Halaman ini diterjemahkan oleh Cloud Translation API.

Jaringan untuk pengiriman aplikasi yang terhubung ke internet: Arsitektur referensi

Last reviewed 2023-11-13 UTC

Dokumen ini adalah bagian dari rangkaian yang menjelaskan arsitektur keamanan dan jaringan untuk perusahaan yang memigrasikan workload pusat data ke Google Cloud.

Seri ini terdiri dari dokumen berikut:

Merancang jaringan untuk memigrasikan beban kerja perusahaan: Pendekatan arsitektur
Jaringan untuk akses intra-cloud yang aman: Arsitektur referensi
Jaringan untuk pengiriman aplikasi yang terhubung ke internet: Arsitektur referensi (dokumen ini)
Jaringan untuk workload hybrid dan multi-cloud: Arsitektur referensi

Google menawarkan serangkaian produk dan kemampuan yang membantu mengamankan dan menskalakan aplikasi yang paling penting untuk internet. Gambar 1 menunjukkan arsitektur yang menggunakan layanan Google Cloud untuk memaparkan aplikasi web dengan beberapa tingkat.

Aplikasi web multi-tingkat pada umumnya diterapkan di Google Cloud.

Gambar 1. Aplikasi web multi-tingkat pada umumnya diterapkan di Google Cloud.

Arsitektur lift-and-shift

Saat aplikasi yang terhubung ke internet berpindah ke cloud, aplikasi tersebut harus dapat ditingkatkan skalanya, dan mereka harus memiliki kendali keamanan dan visibilitas yang setara dengan kontrol di lingkungan lokal. Anda dapat menetapkan kontrol ini dengan menggunakan peralatan virtual jaringan yang tersedia di marketplace.

Aplikasi dipaparkan dengan penyeimbang beban eksternal berbasis peralatan.

Gambar 2. Aplikasi dipaparkan dengan load balancing eksternal berbasis alat.

Peralatan virtual ini memberikan fungsionalitas dan visibilitas yang konsisten dengan lingkungan lokal Anda. Saat menggunakan alat virtual jaringan, Anda memaparkan gambar alat perangkat lunak menggunakan pengelolaan skala otomatis kelompok Anda bebas memantau dan mengelola kondisi instance VM yang menjalankan peralatan, dan mengelola update software untuk alat tersebut.

Setelah melakukan peralihan awal, sebaiknya Anda beralih dari peralatan virtual jaringan yang dikelola sendiri ke layanan terkelola. Google Cloud menawarkan sejumlah layanan terkelola untuk mengirimkan aplikasi dalam skala besar.

Gambar 2 menunjukkan alat virtual jaringan yang dikonfigurasi sebagai frontend aplikasi tingkat web. Untuk mengetahui daftar solusi ekosistem partner, lihat halaman Google Cloud Marketplace di Konsol Google Cloud.

Arsitektur layanan hybrid

Google Cloud menawarkan pendekatan berikut untuk mengelola aplikasi yang terhubung ke internet dalam skala besar:

Menggunakan jaringan global dari server nama DNS anycast yang menyediakan ketersediaan tinggi dan latensi rendah untuk menerjemahkan permintaan nama domain menjadi alamat IP.
Menggunakan fleet Load Balancer Aplikasi eksternal global Google untuk merutekan traffic ke aplikasi yang dihosting di dalam Google Cloud, di infrastruktur lokal, maupun dihosting di cloud publik lainnya. Load balancer ini menskalakan secara otomatis dengan traffic Anda dan memastikan bahwa setiap permintaan diarahkan ke backend yang responsif. Dengan menyiapkan grup endpoint jaringan konektivitas hibrida, Anda dapat memperoleh manfaat dari jaringan Load Balancer Aplikasi eksternal kemampuan untuk layanan yang berjalan di infrastruktur Anda yang ada di luar Google Cloud. Jaringan lokal atau publik lainnya jaringan cloud terhubung secara pribadi ke jaringan Google Cloud Anda melalui terowongan VPN atau melalui Cloud Interconnect.
Menggunakan layanan edge jaringan lainnya, seperti Cloud CDN untuk mendistribusikan konten, Google Cloud Armor untuk melindungi konten, dan Identity-Aware Proxy (IAP) untuk mengontrol akses ke layanan Anda.

Gambar 3 menunjukkan konektivitas hybrid yang menggunakan Load Balancer Aplikasi eksternal.

Gambar 3. Konfigurasi konektivitas hybrid menggunakan Load Balancer Aplikasi eksternal dan layanan edge jaringan.

Gambar 4 menunjukkan opsi konektivitas yang berbeda, yaitu menggunakan grup endpoint jaringan konektivitas hybrid.

Gambar 4. Konfigurasi Load Balancer Aplikasi Eksternal menggunakan grup endpoint jaringan konektivitas hybrid.
Menggunakan Load Balancer Aplikasi (HTTP/HTTPS) untuk merutekan permintaan berdasarkan atributnya, seperti HTTP Uniform Resource Identifiers (URI). Gunakan Load Balancer Jaringan proxy untuk menerapkan offload TLS, proxy TCP, atau dukungan untuk load balancing eksternal ke backend di beberapa region. Gunakan Load Balancer Jaringan passthrough untuk mempertahankan alamat IP sumber klien, menghindari beban proxy, dan mendukung protokol tambahan seperti UDP, ESP, dan ICMP.
Melindungi layanan anda dengan Google Cloud Armor. Produk ini merupakan produk pertahanan DDoS dan keamanan WAF yang canggih tersedia untuk semua layanan yang diakses melalui Application Load Balancer eksternal global.
Menggunakan sertifikat SSL yang dikelola Google. Anda dapat menggunakan kembali sertifikat dan kunci pribadi yang sudah Anda gunakan untuk yang lain produk Google Cloud. Dengan demikian, Anda tidak perlu mengelola sertifikat secara terpisah.
Mengaktifkan caching pada aplikasi Anda untuk memanfaatkan jejak penayangan aplikasi yang terdistribusi dari Cloud CDN.
Menggunakan peralatan virtual jaringan untuk memeriksa dan memfilter utara-selatan (untuk dan dari internet) dan timur-barat (untuk dan dari jaringan lokal atau traffic jaringan VPC) seperti yang ditunjukkan pada gambar 5.

Gambar 5. Konfigurasi peralatan virtual jaringan yang tersedia menggunakan Load Balancer Jaringan passthrough internal dan Peering Jaringan VPC untuk memeriksa traffic.
Menggunakan Cloud IDS untuk mendeteksi ancaman di traffic utara-selatan, seperti pada gambar 6.

Gambar 6. Konfigurasi Cloud IDS untuk mencerminkan dan memeriksa semua traffic internet dan internal.

Arsitektur Terdistribusi Zero-Trust

Anda dapat memperluas Zero-Trust Distributed Architecture untuk menyertakan pengiriman aplikasi dari internet. Dalam model ini, Load Balancer Aplikasi eksternal Google menyediakan load balancing global di seluruh cluster GKE yang memiliki mesh Cloud Service Mesh di cluster yang berbeda. Untuk skenario ini, Anda memakai model ingress komposit. Load balancer tingkat pertama menyediakan pemilihan cluster, lalu gateway ingress yang dikelola Cloud Service Mesh akan menyediakan load balancing dan keamanan ingress khusus cluster. Contoh multi-cluster ingress ini adalah arsitektur referensi Cymbal Bank seperti yang dijelaskan dalam cetak biru aplikasi perusahaan. Untuk mengetahui informasi selengkapnya tentang ingress edge Cloud Service Mesh, lihat Dari edge ke mesh: Mengekspos aplikasi mesh layanan melalui GKE Ingress.

Gambar 7 menunjukkan konfigurasi saat Load Balancer Aplikasi eksternal mengarahkan traffic dari internet ke mesh layanan melalui gateway traffic masuk. Gateway adalah proxy khusus dalam mesh layanan.

Pengiriman aplikasi di lingkungan microservice zero-trust.

Gambar 7. Pengiriman aplikasi di lingkungan microservice zero-trust.

Langkah berikutnya

Jaringan untuk akses intra-cloud yang aman: Arsitektur referensi.
Jaringan untuk workload hybrid dan multi-cloud: Arsitektur referensi.
Migrasi ke Google Cloud dapat membantu Anda merencanakan, mendesain, dan menerapkan proses migrasi workload ke Google Cloud.
Desain zona landing di Google Cloud memiliki panduan untuk membuat jaringan zona landing.
Untuk arsitektur referensi, diagram, dan praktik terbaik lainnya, jelajahi Pusat Arsitektur Cloud.