Pola yang diduplikasi

Pola cermin didasarkan pada replikasi desain lingkungan tertentu yang ada ke lingkungan baru. Oleh karena itu, pola ini terutama berlaku untuk arsitektur yang mengikuti pola hybrid lingkungan. Dalam pola tersebut, Anda menjalankan workload pengembangan dan pengujian di satu lingkungan saat menjalankan staging dan produksi workload di lingkungan lain.

Pola yang dicerminkan mengasumsikan bahwa workload pengujian dan produksi tidak seharusnya berkomunikasi langsung satu sama lain. Namun, Anda dapat mengelola dan men-deploy kedua kelompok workload secara konsisten.

Jika Anda menggunakan pola ini, hubungkan kedua lingkungan komputasi dengan cara yang sesuai dengan persyaratan berikut:

• Continuous integration/continuous deployment (CI/CD) dapat men-deploy dan mengelola workload di semua lingkungan komputasi atau lingkungan tertentu.
• Pemantauan, pengelolaan konfigurasi, dan sistem administratif lainnya harus berfungsi di seluruh lingkungan komputasi.
• Workload tidak dapat berkomunikasi langsung di seluruh lingkungan komputasi. Jika diperlukan, komunikasi harus dilakukan dengan cara yang terperinci dan terkontrol.

Arsitektur

Diagram arsitektur berikut menunjukkan arsitektur referensi tingkat tinggi dari pola ini yang mendukung CI/CD, Pemantauan, pengelolaan konfigurasi, sistem administratif lainnya, dan komunikasi beban kerja:

Deskripsi arsitektur dalam diagram sebelumnya adalah sebagai berikut:

• Workload didistribusikan berdasarkan lingkungan fungsional (alat pengembangan, pengujian, CI/CD, dan administratif) di seluruh VPC terpisah di sisi Google Cloud.
• VPC Bersama digunakan untuk workload pengembangan dan pengujian. VPC tambahan digunakan untuk alat CI/CD dan administratif. Dengan VPC bersama:
  • Aplikasi dikelola oleh tim yang berbeda per lingkungan dan per project layanan.
  • Project host mengelola dan mengontrol komunikasi jaringan dan kontrol keamanan antara lingkungan pengembangan dan pengujian—serta ke luar VPC.
• VPC CI/CD terhubung ke jaringan yang menjalankan workload produksi di lingkungan komputasi pribadi Anda.
• Aturan firewall hanya mengizinkan traffic yang diizinkan.
  • Anda juga dapat menggunakan Cloud Next Generation Firewall Enterprise dengan layanan pencegahan intrusi (IPS) untuk menerapkan deep packet inspection untuk pencegahan ancaman tanpa mengubah desain atau rute. Cloud Next Generation Firewall Enterprise berfungsi dengan membuat endpoint firewall zona yang dikelola Google yang menggunakan teknologi intersepsi paket untuk memeriksa beban kerja secara transparan untuk menemukan tanda tangan ancaman yang dikonfigurasi. Layanan ini juga melindungi workload dari ancaman.
• Memungkinkan komunikasi di antara VPC yang di-peer menggunakan alamat IP internal.
  • Dengan peering dalam pola ini, CI/CD dan sistem administratif dapat men-deploy dan mengelola workload pengembangan dan pengujian.
• Pertimbangkan praktik terbaik umum berikut.

Anda membuat koneksi CI/CD ini menggunakan salah satu opsi konektivitas jaringan hybrid dan multicloud yang telah dibahas dan memenuhi persyaratan bisnis dan aplikasi Anda. Agar Anda dapat men-deploy dan mengelola workload produksi, koneksi ini menyediakan keterjangkauan jaringan pribadi di antara berbagai lingkungan komputasi. Semua lingkungan harus memiliki ruang alamat IP RFC 1918 yang bebas tumpang-tindih.

Jika instance di lingkungan pengembangan dan pengujian memerlukan akses internet, pertimbangkan opsi berikut:

• Anda dapat men-deploy Cloud NAT ke jaringan project host VPC Bersama yang sama. Men-deploy ke jaringan project host VPC Bersama yang sama membantu menghindari agar instance ini dapat diakses langsung dari internet.
• Untuk traffic web keluar, Anda dapat menggunakan Secure Web Proxy. Proxy menawarkan beberapa manfaat.

Untuk informasi selengkapnya tentang alat dan kemampuan Google Cloud yang membantu Anda mem-build, menguji, dan men-deploy di Google Cloud dan di seluruh lingkungan hybrid dan multi-cloud, lihat blog Penjelasan DevOps dan CI/CD di Google Cloud.

Variasi

Untuk memenuhi berbagai persyaratan desain, sekaligus tetap mempertimbangkan semua persyaratan komunikasi, pola arsitektur cerminan menawarkan opsi ini, yang dijelaskan di bagian berikut:

• VPC Bersama per lingkungan
• Firewall lapisan aplikasi terpusat
• Topologi hub-and-spoke
• Arsitektur terdistribusi zero-trust microservice

VPC Bersama per lingkungan

Opsi desain VPC bersama per lingkungan memungkinkan pemisahan tingkat aplikasi atau layanan di seluruh lingkungan, termasuk alat CI/CD dan administratif yang mungkin diperlukan untuk memenuhi persyaratan keamanan organisasi tertentu. Persyaratan ini membatasi komunikasi, domain administratif, dan kontrol akses untuk berbagai layanan yang juga perlu dikelola oleh tim yang berbeda.

Desain ini mencapai pemisahan dengan menyediakan isolasi tingkat jaringan dan project di antara lingkungan yang berbeda, yang memungkinkan komunikasi yang lebih mendetail dan kontrol akses Identity and Access Management (IAM).

Dari perspektif pengelolaan dan operasi, desain ini memberikan fleksibilitas untuk mengelola aplikasi dan beban kerja yang dibuat oleh tim yang berbeda per lingkungan dan per project layanan. Jaringan VPC, dan fitur keamanannya dapat disediakan dan dikelola oleh tim operasi jaringan berdasarkan struktur yang mungkin berikut:

• Satu tim mengelola semua project host di semua lingkungan.
• Tim yang berbeda mengelola project host di lingkungan masing-masing.

Keputusan tentang pengelolaan project host harus didasarkan pada struktur tim, operasi keamanan, dan persyaratan akses setiap tim. Anda dapat menerapkan variasi desain ini ke opsi desain jaringan VPC Bersama untuk setiap zona landing lingkungan. Namun, Anda perlu mempertimbangkan persyaratan komunikasi pola cermin untuk menentukan komunikasi yang diizinkan di antara berbagai lingkungan, termasuk komunikasi melalui jaringan hybrid.

Anda juga dapat menyediakan jaringan VPC Bersama untuk setiap lingkungan utama, seperti yang diilustrasikan dalam diagram berikut:

Firewall lapisan aplikasi terpusat

Dalam beberapa skenario, persyaratan keamanan mungkin mewajibkan pertimbangan lapisan aplikasi (Lapisan 7) dan pemeriksaan paket mendalam dengan mekanisme firewall lanjutan yang melampaui kemampuan Cloud Next Generation Firewall. Untuk memenuhi persyaratan dan standar keamanan organisasi, Anda dapat menggunakan perangkat NGFW yang dihosting di virtual appliance jaringan (NVA). Beberapa partner keamanan Google Cloud menawarkan opsi yang sangat cocok untuk tugas ini.

Seperti yang diilustrasikan dalam diagram berikut, Anda dapat menempatkan NVA di jalur jaringan antara Virtual Private Cloud dan lingkungan komputasi pribadi menggunakan beberapa antarmuka jaringan.

Desain ini juga dapat digunakan dengan beberapa VPC bersama seperti yang diilustrasikan dalam diagram berikut.

NVA dalam desain ini berfungsi sebagai lapisan keamanan perimeter. Data ini juga berfungsi sebagai dasar untuk mengaktifkan pemeriksaan traffic inline dan menerapkan kebijakan kontrol akses yang ketat.

Untuk strategi keamanan multilapis yang andal yang mencakup aturan firewall VPC dan kemampuan layanan pencegahan intrusi, sertakan pemeriksaan traffic dan kontrol keamanan lebih lanjut ke alur traffic timur-barat dan utara-selatan.

Topologi hub-and-spoke

Variasi desain lainnya yang mungkin adalah menggunakan VPC terpisah (termasuk VPC bersama) untuk pengembangan dan berbagai tahap pengujian. Dalam variasi ini, seperti yang ditunjukkan pada diagram berikut, semua lingkungan tahap terhubung dengan VPC CI/CD dan administratif dalam arsitektur hub-and-spoke. Gunakan opsi ini jika Anda harus memisahkan domain administratif dan fungsi di setiap lingkungan. Model komunikasi hub-and-spoke dapat membantu memenuhi persyaratan berikut:

• Aplikasi perlu mengakses kumpulan layanan umum, seperti pemantauan, alat pengelolaan konfigurasi, CI/CD, atau autentikasi.
• Kumpulan kebijakan keamanan umum perlu diterapkan ke traffic masuk dan keluar secara terpusat melalui hub.

Untuk informasi selengkapnya tentang opsi desain hub-and-spoke, lihat Topologi hub-and-spoke dengan peralatan terpusat dan Topologi hub-and-spoke tanpa peralatan terpusat.

Seperti yang ditunjukkan pada diagram sebelumnya, komunikasi antar-VPC dan konektivitas hibrida semuanya melewati VPC hub. Sebagai bagian dari pola ini, Anda dapat mengontrol dan membatasi komunikasi di VPC hub agar sesuai dengan persyaratan konektivitas Anda.

Sebagai bagian dari arsitektur jaringan hub-and-spoke, berikut adalah opsi konektivitas utama (antara spoke dan VPC hub) di Google Cloud:

• Peering Jaringan VPC
• VPN
• Menggunakan network virtual appliance (NVA)
  • Dengan beberapa antarmuka jaringan
  • Dengan Network Connectivity Center (NCC)

Untuk informasi selengkapnya tentang opsi yang harus Anda pertimbangkan dalam desain, lihat Arsitektur jaringan hub-and-spoke. Faktor penentu utama untuk memilih VPN melalui peering VPC antara spoke dan VPC hub adalah saat transitivitas traffic diperlukan. Transitivitas traffic berarti traffic dari spoke dapat menjangkau spoke lain melalui hub.

Arsitektur terdistribusi zero trust microservice

Arsitektur hybrid dan multicloud dapat memerlukan beberapa cluster untuk mencapai tujuan teknis dan bisnisnya, termasuk memisahkan lingkungan produksi dari lingkungan pengembangan dan pengujian. Oleh karena itu, kontrol keamanan perimeter jaringan sangat penting, terutama jika diperlukan untuk mematuhi persyaratan keamanan tertentu.

Dukungan untuk persyaratan keamanan arsitektur microservice terdistribusi cloud-first saat ini saja tidak cukup. Anda juga harus mempertimbangkan arsitektur terdistribusi zero trust. Arsitektur terdistribusi zero trust microservice mendukung arsitektur microservice Anda dengan penerapan kebijakan keamanan level microservice, autentikasi, dan identitas workload. Kepercayaan bersifat berbasis identitas dan diterapkan untuk setiap layanan.

Dengan menggunakan arsitektur proxy terdistribusi, seperti mesh layanan, layanan dapat memvalidasi pemanggil secara efektif dan menerapkan kebijakan kontrol akses terperinci untuk setiap permintaan, sehingga memungkinkan lingkungan microservice yang lebih aman dan skalabel. Cloud Service Mesh memberi Anda fleksibilitas untuk memiliki mesh umum yang dapat menjangkau deployment lokal dan Google Cloud Anda. Mesh menggunakan kebijakan otorisasi untuk membantu mengamankan komunikasi layanan ke layanan.

Anda juga dapat menggabungkan Adaptor Apigee untuk Envoy, yang merupakan deployment gateway API Apigee yang ringan dalam cluster Kubernetes, dengan arsitektur ini. Adaptor Apigee untuk Envoy adalah proxy layanan dan edge open source yang dirancang untuk aplikasi cloud-first.

Untuk informasi selengkapnya tentang topik ini, lihat artikel berikut:

• Arsitektur Terdistribusi Zero Trust
• Lingkungan campuran GKE Enterprise
• Hubungkan ke Google
  • Hubungkan cluster GKE Enterprise lokal ke jaringan Google Cloud.
• Menyiapkan mesh multicloud atau hybrid
  • Men-deploy Cloud Service Mesh di seluruh lingkungan dan cluster.

Praktik terbaik pola yang dicerminkan

• Sistem CI/CD yang diperlukan untuk men-deploy atau mengonfigurasi ulang deployment produksi harus sangat tersedia, yang berarti semua komponen arsitektur harus dirancang untuk memberikan tingkat ketersediaan sistem yang diharapkan. Untuk informasi selengkapnya, lihat Keandalan infrastruktur Google Cloud.
• Untuk menghilangkan error konfigurasi untuk proses berulang seperti update kode, otomatisasi sangat penting untuk menstandarkan build, pengujian, dan deployment Anda.
• Integrasi NVA terpusat dalam desain ini mungkin memerlukan penyatuan beberapa segmen dengan berbagai tingkat kontrol akses keamanan.
• Saat mendesain solusi yang menyertakan NVA, penting untuk mempertimbangkan ketersediaan tinggi (HA) NVA untuk menghindari titik kegagalan tunggal yang dapat memblokir semua komunikasi. Ikuti panduan desain dan penerapan HA serta redundansi yang diberikan oleh vendor NVA Anda.
• Dengan tidak mengekspor rute IP lokal melalui peering VPC atau VPN ke VPC pengembangan dan pengujian, Anda dapat membatasi keterjangkauan jaringan dari lingkungan pengembangan dan pengujian ke lingkungan lokal. Untuk mengetahui informasi selengkapnya, lihat Pertukaran rute kustom Peering Jaringan VPC.
• Untuk beban kerja dengan alamat IP pribadi yang dapat memerlukan akses API Google, Anda dapat mengekspos Google API menggunakan endpoint Private Service Connect dalam jaringan VPC. Untuk informasi selengkapnya, lihat Gated ingress, dalam seri ini.
• Tinjau praktik terbaik umum untuk pola arsitektur jaringan hybrid dan multicloud.