O padrão controlado é baseado em uma arquitetura que expõe serviços aplicativos de seleção de maneira refinada, com base em APIs ou endpoints específicos expostos entre diferentes ambientes. Neste guia, categorizamos esse padrão em três opções possíveis, cada uma determinada pelo modelode comunicação específico:
- Saída controlada
Entrada e saída controladas (controle bidirecional em ambas as direções)
Conforme mencionado anteriormente neste guia, os padrões de arquitetura de rede descritos podem ser adaptados a várias aplicações com requisitos diversos. Para atender às necessidades específicas de diferentes aplicativos, sua arquitetura de zona de destino principal pode incorporar um padrão ou uma combinação de padrões simultaneamente. A implantação específica da arquitetura selecionada é determinada pelos requisitos de comunicação específicos de cada padrão controlado.
Confira nesta série os padrões controlados e as possíveis opções de design. No entanto, uma opção de design comum aplicável a todos os padrões fechados é a Arquitetura distribuída de confiança zero para aplicativos conteinerizados com arquitetura de microsserviços. Essa opção conta com a tecnologia do Cloud Service Mesh Apigee e Adaptador da Apigee para Envoy: uma implantação leve de gateway da Apigee em um cluster do Kubernetes. O adaptador da Apigee para Envoy é um proxy de serviço e borda de código aberto conhecido desenvolvido para aplicativos com priorização da nuvem. Os controles de arquitetura permitem comunicações entre serviços protegidas e a direção da comunicação no nível do serviço. As políticas de comunicação de tráfego podem ser criadas, ajustadas e aplicadas no nível de serviço com base no padrão selecionado.
Padrões controlados permitem a implementação do Cloud Next Generation Firewall Enterprise por serviço de prevenção de invasões (IPS) para realizar uma inspeção detalhada de pacotes para prevenção de ameaças sem nenhuma modificação de design ou rota. Essa inspeção está sujeita aos aplicativos específicos acessados, o modelo de comunicação e os requisitos de segurança. Se os requisitos de segurança exigirem a camada 7 e uma inspeção detalhada de pacotes com mecanismos avançados de firewall que ultrapassam os recursos do firewall de última geração do Google Cloud, é possível usar um firewall de última geração (NGFW) centralizado hospedado em um dispositivo virtual de rede (NVA). Vários produtos dos parceiros do Google Cloud Security oferecem dispositivos de NGFW que podem atender aos seus requisitos de segurança. Integrar NVAs com esses padrões controlados pode exigir a introdução de várias zonas de segurança dentro do design de rede, cada uma com níveis de controle de acesso distintos.