網狀模式

網狀模式建立在混合式網路架構上。這個架構跨越多個運算環境。在這些環境中，所有系統都能彼此通訊，且不限於根據應用程式安全性需求進行單向通訊。這個網路模式主要適用於分層混合式、分區式多雲端或爆發式架構。業務持續性設計也適用於在 Google Cloud中佈建災難復原 (DR) 環境。無論如何，您都必須以符合下列通訊需求的方式連結運算環境：

• 工作負載可以使用私人 RFC 1918 IP 位址，跨越環境界限互相通訊。
• 雙方皆可發起通訊。通訊模型的具體內容可能因應用程式和安全性需求而異，例如後續設計選項中討論的通訊模型。
• 您使用的防火牆規則必須根據所設計應用程式的要求，允許特定 IP 位址來源和目的地之間的流量。理想情況下，您可以使用多層安全性方法，以精細的方式限制運算環境之間和運算環境內的流量。

架構

下圖說明網狀模式的高階參考架構。

• 所有環境都應使用不重疊的 RFC 1918 IP 位址空間。
• 在 Google Cloud 端，您可以將工作負載部署至單一或多個共用或非共用虛擬私人雲端。如需此模式的其他可能設計選項，請參閱後續的設計變化。所選的 VPC 結構應與貴機構的專案和資源階層設計保持一致。
• Google Cloud 的 VPC 網路會延伸至其他運算環境。這些環境可以是內部部署環境或其他雲端。使用符合業務和應用程式需求的混合式和多雲端網路連線選項。

• 限制通訊，只允許來源和目的地的 IP 位址。使用下列任一功能，或多項功能的組合：

  • 防火牆規則或防火牆政策。

  • 具備新一代防火牆 (NGFW) 檢查功能的網路虛擬設備 (NVA)，位於網路路徑中。

  • Cloud Next Generation Firewall Enterprise 搭配入侵預防服務 (IPS)，可實施深入封包檢查來防範威脅，無須變更網路設計或路由。

變化版本

網狀架構模式可與其他方法結合，以滿足不同的設計需求，同時考量模式的通訊需求。模式選項說明請見以下各節：

• 每個環境一個虛擬私有雲
• 使用集中式應用程式層防火牆
• 微服務零信任分散式架構

每個環境一個 VPC

考慮採用每個環境一個虛擬私人雲端的常見原因如下：

• 雲端環境需要在網路層級上區隔虛擬私人雲端網路和資源，以符合貴機構的資源階層設計。如果需要管理網域分割，也可以搭配每個環境的專案。
  • 如要集中管理共用網路中的網路資源，並在不同環境之間提供網路隔離功能，請使用 Google Cloud中每個環境的共用虛擬私有雲端網路，例如開發、測試和實際工作環境。
• 單一 VPC 或專案的規模需求可能會超出虛擬私有雲端配額。

如下圖所示，每個環境各有一個虛擬私有雲的設計可讓每個虛擬私有雲直接與使用 VPN 的內部部署環境或其他雲端環境整合，或是與具有多個VLAN 連結的 Cloud Interconnect 整合。

上圖所示的模式可套用至到達區的軸輻式網路拓撲。在該拓撲中，單一 (或多個) 混合式連線可與所有輪輻虛擬私有雲共用。使用傳輸虛擬私有雲端終止混合式連線和其他輻射狀虛擬私有雲端，即可共用這項資源。您也可以在轉接 VPC 中新增具備新一代防火牆 (NGFW) 檢查功能的 NVA，藉此擴充這項設計，詳情請參閱下一節「使用集中式應用程式層防火牆」。

使用集中式應用程式層防火牆

如果您的技術需求要求考量應用程式層 (第 7 層) 和深層封包檢查，且需要進階防火牆功能，而這些功能超出 Cloud Next Generation Firewall 的功能，您可以使用在 NVA 中代管的 NGFW 裝置。不過，該 NVA 必須符合貴機構的安全性需求。如要實作這些機制，您可以擴充拓撲以透過集中式 NVA 防火牆傳送所有跨環境流量，如下圖所示。

您可以使用含有集中式設備的軸輻式拓撲，在著陸區設計中套用下圖的模式：

如上圖所示，NVA 可做為外圍安全層，並可用於啟用內嵌流量檢查。並強制執行嚴格的存取權控管政策。為了檢查東西向和南北向的流量，集中式 NVA 的設計可能會包含多個區段，且各區段的安全存取控管層級不同。

微服務零信任分散式架構

使用容器化應用程式時，鏡像模式一節中討論的微服務零信任分散式架構也適用於這個架構模式。

這個模式與鏡像模式的主要差異在於， Google Cloud 和其他環境中工作負載之間的通訊模式可從任一端啟動。您必須根據應用程式需求和安全性需求，使用Service Mesh 控制並精細設定流量。

網格圖案最佳做法

• 請先決定資源階層設計，以及支援任何專案和虛擬私有雲端所需的設計，再進行其他作業。這麼做有助於您選擇符合 Google Cloud 專案結構的最佳網路架構。
• 在私人運算環境和Google Cloud中使用 Kubernetes 時，請採用零信任分散式架構。
• 在設計中使用集中式 NVA 時，請定義多個區隔，並為每個區隔設定不同層級的安全存取控制和流量檢查政策。請根據應用程式的安全性需求，設定這些控制項和政策。
• 設計包含 NVA 的解決方案時，請務必考量 NVA 的高可用性 (HA)，以免發生單一故障點而導致所有通訊都遭到封鎖。請按照 Google Cloud 安全性供應商提供的 HA 和備援設計及實作指南，設定 NVA。
• 如要提供更高的隱私權、資料完整性和受控的通訊模式，請使用 API 網關 (例如 Apigee 和 Apigee hybrid) 透過 API 公開應用程式，並採用端對端 mTLS。您也可以在同一個機構資源中，使用共用虛擬私人雲端與 Apigee。
• 如果解決方案的設計需要將 Google Cloud型應用程式公開至網際網路，請參考「網路功能，可將應用程式發布至網際網路」一文中討論的設計建議。
• 為保護專案中的 Google Cloud 服務，並降低資料外洩風險，請使用 VPC Service Controls 在專案或 VPC 網路層級指定服務範圍。此外，您也可以透過已授權的 VPN 或 Cloud Interconnect，將服務範圍延伸至混合式環境。如要進一步瞭解服務範圍的好處，請參閱 VPC Service Controls 總覽。
• 請參閱混合式雲端和多雲端網路模式的一般最佳做法。

如果您打算在 Google Cloud和其他環境中，為託管的應用程式實施更嚴格的隔離措施，並提供更精細的存取權限，請考慮使用本系列其他文件中討論的其中一種閘道式模式。