設限模式是以架構為基礎,可根據不同環境間的特定公開 API 或端點,以精細的方式公開選取的應用程式和服務。本指南將此模式分為三種可能選項,每種選項都取決於特定的通訊模型:
如本指南先前所述,這裡說明的網路架構模式可因應各種應用程式的不同需求。為滿足不同應用程式的特定需求,主要登陸區架構可能會同時納入一種或多種模式。所選架構的具體部署方式,取決於每個設限模式的具體通訊需求。
本系列文章將討論各個設限模式及其可能的設計選項。 不過,適用於所有設限模式的常見設計選項是零信任分散式架構,適用於採用微服務架構的容器化應用程式。這個選項採用 Cloud Service Mesh、Apigee 和 Apigee Adapter for Envoy,可在 Kubernetes 叢集中部署輕量型 Apigee 閘道。Apigee Adapter for Envoy 是熱門的開放原始碼邊緣和服務 Proxy,專為雲端優先應用程式設計。這項架構可控管允許的服務對服務安全通訊,以及服務層級的通訊方向。您可以根據所選模式,在服務層級設計、微調及套用流量通訊政策。
閘道模式可讓您導入 Cloud Next Generation Firewall Enterprise,並搭配入侵預防服務 (IPS),執行深層封包檢查來防範威脅,不必進行任何設計或路由修改。檢查內容取決於存取的特定應用程式、通訊模型和安全性需求。如果安全防護需求需要第 7 層和深層封包檢查,以及超越 Cloud Next Generation Firewall 功能的進階防火牆機制,您可以在網路虛擬設備 (NVA) 中代管集中式新一代防火牆 (NGFW)。多個 Google Cloud 安全合作夥伴提供 NGFW 設備,可滿足您的安全需求。整合 NVA 與這些設有閘道的模式時,可能需要在網路設計中導入多個安全區域,每個區域都有不同的存取控制層級。