面向網際網路的應用程式提交作業網路：參考架構

本文是一系列文章之一，說明將資料中心工作負載遷移至Google Cloud的企業網路和安全性架構。

本系列包含以下文件：

• 設計遷移企業工作負載的網路：架構方法
• 網路：確保雲端內部存取安全性：參考架構
• 面向網際網路的應用程式提交作業網路：參考架構 (本文件)
• 混合式雲端和多雲端工作負載的網路：參考架構

Google 提供一系列產品和功能，可協助您保護及擴充最關鍵的對外應用程式。圖 1 顯示使用 Google Cloud 服務部署多層式網頁應用程式的架構。

圖 1. 部署在 Google Cloud上的典型多層級網頁應用程式。

隨即轉移架構

面向網際網路的應用程式遷移至雲端後，必須能夠擴充，且必須具備與內部部署環境相同的安全控管和可視性。您可以使用市集提供的網路虛擬設備提供這些控制項。

圖 2. 使用以裝置為基礎的外部負載平衡器部署的應用程式。

這些虛擬裝置可提供與內部部署環境一致的功能和可視性。使用網路虛擬機時，您可以使用自動調度資源的代管執行個體群組部署軟體機架映像檔。您必須監控及管理執行機器人套件的 VM 執行個體健康狀態，並維護機器人套件的軟體更新。

完成初步轉換後，您可能會想從自行管理的網路虛擬設備轉換為代管服務。Google Cloud 提供多項代管服務，可用於大規模提供應用程式。

圖 2 顯示網路虛擬機器人，已設為網路層應用程式的前端。如需合作夥伴生態系統解決方案的清單，請參閱 Google Cloud 控制台中的 Google Cloud Marketplace 頁面。

混合型服務架構

Google Cloud 提供下列方法，可大規模管理面向網際網路的應用程式：

• 使用 Google 遍布全球的任一傳播 DNS 名稱伺服器網路，提供高可用性和低延遲的服務，將網域名稱要求轉譯為 IP 位址。
• 使用 Google 全球外部應用程式負載平衡器，將流量轉送至在 Google Cloud內部、內部部署或其他公用雲端中託管的應用程式。這些負載平衡器會隨著流量自動調整，確保每個要求都會導向健康的後端。設定混合式連線網路端點群組後，您就能將外部應用程式負載平衡器網路功能的優點，帶入在 Google Cloud以外現有基礎架構上執行的服務。內部部署網路或其他公用雲端網路會透過 VPN 通道或 Cloud Interconnect，與您的 Google Cloud 網路建立私人連線。

• 使用其他網路邊緣服務 (例如 Cloud CDN) 來發布內容、使用 Google Cloud Armor 保護內容，以及使用 Identity-Aware Proxy (IAP) 控管服務存取權。

  圖 3 顯示使用外部應用程式負載平衡器的混合式連線。

  

  圖 3. 使用外部應用程式負載平衡器和網路邊緣服務的混合式連線設定。

  圖 4 顯示不同的連線選項，即使用混合式連線網路端點群組。

  

  圖 4. 使用混合式連線網路端點群組的外部應用程式負載平衡器設定。

• 使用應用程式負載平衡器 (HTTP/HTTPS)，根據要求的屬性 (例如 HTTP 統一資源 ID (URI)) 轉送要求。使用 Proxy 網路負載平衡器實作 TLS 卸載、TCP Proxy 或在多個區域中支援外部負載平衡的後端。使用 passthrough 網路負載平衡器，可保留用戶端來源 IP 位址、避免增加 Proxy 負擔，並支援 UDP、ESP 和 ICMP 等額外的通訊協定。

• 使用 Google Cloud Armor 保護服務。這項產品是邊緣分散式阻斷服務防護和網路應用程式防火牆 (WAF) 安全防護產品，可供透過負載平衡器存取的所有服務使用。

• 使用 Google 代管的 SSL 憑證。您可以重複使用其他Google Cloud 產品已使用的憑證和私密金鑰。這樣一來，您就不需要管理個別的憑證。

• 啟用應用程式快取功能，充分運用 Cloud CDN 的應用程式分散式提交足跡。

• 使用 Cloud Next Generation Firewall 檢查及篩除虛擬私有雲端網路中的流量。

• 如圖 6 所示，使用 Cloud IDS 偵測南北流量中的威脅。

  

  圖 6. Cloud IDS 設定，用於複製及檢查所有網際網路和內部流量。

零信任分散式架構

您可以擴充零信任分散式架構，納入從網際網路提供的應用程式。在這個模型中，Google 外部應用程式負載平衡器會在 GKE 叢集之間提供全域負載平衡，這些叢集在不同叢集中都有 Cloud Service Mesh 網格。在這種情況下，您可以採用複合入口模型。第一層負載平衡器提供叢集選取功能，而 Cloud Service Mesh 管理的入口網頁閘道則提供叢集專屬的負載平衡和入口安全性。這類多叢集入口的範例是企業應用程式藍圖中所述的 Cymbal Bank 參考架構。如要進一步瞭解 Cloud Service Mesh 邊緣輸入端，請參閱「從邊緣到網格：透過 GKE Ingress 公開服務網格應用程式」。

圖 7 顯示外部應用程式負載平衡器透過入口閘道，將流量從網際網路帶往服務網格的設定。閘道是服務網格中的專屬 Proxy。

圖 7. 在零信任微服務環境中提交應用程式。

後續步驟

• 網路：安全的雲端內存取權：參考架構。
• 混合式雲端和多雲端工作負載的網路：參考架構。
• 使用 Google Cloud Armor、負載平衡和 Cloud CDN 部署可程式設計的全域前端
• 遷移至 Google Cloud可協助您規劃、設計及執行將工作負載遷移至 Google Cloud的程序。
• Google Cloud中的登陸區設計提供建立登陸區網路的相關指南。
• 如需更多參考架構、圖表和最佳做法，請瀏覽 雲端架構中心。