VPC yang diucapkan. Jaringan ini digunakan bersama dengan menggunakan VPC transit untuk menghentikan konektivitas hybrid dan VPC yang lain. Anda juga dapat memperluas desain ini dengan menambahkan NVA dengan kemampuan pemeriksaan firewall generasi berikutnya (NGFW) di VPC transit, seperti yang dijelaskan di bagian berikutnya, "Menggunakan firewall lapisan aplikasi terpusat".
Menggunakan firewall lapisan aplikasi terpusat
Jika persyaratan teknis Anda mewajibkan mempertimbangkan lapisan aplikasi (Lapisan 7) dan pemeriksaan paket mendalam dengan kemampuan firewall tingkat lanjut yang melebihi kemampuan Cloud Next Generation Firewall, Anda dapat menggunakan perangkat NGFW yang dihosting di NVA. Namun, NVA tersebut harus memenuhi kebutuhan keamanan organisasi Anda. Untuk menerapkan mekanisme ini, Anda dapat memperluas topologi untuk meneruskan semua traffic lintas lingkungan melalui firewall NVA terpusat, seperti yang ditunjukkan pada diagram berikut.
Anda dapat menerapkan pola dalam diagram berikut di desain zona landing menggunakan topologi hub-dan-spoke dengan peralatan terpusat:
Seperti ditunjukkan dalam diagram sebelumnya, NVA berfungsi sebagai lapisan keamanan perimeter dan berfungsi sebagai dasar untuk mengaktifkan pemeriksaan traffic inline. Alat ini juga menerapkan kebijakan kontrol akses yang ketat. Untuk memeriksa arus traffic timur-barat dan utara-selatan, desain NVA terpusat dapat mencakup beberapa segmen dengan tingkat kontrol akses keamanan yang berbeda.
Arsitektur terdistribusi zero-trust Microservice
Saat aplikasi dalam container digunakan, arsitektur terdistribusi zero-trust microservice yang dibahas di bagian pola diduplikasi juga berlaku untuk pola arsitektur ini.
Perbedaan utama antara pola ini dan pola yang dicerminkan adalah model komunikasi antara beban kerja di Google Cloud dan lingkungan lainnya dapat dimulai dari kedua sisi. Traffic harus dikontrol dan terperinci, berdasarkan persyaratan aplikasi dan persyaratan keamanan menggunakan Mesh Layanan.
Praktik terbaik pola mesh
- Sebelum melakukan hal lainnya, tentukan desain hierarki resource, dan desain yang diperlukan untuk mendukung project dan VPC apa pun. Dengan begitu, Anda dapat memilih arsitektur jaringan optimal yang selaras dengan struktur project Google Cloud Anda.
- Gunakan arsitektur terdistribusi zero-trust saat menggunakan Kubernetes dalam lingkungan komputasi pribadi Anda dan Google Cloud.
Saat menggunakan NVA terpusat dalam desain, Anda harus menentukan beberapa segmen dengan berbagai tingkat kontrol akses keamanan dan kebijakan pemeriksaan traffic. Dasarkan kontrol dan kebijakan ini berdasarkan persyaratan keamanan aplikasi Anda. Untuk mengetahui informasi selengkapnya, lihat Peralatan jaringan terpusat di Google Cloud.
Saat mendesain solusi yang menyertakan NVA, penting untuk mempertimbangkan ketersediaan tinggi (HA) NVA untuk menghindari titik tunggal kegagalan yang dapat memblokir semua komunikasi. Ikuti panduan desain dan penerapan HA dan redundansi yang disediakan oleh vendor keamanan Google Cloud yang menyediakan NVA Anda.
Untuk memberikan privasi yang lebih baik, integritas data, dan model komunikasi terkendali, ekspos aplikasi melalui API menggunakan gateway API, seperti Apigee dan Apigee hybrid dengan mTLS end-to-end. Anda juga dapat menggunakan VPC bersama dengan Apigee di resource organisasi yang sama.
Jika desain solusi Anda mengharuskan eksposur aplikasi berbasis Google Cloud ke internet publik, pertimbangkan rekomendasi desain yang dibahas dalam bagian Networking untuk pengiriman aplikasi yang terhubung ke internet.
Untuk membantu melindungi layanan Google Cloud di project Anda, dan membantu mengurangi risiko pemindahan data yang tidak sah, gunakan Kontrol Layanan VPC untuk menentukan perimeter layanan di tingkat project atau jaringan VPC. Selain itu, Anda juga dapat memperluas perimeter layanan ke lingkungan hybrid melalui VPN atau Cloud Interconnect resmi. Untuk mengetahui informasi selengkapnya tentang manfaat perimeter layanan, lihat Ringkasan Kontrol Layanan VPC.
Tinjau praktik terbaik umum untuk pola jaringan hybrid dan multicloud.
Jika Anda ingin menerapkan isolasi yang lebih ketat dan akses yang lebih terperinci antara aplikasi Anda yang dihosting di Google Cloud, dan di lingkungan lain, pertimbangkan untuk menggunakan salah satu pola yang dibatasi yang dibahas dalam dokumen lain dalam seri ini.