網狀模式是以建立混合式網路架構為基礎。該架構涵蓋多個運算環境。在這些環境中,所有系統都能彼此通訊,且不受限於根據應用程式安全需求進行的單向通訊。這個網路模式主要適用於分層混合式、分區多雲端或爆發式架構。這也適用於營運持續設計,可在 Google Cloud中佈建災難復原 (DR) 環境。在所有情況下,您都必須以符合下列通訊需求的方式連結運算環境:
- 工作負載可以使用私人 RFC 1918 IP 位址,跨越環境界限來互相通訊。
- 雙方皆可發起通訊。通訊模型的具體細節可能因應用程式和安全性需求而異,例如後續設計選項中討論的通訊模型。
- 您使用的防火牆規則必須允許特定 IP 位址來源和目的地之間的流量,具體取決於模式設計的應用程式需求。理想情況下,您可以使用多層式安全防護方法,以精細的方式限制運算環境之間和運算環境內部的流量。
架構
下圖說明網狀模式的高階參考架構。
- 所有環境都應使用不重疊的 RFC 1918 IP 位址空間。
- 在 Google Cloud 端,您可以將工作負載部署至單一或多個共用虛擬私有雲,或非共用虛擬私有雲。如需這個模式的其他可能設計選項,請參閱下方的設計變化。所選虛擬私有雲結構應與貴機構的專案和資源階層設計一致。
- Google Cloud 虛擬私有雲網路會延伸至其他運算環境。這些環境可以是地端部署環境,也可以位於其他雲端。使用符合業務和應用程式需求的混合式和多雲端網路連線選項。
將通訊限制為僅允許來源和目的地的 IP 位址。請使用下列任一功能,或混合使用:
具備新一代防火牆 (NGFW) 檢查功能的網路虛擬設備 (NVA),位於網路路徑中。
Cloud Next Generation Firewall Enterprise 搭配入侵預防服務 (IPS),可實作深層封包檢查,防範威脅,不必變更網路設計或路由。
變化版本
網狀架構模式可與其他方法搭配使用,以滿足不同的設計需求,同時仍考量模式的通訊需求。以下各節將說明模式選項:
每個環境一個虛擬私有雲
考慮為每個環境使用一個虛擬私有雲的常見原因如下:
- 雲端環境必須根據貴機構的資源階層設計,在網路層級分隔虛擬私有雲網路和資源。如果需要管理網域分隔,也可以為每個環境搭配不同的專案。
- 如要集中管理一般網路中的網路資源,並在不同環境之間提供網路隔離功能,請為您在 Google Cloud中的每個環境 (例如開發、測試和正式環境) 使用共用虛擬私有雲。
- 可能需要超出單一虛擬私有雲或專案的虛擬私有雲配額。
如下圖所示,每個環境各有一個 VPC 的設計,可讓每個 VPC 直接與地端部署環境或其他雲端環境整合,方法是使用 VPN 或具有多個 VLAN 連結的 Cloud Interconnect。
上圖顯示的模式可套用至登陸區軸輻式網路拓撲。在該拓撲中,單一 (或多個) 混合式連線可與所有輪輻 VPC 共用。透過傳輸虛擬私有雲終止混合式連線和其他輪輻虛擬私有雲,即可共用。您也可以在 Transit VPC 中新增 NVA,並加入新一代防火牆 (NGFW) 檢查功能,藉此擴展這項設計,詳情請參閱下一節「使用集中式應用程式層防火牆」。
使用集中式應用程式層防火牆
如果您的技術需求規定必須考慮應用程式層 (第 7 層) 和深層封包檢查,並採用超出 Cloud Next Generation Firewall 功能的進階防火牆功能,則可以使用 NVA 中代管的 NGFW 設備。不過,該 NVA 必須符合貴機構的安全性需求。如要實作這些機制,您可以擴充拓撲,透過集中式 NVA 防火牆傳送所有跨環境流量,如下圖所示。
您可以使用軸輻式拓撲和集中式設備,在登陸區設計中套用下圖所示的模式:
如上圖所示,NVA 可做為 perimeter 安全層,並做為啟用內嵌流量檢查的基礎。此外,這項服務也會強制執行嚴格的存取控管政策。如要檢查東/西向和北/南向流量,集中式 NVA 的設計可能包含多個區隔,並具有不同層級的安全存取控制。
微服務零信任分散式架構
使用容器化應用程式時,鏡像模式一節討論的微服務零信任分散式架構,也適用於這個架構模式。
這個模式與鏡像模式的主要差異在於, Google Cloud 和其他環境中工作負載之間的通訊模型可從任一端啟動。根據應用程式和安全需求,使用 Cloud Service Mesh 精細控管流量。
網格模式最佳做法
- 首先,請決定資源階層設計,以及支援任何專案和 VPC 的設計。這麼做有助於您選取與 Google Cloud 專案結構相符的最佳網路架構。
- 在私人運算環境中使用 Kubernetes 時,請採用零信任分散式架構。Google Cloud
- 在設計中集中使用 NVA 時,您應定義多個區隔,並採用不同層級的安全存取控制和流量檢查政策。請根據應用程式的安全需求,制定這些控制項和政策。
- 設計包含 NVA 的解決方案時,請務必考量 NVA 的高可用性 (HA),避免單一故障點阻斷所有通訊。請按照Google Cloud 安全服務供應商提供的 HA 和備援設計與實作指南操作,該供應商會提供 NVA。
- 如要提升隱私權、資料完整性及受控的通訊模型,請使用 API 閘道 (例如 Apigee 和 Apigee Hybrid) 透過 API 公開應用程式,並採用端對端 mTLS。您也可以在同一個機構資源中,使用共用虛擬私有雲端搭配 Apigee。
- 如果解決方案設計需要將 Google Cloud型應用程式公開至網際網路,請考慮「提供面向網際網路的應用程式時的網路設定」一文中的設計建議。
- 如要保護專案中的 Google Cloud 服務,並降低資料竊取風險,請使用 VPC Service Controls 在專案或虛擬私有雲網路層級指定 service perimeter。此外,您也可以透過授權的 VPN 或 Cloud Interconnect,將服務範圍延伸至混合式環境。如要進一步瞭解服務範圍的優點,請參閱「VPC Service Controls 總覽」。
- 請參閱混合式雲端和多雲端網路模式的一般最佳做法。
如果您打算在 Google Cloud中託管的應用程式與其他環境之間,強制執行更嚴格的隔離措施和更精細的存取權,請考慮使用本系列其他文件中討論的閘道式模式。