Pola terbatas didasarkan pada arsitektur yang mengekspos aplikasi dan layanan tertentu secara terperinci, berdasarkan API atau endpoint tertentu yang ditampilkan di antara berbagai lingkungan. Panduan ini mengategorikan pola ini menjadi tiga kemungkinan opsi, yang masing-masing ditentukan oleh model komunikasi tertentu:
- Traffic keluar dengan akses terbatas
Traffic keluar dan masuk dengan akses terbatas (dengan akses terbatas dua arah)
Seperti yang disebutkan sebelumnya dalam panduan ini, pola arsitektur jaringan yang dijelaskan di sini dapat disesuaikan dengan berbagai aplikasi dengan persyaratan yang beragam. Untuk memenuhi kebutuhan spesifik dari berbagai aplikasi, arsitektur zona landing utama Anda dapat menggabungkan satu pola atau kombinasi pola secara bersamaan. Deployment spesifik arsitektur yang dipilih ditentukan oleh persyaratan komunikasi spesifik dari setiap pola berpagar.
Seri ini membahas setiap pola berpagar dan kemungkinan opsi desainnya. Namun, satu opsi desain umum yang berlaku untuk semua pola berpagar adalah Zero Trust Distributed Architecture untuk aplikasi dalam container dengan arsitektur microservice. Opsi ini didukung oleh Cloud Service Mesh, Apigee, dan Adaptor Apigee untuk Envoy—penempatan gateway Apigee yang ringan dalam cluster Kubernetes. Adaptor Apigee untuk Envoy adalah proxy layanan dan edge open source populer yang dirancang untuk aplikasi cloud-first. Arsitektur ini mengontrol komunikasi antarlayanan yang aman dan arah komunikasi di tingkat layanan. Kebijakan komunikasi traffic dapat dirancang, disesuaikan, dan diterapkan di tingkat layanan berdasarkan pola yang dipilih.
Pola yang dibatasi memungkinkan penerapan Cloud Next Generation Firewall Enterprise dengan intrusion prevention service (IPS) untuk melakukan deep packet inspection guna mencegah ancaman tanpa modifikasi desain atau pemilihan rute. Pemeriksaan tersebut tunduk pada aplikasi tertentu yang diakses, model komunikasi, dan persyaratan keamanan. Jika persyaratan keamanan memerlukan pemeriksaan paket mendalam dan Lapisan 7 dengan mekanisme firewall lanjutan yang melampaui kemampuan Cloud Next Generation Firewall, Anda dapat menggunakan firewall generasi berikutnya (NGFW) terpusat yang dihosting di virtual appliance jaringan (NVA). Beberapa partner keamanan Google Cloud menawarkan perangkat NGFW yang dapat memenuhi persyaratan keamanan Anda. Mengintegrasikan NVA dengan pola berpagar ini dapat memerlukan pengenalan beberapa zona keamanan dalam desain jaringan, masing-masing dengan tingkat kontrol akses yang berbeda.