Pola mesh

Pola mesh didasarkan pada pembuatan arsitektur jaringan hybrid. Arsitektur tersebut mencakup beberapa lingkungan komputasi. Dalam lingkungan ini, semua sistem dapat berkomunikasi satu sama lain dan tidak terbatas pada komunikasi satu arah berdasarkan persyaratan keamanan aplikasi Anda. Pola jaringan ini terutama berlaku untuk arsitektur hybrid bertingkat, multicloud yang dipartisi, atau bursting. Hal ini juga berlaku untuk desain kelangsungan bisnis untuk menyediakan lingkungan pemulihan dari bencana (DR) di Google Cloud. Dalam semua kasus, Anda harus menghubungkan lingkungan komputasi dengan cara yang sesuai dengan persyaratan komunikasi berikut:

  • Workload dapat berkomunikasi satu sama lain di seluruh batas lingkungan menggunakan alamat IP RFC 1918 pribadi.
  • Komunikasi dapat dimulai dari kedua sisi. Kekhususan model komunikasi dapat bervariasi berdasarkan aplikasi dan persyaratan keamanan, seperti model komunikasi yang dibahas dalam opsi desain berikut.
  • Aturan firewall yang Anda gunakan harus mengizinkan traffic antara sumber dan tujuan alamat IP tertentu berdasarkan persyaratan aplikasi yang pola desainnya ditujukan untuk aplikasi tersebut. Idealnya, Anda dapat menggunakan pendekatan keamanan berlapis untuk membatasi alur traffic secara mendetail, baik di antara maupun di dalam lingkungan komputasi.

Arsitektur

Diagram berikut mengilustrasikan arsitektur referensi tingkat tinggi dari pola berjaring.

Data dalam arsitektur jaringan hybrid mengalir dari dua subnet di Google Cloud ke workload di lingkungan lokal.

  • Semua lingkungan harus menggunakan ruang alamat IP RFC 1918 yang bebas tumpang-tindih.
  • Di sisi Google Cloud , Anda dapat men-deploy workload ke satu atau beberapa VPC Bersama atau VPC non-bersama. Untuk kemungkinan opsi desain lain dari pola ini, lihat variasi desain yang mengikuti. Struktur VPC yang dipilih harus selaras dengan project dan desain hierarki resource organisasi Anda.
  • Jaringan VPC Google Cloud meluas ke lingkungan komputasi lainnya. Lingkungan tersebut dapat berupa lingkungan lokal atau di cloud lain. Gunakan salah satu opsi konektivitas jaringan hybrid dan multicloud yang memenuhi persyaratan bisnis dan aplikasi Anda.

  • Batasi komunikasi hanya ke alamat IP sumber dan tujuan yang diizinkan. Gunakan salah satu kemampuan berikut, atau kombinasinya:

    • Aturan firewall atau kebijakan firewall.

    • Peralatan virtual jaringan (NVA) dengan kemampuan inspeksi firewall generasi berikutnya (NGFW), yang ditempatkan di jalur jaringan.

    • Cloud Next Generation Firewall Enterprise dengan layanan pencegahan intrusi (IPS) untuk menerapkan pemeriksaan paket mendalam untuk pencegahan ancaman tanpa mengubah desain atau perutean jaringan.

Variasi

Pola arsitektur terhubung dapat digabungkan dengan pendekatan lain untuk memenuhi persyaratan desain yang berbeda, sambil tetap mempertimbangkan persyaratan komunikasi pola. Opsi pola dijelaskan di bagian berikut:

Satu VPC per lingkungan

Alasan umum untuk mempertimbangkan opsi satu VPC per lingkungan adalah sebagai berikut:

  • Lingkungan cloud memerlukan pemisahan tingkat jaringan dari jaringan dan resource VPC, sesuai dengan desain hierarki resource organisasi Anda. Jika pemisahan domain administratif diperlukan, pemisahan ini juga dapat digabungkan dengan project terpisah per lingkungan.
    • Untuk mengelola resource jaringan secara terpusat dalam jaringan umum dan menyediakan isolasi jaringan antara lingkungan yang berbeda, gunakan VPC bersama untuk setiap lingkungan yang Anda miliki di Google Cloud, seperti pengembangan, pengujian, dan produksi.
  • Persyaratan skala yang mungkin perlu melampaui kuota VPC untuk satu VPC atau project.

Seperti yang diilustrasikan dalam diagram berikut, desain satu VPC per lingkungan memungkinkan setiap VPC berintegrasi langsung dengan lingkungan lokal atau lingkungan cloud lainnya menggunakan VPN, atau Cloud Interconnect dengan beberapa lampiran VLAN.

Data dalam arsitektur jaringan hybrid dengan satu VPC di setiap lingkungan mengalir dari dua subnet di Google Cloud ke workload di lingkungan lokal.

Pola yang ditampilkan dalam diagram sebelumnya dapat diterapkan pada topologi jaringan hub-and-spoke zona landing. Dalam topologi tersebut, satu (atau beberapa) koneksi hybrid dapat dibagikan ke semua VPC spoke. Jaringan ini dibagikan menggunakan VPC transit untuk menghentikan konektivitas hibrida dan VPC spoke lainnya. Anda juga dapat memperluas desain ini dengan menambahkan NVA dengan kemampuan inspeksi firewall generasi berikutnya (NGFW) di VPC transit, seperti yang dijelaskan di bagian berikutnya, "Gunakan firewall lapisan aplikasi terpusat".

Menggunakan firewall lapisan aplikasi terpusat

Jika persyaratan teknis Anda mewajibkan pertimbangan lapisan aplikasi (Lapisan 7) dan pemeriksaan paket mendalam dengan kemampuan firewall lanjutan yang melampaui kemampuan Cloud Next Generation Firewall, Anda dapat menggunakan peralatan NGFW yang dihosting di NVA. Namun, NVA tersebut harus memenuhi kebutuhan keamanan organisasi Anda. Untuk menerapkan mekanisme ini, Anda dapat memperluas topologi untuk meneruskan semua traffic lintas-lingkungan melalui firewall NVA terpusat, seperti yang ditunjukkan dalam diagram berikut.

Anda dapat menerapkan pola dalam diagram berikut pada desain zona landing dengan menggunakan topologi hub-and-spoke dengan peralatan terpusat:

Data dari dua VPC bersama di Google Cloud mengalir melalui NVA ke jaringan VPC transit, lalu ke workload di lingkungan lokal.

Seperti yang ditunjukkan pada diagram sebelumnya, NVA berfungsi sebagai lapisan keamanan perimeter dan menjadi dasar untuk mengaktifkan pemeriksaan traffic inline. Selain itu, kebijakan ini juga menerapkan kebijakan kontrol akses yang ketat. Untuk memeriksa alur traffic timur-barat dan utara-selatan, desain NVA terpusat dapat mencakup beberapa segmen dengan tingkat kontrol akses keamanan yang berbeda.

Arsitektur terdistribusi zero trust microservice

Saat aplikasi dalam container digunakan, arsitektur terdistribusi zero trust microservices yang dibahas di bagian pola tercermin juga berlaku untuk pola arsitektur ini.

Perbedaan utama antara pola ini dan pola yang dicerminkan adalah model komunikasi antara beban kerja di Google Cloud dan lingkungan lain dapat dimulai dari kedua sisi. Traffic harus dikontrol dan memiliki perincian yang baik, berdasarkan persyaratan aplikasi dan persyaratan keamanan menggunakan Service Mesh.

Praktik terbaik pola mesh

  • Sebelum melakukan hal lain, tentukan desain hierarki resource, dan desain yang diperlukan untuk mendukung project dan VPC apa pun. Dengan begitu, Anda dapat memilih arsitektur jaringan yang optimal dan sesuai dengan struktur project Anda. Google Cloud
  • Gunakan arsitektur terdistribusi zero trust saat menggunakan Kubernetes dalam lingkungan komputasi pribadi Anda dan Google Cloud.
  • Saat menggunakan NVA terpusat dalam desain Anda, Anda harus menentukan beberapa segmen dengan berbagai tingkat kontrol akses keamanan dan kebijakan inspeksi traffic. Dasarkan kontrol dan kebijakan ini pada persyaratan keamanan aplikasi Anda.
  • Saat mendesain solusi yang mencakup NVA, penting untuk mempertimbangkan ketersediaan tinggi (HA) NVA untuk menghindari satu titik kegagalan yang dapat memblokir semua komunikasi. Ikuti panduan desain dan penerapan HA serta redundansi yang diberikan oleh vendor keamananGoogle Cloud yang menyediakan NVA Anda.
  • Untuk meningkatkan privasi, integritas data, dan model komunikasi yang terkontrol, ekspos aplikasi melalui API menggunakan gateway API, seperti Apigee dan Apigee Hybrid dengan mTLS end-to-end. Anda juga dapat menggunakan VPC bersama dengan Apigee dalam resource organisasi yang sama.
  • Jika desain solusi Anda memerlukan aplikasi berbasis Google Cloud yang diekspos ke internet publik, pertimbangkan rekomendasi desain yang dibahas dalam Jaringan untuk pengiriman aplikasi yang menghadap internet.
  • Untuk membantu melindungi layanan di project Anda, dan untuk membantu mengurangi risiko pemindahan data yang tidak sah, gunakan Kontrol Layanan VPC untuk menentukan perimeter layanan di tingkat project atau jaringan VPC. Google Cloud Selain itu, Anda dapat memperluas perimeter layanan ke lingkungan hybrid melalui VPN atau Cloud Interconnect yang sah. Untuk mengetahui informasi selengkapnya tentang manfaat perimeter layanan, lihat Ringkasan Kontrol Layanan VPC.
  • Tinjau praktik terbaik umum untuk pola jaringan hybrid dan multicloud.

Jika Anda ingin menerapkan isolasi yang lebih ketat dan akses yang lebih terperinci antara aplikasi yang dihosting di Google Cloud, dan di lingkungan lain, sebaiknya gunakan salah satu pola yang dibatasi yang dibahas dalam dokumen lain dalam seri ini.

Sebelumnya
Pola yang diduplikasi
Berikutnya
Pola dengan akses terbatas