רשתות להעברת אפליקציות שפונות לאינטרנט: ארכיטקטורות לדוגמה

Last reviewed 2025-01-13 UTC

המסמך הזה הוא חלק מסדרה שמתארת ארכיטקטורות של רשתות ואבטחה לארגונים שמעבירים עומסי עבודה של מרכזי נתונים אלGoogle Cloud.

הסדרה כוללת את המסמכים הבאים:

תכנון רשתות להעברת עומסי עבודה של ארגונים: גישות ארכיטקטוניות
רישות לגישה מאובטחת בתוך הענן: ארכיטקטורות לדוגמה
רשתות למסירת אפליקציות שפונות לאינטרנט: ארכיטקטורות לדוגמה (המסמך הזה)
רישות לעומסי עבודה היברידיים ומרובי-עננים: ארכיטקטורות לדוגמה

‫Google מציעה קבוצה של מוצרים ויכולות שעוזרים לאבטח את האפליקציות הכי חשובות שפונות לאינטרנט ולהרחיב אותן. איור 1 מציג ארכיטקטורה שמשתמשת בשירותי Google Cloud כדי לפרוס אפליקציית אינטרנט עם כמה רמות.

אפליקציית אינטרנט טיפוסית מרובת רמות שנפרסה ב- Google Cloud.

איור 1. אפליקציית אינטרנט טיפוסית מרובת רמות שנפרסה ב- Google Cloud.

ארכיטקטורה של שיטת Lift-and-shift (העברה בלי שינויים)

כשמעבירים אפליקציות שפונות לאינטרנט לענן, הן צריכות להיות ניתנות להרחבה, וצריכות להיות להן אמצעי בקרה ושקיפות ששווים לאמצעי הבקרה בסביבה המקומית. אפשר לספק את אמצעי הבקרה האלה באמצעות מכשירים וירטואליים ברשת שזמינים ב-Marketplace.

אפליקציה שנפרסה באמצעות מאזן עומסים חיצוני שמבוסס על מכשיר.

איור 2. האפליקציה נפרסה באמצעות מאזן עומסים חיצוני שמבוסס על מכשיר.

המכשירים הווירטואליים האלה מספקים פונקציונליות ושקיפות שדומות לאלה של סביבות מקומיות. כשמשתמשים במכשיר וירטואלי ברשת, פורסים את תמונת מכשיר התוכנה באמצעות קבוצות מנוהלות עם שינוי גודל אוטומטי. אתם אחראים למעקב ולניהול של תקינות מכונות וירטואליות (VM) שמריצות את ה-Appliance, וגם לעדכוני תוכנה של ה-Appliance.

אחרי שמבצעים את המעבר הראשוני, יכול להיות שתרצו לעבור ממכשירי רשת וירטואליים בניהול עצמי לשירותים מנוהלים.Google Cloud מציעה מספר שירותים מנוהלים להפצת אפליקציות בהיקף נרחב.

איור 2 מציג מכשיר וירטואלי ברשת שהוגדר כחלק הקדמי של אפליקציה ברמת האינטרנט. רשימת הפתרונות של מערכת השותפים זמינה בדף Google Cloud Marketplace במסוף Google Cloud .

ארכיטקטורה של שירותים היברידיים

Google Cloud מציעה את הגישות הבאות לניהול אפליקציות שפונות לאינטרנט בקנה מידה רחב:

שימוש ברשת הגלובלית של Google של שרתי שמות DNS מסוג anycast, שמספקים זמינות גבוהה וזמן אחזור נמוך כדי לתרגם בקשות לשמות דומיין לכתובות IP.
אפשר להשתמש בצי העולמי של מאזני עומסים חיצוניים של אפליקציות של Google כדי לנתב תעבורה לאפליקציה שמתארחת בתוך Google Cloud, מתארחת בפריסה מקומית או מתארחת בענן ציבורי אחר. מאזני העומסים האלה מתרחבים אוטומטית בהתאם לתעבורה, ומבטיחים שכל בקשה תופנה לעורף תקין. הגדרה של קבוצות של נקודות קצה ברשת עם קישוריות היברידית מאפשרת ליהנות מהיתרונות של יכולות הרישות של מאזן עומסים חיצוני של אפליקציות (ALB) בשירותים שפועלים בתשתית הקיימת מחוץ ל- Google Cloud. הרשת המקומית או רשתות הענן הציבורי האחרות מחוברות באופן פרטי לרשת Google Cloud שלכם באמצעות מנהרת VPN או באמצעות Cloud Interconnect.
אפשר להשתמש בשירותים אחרים של קצה הרשת, כמו Cloud CDN להפצת תוכן, Google Cloud Armor להגנה על התוכן ושרת proxy לאימות זהויות (IAP) כדי לשלוט בגישה לשירותים.

איור 3 מציג קישוריות היברידית שמשתמשת במאזן עומסים חיצוני של אפליקציות (ALB).

איור 3. הגדרת קישוריות היברידית באמצעות מאזן עומסים חיצוני של אפליקציות (ALB) ושירותים של קצה הרשת.

איור 4 מציג אפשרות קישוריות אחרת – שימוש בקבוצות של נקודות קצה ברשת עם קישוריות היברידית.

איור 4. הגדרה של מאזן עומסים חיצוני של אפליקציות (ALB) באמצעות קבוצות היברידיות של נקודות קצה ברשת.
משתמשים במאזן עומסים של אפליקציות (HTTP/HTTPS) כדי לנתב בקשות על סמך המאפיינים שלהן, כמו מזהה משאב אחיד (URI) של HTTP. משתמשים במאזן עומסי רשת בשרת proxy כדי להטמיע TLS offload, שרת proxy של TCP או תמיכה באיזון עומסים חיצוני לקצה העורפי בכמה אזורים. כדי לשמור על כתובות ה-IP של מקור הלקוח, להימנע מתקורה של שרתי proxy ולתמוך בפרוטוקולים נוספים כמו UDP,‏ ESP ו-ICMP, כדאי להשתמש במאזן עומסי רשת להעברת סיגנל ללא שינוי.
הגנה על השירות באמצעות Cloud Armor. המוצר הזה הוא מוצר אבטחה של חומת אש לאפליקציות אינטרנט (WAF) והגנה מפני DDoS בקצה הרשת, והוא זמין לכל השירותים שאפשר לגשת אליהם דרך איזון עומסים.
שימוש באישורי SSL בניהול Google. אתם יכולים לעשות שימוש חוזר באישורים ובמפתחות פרטיים שכבר משמשים אתכם במוצריGoogle Cloud אחרים. כך לא צריך לנהל אישורים נפרדים.
כדי ליהנות מפריסת האפליקציות המבוזרת של Cloud CDN, צריך להפעיל שמירה במטמון באפליקציה.
אפשר להשתמש ב-Cloud Next Generation Firewall כדי לבדוק ולסנן את התנועה ברשתות ה-VPC.
כדאי להשתמש ב-Cloud IDS כדי לזהות איומים בתעבורה מצפון לדרום, כמו שמוצג באיור 6.

איור 6. הגדרת Cloud IDS כדי לשכפל ולבדוק את כל התעבורה באינטרנט ואת התעבורה הפנימית.

ארכיטקטורה מבוזרת עם מודל אבטחה של אפס אמון

אפשר להרחיב את הארכיטקטורה המבוזרת של אפס אמון כך שתכלול אספקת אפליקציות מהאינטרנט. במודל הזה, מאזן העומסים החיצוני של אפליקציות ב-Google מספק איזון עומסים גלובלי בין אשכולות GKE שיש להם רשתות Cloud Service Mesh באשכולות נפרדים. בתרחיש הזה, אתם מאמצים מודל של שער כניסה מורכב. מאזן העומסים ברמה הראשונה מספק בחירת אשכול, ואז שער כניסה שמנוהל על ידי Cloud Service Mesh מספק איזון עומסים ספציפי לאשכול ואבטחת כניסה. דוגמה ל-ingress מרובה אשכולות היא ארכיטקטורת ההפניה של Cymbal Bank, כפי שמתואר בתוכנית הפעולה של אפליקציית הארגון. מידע נוסף על Cloud Service Mesh edge ingress זמין במאמר מ-edge ל-mesh: חשיפת אפליקציות של רשת שירותים דרך GKE Ingress.

איור 7 מציג הגדרה שבה מאזן עומסים חיצוני של אפליקציות (ALB) מפנה תנועה מהאינטרנט אל Service mesh דרך שער כניסה. השער הוא שרת proxy ייעודי ב-Service mesh.

שליחת אפליקציות בסביבת מיקרו-שירותים של אפס אמון.

איור 7. שליחת אפליקציות בסביבת מיקרו-שירותים של אפס אמון.

המאמרים הבאים

רשתות לגישה מאובטחת בתוך הענן: תרשימי עזר לארכיטקטורות.
רישות לעומסי עבודה היברידיים ומרובי עננים: ארכיטקטורות לדוגמה
שימוש ב-Cloud Armor, באיזון עומסים וב-Cloud CDN כדי לפרוס ממשקי קצה גלובליים שניתנים לתכנות
העברה אל Google Cloud יכולה לעזור לכם לתכנן, לעצב ולהטמיע את תהליך העברת עומסי העבודה אל Google Cloud.
עיצוב אזור נחיתה ב- Google Cloud כולל הנחיות ליצירת רשת של אזור נחיתה.
לדוגמאות נוספות של ארכיטקטורות, תרשימים ושיטות מומלצות, עיינו במאמר Cloud Architecture Center.