ゲートパターンは、さまざまな環境間で公開されている特定の API またはエンドポイントに基づいて、選択したアプリケーションとサービスをきめ細かく公開するアーキテクチャに基づいています。このガイドでは、このパターンを 3 つのオプションに分類します。それぞれ、特定の通信モデルによって決まります。
- 下り(外向き)ゲート型
下り(外向き)ゲート型と上り(内向き)ゲート型(双方向のゲート型)
このガイドですでに説明したように、ここで説明するネットワーキング アーキテクチャ パターンは、多様な要件を持つさまざまなアプリケーションに適応できます。さまざまなアプリケーションの特定のニーズに対応するために、メインのランディング ゾーン アーキテクチャに、1 つのパターンまたは複数のパターンの組み合わせを同時に組み込むことができます。選択したアーキテクチャの具体的なデプロイは、各ゲートパターンの特定の通信要件によって決まります。
このシリーズでは、各ゲートパターンとその設計オプションについて説明します。ただし、すべてのゲートパターンに適用できる一般的な設計オプションとして、マイクロサービス アーキテクチャを使用したコンテナ化アプリケーション向けのゼロトラスト分散型アーキテクチャがあります。このオプションでは、Cloud Service Mesh、Apigee、Apigee Adapter for Envoy(Kubernetes クラスタ内の軽量な Apigee ゲートウェイ デプロイ)を活用しています。Apigee Adapter for Envoy は、クラウドファースト アプリケーション用に設計された、よく使われているオープンソースのエッジおよびサービス プロキシです。このアーキテクチャは、許可された安全なサービス間通信と通信の方向をサービスレベルで制御します。トラフィック通信ポリシーは、選択したパターンに基づいてサービスレベルで設計、微調整、適用できます。
ゲートパターンを使用すると、Cloud Next Generation Firewall Enterprise に侵入防止サービス(IPS)を実装して、設計やルーティングを変更することなく、脅威防止のための詳細なパケット検査を実行できます。この検査は、アクセスされる特定のアプリケーション、通信モデル、セキュリティ要件によって異なります。セキュリティ要件で、Cloud Next Generation Firewall の機能を超える高度なファイアウォール メカニズムによるレイヤ 7 と詳細なパケット検査が必要な場合は、ネットワーク仮想アプライアンス(NVA)でホストされている一元化された次世代ファイアウォール(NGFW)を使用できます。Google Cloud の複数のセキュリティ パートナーが、セキュリティ要件を満たす NGFW アプライアンスを提供しています。NVA をこれらのゲートパターンと統合するには、ネットワーク設計内に複数のセキュリティ ゾーンを導入し、それぞれに異なるアクセス制御レベルを設定する必要があります。詳細については、Google Cloud 上の一元管理されたネットワーク アプライアンスをご覧ください。