Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

רשתות להעברת אפליקציות שפונות לאינטרנט: ארכיטקטורות לדוגמה

Last reviewed 2025-01-13 UTC

המסמך הזה הוא חלק מסדרה שמתארת ארכיטקטורות של רשתות ואבטחה לארגונים שמבצעים העברה של עומסי עבודה במרכזי נתונים אלGoogle Cloud.

הסדרה כוללת את המסמכים הבאים:

תכנון רשתות להעברת עומסי עבודה של ארגונים: גישות ארכיטקטוניות
רישות לגישה מאובטחת בתוך הענן: ארכיטקטורות לדוגמה
רשתות למסירת אפליקציות שפונות לאינטרנט: ארכיטקטורות לדוגמה (המסמך הזה)
רישות לעומסי עבודה היברידיים ומרובי-עננים: ארכיטקטורות לדוגמה

‫Google מציעה קבוצה של מוצרים ויכולות שעוזרים לאבטח את האפליקציות הכי חשובות שלכם שפונות לאינטרנט ולהרחיב אותן. איור 1 מציג ארכיטקטורה שמשתמשת בשירותי Google Cloud כדי לפרוס אפליקציית אינטרנט עם כמה רמות.

אפליקציית אינטרנט טיפוסית מרובת רמות שנפרסה ב- Google Cloud.

איור 1. אפליקציית אינטרנט טיפוסית מרובת רמות שנפרסה ב- Google Cloud.

ארכיטקטורה של שיטת Lift-and-shift (העברה בלי שינויים)

כשאפליקציות שפונות לאינטרנט עוברות לענן, הן צריכות להיות מסוגלות להתרחב, וצריכות להיות להן אמצעי בקרה ושקיפות ששווים לאמצעי הבקרה בסביבה המקומית. אפשר לספק את אמצעי הבקרה האלה באמצעות מכשירים וירטואליים ברשת שזמינים ב-Marketplace.

אפליקציה שנפרסה באמצעות מאזן עומסים חיצוני שמבוסס על מכשיר.

איור 2. אפליקציה שנפרסה עם מאזן עומסים חיצוני שמבוסס על מכשיר.

המכשירים הווירטואליים האלה מספקים פונקציונליות ושקיפות שתואמות לסביבות המקומיות שלכם. כשמשתמשים במכשיר וירטואלי ברשת, פורסים את תמונת מכשיר התוכנה באמצעות קבוצות מנוהלות של מופעים עם שינוי גודל אוטומטי. אתם אחראים למעקב ולניהול של תקינות מופעי מכונות וירטואליות שמריצים את המכשיר, וגם לתחזוקת עדכוני התוכנה של המכשיר.

אחרי שמבצעים את המעבר הראשוני, יכול להיות שתרצו לעבור ממכשירי רשת וירטואליים בניהול עצמי לשירותים מנוהלים.Google Cloud מציעה מספר שירותים מנוהלים להפצת אפליקציות בהיקף נרחב.

באיור 2 מוצג מכשיר וירטואלי לרשת שהוגדר כקצה קדמי של אפליקציה ברמת האינטרנט. רשימה של פתרונות אקוסיסטם של שותפים זמינה בדף Google Cloud Marketplace במסוף Google Cloud .

ארכיטקטורה של שירותים היברידיים

Google Cloud מציע את הגישות הבאות לניהול אפליקציות שפונות לאינטרנט בקנה מידה רחב:

שימוש ברשת הגלובלית של Google של שרתי שמות DNS מסוג anycast שמספקים זמינות גבוהה וזמן אחזור קצר כדי לתרגם בקשות לשמות דומיין לכתובות IP.
אתם יכולים להשתמש בצי הגלובלי של מאזני עומסים חיצוניים של אפליקציות (ALB) של Google כדי לנתב תעבורה לאפליקציה שמארחת בתוך Google Cloud, שמארחת באתר או שמארחת בענן ציבורי אחר. מאזני העומסים האלה מתרחבים באופן אוטומטי בהתאם לתעבורה, ומבטיחים שכל בקשה תופנה לעורף תקין. באמצעות הגדרה של קבוצות של נקודות קצה ברשת עם קישוריות היברידית, אתם יכולים ליהנות מהיתרונות של יכולות הרשת של מאזן עומסים חיצוני של אפליקציות (ALB) בשירותים שפועלים בתשתית הקיימת שלכם מחוץ ל- Google Cloud. הרשת המקומית או רשתות הענן הציבורי האחרות מחוברות באופן פרטי לרשת Google Cloud שלכם באמצעות מנהרת VPN או באמצעות Cloud Interconnect.
אפשר להשתמש בשירותים אחרים של קצה הרשת, כמו Cloud CDN להפצת תוכן, Google Cloud Armor להגנה על התוכן ושרת proxy לאימות זהויות (IAP) כדי לשלוט בגישה לשירותים.

איור 3 מציג קישוריות היברידית שמשתמשת במאזן עומסים חיצוני של אפליקציות (ALB).

איור 3. הגדרת קישוריות היברידית באמצעות מאזן עומסים של אפליקציות (ALB) חיצוני ושירותים של קצה הרשת.

איור 4 מציג אפשרות קישוריות אחרת – שימוש בקבוצות של נקודות קצה ברשת עם קישוריות היברידית.

איור 4. הגדרה של מאזן עומסים חיצוני של אפליקציות (ALB) באמצעות קבוצות של נקודות קצה (endpoint) ברשת עם קישוריות היברידית.
משתמשים במאזן עומסים של אפליקציות (HTTP/HTTPS) כדי לנתב בקשות על סמך המאפיינים שלהן, כמו מזהה משאב אחיד (URI) של HTTP. משתמשים במאזן עומסי רשת בשרת proxy כדי להטמיע TLS offload, שרת proxy של TCP או תמיכה באיזון עומסים חיצוני לקצה העורפי בכמה אזורים. כדי לשמור על כתובות ה-IP של מקור הלקוח, להימנע מתקורה של שרתי proxy ולתמוך בפרוטוקולים נוספים כמו UDP,‏ ESP ו-ICMP, כדאי להשתמש במאזן עומסי רשת להעברת סיגנל ללא שינוי.
כדאי להגן על השירות באמצעות Cloud Armor. זהו מוצר אבטחה של חומת אש ליישומי אינטרנט (WAF) והגנה מפני DDoS בקצה הרשת, שזמין לכל השירותים שאפשר לגשת אליהם דרך מאזני עומסים.
שימוש באישורי SSL בניהול Google. אתם יכולים לעשות שימוש חוזר באישורים ובמפתחות פרטיים שכבר משמשים אתכם במוצריGoogle Cloud אחרים. כך לא צריך לנהל אישורים נפרדים.
כדי ליהנות מפריסת האפליקציות המבוזרת של Cloud CDN, צריך להפעיל שמירה במטמון באפליקציה.
אפשר להשתמש ב-Cloud Next Generation Firewall כדי לבדוק ולסנן את התנועה ברשתות ה-VPC.
כדאי להשתמש ב-Cloud IDS כדי לזהות איומים בתעבורה מצפון לדרום, כמו שמוצג באיור 6.

איור 6. הגדרת Cloud IDS כדי לשכפל ולבדוק את כל התנועה באינטרנט ואת התנועה הפנימית.

ארכיטקטורה מבוזרת עם מודל אבטחה של אפס אמון

אפשר להרחיב את הארכיטקטורה המבוזרת של אפס אמון כך שתכלול אספקת אפליקציות מהאינטרנט. במודל הזה, מאזן העומסים החיצוני של אפליקציות (ALB) ב-Google מספק מאזן עומסים גלובלי בין אשכולות GKE שיש להם רשתות Cloud Service Mesh באשכולות נפרדים. בתרחיש הזה, אתם מאמצים מודל של שער כניסה מורכב. מאזן העומסים ברמה הראשונה מספק בחירת אשכול, ואז שער כניסה שמנוהל על ידי Cloud Service Mesh מספק איזון עומסים ספציפי לאשכול ואבטחת כניסה. דוגמה ל-ingress מרובה אשכולות היא ארכיטקטורת ההפניה של Cymbal Bank, כפי שמתואר בתוכנית הפעולה של אפליקציית הארגון. מידע נוסף על תעבורת נכנסת (ingress) ב-Cloud Service Mesh edge זמין במאמר מ-edge ל-mesh: חשיפת אפליקציות של רשת שירותים דרך GKE Ingress.

באיור 7 מוצגת הגדרה שבה מאזן עומסים חיצוני של אפליקציות (ALB) מנתב תנועה מהאינטרנט אל Service mesh דרך שער כניסה. השער הוא שרת proxy ייעודי ב-Service mesh.

הפצת אפליקציות בסביבת מיקרו-שירותים של אפס אמון.

איור 7. הפצת אפליקציות בסביבת מיקרו-שירותים של אפס אמון.

המאמרים הבאים

רשתות לגישה מאובטחת בתוך הענן: תרשימי עזר לארכיטקטורות.
רישות לעומסי עבודה היברידיים ומרובי עננים: ארכיטקטורות לדוגמה
שימוש ב-Cloud Armor, באיזון עומסים וב-Cloud CDN כדי לפרוס ממשקי קצה גלובליים שניתנים לתכנות
העברה אל Google Cloud יכולה לעזור לכם לתכנן, לעצב ולהטמיע את תהליך העברת עומסי העבודה אל Google Cloud.
עיצוב אזור נחיתה ב- Google Cloud כולל הנחיות ליצירת רשת של אזור נחיתה.
לדוגמאות נוספות של ארכיטקטורות, תרשימים ושיטות מומלצות, עיינו במאמר Cloud Architecture Center.