面向網際網路的應用程式提交作業網路：參考架構

本文是系列文章之一，說明企業將資料中心工作負載遷移至Google Cloud時，適用的網路和安全架構。

本系列包含以下文件：

• 設計網路以遷移企業工作負載：架構方法
• 網路：安全存取雲端內部資源的參考架構
• 網路：適用於面向網際網路的應用程式傳輸：參考架構 (本文件)
• 混合式雲端和多雲端工作負載的網路：參考架構

Google 提供一系列產品和功能，可協助保護及擴展最重要的網際網路應用程式。圖 1 顯示的架構使用 Google Cloud 服務部署多層級的 Web 應用程式。

圖 1. 部署在 Google Cloud的典型多層式網頁應用程式。

隨即轉移架構

隨著面向網際網路的應用程式遷移至雲端，這些應用程式必須能夠擴充，且必須具備與內部部署環境中同等的安全控管機制和可視性。您可以透過市集提供的網路虛擬設備，提供這些控制項。

圖 2. 使用設備型外部負載平衡器部署的應用程式。

這些虛擬設備提供的功能和可見度，與內部部署環境一致。使用網路虛擬設備時，您會透過自動調度資源的代管執行個體群組，部署軟體設備映像檔。您必須監控及管理執行設備的 VM 執行個體健康狀態，並維護設備的軟體更新。

完成初步轉移後，您可能想從自行管理的網路虛擬設備，轉移至代管服務。Google Cloud 提供多項代管服務，可大規模交付應用程式。

圖 2 顯示設定為網路層應用程式前端的網路虛擬設備。如要查看合作夥伴生態系統解決方案清單，請前往 Google Cloud 控制台的 Google Cloud Marketplace 頁面。

混合服務架構

Google Cloud 提供下列方法，大規模管理面向網際網路的應用程式：

• 使用 Google 遍布全球的任一傳播 DNS 名稱伺服器網路，將網域名稱要求轉換為 IP 位址，提供高可用性及低延遲的服務。
• 使用 Google 的全域外部應用程式負載平衡器，將流量轉送至 Google Cloud內部、內部部署或在其他公有雲上託管的應用程式。這類負載平衡器會根據流量自動調整規模，並確保每個要求都會導向狀態良好的後端。設定混合式連線網路端點群組後，您就能將外部應用程式負載平衡器網路功能的好處，帶給在 Google Cloud外部現有基礎架構上執行的服務。內部部署網路或其他公用雲端網路會透過 VPN 通道或 Cloud Interconnect，以私密方式連線至您的 Google Cloud 網路。

• 使用其他網路邊緣服務，例如 Cloud CDN (用於發布內容)、Google Cloud Armor (用於保護內容)，以及 Identity-Aware Proxy (IAP，用於控管服務存取權)。

  圖 3 顯示使用外部應用程式負載平衡器的混合式連線。

  

  圖 3. 使用外部應用程式負載平衡器和網路邊緣服務設定混合式連線。

  圖 4 顯示另一種連線選項，也就是使用混合式連線網路端點群組。

  

  圖 4. 使用混合式連線網路端點群組設定外部應用程式負載平衡器。

• 使用應用程式負載平衡器 (HTTP/HTTPS) 根據要求屬性 (例如 HTTP 統一資源 ID (URI)) 轉送要求。使用 Proxy 網路負載平衡器實作 TLS 卸載、TCP Proxy，或在多個區域中為後端支援外部負載平衡。使用 passthrough 網路負載平衡器保留用戶端來源 IP 位址，避免增加 Proxy 負擔，並支援 UDP、ESP 和 ICMP 等額外的通訊協定。

• 使用 Cloud Armor 保護服務。這項產品是邊緣分散式阻斷服務防禦和 WAF 安全性產品，適用於透過負載平衡器存取的所有服務。

• 使用 Google 代管的 SSL 憑證。您可以重複使用已用於其他Google Cloud 產品的憑證和私密金鑰。這樣就不需要管理個別憑證。

• 在應用程式上啟用快取，充分運用 Cloud CDN 的分散式應用程式推送足跡。

• 使用 Cloud Next Generation Firewall 檢查及篩選虛擬私有雲網路中的流量。

• 如圖 6 所示，使用 Cloud IDS 偵測南北向流量中的威脅。

  

  圖 6. Cloud IDS 設定，用於鏡像處理及檢查所有網際網路和內部流量。

零信任分散式架構

您可以擴充零信任分散式架構，納入網際網路的應用程式傳輸。在這個模型中，Google 外部應用程式負載平衡器會在 GKE 叢集之間提供全域負載平衡，這些叢集在不同叢集中都有 Cloud Service Mesh 網格。在本情境中，您會採用複合式 Ingress 模型。第一層負載平衡器會選取叢集，然後由 Cloud Service Mesh 管理的 Ingress 閘道提供叢集專屬的負載平衡和 Ingress 安全性。如需多叢集 Ingress 的範例，請參閱企業應用程式藍圖中說明的 Cymbal Bank 參考架構。如要進一步瞭解 Cloud Service Mesh 邊緣 Ingress，請參閱「從邊緣到網格：透過 GKE Ingress 開放服務網格應用程式」。

圖 7 顯示的設定中，外部應用程式負載平衡器會透過Ingress 閘道，將網際網路的流量導向服務網格。閘道是服務網格中的專屬 Proxy。

圖 7. 在零信任微服務環境中交付應用程式。

後續步驟

• 網路：安全存取雲端內部資源的參考架構。
• 混合式雲端和多雲端工作負載的網路：參考架構。
• 使用 Cloud Armor、負載平衡和 Cloud CDN 部署可程式化的全域前端
• 遷移至 Google Cloud 可協助您規劃、設計及執行將工作負載遷移至 Google Cloud的程序。
• Google Cloud中的登陸區設計：提供建立登陸區網路的指引。
• 如需更多參考架構、圖表和最佳做法，請瀏覽 Cloud 架構中心。