Pola yang diduplikasi

Last reviewed 2025-01-23 UTC

Pola mirrored didasarkan pada mereplikasi desain lingkungan yang ada ke lingkungan baru. Oleh karena itu, pola ini terutama berlaku untuk arsitektur yang mengikuti pola hybrid lingkungan. Dalam pola tersebut, Anda menjalankan pengembangan dan pengujian workload di satu lingkungan, sementara Anda menjalankan staging dan produksi workload di lingkungan lain.

Pola yang dicerminkan mengasumsikan bahwa workload pengujian dan produksi tidak seharusnya berkomunikasi langsung satu sama lain. Namun, Anda dapat mengelola dan men-deploy kedua kelompok workload secara konsisten.

Jika Anda menggunakan pola ini, hubungkan dua lingkungan komputasi dengan cara yang sesuai dengan persyaratan berikut:

  • Continuous integration/continuous deployment (CI/CD) dapat men-deploy dan mengelola workload di semua lingkungan komputasi atau lingkungan tertentu.
  • Pemantauan, pengelolaan konfigurasi, dan sistem administratif lainnya harus berfungsi di seluruh lingkungan komputasi.
  • Workload tidak dapat berkomunikasi secara langsung lintas lingkungan komputasi. Jika perlu, komunikasi harus dilakukan dengan cara yang terkontrol dan terperinci.

Arsitektur

Diagram arsitektur berikut menunjukkan arsitektur referensi tingkat tinggi dari pola ini yang mendukung CI/CD, Pemantauan, pengelolaan konfigurasi, sistem administratif lainnya, dan komunikasi workload:

Aliran data antara CI/CD dan VPC admin di Google Cloud serta lingkungan produksi lokal. Data juga mengalir antara CI/CD-VPC dan lingkungan pengembangan serta pengujian dalam Google Cloud.

Deskripsi arsitektur dalam diagram sebelumnya adalah sebagai berikut:

  • Workload didistribusikan berdasarkan lingkungan fungsional (pengembangan, pengujian, alat CI/CD, dan administratif) di seluruh VPC terpisah di sisi Google Cloud .
  • VPC Bersama digunakan untuk workload pengembangan dan pengujian. VPC tambahan digunakan untuk alat CI/CD dan administratif. Dengan VPC bersama:
    • Aplikasi dikelola oleh tim yang berbeda per lingkungan dan per project layanan.
    • Project host mengelola dan mengontrol komunikasi jaringan dan kontrol keamanan antara lingkungan pengembangan dan pengujian—serta ke luar VPC.
  • VPC CI/CD terhubung ke jaringan yang menjalankan workload produksi di lingkungan komputasi pribadi Anda.
  • Aturan firewall hanya mengizinkan traffic yang diizinkan.
    • Anda juga dapat menggunakan Cloud Next Generation Firewall Enterprise dengan layanan pencegahan intrusi (IPS) untuk menerapkan inspeksi paket mendalam guna mencegah ancaman tanpa mengubah desain atau perutean. Cloud Next Generation Firewall Enterprise berfungsi dengan membuat endpoint firewall zonal yang dikelola Google yang menggunakan teknologi pencegatan paket untuk memeriksa beban kerja secara transparan berdasarkan tanda tangan ancaman yang dikonfigurasi. Layanan ini juga melindungi workload dari ancaman.
  • Memungkinkan komunikasi antar-VPC yang di-peering menggunakan alamat IP internal.
    • Peering dalam pola ini memungkinkan sistem CI/CD dan administratif men-deploy dan mengelola workload pengembangan dan pengujian.
  • Pertimbangkan praktik terbaik umum ini.

Anda membuat koneksi CI/CD ini dengan menggunakan salah satu opsi konektivitas jaringan hybrid dan multicloud yang dibahas yang memenuhi persyaratan bisnis dan aplikasi Anda. Untuk memungkinkan Anda men-deploy dan mengelola workload produksi, koneksi ini menyediakan aksesibilitas jaringan pribadi di antara lingkungan komputasi yang berbeda. Semua lingkungan harus memiliki ruang alamat IP RFC 1918 yang bebas tumpang-tindih.

Jika instance di lingkungan pengembangan dan pengujian memerlukan akses internet, pertimbangkan opsi berikut:

  • Anda dapat men-deploy Cloud NAT ke dalam jaringan project host VPC Bersama yang sama. Men-deploy ke jaringan project host VPC Bersama yang sama akan membantu menghindari instance ini dapat diakses langsung dari internet.
  • Untuk traffic web keluar, Anda dapat menggunakan Secure Web Proxy. Proxy menawarkan beberapa manfaat.

Untuk mengetahui informasi selengkapnya tentang Google Cloud alat dan kemampuan yang membantu Anda membangun, menguji, dan men-deploy di Google Cloud dan di seluruh lingkungan hybrid dan multicloud, lihat blogDevOps dan CI/CD di Google Cloud yang dijelaskan.

Variasi

Untuk memenuhi berbagai persyaratan desain, sambil tetap mempertimbangkan semua persyaratan komunikasi, pola arsitektur bercermin menawarkan opsi berikut, yang dijelaskan di bagian berikut:

VPC Bersama per lingkungan

Opsi desain VPC bersama per lingkungan memungkinkan pemisahan tingkat aplikasi atau layanan di seluruh lingkungan, termasuk CI/CD dan alat administratif yang mungkin diperlukan untuk memenuhi persyaratan keamanan organisasi tertentu. Persyaratan ini membatasi komunikasi, domain administratif, dan kontrol akses untuk berbagai layanan yang juga perlu dikelola oleh tim yang berbeda.

Desain ini mencapai pemisahan dengan menyediakan isolasi tingkat project dan jaringan di antara lingkungan yang berbeda, yang memungkinkan komunikasi yang lebih terperinci dan kontrol akses Identity and Access Management (IAM).

Dari perspektif pengelolaan dan operasi, desain ini memberikan fleksibilitas untuk mengelola aplikasi dan beban kerja yang dibuat oleh tim yang berbeda per lingkungan dan per project layanan. Jaringan VPC, dan fitur keamanannya dapat disediakan dan dikelola oleh tim operasi jaringan berdasarkan kemungkinan struktur berikut:

  • Satu tim mengelola semua project host di semua lingkungan.
  • Tim yang berbeda mengelola project host di lingkungan masing-masing.

Keputusan tentang pengelolaan project host harus didasarkan pada struktur tim, operasi keamanan, dan persyaratan akses setiap tim. Anda dapat menerapkan variasi desain ini ke opsi desain zona landing jaringan VPC Bersama untuk setiap lingkungan. Namun, Anda perlu mempertimbangkan persyaratan komunikasi pola tercermin untuk menentukan komunikasi yang diizinkan antara lingkungan yang berbeda, termasuk komunikasi melalui jaringan hybrid.

Anda juga dapat menyediakan jaringan VPC Bersama untuk setiap lingkungan utama, seperti yang diilustrasikan dalam diagram berikut:

Peering VPC di Google Cloud membagikan data antara lingkungan pengembangan dan pengujian serta subnet CI/CD dan administratif. Subnet membagikan data antara Google Cloud dan lingkungan lokal.

Firewall lapisan aplikasi terpusat

Dalam beberapa skenario, persyaratan keamanan mungkin mewajibkan pertimbangan lapisan aplikasi (Lapisan 7) dan pemeriksaan paket mendalam dengan mekanisme firewall lanjutan yang melampaui kemampuan Cloud Next Generation Firewall. Untuk memenuhi persyaratan dan standar keamanan organisasi Anda, Anda dapat menggunakan peralatan NGFW yang di-hosting di peralatan virtual jaringan (NVA). Beberapa Google Cloud partner keamanan menawarkan opsi yang sangat sesuai untuk tugas ini.

Seperti yang diilustrasikan dalam diagram berikut, Anda dapat menempatkan NVA di jalur jaringan antara Virtual Private Cloud dan lingkungan komputasi pribadi menggunakan beberapa antarmuka jaringan.

Peering VPC di Google Cloud membagikan data antara lingkungan pengembangan dan pengujian serta CI/CD dan subnet administratif. Subnet membagikan data antara Google Cloud dan lingkungan lokal melalui jaringan VPC transit.

Desain ini juga dapat digunakan dengan beberapa VPC bersama seperti yang diilustrasikan dalam diagram berikut.

Peering VPC di Google Cloud membagikan data antara lingkungan pengembangan dan pengujian serta CI/CD dan subnet administratif. Subnet menggunakan NVA untuk membagikan data antara Google Cloud dan lingkungan lokal melalui jaringan VPC transit.

NVA dalam desain ini berfungsi sebagai lapisan keamanan perimeter. Selain itu, fitur ini berfungsi sebagai dasar untuk mengaktifkan pemeriksaan traffic inline dan menerapkan kebijakan kontrol akses yang ketat.

Untuk strategi keamanan multi-layer yang kuat yang mencakup aturan firewall VPC dan kemampuan layanan pencegahan intrusi, sertakan pemeriksaan traffic dan kontrol keamanan lebih lanjut untuk alur traffic timur-barat dan utara-selatan.

Topologi hub dan spoke

Variasi desain lain yang mungkin adalah menggunakan VPC terpisah (termasuk VPC bersama) untuk pengembangan dan berbagai tahap pengujian. Dalam variasi ini, seperti yang ditunjukkan dalam diagram berikut, semua lingkungan staging terhubung dengan VPC CI/CD dan administratif dalam arsitektur hub-and-spoke. Gunakan opsi ini jika Anda harus memisahkan domain administratif dan fungsi di setiap lingkungan. Model komunikasi hub and spoke dapat membantu memenuhi persyaratan berikut:

  • Aplikasi perlu mengakses serangkaian layanan umum, seperti pemantauan, alat pengelolaan konfigurasi, CI/CD, atau autentikasi.
  • Serangkaian kebijakan keamanan umum perlu diterapkan pada traffic masuk dan keluar secara terpusat melalui hub.

Untuk mengetahui informasi selengkapnya tentang opsi desain hub-and-spoke, lihat Topologi hub-and-spoke dengan peralatan terpusat dan Topologi hub-and-spoke tanpa peralatan terpusat.

Lingkungan pengembangan dan pengujian berbagi data dengan CI/CD VPC hub dan VPC admin ke lingkungan lokal.

Seperti yang ditunjukkan dalam diagram sebelumnya, komunikasi antar-VPC dan konektivitas hybrid semuanya melewati VPC hub. Sebagai bagian dari pola ini, Anda dapat mengontrol dan membatasi komunikasi di VPC hub agar sesuai dengan persyaratan konektivitas Anda.

Sebagai bagian dari arsitektur jaringan hub-and-spoke, berikut adalah opsi konektivitas utama (antara VPC spoke dan hub) di Google Cloud:

  • Peering Jaringan VPC
  • VPN
  • Menggunakan alat virtual jaringan (NVA)

Untuk mengetahui informasi selengkapnya tentang opsi yang harus Anda pertimbangkan dalam desain, lihat Arsitektur jaringan hub dan spoke. Faktor utama yang memengaruhi pemilihan VPN daripada peering VPC antara spoke dan VPC hub adalah saat transitivitas traffic diperlukan. Transitivitas traffic berarti traffic dari jari-jari dapat menjangkau jari-jari lain melalui hub.

Arsitektur terdistribusi zero trust microservice

Arsitektur hybrid dan multicloud dapat memerlukan beberapa cluster untuk mencapai tujuan teknis dan bisnisnya, termasuk memisahkan lingkungan produksi dari lingkungan pengembangan dan pengujian. Oleh karena itu, kontrol keamanan perimeter jaringan penting, terutama jika diperlukan untuk mematuhi persyaratan keamanan tertentu.

Tidak cukup hanya mendukung persyaratan keamanan arsitektur microservice terdistribusi yang mengutamakan cloud saat ini, Anda juga harus mempertimbangkan arsitektur terdistribusi zero trust. Arsitektur terdistribusi zero trust microservice mendukung arsitektur microservice Anda dengan penerapan kebijakan keamanan tingkat microservice, autentikasi, dan workload identity. Kepercayaan bersifat berbasis identitas dan diterapkan untuk setiap layanan.

Dengan menggunakan arsitektur proxy terdistribusi, seperti mesh layanan, layanan dapat memvalidasi pemanggil secara efektif dan menerapkan kebijakan kontrol akses terperinci untuk setiap permintaan, sehingga memungkinkan lingkungan microservice yang lebih aman dan skalabel. Cloud Service Mesh memberi Anda fleksibilitas untuk memiliki mesh umum yang dapat mencakup deploymentGoogle Cloud dan lokal Anda. Mesh menggunakan kebijakan otorisasi untuk membantu mengamankan komunikasi layanan ke layanan.

Anda juga dapat menggabungkan Apigee Adapter for Envoy, yang merupakan deployment gateway API Apigee ringan dalam cluster Kubernetes, dengan arsitektur ini. Adaptor Apigee untuk Envoy adalah proxy layanan dan edge open source yang didesain untuk aplikasi cloud-first.

Data mengalir antara layanan di Google Cloud dan lingkungan lokal melalui arsitektur proxy terdistribusi.

Untuk mengetahui informasi selengkapnya tentang topik ini, lihat artikel berikut:

Praktik terbaik pola yang dicerminkan

  • Sistem CI/CD yang diperlukan untuk men-deploy atau mengonfigurasi ulang deployment produksi harus sangat tersedia, yang berarti semua komponen arsitektur harus didesain untuk memberikan tingkat ketersediaan sistem yang diharapkan. Untuk mengetahui informasi selengkapnya, lihat keandalan infrastruktur.Google Cloud
  • Untuk menghilangkan error konfigurasi untuk proses berulang seperti update kode, otomatisasi sangat penting untuk menstandarkan build, pengujian, dan deployment Anda.
  • Integrasi NVA terpusat dalam desain ini mungkin memerlukan penggabungan beberapa segmen dengan kontrol akses keamanan yang berbeda-beda.
  • Saat mendesain solusi yang mencakup NVA, penting untuk mempertimbangkan ketersediaan tinggi (HA) NVA untuk menghindari satu titik kegagalan yang dapat memblokir semua komunikasi. Ikuti panduan desain dan penerapan HA serta redundansi yang diberikan oleh vendor NVA Anda.
  • Dengan tidak mengekspor rute IP lokal melalui peering VPC atau VPN ke VPC pengembangan dan pengujian, Anda dapat membatasi jangkauan jaringan dari lingkungan pengembangan dan pengujian ke lingkungan lokal. Untuk mengetahui informasi selengkapnya, lihat Pertukaran rute kustom Peering Jaringan VPC.
  • Untuk workload dengan pengalamatan IP pribadi yang dapat memerlukan akses ke API Google, Anda dapat mengekspos Google API menggunakan endpoint Private Service Connect dalam jaringan VPC. Untuk mengetahui informasi selengkapnya, lihat Ingress dengan gerbang, dalam rangkaian ini.
  • Tinjau praktik terbaik umum untuk pola arsitektur jaringan hybrid dan multicloud.
Sebelumnya
Pola arsitektur
Berikutnya
Pola mesh