Halaman ini diterjemahkan oleh Cloud Translation API.

Pola mesh

Last reviewed 2023-12-14 UTC

Pola mesh didasarkan pada pembentukan arsitektur jaringan hybrid. Arsitektur tersebut mencakup beberapa lingkungan komputasi. Dalam lingkungan ini, semua sistem dapat berkomunikasi satu sama lain dan tidak terbatas pada komunikasi satu arah berdasarkan persyaratan keamanan aplikasi Anda. Pola jaringan ini terutama berlaku untuk arsitektur hybrid bertingkat, multicloud yang dipartisi, atau bursting. Hal ini juga berlaku untuk desain keberlangsungan bisnis untuk menyediakan lingkungan pemulihan dari bencana (DR) di Google Cloud. Dalam semua kasus, Anda harus menghubungkan lingkungan komputasi dengan cara yang selaras dengan persyaratan komunikasi berikut:

Workload dapat berkomunikasi satu sama lain di seluruh batas lingkungan menggunakan alamat IP RFC 1918 pribadi.
Komunikasi dapat dimulai dari kedua belah pihak. Spesifikasi model komunikasi dapat bervariasi berdasarkan aplikasi dan persyaratan keamanan, seperti model komunikasi yang dibahas dalam opsi desain yang akan datang.
Aturan firewall yang Anda gunakan harus mengizinkan traffic antara sumber dan tujuan alamat IP tertentu berdasarkan persyaratan aplikasi, atau aplikasi, yang polanya dirancang. Idealnya, Anda dapat menggunakan pendekatan keamanan berlapis untuk membatasi alur traffic secara mendetail, baik di antara maupun di dalam lingkungan komputasi.

Arsitektur

Diagram berikut mengilustrasikan arsitektur referensi tingkat tinggi dari pola mesh.

Data dalam arsitektur jaringan campuran mengalir dari dua subnet di Google Cloud ke workload di lingkungan lokal.

Semua lingkungan harus menggunakan ruang alamat IP RFC 1918 yang bebas tumpang-tindih.
Di sisi Google Cloud, Anda dapat men-deploy workload ke dalam satu atau beberapa VPC bersama atau VPC non-bersama. Untuk kemungkinan opsi desain lain dari pola ini, lihat variasi desain yang mengikuti. Struktur VPC yang dipilih harus selaras dengan project dan desain hierarki resource organisasi Anda.
Jaringan VPC Google Cloud diperluas ke lingkungan komputasi lainnya. Lingkungan tersebut dapat berada di infrastruktur lokal atau di cloud lain. Gunakan salah satu opsi konektivitas jaringan hybrid dan multicloud yang memenuhi persyaratan bisnis dan aplikasi Anda.
Batasi komunikasi hanya ke alamat IP yang diizinkan dari sumber dan tujuan Anda. Gunakan salah satu kemampuan berikut, atau kombinasi kemampuan tersebut:
- Aturan firewall atau kebijakan firewall.
- Network virtual appliance (NVA) dengan kemampuan pemeriksaan firewall generasi berikutnya (NGFW), yang ditempatkan di jalur jaringan.
- Cloud Next Generation Firewall Enterprise dengan intrusion prevention service (IPS) untuk menerapkan deep packet inspection guna mencegah ancaman tanpa mengubah desain jaringan atau rute.

Variasi

Pola arsitektur mesh dapat digabungkan dengan pendekatan lain untuk memenuhi persyaratan desain yang berbeda, sambil tetap mempertimbangkan persyaratan komunikasi pola. Opsi pola dijelaskan di bagian berikut:

Satu VPC per lingkungan
Menggunakan firewall lapisan aplikasi terpusat
Arsitektur terdistribusi zero-trust microservice

Satu VPC per lingkungan

Alasan umum untuk mempertimbangkan opsi satu VPC per lingkungan adalah sebagai berikut:

Lingkungan cloud memerlukan pemisahan jaringan dan resource VPC di tingkat jaringan, sesuai dengan desain hierarki resource organisasi Anda. Jika diperlukan, pemisahan domain administratif juga dapat digabungkan dengan project terpisah per lingkungan.
- Untuk mengelola resource jaringan secara terpusat di jaringan umum dan memberikan isolasi jaringan di antara berbagai lingkungan, gunakan VPC bersama untuk setiap lingkungan yang Anda miliki di Google Cloud, seperti pengembangan, pengujian, dan produksi.
Persyaratan skala yang mungkin perlu melebihi kuota VPC untuk satu VPC atau project.

Seperti yang diilustrasikan dalam diagram berikut, desain satu VPC per lingkungan memungkinkan setiap VPC berintegrasi langsung dengan lingkungan lokal atau lingkungan cloud lainnya menggunakan VPN, atau Cloud Interconnect dengan beberapa lampiran VLAN.

Data dalam arsitektur jaringan hybrid dengan satu VPC di setiap lingkungan mengalir dari dua subnet di Google Cloud ke workload di lingkungan lokal.

Pola yang ditampilkan dalam diagram sebelumnya dapat diterapkan pada topologi jaringan hub-and-spoke zona landing. Dalam topologi tersebut, satu (atau beberapa) koneksi hybrid dapat dibagikan dengan semua VPC spoke. VPC ini dibagikan menggunakan VPC transit untuk menghentikan konektivitas hibrida dan VPC spoke lainnya. Anda juga dapat memperluas desain ini dengan menambahkan NVA dengan kemampuan pemeriksaan firewall generasi berikutnya (NGFW) di VPC transit, seperti yang dijelaskan di bagian berikutnya, "Menggunakan firewall lapisan aplikasi terpusat".

Menggunakan firewall lapisan aplikasi terpusat

Jika persyaratan teknis Anda mewajibkan pertimbangan lapisan aplikasi (Lapisan 7) dan pemeriksaan paket mendalam dengan kemampuan firewall lanjutan yang melebihi kemampuan Cloud Next Generation Firewall, Anda dapat menggunakan perangkat NGFW yang dihosting di NVA. Namun, NVA tersebut harus memenuhi kebutuhan keamanan organisasi Anda. Untuk menerapkan mekanisme ini, Anda dapat memperluas topologi untuk meneruskan semua traffic lintas-lingkungan melalui firewall NVA terpusat, seperti yang ditunjukkan dalam diagram berikut.

Anda dapat menerapkan pola dalam diagram berikut pada desain zona landing dengan menggunakan topologi hub-and-spoke dengan peralatan terpusat:

Data dari dua VPC bersama di Google Cloud mengalir melalui NVA ke jaringan VPC transit ke workload di lingkungan lokal.

Seperti yang ditunjukkan pada diagram sebelumnya, NVA bertindak sebagai lapisan keamanan perimeter dan berfungsi sebagai dasar untuk mengaktifkan pemeriksaan traffic inline. Layanan ini juga menerapkan kebijakan kontrol akses yang ketat. Untuk memeriksa alur traffic timur-barat dan utara-selatan, desain NVA terpusat dapat mencakup beberapa segmen dengan tingkat kontrol akses keamanan yang berbeda.

Arsitektur terdistribusi zero-trust microservice

Saat aplikasi dalam container digunakan, arsitektur terdistribusi zero trust microservice yang dibahas di bagian pola cermin juga berlaku untuk pola arsitektur ini.

Perbedaan utama antara pola ini dan pola yang dicerminkan adalah model komunikasi antara beban kerja di Google Cloud dan lingkungan lain dapat dimulai dari salah satu sisi. Traffic harus dikontrol dan terperinci, berdasarkan persyaratan aplikasi dan persyaratan keamanan menggunakan Service Mesh.

Praktik terbaik pola mesh

Sebelum melakukan hal lain, tentukan desain hierarki resource, dan desain yang diperlukan untuk mendukung project dan VPC apa pun. Tindakan ini dapat membantu Anda memilih arsitektur jaringan yang optimal dan selaras dengan struktur project Google Cloud Anda.
Gunakan arsitektur terdistribusi zero trust saat menggunakan Kubernetes dalam lingkungan komputasi pribadi dan Google Cloud.
Saat menggunakan NVA terpusat dalam desain, Anda harus menentukan beberapa segmen dengan tingkat kontrol akses keamanan dan kebijakan pemeriksaan traffic yang berbeda. Dasari kontrol dan kebijakan ini pada persyaratan keamanan aplikasi Anda.
Saat mendesain solusi yang menyertakan NVA, penting untuk mempertimbangkan ketersediaan tinggi (HA) NVA untuk menghindari titik kegagalan tunggal yang dapat memblokir semua komunikasi. Ikuti panduan desain dan penerapan HA serta redundansi yang diberikan oleh vendor keamanan Google Cloud yang menyediakan NVA Anda.
Untuk memberikan privasi yang lebih baik, integritas data, dan model komunikasi yang terkontrol, ekspos aplikasi melalui API menggunakan gateway API, seperti Apigee dan Apigee hybrid dengan mTLS menyeluruh. Anda juga dapat menggunakan VPC bersama dengan Apigee di resource organisasi yang sama.
Jika desain solusi Anda memerlukan eksposur aplikasi berbasis Google Cloud ke internet publik, pertimbangkan rekomendasi desain yang dibahas dalam Jaringan untuk pengiriman aplikasi yang menghadap internet.
Untuk membantu melindungi layanan Google Cloud dalam project Anda, dan untuk membantu memitigasi risiko pemindahan data yang tidak sah, gunakan Kontrol Layanan VPC untuk menentukan perimeter layanan di tingkat project atau jaringan VPC. Selain itu, Anda dapat memperluas perimeter layananke lingkungan hybrid melalui VPN atau Cloud Interconnect resmi. Untuk mengetahui informasi selengkapnya tentang manfaat perimeter layanan, lihat Ringkasan Kontrol Layanan VPC.
Tinjau praktik terbaik umum untuk pola jaringan hybrid dan multicloud.

Jika Anda ingin menerapkan isolasi yang lebih ketat dan akses yang lebih terperinci antara aplikasi yang dihosting di Google Cloud, dan di lingkungan lain, sebaiknya gunakan salah satu pola yang dibatasi yang dibahas dalam dokumen lain dalam seri ini.

Sebelumnya

Pola yang diduplikasi

Berikutnya

Pola dengan akses terbatas