Jaringan untuk pengiriman aplikasi yang terhubung ke internet: Arsitektur referensi

Dokumen ini adalah bagian dari rangkaian yang menjelaskan arsitektur keamanan dan jaringan untuk perusahaan yang memindahkan workloads pusat data ke Google Cloud.

Seri ini terdiri dari dokumen berikut:

• Merancang jaringan untuk memigrasikan beban kerja perusahaan: Pendekatan arsitektur
• Jaringan untuk akses intra-cloud yang aman: Arsitektur referensi
• Jaringan untuk pengiriman aplikasi yang terhubung ke internet: Arsitektur referensi (dokumen ini)
• Jaringan untuk workload hybrid dan multi-cloud: Arsitektur referensi

Google menawarkan serangkaian produk dan kemampuan yang memudahkan Anda untuk membantu mengamankan dan mempertimbangkan aplikasi yang paling penting untuk internet. Gambar 1 menunjukkan arsitektur yang menggunakan layanan Google Cloud untuk memaparkan aplikasi web dengan beberapa tingkat.

Gambar 1. Aplikasi web multi-tingkat pada umumnya diterapkan di Google Cloud.

Arsitektur lift-and-shift

Saat aplikasi yang terhubung ke internet berpindah ke cloud, aplikasi tersebut harus dapat ditingkatkan skalanya, dan mereka harus memiliki kendali keamanan dan visibilitas yang setara dengan kontrol di lingkungan lokal. Anda dapat menetapkan kontrol ini dengan menggunakan peralatan virtual jaringan yang tersedia di marketplace.

Gambar 2. Aplikasi dipaparkan dengan load balancing eksternal berbasis alat.

Peralatan virtual ini memberikan fungsionalitas dan visibilitas yang konsisten dengan lingkungan lokal Anda. Saat menggunakan alat virtual jaringan, Anda memaparkan gambar alat perangkat lunak menggunakan pengelolaan skala otomatis kelompok Anda bebas memantau dan mengelola kondisi instance VM yang menjalankan peralatan, dan mengelola update software untuk alat tersebut.

Setelah melakukan peralihan awal, sebaiknya Anda beralih dari peralatan virtual jaringan yang dikelola sendiri ke layanan terkelola. Google Cloud menawarkan sejumlah layanan terkelola yang memudahkan pengiriman aplikasi dalam skala besar.

Gambar 2 menunjukkan alat virtual jaringan yang dikonfigurasi sebagai frontend aplikasi tingkat web. Untuk mengetahui daftar solusi ekosistem partner, lihat halaman Google Cloud Marketplace di Konsol Google Cloud.

Arsitektur layanan hybrid

Google Cloud menawarkan pendekatan berikut untuk memudahkan pengelolaan aplikasi yang terhubung ke internet dalam skala besar:

• Menggunakan jaringan global dari server nama DNS anycast yang menyediakan ketersediaan tinggi dan latensi rendah untuk menerjemahkan permintaan nama domain menjadi alamat IP.
• Gunakan fleet global Load Balancer Aplikasi eksternal Google untuk mengarahkan traffic ke aplikasi yang dihosting di dalam Google Cloud, dihosting di infrastruktur lokal, atau dihosting di cloud publik lainnya. Load balancer ini menskalakan secara otomatis dengan traffic Anda dan memastikan bahwa setiap permintaan diarahkan ke backend yang responsif. Dengan menyiapkan grup endpoint jaringan konektivitas hybrid, Anda dapat menghadirkan manfaat kemampuan jaringan Load Balancer Aplikasi eksternal ke layanan yang berjalan di infrastruktur Anda yang sudah ada di luar Google Cloud. Jaringan lokal atau publik lainnya jaringan cloud terhubung secara pribadi ke jaringan Google Cloud Anda melalui terowongan VPN atau melalui Cloud Interconnect.

• Menggunakan layanan edge jaringan lainnya, seperti Cloud CDN untuk mendistribusikan konten, Google Cloud Armor untuk melindungi konten, dan Identity-Aware Proxy (IAP) untuk mengontrol akses ke layanan Anda.

  Gambar 3 menunjukkan konektivitas hybrid yang menggunakan Load Balancer Aplikasi eksternal.

  

  Gambar 3. Konfigurasi konektivitas hybrid menggunakan Load Balancer Aplikasi eksternal dan layanan edge jaringan.

  Gambar 4 menunjukkan opsi konektivitas yang berbeda, yaitu menggunakan grup endpoint jaringan konektivitas hybrid.

  

  Gambar 4. Konfigurasi Load Balancer Aplikasi Eksternal menggunakan grup endpoint jaringan konektivitas hybrid.

• Menggunakan Load Balancer Aplikasi (HTTP/HTTPS) untuk merutekan permintaan berdasarkan atributnya, seperti HTTP Uniform Resource Identifier (URI). Gunakan Load Balancer Jaringan proxy untuk menerapkan offload TLS, proxy TCP, atau dukungan untuk load balancing eksternal ke backend di beberapa region. Gunakan Load Balancer Jaringan passthrough untuk mempertahankan alamat IP sumber klien, menghindari overhead proxy, dan untuk mendukung protokol tambahan seperti UDP, ESP, dan ICMP.

• Melindungi layanan anda dengan Google Cloud Armor. Produk ini merupakan produk pertahanan DDoS dan keamanan WAF yang canggih tersedia untuk semua layanan yang diakses melalui Application Load Balancer eksternal global.

• Menggunakan sertifikat SSL yang dikelola Google. Anda dapat menggunakan kembali sertifikat dan kunci pribadi yang sudah Anda gunakan untuk yang lain produk Google Cloud. Dengan demikian, Anda tidak perlu mengelola sertifikat secara terpisah.

• Mengaktifkan caching pada aplikasi Anda untuk memanfaatkan jejak penayangan aplikasi yang terdistribusi dari Cloud CDN.

• Menggunakan peralatan virtual jaringan untuk memeriksa dan memfilter utara-selatan (untuk dan dari internet) dan timur-barat (untuk dan dari jaringan lokal atau traffic jaringan VPC) seperti yang ditunjukkan pada gambar 5.

  

  Gambar 5. Konfigurasi peralatan virtual jaringan yang sangat tersedia menggunakan Load Balancer Jaringan passthrough internal dan Peering Jaringan VPC untuk memeriksa traffic.

• Menggunakan Cloud IDS untuk mendeteksi ancaman di traffic utara-selatan, seperti pada gambar 6.

  

  Gambar 6. Konfigurasi Cloud IDS untuk mencerminkan dan memeriksa semua traffic internet dan internal.

Arsitektur Terdistribusi Zero-Trust

Anda dapat memperluas Zero-Trust Distributed Architecture untuk menyertakan pengiriman aplikasi dari internet. Dalam model ini, Load Balancer Aplikasi eksternal Google menyediakan load balancing global di seluruh cluster GKE yang memiliki mesh Anthos Service Mesh di cluster yang berbeda. Untuk skenario ini, Anda memakai model ingress komposit. Load balancer tingkat pertama menyediakan pemilihan cluster, lalu gateway ingress yang dikelola Anthos Service Mesh akan menyediakan load balancing dan keamanan ingress khusus cluster. Contoh multi-cluster ingress ini adalah arsitektur referensi Cymbal Bank seperti yang dijelaskan dalam blueprint aplikasi perusahaan. Untuk mengetahui informasi selengkapnya tentang ingress edge Anthos Service Mesh, lihat Dari edge ke mesh: Mengekspos aplikasi mesh layanan melalui GKE Ingress.

Gambar 7 menunjukkan konfigurasi di mana Load Balancer Aplikasi eksternal mengarahkan traffic dari internet ke mesh layanan melalui gateway masuk. Gateway adalah proxy khusus dalam mesh layanan.

Gambar 7. Pengiriman aplikasi di lingkungan microservice zero-trust.

Langkah selanjutnya

• Jaringan untuk akses intra-cloud yang aman: Arsitektur referensi.
• Jaringan untuk workload hybrid dan multi-cloud: Arsitektur referensi.
• Migrasi ke Google Cloud dapat membantu Anda merencanakan, mendesain, dan menerapkan proses migrasi workload ke Google Cloud.
• Desain zona landing di Google Cloud memiliki panduan untuk membuat jaringan zona landing.
• Untuk arsitektur referensi, diagram, dan praktik terbaik lainnya, jelajahi Pusat Arsitektur Cloud.