Bonnes pratiques générales

Lorsque vous concevez et intégrez des identités cloud, la hiérarchie des ressources et les réseaux de zones de destination, tenez compte des recommandations de conception de la page Conception des zones de destination dans Google Cloud et des bonnes pratiques de sécurité Google Cloud traitées dans le plan de base de l'entreprise. Vérifiez que la conception que vous avez sélectionnée est conforme aux documents suivants:

• Bonnes pratiques et architectures de référence pour la conception de VPC
• Choisir une hiérarchie de ressources pour votre zone de destination Google Cloud
• Framework d'architecture Google Cloud : sécurité, confidentialité et conformité

Tenez également compte des bonnes pratiques générales suivantes:

• Lorsque vous choisissez une option de connectivité réseau hybride ou multicloud, tenez compte des exigences métier et applicatives telles que les contrats de niveau de service, les performances, la sécurité, les coûts, la fiabilité et la bande passante. Pour en savoir plus, consultez les pages Choisir un produit de connectivité réseau et Modèles pour connecter d'autres fournisseurs de services cloud à Google Cloud.

• Utilisez des VPC partagés sur Google Cloud au lieu de plusieurs VPC lorsque cela est approprié et conforme aux exigences de votre conception de hiérarchie des ressources. Pour en savoir plus, consultez la section Choisir de créer ou non plusieurs réseaux VPC.

• Suivez les bonnes pratiques de planification des comptes et des entreprises.

• Le cas échéant, établissez une identité commune entre les environnements afin que les systèmes puissent s'authentifier de manière sécurisée dans les limites de l'environnement.

• Pour exposer en toute sécurité les applications aux utilisateurs d'entreprise dans une configuration hybride et pour choisir l'approche la mieux adaptée à vos besoins, suivez la méthode recommandée pour intégrer Google Cloud à votre système de gestion des identités.

  • Consultez également la section Modèles pour authentifier les utilisateurs d'entreprise dans un environnement hybride.

• Lorsque vous concevez vos environnements sur site et cloud, tenez compte de l'adressage IPv6 dès le départ et identifiez les services qui le prennent en charge. Pour en savoir plus, consultez la page Présentation d'IPv6 sur Google Cloud. Cette section récapitule les services compatibles lors de la rédaction du blog.

• Lorsque vous concevez, déployez et gérez vos règles de pare-feu VPC, vous pouvez:

  • Utiliser le filtrage basé sur les comptes de service plutôt que le filtrage basé sur les tags réseau si vous avez besoin d'un contrôle strict sur la manière dont les règles de pare-feu sont appliquées aux VM.
  • Utiliser des stratégies de pare-feu lorsque vous regroupez plusieurs règles de pare-feu afin de pouvoir les mettre à jour toutes en même temps. Vous pouvez également rendre la stratégie hiérarchique. Pour en savoir plus sur les spécifications des stratégies de pare-feu hiérarchiques, consultez la page Stratégies de pare-feu hiérarchiques.
  • Utilisez des objets de géolocalisation dans la stratégie de pare-feu lorsque vous devez filtrer le trafic IPv4 et IPv6 externe en fonction d'emplacements géographiques ou de régions spécifiques.
  • Utilisez Threat Intelligence pour les règles de stratégie de pare-feu si vous devez sécuriser votre réseau en autorisant ou en bloquant le trafic en fonction de données Threat Intelligence, telles que les adresses IP malveillantes connues ou les plages d'adresses IP du cloud public. Par exemple, vous pouvez autoriser le trafic à partir de plages d'adresses IP de cloud public spécifiques si vos services doivent communiquer avec ce cloud public uniquement. Pour en savoir plus, consultez la section Bonnes pratiques pour les règles de pare-feu.

• Vous devez toujours concevoir la sécurité de votre cloud et de votre réseau à l'aide d'une approche de sécurité multicouche en tenant compte de couches de sécurité supplémentaires, comme les suivantes:

  • Google Cloud Armor
  • Cloud Intrusion Detection System
  • IPS Cloud Next Generation Firewall
  • Threat Intelligence pour les règles de stratégie de pare-feu

  Ces couches supplémentaires peuvent vous aider à filtrer, inspecter et surveiller un large éventail de menaces au niveau des couches réseau et application à des fins d'analyse et de prévention.

• Lorsque vous décidez où la résolution DNS doit être effectuée dans une configuration hybride, nous vous recommandons d'utiliser deux systèmes DNS faisant autorité pour votre environnement Google Cloud privé et pour vos ressources sur site hébergées par des serveurs DNS existants dans votre environnement sur site. Pour en savoir plus, consultez la section Choisir où la résolution DNS est effectuée.

• Dans la mesure du possible, exposez toujours les applications via des API à l'aide d'une passerelle API ou d'un équilibreur de charge. Nous vous recommandons d'envisager une plate-forme d'API comme Apigee. Apigee agit comme une abstraction ou une façade pour vos API de service de backend, associées à des fonctionnalités de sécurité, une limitation du débit, des quotas et des analyses.

• Une plate-forme d'API (gateway ou proxy) et un équilibreur de charge d'application ne s'excluent pas mutuellement. Parfois, l'utilisation conjointe d'API Gateways et d'équilibreurs de charge peut fournir une solution plus robuste et sécurisée pour gérer et distribuer le trafic des API à grande échelle. Les passerelles API Cloud Load Balancing vous permettent d'effectuer les opérations suivantes:

  • Fournir des API hautes performances avec Apigee et Cloud CDN pour :

    • Réduire la latence
    • Héberger des API à l'échelle mondiale

    • Augmenter la disponibilité pendant les périodes de pic de trafic

      Pour en savoir plus, regardez la vidéo Fournir des API hautes performances avec Apigee et Cloud CDN sur YouTube.

  • Implémenter une gestion avancée du trafic.

  • Utiliser Google Cloud Armor comme service de protection contre les attaques DDoS, de WAF et de sécurité réseau afin de protéger vos API.

  • Gérez un équilibrage de charge efficace sur les passerelles de plusieurs régions. Pour en savoir plus, regardez la vidéo Sécuriser les API et mettre en œuvre le basculement multirégional avec PSC et Apigee.

• Pour déterminer le produit Cloud Load Balancing à utiliser, vous devez d'abord déterminer le type de trafic que vos équilibreurs de charge doivent gérer. Pour en savoir plus, consultez la page Choisir un équilibreur de charge.

• Lorsque vous utilisez Cloud Load Balancing, vous devez utiliser ses fonctionnalités d'optimisation de la capacité des applications, le cas échéant. Cela peut vous aider à résoudre certains des problèmes de capacité pouvant survenir dans les applications distribuées dans le monde entier.

  • Pour une analyse approfondie de la latence, consultez la section Optimiser la latence des applications avec l'équilibrage de charge.

• Alors que Cloud VPN chiffre le trafic entre les environnements, avec Cloud Interconnect, vous devez utiliser MACsec ou le VPN haute disponibilité via Cloud Interconnect pour chiffrer le trafic en transit au niveau de la couche de connectivité. Pour en savoir plus, consultez la section Comment chiffrer le trafic sur Cloud Interconnect ?

  • Vous pouvez également envisager le chiffrement de la couche de service à l'aide de TLS. Pour en savoir plus, consultez la section Décider comment répondre aux exigences de conformité concernant le chiffrement en transit.

• Si vous avez besoin d'un volume de trafic sur une connectivité hybride VPN supérieur à celui qu'un seul tunnel VPN peut prendre en charge, vous pouvez envisager d'utiliser l'option de routage VPN haute disponibilité actif/actif.

  • Pour les configurations hybrides ou multicloud à long terme avec des volumes de transfert de données sortants élevés, envisagez Cloud Interconnect ou interconnexion cross-cloud. Ces options de connectivité permettent d'optimiser les performances de connectivité et peuvent réduire les frais de transfert de données sortantes pour le trafic qui répond à certaines conditions. Pour en savoir plus, consultez la section sur les tarifs de Cloud Interconnect.

• Lorsque vous vous connectez aux ressources Google Cloud et que vous devez choisir entre Cloud Interconnect, l'appairage direct ou l'appairage opérateur, nous vous recommandons d'utiliser Cloud Interconnect, sauf si vous avez besoin d'accéder aux applications Google Workspace. Pour en savoir plus, vous pouvez comparer les caractéristiques de l'appairage direct avec Cloud Interconnect et de l'appairage opérateur avec Cloud Interconnect.

• Prévoyez suffisamment d'espace d'adressage IP à partir de votre espace d'adressage IP RFC 1918 existant pour accueillir vos systèmes hébergés dans le cloud.

• Si des restrictions techniques vous obligent à conserver votre plage d'adresses IP, vous pouvez:

  • Utiliser les mêmes adresses IP internes pour vos charges de travail sur site lors de leur migration vers Google Cloud, à l'aide de sous-réseaux hybrides.

  • Provisionner et utiliser vos propres adresses IPv4 publiques pour les ressources Google Cloud à l'aide de l'option BYOIP (Bring your own IP) de Google.

• Si la conception de votre solution nécessite l'exposition d'une application Google Cloud à l'Internet public, tenez compte des recommandations de conception abordées dans Mise en réseau pour la diffusion d'applications Web.

• Le cas échéant, utilisez des points de terminaison Private Service Connect pour autoriser les charges de travail dans Google Cloud, sur site ou dans un autre environnement cloud avec une connectivité hybride à accéder de manière privée aux API Google ou aux services publiés, à l'aide d'adresses IP internes de manière précise.

• Lorsque vous utilisez Private Service Connect, vous devez contrôler les éléments suivants:

  • Qui peut déployer des ressources Private Service Connect ?
  • Si des connexions peuvent être établies ou non entre les consommateurs et les producteurs.
  • Le trafic réseau autorisé à accéder à ces connexions.

  Pour en savoir plus, consultez Points de terminaison Private Service Connect.

• Pour obtenir une configuration cloud robuste dans le contexte d'une architecture hybride et multicloud:

  • Effectuez une évaluation complète des niveaux de fiabilité requis pour les différentes applications dans les différents environnements. Cela peut vous aider à atteindre vos objectifs de disponibilité et de résilience.
  • Comprendre les fonctionnalités de fiabilité et les principes de conception de votre fournisseur de services cloud Pour plus d'informations, consultez le guide de fiabilité de l'infrastructure Google Cloud.

• La visibilité et la surveillance du réseau cloud sont essentielles pour assurer des communications fiables. Network Intelligence Center fournit une console unique permettant de gérer la visibilité, la surveillance et le dépannage du réseau.