封闭模式基于一种架构,该架构可根据不同环境之间特定的公开 API 或端点,以精细的方式公开选定的应用和服务。本指南将此模式分为三种可能的选项,每种选项都由特定的通信模型决定:
正如本指南前面提到的,此处介绍的网络架构模式可根据各种具有不同要求的应用进行调整。为了满足不同应用的特定需求,您的主要着陆区架构可能同时采用一种或多种模式。所选架构的具体部署取决于每个封闭模式的具体通信要求。
本系列文章将讨论每种门控模式及其可能的设计选项。 不过,有一种常见的设计选项适用于所有门控模式,那就是针对采用微服务架构的容器化应用的零信任分布式架构。此选项由 Cloud Service Mesh、Apigee 和 Apigee Adapter for Envoy(Kubernetes 集群内的轻量级 Apigee 网关部署)提供支持。 Apigee Adapter for Envoy 是一种广受欢迎的开源边缘和服务代理,专为云优先应用而设计。此架构可在服务级别控制允许的安全服务间通信以及通信方向。您可以根据所选模式在服务级别设计、微调和应用流量通信政策。
门控模式允许实现具有入侵防御服务 (IPS) 的 Cloud Next Generation Firewall Enterprise,以便在不进行任何设计或路由修改的情况下执行深度数据包检测来防范威胁。该检查取决于所访问的具体应用、通信模型和安全要求。如果安全要求需要使用超出 Cloud Next Generation Firewall 功能的高级防火墙机制实现第 7 层和深度数据包检测,您可以使用托管在网络虚拟设备 (NVA) 中的集中式下一代防火墙 (NGFW)。许多 Google Cloud 安全合作伙伴都提供可满足您安全要求的新一代防火墙设备。将 NVA 与这些门控模式集成可能需要在网络设计中引入多个安全区,每个安全区具有不同的访问权限控制级别。