Arsitektur pola gated ingress didasarkan pada eksposur tertentu API workload yang berjalan di Google Cloud ke lingkungan komputasi pribadi tanpa mengeksposnya ke internet publik. Pola ini merupakan pasangan tindakan pola keluar dengan akses terbatas dan sangat cocok untuk edge hybrid, hibrida bertingkat, dan cloud yang dipartisi yang signifikan.
Seperti halnya pola traffic keluar yang dibatasi, Anda dapat memfasilitasi eksposur terbatas ini melalui gateway API atau load balancer yang berfungsi sebagai fasad untuk workload atau layanan yang ada. Tindakan ini akan membuatnya dapat diakses oleh publik lingkungan komputasi, lingkungan lokal, atau di lingkungan cloud lainnya, sebagai berikut:
- Workload yang Anda deploy di lingkungan komputasi pribadi atau lingkungan cloud dapat berkomunikasi dengan gateway API atau load balancer dengan menggunakan alamat IP internal. Sistem lain yang di-deploy di Google Cloud tidak dapat dijangkau.
- Komunikasi dari Google Cloud ke komputasi pribadi atau ke lingkungan cloud lainnya tidak diizinkan. Hanya traffic dimulai dari lingkungan pribadi atau lingkungan cloud lainnya ke Google Cloud API di Google Cloud.
Arsitektur
Diagram berikut menunjukkan arsitektur referensi yang memenuhi persyaratan pola traffic masuk dengan gerbang.
Deskripsi arsitektur dalam diagram sebelumnya adalah sebagai berikut:
- Di sisi Google Cloud, Anda men-deploy workload ke VPC aplikasi (atau beberapa VPC).
- Jaringan lingkungan Google Cloud meluas ke jaringan komputasi lingkungan lokal (lokal atau di cloud lain) dengan menggunakan lingkungan hybrid atau konektivitas jaringan multicloud untuk memfasilitasi komunikasi antara lingkungan fleksibel App Engine.
- Secara opsional, Anda dapat menggunakan VPC transit untuk melakukan hal berikut:
- Berikan lapisan keamanan perimeter tambahan untuk memungkinkan akses ke API tertentu di luar VPC aplikasi Anda.
- Rutekan traffic ke alamat IP API. Anda dapat membuat Aturan firewall VPC untuk mencegah beberapa sumber mengakses API tertentu melalui endpoint.
- Memeriksa traffic Lapisan 7 di VPC transit dengan mengintegrasikan {i>network virtual appliance<i} (NVA).
- Akses API melalui gateway API atau load balancer (proxy atau load balancer aplikasi) untuk menyediakan lapisan proxy dan abstraksi untuk Service API Anda. Jika Anda perlu mendistribusikan traffic di beberapa instance gateway API, Anda dapat menggunakan Load Balancer Jaringan passthrough internal.
- Memberikan akses terbatas dan terperinci ke melalui endpoint Private Service Connect dengan menggunakan load balancer melalui Private Service Connect untuk mengekspos aplikasi atau layanan.
- Semua lingkungan harus menggunakan ruang alamat IP RFC 1918 bebas tumpang-tindih.
Diagram berikut mengilustrasikan desain pola ini menggunakan Apigee sebagai platform API.
Pada diagram sebelumnya, menggunakan Apigee sebagai platform API memberikan fitur dan kemampuan berikut untuk mengaktifkan pola gated ingress:
- Fungsi proxy atau gateway
- Kemampuan keamanan
- Pembatasan kapasitas
- Analytics
Dalam desain:
- Konektivitas jaringan yang menuju ke utara (untuk lalu lintas yang berasal dari lingkungan) yang melewati Private Service Connect endpoint di VPC aplikasi Anda yang terkait dengan VPC Apigee.
- Di VPC aplikasi, load balancer internal digunakan untuk mengekspos API aplikasi melalui endpoint Private Service Connect yang disajikan di VPC Apigee. Untuk informasi selengkapnya, lihat Arsitektur dengan peering VPC dinonaktifkan.
Mengonfigurasi aturan firewall dan pemfilteran traffic di VPC aplikasi. Tindakan ini akan memberikan akses yang mendetail dan terkontrol. Hal ini juga membantu menghentikan sistem agar tidak menjangkau aplikasi Anda secara langsung tanpa melewati endpoint Private Service Connect dan gateway API.
Selain itu, Anda dapat membatasi iklan IP internal subnet alamat workload backend di VPC aplikasi ke jaringan lokal untuk menghindari keterjangkauan langsung tanpa meneruskan melalui endpoint Private Service Connect dan API, gateway.
Persyaratan keamanan tertentu mungkin memerlukan pemeriksaan keamanan perimeter di luar VPC aplikasi, termasuk lalu lintas konektivitas hibrida. Dengan demikian yang berbeda, Anda dapat mengintegrasikan VPC transit untuk menerapkan keamanan tambahan lapisan berbeda. Lapisan ini, seperti NVA {i> firewall<i} generasi berikutnya (NGFW) dengan beberapa antarmuka jaringan, atau Cloud Next Generation Firewall Enterprise dengan intrusion prevention service (IPS), lakukan pemeriksaan paket mendalam di luar VPC aplikasi, seperti yang diilustrasikan dalam diagram berikut:
Seperti yang digambarkan dalam diagram sebelumnya:
- Konektivitas jaringan yang menuju ke utara (untuk lalu lintas yang berasal dari ) akan melewati VPC transit terpisah menuju Endpoint Private Service Connect di VPC transit yang terkait dengan VPC Apigee.
- Di VPC aplikasi, load balancer internal (ILB dalam diagram) digunakan untuk mengekspos aplikasi melalui Endpoint Private Service Connect di Apigee Jaringan VPC.
Anda dapat menyediakan beberapa endpoint di jaringan VPC yang sama, seperti yang diagram berikut. Untuk mencakup berbagai kasus penggunaan, Anda dapat mengontrol berbagai kemungkinan jalur jaringan menggunakan Cloud Router dan aturan firewall VPC. Misalnya, jika Anda menghubungkan jaringan lokal ke Google Cloud menggunakan beberapa koneksi jaringan hybrid, Anda dapat mengirim beberapa traffic dari infrastruktur lokal ke Google API atau layanan yang dipublikasikan tertentu melalui satu koneksi dan sisanya melalui koneksi lain. Anda juga dapat menggunakan Akses global Private Service Connect untuk memberikan opsi failover.
Variasi
Pola arsitektur gated ingress dapat digabungkan dengan pendekatan lain untuk memenuhi persyaratan desain yang berbeda, sambil tetap mempertimbangkan yang diperlukan untuk pola tersebut. Pola ini menawarkan opsi berikut:
Mengekspos backend aplikasi ke lingkungan lain menggunakan Private Service Connect
Menggunakan arsitektur hub dan spoke untuk mengekspos backend aplikasi ke lingkungan lain
Mengakses Google API dari lingkungan lain
Untuk skenario yang memerlukan akses ke layanan Google, seperti Cloud Storage atau BigQuery, tanpa mengirimkan traffic melalui internet publik, Private Service Connect menawarkan solusi. Seperti yang ditampilkan dalam pada diagram berikut, memungkinkan keterjangkauan ke Google API yang didukung dan layanan (termasuk Google Maps, Google Ads, dan Google Cloud) dari lingkungan lokal atau lingkungan cloud lainnya melalui koneksi jaringan hybrid menggunakan alamat IP endpoint Private Service Connect. Untuk mengetahui informasi selengkapnya tentang yang mengakses Google API melalui endpoint Private Service Connect, lihat Tentang mengakses Google API melalui endpoint.
Pada diagram sebelumnya, jaringan lokal Anda harus terhubung ke jaringan VPC transit (konsumen) menggunakan tunnel Cloud VPN atau Lampiran VLAN Cloud Interconnect.
Google API dapat diakses dengan menggunakan endpoint atau backend. Dengan Endpoint, Anda dapat menargetkan paket Google API. Backend memungkinkan Anda menargetkan Google API regional.
Mengekspos backend aplikasi ke lingkungan lain menggunakan Private Service Connect
Dalam skenario tertentu, seperti yang disorot oleh pola hibrida bertingkat, Anda dapat perlu men-deploy backend di Google Cloud sambil mempertahankan frontend di lingkungan komputasi pribadi. Meskipun kurang umum, pendekatan ini dapat diterapkan ketika menangani frontend monolitik berat yang mungkin mengandalkan komponen. Atau, yang lebih umum, ketika mengelola aplikasi terdistribusi berbagai lingkungan, termasuk infrastruktur lokal dan cloud lainnya, yang memerlukan dan konektivitas ke backend yang dihosting di Google Cloud melalui jaringan hybrid.
Dalam arsitektur semacam ini, Anda dapat menggunakan gateway API lokal atau load balancer di lokal, atau lingkungan cloud lainnya, untuk mengekspos secara langsung frontend aplikasi ke internet publik. Menggunakan Private Service Connect di Google Cloud memfasilitasi yang terhubung ke backend yang diekspos melalui Private Service Connect, idealnya menggunakan API yang telah ditentukan, seperti yang digambarkan dalam diagram berikut:
Desain pada diagram sebelumnya menggunakan Hybrid Apigee deployment yang terdiri dari bidang pengelolaan di Google Cloud dan runtime yang dihosting di lingkungan Anda yang lain. Anda dapat menginstal dan mengelola runtime di gateway API terdistribusi di salah satu Platform Kubernetes di lingkungan lokal Anda atau di lingkungan cloud lainnya. Berdasarkan persyaratan untuk workload terdistribusi di Google Cloud dan Anda dapat menggunakan Apigee di Google Cloud dengan Apigee Hybrid. Untuk informasi selengkapnya, lihat Gateway API terdistribusi.
Menggunakan arsitektur hub dan spoke untuk mengekspos backend aplikasi ke lingkungan lain
Mengekspos API dari backend aplikasi yang dihosting di Google Cloud di seluruh jaringan VPC yang berbeda mungkin diperlukan dalam skenario tertentu. Seperti yang digambarkan dalam Dalam diagram berikut, VPC hub berfungsi sebagai titik pusat interkoneksi untuk berbagai VPC (spoke), yang memungkinkan komunikasi yang aman melalui hybrid pribadi konektivitas pribadi. Secara opsional, kemampuan gateway API lokal di lingkungan lain, seperti Apigee Hybrid, dapat digunakan untuk menghentikan permintaan klien secara lokal di tempat frontend aplikasi yang dihosting.
Seperti yang digambarkan dalam diagram sebelumnya:
- Untuk memberikan kemampuan inspeksi NGFW Layer 7 tambahan, NVA dengan Kemampuan NGFW terintegrasi secara opsional dengan desain. Anda mungkin memerlukan kemampuan ini untuk mematuhi persyaratan keamanan tertentu dan standar kebijakan keamanan organisasi Anda.
Desain ini mengasumsikan bahwa VPC yang berbicara tidak memerlukan VPC langsung ke VPC komunikasi antarlayanan.
- Jika komunikasi lisan dengan lisan diperlukan, Anda dapat menggunakan NVA untuk memfasilitasi komunikasi tersebut.
- Jika Anda memiliki backend yang berbeda di VPC yang berbeda, Anda bisa menggunakan Private Service Connect untuk mengekspos backend ini ke VPC Apigee.
- Jika peering VPC digunakan untuk arah utara dan selatan
konektivitas antara VPC yang terhubung dan VPC hub, Anda perlu mempertimbangkan
batasan transitivitas
jaringan VPC melalui peering VPC. Untuk mengatasi keterbatasan ini, Anda
dapat menggunakan salah satu opsi berikut:
- Untuk menghubungkan VPC, gunakan NVA.
- Jika berlaku, pertimbangkan Private Service Connect model transformer.
- Untuk membangun konektivitas antara VPC Apigee dan backend yang berada di Project Google Cloud di organisasi yang sama tanpa komponen jaringan tambahan, menggunakan VPC Bersama.
Jika NVA diperlukan untuk pemeriksaan lalu lintas—termasuk traffic dari lingkungan lain—konektivitas hybrid ke infrastruktur lokal atau cloud lainnya harus dihentikan di VPC hybrid-transit.
Jika desain tidak menyertakan NVA, Anda dapat menghentikan {i>hybrid<i} yang menyediakan konektivitas di VPC hub.
Jika fungsionalitas load balancing atau kemampuan keamanan tertentu diperlukan, seperti menambahkan perlindungan DDoS atau WAF Google Cloud Armor, Anda dapat secara opsional men-deploy Load Balancer Aplikasi eksternal di perimeter melalui platform VPC sebelum merutekan permintaan klien eksternal ke backend.
Praktik terbaik
- Untuk situasi di mana permintaan klien dari internet perlu diterima secara lokal oleh frontend yang dihosting di infrastruktur lokal lingkungan cloud Anda, pertimbangkan untuk menggunakan Apigee Hybrid sebagai API gateway default. Pendekatan ini juga memfasilitasi migrasi tanpa hambatan solusi ke lingkungan yang sepenuhnya dihosting Google Cloud sambil mempertahankan konsistensi platform API (Apigee).
- Gunakan Adaptor Apigee untuk Envoy dengan Deployment Hybrid Apigee dengan Kubernetes jika sesuai dengan persyaratan dan arsitektur Anda.
- Desain VPC dan project di Google Cloud harus mengikuti hierarki resource dan persyaratan model komunikasi yang aman, yang dijelaskan dalam panduan ini.
- Penggabungan VPC transit ke dalam desain ini memberikan fleksibilitas untuk menyediakan langkah keamanan perimeter tambahan dan konektivitas hybrid di luar VPC workload.
- Gunakan Private Service Connect untuk mengakses Google API dan layanan dari lingkungan lokal atau lingkungan cloud lainnya menggunakan alamat IP internal endpoint melalui jaringan konektivitas hybrid. Untuk informasi selengkapnya, lihat Mengakses endpoint dari host lokal.
- Untuk membantu melindungi layanan Google Cloud di project Anda dan
memitigasi risiko pemindahan data yang tidak sah, gunakan Kontrol Layanan VPC untuk menentukan
perimeter layanan di level project atau jaringan VPC.
- Jika diperlukan, Anda dapat memperluas perimeter layanan ke lingkungan hybrid melalui VPN atau Cloud Interconnect. Untuk selengkapnya informasi tentang manfaat perimeter layanan, lihat Ringkasan Kontrol Layanan VPC.
- Gunakan Aturan firewall VPC atau kebijakan firewall untuk mengontrol akses tingkat jaringan ke resource Private Service Connect melalui endpoint Private Service Connect. Misalnya, aturan firewall keluar di VPC aplikasi (konsumen) dapat membatasi akses dari instance VM ke alamat IP atau subnet endpoint Anda. Untuk mengetahui informasi selengkapnya tentang VPC aturan firewall secara umum, lihat Aturan firewall VPC.
- Saat merancang solusi yang menyertakan NVA, penting untuk mempertimbangkan ketersediaan tinggi (HA) dari NVA untuk menghindari titik tunggal kegagalan yang dapat memblokir semua komunikasi. Ikuti desain HA dan redundansi serta panduan penerapan yang disediakan oleh vendor NVA Anda.
- Untuk memperkuat keamanan perimeter dan mengamankan gateway API Anda yang yang di-deploy di lingkungan masing-masing, Anda juga dapat memilih untuk menerapkan mekanisme {i>firewall<i} dan aplikasi web dalam sistem komputasi lingkungan (hybrid atau cloud lainnya). Terapkan opsi ini di jaringan perimeter yang terhubung langsung ke internet.
- Jika instance memerlukan akses internet, gunakan Cloud NAT di VPC aplikasi untuk mengizinkan workload mengakses internet. Tindakan ini memungkinkan Anda menghindari penetapan instance VM dengan alamat IP publik eksternal yang di-deploy di balik gateway API atau load balancer.
- Untuk traffic web keluar, gunakan Proxy Web Aman. {i>Proxy<i} menawarkan beberapa manfaat.
- Ulas praktik terbaik umum untuk pola jaringan hybrid dan multicloud.