Pola meshed didasarkan pada penetapan arsitektur jaringan hybrid. Arsitektur tersebut mencakup beberapa lingkungan komputasi. Di lingkungan ini, semua sistem dapat berkomunikasi satu sama lain dan tidak terbatas pada yang sesuai dengan persyaratan keamanan aplikasi Anda. Pola jaringan ini terutama berlaku untuk hibrida bertingkat, multi-cloud yang dipartisi, atau bursting terkait arsitektur. Hal ini juga berlaku untuk kelangsungan bisnis desain untuk menyediakan lingkungan pemulihan dari bencana (DR) di Google Cloud. Di semua yang berbeda, Anda harus menghubungkan lingkungan komputasi dengan cara yang menyelaraskan dengan persyaratan komunikasi berikut:
- Beban kerja dapat berkomunikasi satu sama lain di seluruh lingkungan menggunakan alamat IP RFC 1918 pribadi.
- Komunikasi dapat dimulai dari kedua sisi. Detail informasi model komunikasi dapat bervariasi berdasarkan aplikasi dan keamanan persyaratan, seperti model komunikasi yang dibahas dalam desain opsi yang mengikutinya.
- Aturan firewall yang Anda gunakan harus mengizinkan traffic antara alamat IP menangani sumber dan tujuan berdasarkan persyaratan aplikasi, atau aplikasi, yang polanya dirancang. Idealnya, Anda dapat menggunakan pendekatan keamanan berlapis untuk membatasi arus lalu lintas di cara yang mendetail, baik di antara dan di dalam lingkungan komputasi.
Arsitektur
Diagram berikut mengilustrasikan arsitektur referensi tingkat tinggi dari meshed.
- Semua lingkungan harus menggunakan ruang alamat IP RFC 1918 bebas tumpang-tindih.
- Di sisi Google Cloud, Anda dapat men-deploy workload ke dalam satu atau beberapa VPC bersama atau VPC non-bersama. Untuk kemungkinan desain lainnya pilihan pola ini, mengacu pada variasi desain yang mengikutinya. Tujuan struktur VPC yang dipilih harus selaras dengan project dan desain hierarki resource organisasi Anda.
- Jaringan VPC Google Cloud meluas ke komputasi lingkungan fleksibel App Engine. Lingkungan tersebut dapat berada di infrastruktur lokal atau di cloud lain. Gunakan salah satu konektivitas jaringan hybrid dan multicloud serta opsi yang memenuhi kebutuhan bisnis dan aplikasi Anda.
Membatasi komunikasi hanya ke alamat IP sumber yang diizinkan dan tujuan. Gunakan salah satu kemampuan berikut, atau kombinasinya salah satunya:
Network virtual appliance (NVA) dengan firewall generasi berikutnya (NGFW), yang ditempatkan di jalur jaringan.
Firewall Enterprise Cloud Next Generation dengan Intrusion Prevention Service (IPS) untuk mengimplementasikan paket dalam pemeriksaan pencegahan ancaman tanpa mengubah desain jaringan atau {i>routing<i}.
Variasi
Pola arsitektur meshed dapat digabungkan dengan pendekatan lain untuk memenuhi persyaratan desain yang berbeda, sambil tetap mempertimbangkan yang diperlukan untuk pola tersebut. Opsi pola dijelaskan di bagian berikut:
- Satu VPC per lingkungan
- Menggunakan firewall lapisan aplikasi terpusat
- Arsitektur terdistribusi zero-trust Microservice
Satu VPC per lingkungan
Alasan umum untuk mempertimbangkan opsi VPC-per-lingkungan adalah sebagai berikut ini:
- Lingkungan cloud memerlukan pemisahan VPC tingkat jaringan
jaringan dan sumber daya, sesuai dengan kebutuhan
desain hierarki resource.
Jika pemisahan domain administratif diperlukan, pemisahan tersebut juga dapat digabungkan
dengan project terpisah per lingkungan.
- Untuk mengelola sumber daya jaringan secara terpusat dalam suatu jaringan bersama dan menyediakan isolasi jaringan di antara lingkungan yang berbeda, menggunakan VPC bersama untuk setiap lingkungan yang Anda miliki di Google Cloud, seperti pengembangan, pengujian, dan produksi.
- Persyaratan penskalaan yang mungkin perlu melampaui Kuota VPC untuk satu VPC atau project.
Seperti yang diilustrasikan dalam diagram berikut, desain satu VPC-per-lingkungan memungkinkan setiap VPC terintegrasi langsung dengan lingkungan lokal atau menggunakan VPN, atau Cloud Interconnect dengan beberapa Lampiran VLAN.
Pola yang ditampilkan dalam diagram sebelumnya dapat diterapkan pada zona landing topologi jaringan hub-and-spoke. Dalam topologi tersebut, satu (atau beberapa) koneksi hybrid dapat dibagikan dengan semua VPC yang diucapkan. Layanan ini digunakan bersama dengan menggunakan VPC transit untuk menghentikan konektivitas dan VPC lain yang menggunakannya. Anda juga dapat memperluas desain ini dengan menambahkan NVA dengan kemampuan pemeriksaan firewall generasi berikutnya (NGFW) saat transit VPC, seperti yang dijelaskan di bagian berikutnya, "Menggunakan lapisan aplikasi terpusat {i>firewall<i}."
Menggunakan firewall lapisan aplikasi terpusat
Jika persyaratan teknis Anda mewajibkan mempertimbangkan lapisan aplikasi (Lapisan 7) dan inspeksi paket mendalam dengan kemampuan {i>firewall<i} tingkat lanjut yang kemampuan Cloud Next Generation Firewall, Anda dapat menggunakan atau NVA. Namun, NVA tersebut harus memenuhi kebutuhan keamanan organisasi Anda. Kepada menerapkan mekanisme ini, Anda dapat memperluas topologi untuk meneruskan lalu lintas lintas lingkungan melalui {i>firewall<i} NVA terpusat, seperti ditunjukkan dalam diagram berikut.
Anda dapat menerapkan pola dalam diagram berikut pada desain zona pendaratan dengan menggunakan topologi hub-and-spoke dengan peralatan terpusat:
Seperti ditunjukkan dalam diagram sebelumnya, NVA berfungsi sebagai lapisan keamanan perimeter dan berfungsi sebagai dasar untuk mengaktifkan pemeriksaan traffic inline. Anda juga memberlakukan kebijakan kontrol akses yang ketat. Untuk memeriksa arah timur-barat dan arus lalu lintas utara-selatan, desain NVA terpusat mungkin mencakup beberapa segmen dengan tingkat kontrol akses keamanan yang berbeda.
Arsitektur terdistribusi zero-trust Microservice
Saat aplikasi dalam container digunakan, microservice zero-trust arsitektur terdistribusi yang dibahas dalam pola dicerminkan juga berlaku untuk pola arsitektur ini.
Perbedaan utama antara pola ini dan pola yang dicerminkan adalah bahwa model komunikasi antara workload di Google Cloud dan lingkungan lainnya dapat dimulai dari di kedua sisi. Lalu lintas harus dikontrol dan terperinci, berdasarkan persyaratan aplikasi dan persyaratan keamanan menggunakan Mesh Layanan.
Praktik terbaik pola mesh
- Sebelum Anda melakukan hal lain, putuskan desain hierarki resource, dan desain yang diperlukan untuk mendukung semua project dan VPC. Melakukan hal itu dapat membantu Anda memilih arsitektur jaringan optimal yang selaras dengan struktur project Google Cloud Anda.
- Gunakan arsitektur terdistribusi zero-trust saat menggunakan Kubernetes di dalam lingkungan komputasi pribadi Anda dan Google Cloud.
- Ketika Anda menggunakan NVA terpusat dalam desain Anda, Anda harus menentukan segmen dengan tingkat kontrol akses keamanan dan traffic yang berbeda kebijakan pemeriksaan. Dasarkan kontrol dan kebijakan ini pada keamanan persyaratan aplikasi Anda.
- Saat merancang solusi yang menyertakan NVA, penting untuk mempertimbangkan ketersediaan tinggi (HA) dari NVA untuk menghindari titik tunggal kegagalan yang dapat memblokir semua komunikasi. Ikuti desain HA dan redundansi serta panduan penerapan yang disediakan oleh Vendor keamanan Google Cloud yang memasok NVA.
- Untuk memberikan peningkatan privasi, integritas data, dan model komunikasi, mengekspos aplikasi melalui API menggunakan gateway API, suka Apigee dan Apigee Hybrid dengan mTLS {i>end-to-end<i}. Anda juga dapat menggunakan VPC dengan Apigee bersama dengan cara yang sama organisasi resource Anda
- Jika desain solusi Anda memerlukan eksposur aplikasi berbasis web ke internet publik, pertimbangkan desain rekomendasi yang dibahas di Jaringan untuk pengiriman aplikasi yang terhubung ke internet.
- Untuk membantu melindungi layanan Google Cloud di project Anda, dan untuk membantu mengurangi risiko pemindahan data yang tidak sah, menggunakan Kontrol Layanan VPC untuk menentukan perimeter layanan di level project atau jaringan VPC. Anda juga menikmati memperluas perimeter layanan untuk lingkungan hybrid melalui VPN atau Cloud Interconnect resmi. Untuk mengetahui informasi selengkapnya tentang manfaat perimeter layanan, lihat Ringkasan Kontrol Layanan VPC.
- Ulas praktik terbaik umum untuk pola jaringan hybrid dan multicloud.
Jika Anda ingin menerapkan isolasi yang lebih ketat dan akses yang lebih terperinci antara aplikasi Anda yang dihosting di Google Cloud, dan di penyedia lingkungan, pertimbangkan untuk menggunakan salah satu pola dibatasi yang dibahas dalam dokumen lain dalam seri ini.