Jaringan untuk pengiriman aplikasi yang terhubung ke internet: Arsitektur referensi

Dokumen ini adalah bagian dari rangkaian yang menjelaskan arsitektur keamanan dan jaringan untuk perusahaan yang memigrasikan workload pusat data ke Google Cloud.

Seri ini terdiri dari dokumen berikut:

• Merancang jaringan untuk memigrasikan beban kerja perusahaan: Pendekatan arsitektur
• Jaringan untuk akses intra-cloud yang aman: Arsitektur referensi
• Jaringan untuk pengiriman aplikasi yang terhubung ke internet: Arsitektur referensi (dokumen ini)
• Jaringan untuk workload hybrid dan multi-cloud: Arsitektur referensi

Google menawarkan serangkaian produk dan kemampuan yang membantu mengamankan dan menskalakan aplikasi yang paling penting untuk internet. Gambar 1 menunjukkan arsitektur yang menggunakan layanan Google Cloud untuk men-deploy aplikasi web dengan beberapa tingkat.

Gambar 1. Aplikasi web multi-tingkat pada umumnya di-deploy di Google Cloud.

Arsitektur lift-and-shift

Saat aplikasi yang terhubung ke internet berpindah ke cloud, aplikasi tersebut harus dapat ditingkatkan skalanya, dan mereka harus memiliki kendali keamanan dan visibilitas yang setara dengan kontrol di lingkungan lokal. Anda dapat menetapkan kontrol ini dengan menggunakan peralatan virtual jaringan yang tersedia di marketplace.

Gambar 2. Aplikasi dipaparkan dengan load balancing eksternal berbasis alat.

Peralatan virtual ini memberikan fungsionalitas dan visibilitas yang konsisten dengan lingkungan lokal Anda. Saat menggunakan alat virtual jaringan, Anda memaparkan gambar alat perangkat lunak menggunakan pengelolaan skala otomatis kelompok Anda bebas memantau dan mengelola kondisi instance VM yang menjalankan peralatan, dan mengelola update software untuk alat tersebut.

Setelah melakukan peralihan awal, sebaiknya Anda beralih dari peralatan virtual jaringan yang dikelola sendiri ke layanan terkelola. Google Cloud menawarkan sejumlah layanan terkelola untuk menayangkan aplikasi dalam skala besar.

Gambar 2 menunjukkan alat virtual jaringan yang dikonfigurasi sebagai frontend aplikasi tingkat web. Untuk mengetahui daftar solusi ekosistem partner, lihat halaman Google Cloud Marketplace di konsol Google Cloud .

Arsitektur layanan hybrid

Google Cloud menawarkan pendekatan berikut untuk mengelola aplikasi yang terhubung ke internet dalam skala besar:

• Menggunakan jaringan global dari server nama DNS anycast yang menyediakan ketersediaan tinggi dan latensi rendah untuk menerjemahkan permintaan nama domain menjadi alamat IP.
• Gunakan fleet Load Balancer Aplikasi eksternal global Google untuk merutekan traffic ke aplikasi yang dihosting di dalam Google Cloud, dihosting di infrastruktur lokal, atau dihosting di cloud publik lainnya. Load balancer ini menskalakan secara otomatis dengan traffic Anda dan memastikan bahwa setiap permintaan diarahkan ke backend yang responsif. Dengan menyiapkan grup endpoint jaringan konektivitas hybrid, Anda dapat memperoleh manfaat dari kemampuan jaringan Load Balancer Aplikasi eksternal untuk layanan yang berjalan di infrastruktur Anda yang ada di luar Google Cloud. Jaringan lokal atau jaringan cloud publik lainnya terhubung secara pribadi ke Google Cloud jaringan Anda melalui tunnel VPN atau melalui Cloud Interconnect.

• Menggunakan layanan edge jaringan lainnya, seperti Cloud CDN untuk mendistribusikan konten, Google Cloud Armor untuk melindungi konten, dan Identity-Aware Proxy (IAP) untuk mengontrol akses ke layanan Anda.

  Gambar 3 menunjukkan konektivitas hybrid yang menggunakan Load Balancer Aplikasi eksternal.

  

  Gambar 3. Konfigurasi konektivitas hybrid menggunakan Load Balancer Aplikasi eksternal dan layanan edge jaringan.

  Gambar 4 menunjukkan opsi konektivitas yang berbeda, yaitu menggunakan grup endpoint jaringan konektivitas hybrid.

  

  Gambar 4. Konfigurasi Load Balancer Aplikasi Eksternal menggunakan grup endpoint jaringan konektivitas hybrid.

• Gunakan Load Balancer Aplikasi (HTTP/HTTPS) untuk merutekan permintaan berdasarkan atributnya, seperti HTTP Uniform Resource Identifiers (URI). Gunakan Load Balancer Jaringan proxy untuk menerapkan offload TLS, proxy TCP, atau dukungan untuk load balancing eksternal ke backend di beberapa region. Gunakan Load Balancer Jaringan passthrough untuk mempertahankan alamat IP sumber klien, menghindari beban proxy, dan mendukung protokol tambahan seperti UDP, ESP, dan ICMP.

• Lindungi layanan Anda dengan Cloud Armor. Produk ini merupakan produk pertahanan DDoS dan keamanan WAF yang canggih tersedia untuk semua layanan yang diakses melalui load balancer.

• Menggunakan sertifikat SSL yang dikelola Google. Anda dapat menggunakan kembali sertifikat dan kunci pribadi yang sudah Anda gunakan untuk produkGoogle Cloud lainnya. Dengan demikian, Anda tidak perlu mengelola sertifikat secara terpisah.

• Mengaktifkan caching pada aplikasi Anda untuk memanfaatkan jejak penayangan aplikasi yang terdistribusi dari Cloud CDN.

• Gunakan Cloud Next Generation Firewall untuk memeriksa dan memfilter traffic di jaringan VPC Anda.

• Menggunakan Cloud IDS untuk mendeteksi ancaman di traffic utara-selatan, seperti pada gambar 6.

  

  Gambar 6. Konfigurasi Cloud IDS untuk mencerminkan dan memeriksa semua traffic internet dan internal.

Arsitektur Terdistribusi Zero-Trust

Anda dapat memperluas Zero-Trust Distributed Architecture untuk menyertakan pengiriman aplikasi dari internet. Dalam model ini, Load Balancer Aplikasi eksternal Google menyediakan load balancing global di seluruh cluster GKE yang memiliki mesh Cloud Service Mesh di cluster yang berbeda. Untuk skenario ini, Anda memakai model ingress komposit. Load balancer tingkat pertama menyediakan pemilihan cluster, lalu gateway ingress yang dikelola Cloud Service Mesh akan menyediakan load balancing dan keamanan ingress khusus cluster. Contoh multi-cluster ingress ini adalah arsitektur referensi Cymbal Bank seperti yang dijelaskan dalam cetak biru aplikasi perusahaan. Untuk mengetahui informasi selengkapnya tentang ingress edge Cloud Service Mesh, lihat Dari edge ke mesh: Mengekspos aplikasi mesh layanan melalui GKE Ingress.

Gambar 7 menunjukkan konfigurasi saat Load Balancer Aplikasi eksternal mengarahkan traffic dari internet ke mesh layanan melalui gateway traffic masuk. Gateway adalah proxy khusus dalam mesh layanan.

Gambar 7. Pengiriman aplikasi di lingkungan microservice zero-trust.

Langkah berikutnya

• Jaringan untuk akses intra-cloud yang aman: Arsitektur referensi.
• Jaringan untuk workload hybrid dan multi-cloud: Arsitektur referensi.
• Menggunakan Cloud Armor, load balancing, dan Cloud CDN untuk men-deploy front end global yang dapat diprogram
• Migrasi ke Google Cloud dapat membantu Anda merencanakan, mendesain, dan menerapkan proses migrasi workload ke Google Cloud.
• Desain zona landing di Google Cloud memiliki panduan untuk membuat jaringan zona landing.
• Untuk mengetahui lebih banyak tentang arsitektur referensi, diagram, dan praktik terbaik lainnya, jelajahi Pusat Arsitektur Cloud.