Il pattern gated si basa su un'architettura che espone di applicazioni e servizi in modo granulare, in base a API o endpoint tra i diversi ambienti. Questa guida classifica questo modello in tre possibili opzioni, ciascuna determinata dall'applicazione modello di comunicazione:
- Traffico in uscita ad accesso controllato
In entrata e in uscita con accesso limitato (con gate bidirezionale in entrambe le direzioni)
Come accennato in precedenza in questa guida, i pattern dell'architettura di networking descritti qui, possono essere adattati a varie applicazioni con requisiti diversi. Per soddisfare le esigenze specifiche delle diverse applicazioni, la zona di destinazione principale potrebbe incorporare un pattern o una combinazione di pattern contemporaneamente. Il deployment specifico dell'architettura selezionata in base ai requisiti specifici di comunicazione di ciascun modello ad accesso riservato.
Questa serie illustra ogni modello ad accesso riservato e le relative opzioni di progettazione possibili. Tuttavia, un'opzione di progettazione comune applicabile a tutti i pattern con accesso limitato è Architettura distribuita senza attendibilità per applicazioni containerizzate con l'architettura di microservizi. Questa opzione è fornito da Cloud Service Mesh Apigee e Adattatore Apigee per Envoy: un il deployment di un gateway Apigee leggero all'interno di un cluster Kubernetes. Apigee Adapter per Envoy è un popolare proxy perimetrale e di servizi open source, progettato per applicazioni cloud-first. Questa architettura controlla le applicazioni comunicazioni tra servizi e la direzione di comunicazione a livello il livello di servizio. I criteri di comunicazione del traffico possono essere progettati, perfezionati applicata a livello di servizio in base al pattern selezionato.
I pattern limitati consentono l'implementazione di Cloud Next Generation Firewall Enterprise con servizio di prevenzione delle intrusioni (IPS) eseguire un'ispezione approfondita dei pacchetti per prevenire le minacce senza alcuna progettazione o modifiche dei percorsi. L'ispezione è soggetta alle specifiche applicazioni accessibili, il modello di comunicazione e la sicurezza i tuoi requisiti. Se i requisiti di sicurezza richiedono il livello 7 e un'ispezione approfondita dei pacchetti con meccanismi firewall avanzati che superano le capacità Cloud Next Generation Firewall, puoi utilizzare un firewall centralizzato di nuova generazione (NGFW) ospitato in un'appliance virtuale di rete (NVA). Diversi prodotti Google Cloud partner per la sicurezza offrire appliance NGFW in grado di soddisfare le tue esigenze di sicurezza. Integrazione di NVA con questi pattern isolati possono richiedere l'introduzione di più zone di sicurezza la progettazione della rete, ciascuna con livelli di controllo dell'accesso distinti. Per maggiori informazioni le informazioni, vedi appliance di rete centralizzate su Google Cloud