适用于面向互联网的应用交付的网络：参考架构

本文档是系列文章中的一篇，该系列介绍了将数据中心工作负载迁移到Google Cloud的企业的网络和安全架构。

该系列包含以下文档：

• 设计用于迁移企业工作负载的网络：架构方法
• 适用于云内安全访问的网络：参考架构
• 适用于面向互联网的应用交付的网络：参考架构（本文档）
• 适用于混合和多云工作负载的网络：参考架构

Google 提供了一组产品和功能，可帮助您保护和扩缩最关键的面向互联网的应用。图 1 展示了使用 Google Cloud 服务部署具有多个层级的 Web 应用的架构。

图 1. 部署在 Google Cloud上的典型多层 Web 应用。

直接原样迁移架构

当面向互联网的应用迁移到云时，它们必须能够扩缩，并且必须具有与本地环境中的控制等效的安全控制和可见性。您可以使用市场中获得的网络虚拟设备来提供此类控制。

图 2. 使用基于设备的外部负载均衡器部署的应用。

这些虚拟设备提供的功能和可见性与本地环境一致。使用网络虚拟设备时，您可以使用自动扩缩的代管式实例组来部署软件设备映像。您需要负责监控和管理运行此设备的虚拟机实例的健康状况，还需要维护此设备的软件更新。

执行初始迁移后，您可能需要从自行管理的网络虚拟设备转换到代管式服务。Google Cloud 提供了许多代管式服务，可让您轻松地大规模交付应用。

图 2 展示了配置为 Web 层应用的前端的网络虚拟设备。如需查看合作伙伴生态系统解决方案的列表，请参阅 Google Cloud 控制台中的 Google Cloud Marketplace 页面。

混合服务架构

Google Cloud 提供了以下方法来大规模管理面向互联网的应用：

• 使用 Google 的全球任播 DNS 域名服务器网络，可为域名请求转换为 IP 地址提供高可用性和低延迟。
• 使用 Google 的一组外部应用负载平衡器将流量路由到托管在 Google Cloud内部、托管在本地或托管在其他公有云上的应用。这些负载均衡器可以根据您的流量自动扩缩，并确保每个请求都定向到健康状况良好的后端。通过设置混合连接网络端点组，您可以将外部应用负载平衡器网络功能的优势应用于 Google Cloud之外的现有基础架构上运行的服务。本地网络或其他公有云网络通过 VPN 隧道或通过 Cloud Interconnect 以私密方式连接到您的 Google Cloud 网络。

• 使用其他网络边缘服务（例如 Cloud CDN）分发内容，使用 Google Cloud Armor 保护内容，并使用 Identity-Aware Proxy (IAP) 控制对服务的访问权限。

  图 3 展示了使用外部应用负载均衡器的混合连接。

  

  图 3：使用外部应用负载均衡器和网络边缘服务的混合连接配置。

  图 4 展示了其他连接方案 - 使用混合连接网络端点组。

  

  图 4：使用混合连接网络端点组的外部应用负载均衡器配置。

• 使用应用负载均衡器 (HTTP/HTTPS) 根据请求的属性（例如 HTTP 统一资源标识符 [URI]）来路由请求。使用代理网络负载平衡器来实现 TLS 分流、TCP 代理，或者支持对多个区域中的后端进行外部负载均衡。 使用直通式网络负载均衡器来保留客户端来源 IP 地址、避免代理开销，并支持 UDP、ESP 和 ICMP 等其他协议。

• 使用 Cloud Armor 保护您的服务。此产品是一种边缘 DDoS 攻击防御和 WAF 安全产品，可供通过负载平衡器访问的所有服务使用。

• 使用 Google 管理的 SSL 证书。您可以重复使用已用于其他Google Cloud 产品的证书和私钥。这样就不需要管理单独的证书。

• 在您的应用上启用缓存，以利用 Cloud CDN 的分布式应用交付占用空间。

• 使用 Cloud Next Generation Firewall 检查和过滤 VPC 网络中的流量。

• 使用 Cloud IDS 检测北-南流量中的威胁，如图 6 所示。

  

  图 6. 用于镜像和检查所有互联网和内部流量的 Cloud IDS 配置。

零信任分布式架构

您可以扩展零信任分布式架构，使其包括来自互联网的应用交付。在此模型中，Google 外部应用负载均衡器会为在不同集群中具有 Cloud Service Mesh 网格的 GKE 集群提供全球负载均衡。对于此场景，您可以采用复合入站流量模型。第一层负载均衡器提供集群选择功能，然后 Cloud Service Mesh 管理的入站流量网关提供特定于集群的负载均衡和入站流量安全性。企业应用蓝图中所述的 Cymbal Bank 参考架构就是此类多集群 Ingress 的一个示例。如需详细了解 Cloud Service Mesh 边缘 Ingress，请参阅从边缘到网格：通过 GKE Ingress 公开服务网格应用。

图 7 展示了外部应用负载均衡器通过入站流量网关将流量从网络定向到服务网格的配置。网关是服务网格中的专用代理。

图 7. 零信任微服务环境中的应用交付。

后续步骤

• 适用于云内安全访问的网络：参考架构。
• 适用于混合和多云工作负载的网络：参考架构。
• 使用 Cloud Armor、负载均衡和 Cloud CDN 部署可编程的全球前端
• 迁移到 Google Cloud 可以帮助您规划、设计和实施将工作负载迁移到 Google Cloud的过程。
• Google Cloud中的着陆区设计为创建着陆区网络提供了指南。
• 如需查看更多参考架构、图表和最佳实践，请浏览 Cloud 架构中心。