Pola yang dicerminkan didasarkan pada replikasi desain lingkungan atau lingkungan tertentu yang sudah ada ke lingkungan atau lingkungan baru. Oleh karena itu, pola ini berlaku terutama untuk arsitektur yang mengikuti pola hibrid lingkungan. Dalam pola tersebut, Anda menjalankan workload pengembangan dan pengujian di satu lingkungan sekaligus menjalankan workload staging dan produksi di lingkungan lain.
Pola yang diduplikasi mengasumsikan bahwa beban kerja pengujian dan produksi tidak seharusnya berkomunikasi langsung satu sama lain. Namun, kedua grup workload tersebut harus dapat dikelola dan di-deploy secara konsisten.
Jika Anda menggunakan pola ini, hubungkan kedua lingkungan komputasi tersebut sesuai dengan persyaratan berikut:
- Continuous integration/continuous deployment (CI/CD) dapat men-deploy dan mengelola workload di semua lingkungan komputasi atau lingkungan tertentu.
- Pemantauan, manajemen konfigurasi, dan sistem administratif lainnya harus berfungsi di semua lingkungan komputasi.
- Beban kerja tidak dapat berkomunikasi langsung di seluruh lingkungan komputasi. Jika diperlukan, komunikasi harus dilakukan dengan cara yang mendetail dan terkontrol.
Arsitektur
Diagram arsitektur berikut menunjukkan arsitektur referensi tingkat tinggi dari pola ini yang mendukung CI/CD, Pemantauan, pengelolaan konfigurasi, sistem administratif lainnya, dan komunikasi workload:
Deskripsi arsitektur dalam diagram sebelumnya adalah sebagai berikut:
- Beban kerja didistribusikan berdasarkan lingkungan fungsional (pengembangan, pengujian, CI/CD, dan alat administratif) di seluruh VPC terpisah di sisi Google Cloud.
- VPC Bersama
digunakan untuk beban kerja pengembangan dan pengujian. VPC tambahan digunakan untuk
CI/CD dan alat administratif. Dengan VPC bersama:
- Aplikasi dikelola oleh tim yang berbeda per lingkungan dan per project layanan.
- Project host mengelola dan mengontrol komunikasi jaringan dan kontrol keamanan antara lingkungan pengembangan dan pengujian—serta ke luar VPC.
- VPC CI/CD terhubung ke jaringan yang menjalankan workload produksi di lingkungan komputasi pribadi Anda.
- Aturan firewall hanya mengizinkan traffic yang diizinkan.
- Anda juga dapat menggunakan Cloud Next Generation Firewall Enterprise dengan Intrusion Prevention Service (IPS) untuk menerapkan pemeriksaan paket mendalam untuk pencegahan ancaman tanpa mengubah desain atau perutean. Cloud Next Generation Firewall Enterprise bekerja dengan membuat endpoint firewall zona yang dikelola Google yang menggunakan teknologi intersepsi paket guna memeriksa workload secara transparan untuk tanda tangan ancaman yang dikonfigurasi. Teknologi ini juga melindungi workload dari ancaman.
- Memungkinkan komunikasi antar-VPC yang di-peering menggunakan alamat IP internal.
- Peering dalam pola ini memungkinkan CI/CD dan sistem administratif untuk men-deploy dan mengelola workload pengembangan dan pengujian.
- Pertimbangkan praktik terbaik umum ini.
Anda dapat membuat koneksi CI/CD ini menggunakan salah satu opsi konektivitas jaringan hybrid dan multicloud yang telah dibahas, yang memenuhi persyaratan bisnis dan aplikasi Anda. Agar Anda dapat men-deploy dan mengelola workload produksi, koneksi ini memberikan jangkauan jaringan pribadi di antara berbagai lingkungan komputasi. Semua lingkungan harus memiliki ruang alamat IP RFC 1918 bebas tumpang-tindih.
Jika instance dalam lingkungan pengembangan dan pengujian memerlukan akses internet, pertimbangkan opsi berikut:
- Anda dapat men-deploy Cloud NAT ke jaringan project host VPC Bersama yang sama. Dengan men-deploy ke jaringan project host VPC Bersama yang sama, instance ini tidak dapat diakses langsung dari internet.
- Untuk traffic web keluar, Anda dapat menggunakan Proxy Web Aman. Proxy ini menawarkan sejumlah manfaat.
Untuk informasi selengkapnya tentang alat dan kemampuan Google Cloud yang membantu Anda membangun, menguji, dan men-deploy di Google Cloud serta di seluruh lingkungan hybrid dan multicloud, lihat blog penjelasan DevOps dan CI/CD di Google Cloud.
Variasi
Untuk memenuhi persyaratan desain yang berbeda, sambil tetap mempertimbangkan semua persyaratan komunikasi, pola arsitektur yang diduplikasi menawarkan opsi ini, yang dijelaskan di bagian berikut:
- VPC Bersama per lingkungan
- Firewall lapisan aplikasi terpusat
- Topologi hub-dan-spoke
- Arsitektur terdistribusi zero-trust Microservice
VPC Bersama per lingkungan
Opsi VPC bersama per desain lingkungan memungkinkan pemisahan tingkat aplikasi atau layanan di seluruh lingkungan, termasuk CI/CD dan alat administratif yang mungkin diperlukan untuk memenuhi persyaratan keamanan organisasi tertentu. Persyaratan ini membatasi komunikasi, domain administratif, dan kontrol akses untuk berbagai layanan yang juga perlu dikelola oleh tim yang berbeda.
Desain ini memberikan pemisahan dengan memberikan isolasi tingkat jaringan dan project antara berbagai lingkungan, sehingga memungkinkan komunikasi yang lebih mendetail serta kontrol akses Identity and Access Management (IAM).
Dari perspektif manajemen dan operasi, desain ini memberikan fleksibilitas untuk mengelola aplikasi dan workload yang dibuat oleh tim yang berbeda per lingkungan dan per project layanan. Jaringan VPC, dan fitur keamanannya dapat disediakan dan dikelola oleh tim operasi jaringan berdasarkan kemungkinan struktur berikut:
- Satu tim mengelola semua project host di semua lingkungan.
- Tim yang berbeda mengelola project host di lingkungannya masing-masing.
Keputusan tentang mengelola project host harus didasarkan pada struktur tim, operasi keamanan, dan persyaratan akses setiap tim. Anda dapat menerapkan variasi desain ini ke opsi desain zona landing bersama Jaringan VPC bersama untuk setiap zona landing. Namun, Anda perlu mempertimbangkan persyaratan komunikasi pola yang dicerminkan untuk menentukan komunikasi apa yang diizinkan di antara berbagai lingkungan, termasuk komunikasi melalui jaringan hybrid.
Anda juga dapat menyediakan jaringan VPC Bersama untuk setiap lingkungan utama, seperti dalam diagram berikut:
{i>Firewall<i} lapisan aplikasi terpusat
Dalam beberapa skenario, persyaratan keamanan mungkin mewajibkan pertimbangan lapisan aplikasi (Lapisan 7) dan inspeksi paket mendalam dengan mekanisme firewall lanjutan yang melebihi kemampuan Cloud Next Generation Firewall. Untuk memenuhi persyaratan keamanan dan standar organisasi Anda, Anda dapat menggunakan alat NGFW yang dihosting di peralatan virtual jaringan (NVA). Beberapa partner keamanan Google Cloud menawarkan opsi yang sesuai untuk tugas ini.
Seperti dalam diagram berikut, Anda dapat menempatkan NVA di jalur jaringan antara Virtual Private Cloud dan lingkungan komputasi pribadi menggunakan beberapa antarmuka jaringan.
Desain ini juga dapat digunakan dengan beberapa VPC bersama seperti yang digambarkan dalam diagram berikut.
NVA dalam desain ini berfungsi sebagai lapisan keamanan perimeter. Kebijakan ini juga berfungsi sebagai dasar untuk mengaktifkan pemeriksaan traffic inline dan menerapkan kebijakan kontrol akses yang ketat.
Untuk strategi keamanan multi-lapisan yang kuat dan mencakup aturan firewall VPC dan kemampuan layanan pencegahan intrusi, sertakan pemeriksaan traffic dan kontrol keamanan lebih lanjut untuk arus traffic timur-barat dan utara-selatan.
Topologi hub-dan-spoke
Variasi desain lainnya yang mungkin dilakukan adalah menggunakan VPC terpisah (termasuk VPC bersama) untuk pengembangan dan berbagai tahap pengujian. Dalam variasi ini, seperti yang ditunjukkan dalam diagram berikut, semua lingkungan tahap terhubung dengan CI/CD dan VPC administratif dalam arsitektur hub-and-spoke. Gunakan opsi ini jika Anda harus memisahkan domain administratif dan fungsi di setiap lingkungan. Model komunikasi hub-dan-spoke dapat membantu memenuhi persyaratan berikut:
- Aplikasi perlu mengakses sekumpulan layanan umum, seperti pemantauan, alat manajemen konfigurasi, CI/CD, atau autentikasi.
- Sekumpulan kebijakan keamanan umum perlu diterapkan ke traffic masuk dan keluar secara terpusat melalui hub.
Untuk mengetahui informasi selengkapnya tentang opsi desain hub-dan-spoke, lihat Topologi hub-dan-spoke dengan peralatan terpusat dan Topologi Hub-dan-spoke tanpa peralatan terpusat.
Seperti ditunjukkan dalam diagram sebelumnya, komunikasi antar-VPC dan konektivitas hybrid semuanya melewati VPC hub. Sebagai bagian dari pola ini, Anda dapat mengontrol dan membatasi komunikasi di VPC hub agar selaras dengan persyaratan konektivitas Anda.
Sebagai bagian dari arsitektur jaringan hub-and-spoke, berikut ini adalah opsi konektivitas utama (antara spoke dan VPC hub) di Google Cloud:
- Peering Jaringan VPC
- VPN
- Menggunakan network virtual appliance (NVA)
- Dengan beberapa antarmuka jaringan
- Dengan Network Connectivity Center (NCC)
Untuk mengetahui informasi selengkapnya tentang opsi yang harus Anda pertimbangkan dalam desain Anda, lihat Arsitektur jaringan Hub-and-spoke. Faktor utama yang memengaruhi pemilihan VPN melalui peering VPC antara spoke dan VPC hub adalah saat transitivitas traffic diperlukan. Transitivitas lalu lintas berarti bahwa lalu lintas dari spidol dapat mencapai jari-jari lain melalui hub.
Arsitektur terdistribusi zero-trust Microservice
Arsitektur hybrid dan multicloud dapat memerlukan beberapa cluster untuk mencapai tujuan teknis dan bisnis, termasuk memisahkan lingkungan produksi dari lingkungan pengembangan dan pengujian. Oleh karena itu, kontrol keamanan perimeter jaringan merupakan hal yang penting, terutama jika harus mematuhi persyaratan keamanan tertentu.
Tidak cukup untuk mendukung persyaratan keamanan arsitektur microservice terdistribusi cloud-first saat ini, dan Anda juga harus mempertimbangkan arsitektur terdistribusi zero-trust. Arsitektur terdistribusi zero-trust microservice mendukung arsitektur microservice Anda dengan penerapan kebijakan keamanan, autentikasi, dan identitas workload tingkat microservice. Kepercayaan berbasis identitas dan diterapkan untuk setiap layanan.
Dengan menggunakan arsitektur proxy terdistribusi, seperti mesh layanan, layanan dapat secara efektif memvalidasi pemanggil dan menerapkan kebijakan kontrol akses yang terperinci untuk setiap permintaan, sehingga lingkungan microservice menjadi lebih aman dan skalabel. Cloud Service Mesh memberi Anda fleksibilitas untuk memiliki mesh umum yang dapat mencakup deployment lokal dan Google Cloud Anda. Mesh ini menggunakan kebijakan otorisasi untuk membantu mengamankan komunikasi layanan-ke-layanan.
Anda juga dapat mengintegrasikan Apigee Adapter for Envoy, yang merupakan deployment gateway Apigee API yang ringan di dalam cluster Kubernetes, dengan arsitektur ini. Adaptor Apigee untuk Envoy adalah proxy layanan dan edge open source yang dirancang untuk aplikasi cloud-first.
Untuk informasi selengkapnya tentang topik ini, lihat artikel berikut:
- Arsitektur Terdistribusi Zero-Trust
- Lingkungan hybrid GKE Enterprise
- Hubungkan ke Google
- Hubungkan cluster GKE Enterprise lokal ke jaringan Google Cloud.
- Menyiapkan mesh multicloud atau hybrid
- Deploy Cloud Service Mesh di seluruh lingkungan dan cluster.
Praktik terbaik pola yang dicerminkan
Sistem CI/CD yang diperlukan untuk men-deploy atau mengonfigurasi ulang deployment produksi harus sangat tersedia, yang berarti semua komponen arsitektur harus dirancang untuk menyediakan tingkat ketersediaan sistem yang diharapkan. Untuk mengetahui informasi selengkapnya, lihat Keandalan infrastruktur Google Cloud.
Untuk menghilangkan error konfigurasi pada proses berulang seperti pembaruan kode, otomatisasi sangat penting untuk menstandarkan build, pengujian, dan deployment Anda. Untuk mempelajari lebih lanjut cara menggunakan berbagai pemeriksaan dan pengamanan saat Anda melakukan otomatisasi, lihat Mengotomatiskan deployment Anda.
Integrasi NVA terpusat dalam desain ini mungkin memerlukan penggabungan beberapa segmen dengan berbagai tingkat kontrol akses keamanan. Untuk mengetahui informasi selengkapnya, lihat Peralatan jaringan terpusat di Google Cloud.
Saat mendesain solusi yang menyertakan NVA, penting untuk mempertimbangkan ketersediaan tinggi (HA) NVA untuk menghindari titik tunggal kegagalan yang dapat memblokir semua komunikasi. Ikuti panduan desain dan penerapan HA dan redundansi yang disediakan oleh vendor NVA. Untuk mengetahui informasi selengkapnya, lihat bagian opsi arsitektur pada Peralatan jaringan terpusat di Google Cloud untuk mencapai ketersediaan tinggi di antara peralatan virtual.
Dengan tidak mengekspor rute IP lokal melalui peering VPC atau VPN ke VPC pengembangan dan pengujian, Anda dapat membatasi keterjangkauan jaringan dari lingkungan pengembangan dan pengujian ke lingkungan lokal. Untuk mengetahui informasi selengkapnya, lihat Pertukaran rute kustom Peering Jaringan VPC.
Untuk workload dengan alamat IP pribadi yang dapat memerlukan akses API Google, Anda dapat mengekspos Google API menggunakan endpoint Private Service Connect dalam jaringan VPC. Untuk informasi selengkapnya, lihat Traffic masuk yang dibatasi, dalam seri ini.
Tinjau praktik terbaik umum untuk pola arsitektur jaringan hybrid dan multicloud.