Praktik terbaik umum

Last reviewed 2023-12-14 UTC

Saat mendesain dan melakukan orientasi identitas cloud, hierarki resource, dan jaringan zona landing, pertimbangkan rekomendasi desain dalam Landing zone design in Google Cloud dan praktik terbaik keamanan Google Cloud yang dibahas dalam enterprise foundations blueprint. Validasi desain yang Anda pilih dengan dokumen berikut:

Selain itu, pertimbangkan praktik terbaik umum berikut:

  • Saat memilih opsi konektivitas jaringan hybrid atau multicloud, pertimbangkan persyaratan bisnis dan aplikasi seperti SLA, performa, keamanan, biaya, keandalan, dan bandwidth. Untuk mengetahui informasi selengkapnya, lihat Memilih produk Network Connectivity dan Pola untuk menghubungkan penyedia layanan cloud lainnya dengan Google Cloud.

  • Gunakan VPC bersama di Google Cloud, bukan beberapa VPC jika sesuai dan selaras dengan persyaratan desain hierarki resource. Untuk informasi selengkapnya, lihat Menentukan apakah akan membuat beberapa jaringan VPC atau tidak.

  • Ikuti praktik terbaik untuk merencanakan akun dan organisasi.

  • Jika berlaku, bangun identitas bersama antarlingkungan agar sistem dapat melakukan autentikasi dengan aman di seluruh batas lingkungan.

  • Untuk mengekspos aplikasi dengan aman kepada pengguna perusahaan dalam konfigurasi campuran, dan memilih pendekatan yang paling sesuai dengan persyaratan Anda, Anda harus mengikuti cara yang direkomendasikan untuk mengintegrasikan Google Cloud dengan sistem pengelolaan identitas Anda.

  • Saat mendesain lingkungan lokal dan cloud, pertimbangkan alamat IPv6 sejak awal, dan pertimbangkan layanan mana yang mendukungnya. Untuk mengetahui informasi selengkapnya, lihat Pengantar IPv6 di Google Cloud. Halaman ini merangkum layanan yang didukung saat blog ditulis.

  • Saat mendesain, men-deploy, dan mengelola aturan firewall VPC, Anda dapat:

  • Anda harus selalu mendesain keamanan cloud dan jaringan menggunakan pendekatan keamanan multilapis dengan mempertimbangkan lapisan keamanan tambahan, seperti berikut:

    Lapisan tambahan ini dapat membantu Anda memfilter, memeriksa, dan memantau berbagai ancaman di lapisan jaringan dan aplikasi untuk analisis dan pencegahan.

  • Saat memutuskan tempat resolusi DNS harus dilakukan dalam penyiapan hybrid, sebaiknya gunakan dua sistem DNS resmi untuk lingkungan Google Cloud pribadi dan untuk resource lokal yang dihosting oleh server DNS yang ada di lingkungan lokal Anda. Untuk mengetahui informasi selengkapnya, lihat Memilih tempat resolusi DNS dilakukan.

  • Jika memungkinkan, selalu ekspos aplikasi melalui API menggunakan gateway API atau load balancer. Sebaiknya pertimbangkan platform API seperti Apigee. Apigee bertindak sebagai abstraksi atau fasad untuk API layanan backend Anda, yang dikombinasikan dengan kemampuan keamanan, pembatasan kecepatan, kuota, dan analisis.

  • Platform API (gateway atau proxy) dan Load Balancer Aplikasi tidak saling eksklusif. Terkadang, menggunakan API gateway dan load balancer secara bersamaan dapat memberikan solusi yang lebih andal dan aman untuk mengelola dan mendistribusikan traffic API dalam skala besar. Dengan menggunakan gateway Cloud Load Balancing API, Anda dapat melakukan hal berikut:

  • Untuk menentukan produk Cloud Load Balancing mana yang akan digunakan, Anda harus terlebih dahulu menentukan jenis traffic yang harus ditangani oleh load balancer. Untuk informasi selengkapnya, lihat Memilih load balancer.

  • Saat Cloud Load Balancing digunakan, Anda harus menggunakan kemampuan pengoptimalan kapasitas aplikasi jika berlaku. Tindakan ini dapat membantu Anda mengatasi beberapa tantangan kapasitas yang dapat terjadi dalam aplikasi yang didistribusikan secara global.

  • Meskipun Cloud VPN mengenkripsi traffic antarlingkungan, dengan Cloud Interconnect, Anda harus menggunakan MACsec atau VPN dengan ketersediaan tinggi (HA) melalui Cloud Interconnect untuk mengenkripsi traffic dalam pengiriman di lapisan konektivitas. Untuk mengetahui informasi selengkapnya, lihat Bagaimana cara mengenkripsi traffic melalui Cloud Interconnect.

  • Jika Anda memerlukan volume traffic yang lebih besar melalui konektivitas hibrida VPN daripada yang dapat didukung oleh satu tunnel VPN, Anda dapat mempertimbangkan untuk menggunakan opsi pemilihan rute VPN dengan ketersediaan tinggi (HA) aktif/aktif.

    • Untuk penyiapan hybrid atau multi-cloud jangka panjang dengan volume transfer data keluar yang tinggi, pertimbangkan Cloud Interconnect atau Cross-Cloud Interconnect. Opsi konektivitas tersebut membantu mengoptimalkan performa konektivitas dan dapat mengurangi biaya transfer data keluar untuk traffic yang memenuhi kondisi tertentu. Untuk mengetahui informasi selengkapnya, lihat Harga Cloud Interconnect.
  • Saat terhubung ke resource Google Cloud dan mencoba memilih antara Cloud Interconnect, Direct Peering, atau Carrier Peering, sebaiknya gunakan Cloud Interconnect, kecuali jika Anda perlu mengakses aplikasi Google Workspace. Untuk informasi selengkapnya, Anda dapat membandingkan fitur Peering Langsung dengan Cloud Interconnect dan Peering Operator dengan Cloud Interconnect.

  • Berikan ruang alamat IP yang cukup dari ruang alamat IP RFC 1918 yang ada untuk mengakomodasi sistem yang dihosting di cloud.

  • Jika memiliki batasan teknis yang mengharuskan Anda mempertahankan rentang alamat IP, Anda dapat:

    • Gunakan alamat IP internal yang sama untuk workload lokal Anda saat memigrasikannya ke Google Cloud, menggunakan subnet hybrid.

    • Sediakan dan gunakan alamat IPv4 publik Anda sendiri untuk resource Google Cloud menggunakan bawa IP Anda sendiri (BYOIP) ke Google.

  • Jika desain solusi Anda memerlukan eksposur aplikasi berbasis Google Cloud ke internet publik, pertimbangkan rekomendasi desain yang dibahas dalam Jaringan untuk pengiriman aplikasi yang menghadap internet.

  • Jika berlaku, gunakan endpoint Private Service Connect untuk mengizinkan beban kerja di Google Cloud, lokal, atau di lingkungan cloud lain dengan konektivitas campuran, untuk mengakses Google API atau layanan yang dipublikasikan secara pribadi, menggunakan alamat IP internal dengan cara yang terperinci.

  • Saat menggunakan Private Service Connect, Anda harus mengontrol hal berikut:

    • Siapa yang dapat men-deploy resource Private Service Connect.
    • Apakah koneksi dapat dibuat antara konsumen dan produsen.
    • Traffic jaringan mana yang diizinkan untuk mengakses koneksi tersebut.

    Untuk mengetahui informasi selengkapnya, lihat Keamanan Private Service Connect.

  • Untuk mencapai penyiapan cloud yang andal dalam konteks arsitektur hybrid dan multicloud:

    • Lakukan penilaian komprehensif terhadap tingkat keandalan yang diperlukan dari berbagai aplikasi di seluruh lingkungan. Dengan begitu, Anda dapat memenuhi tujuan ketersediaan dan ketahanan.
    • Pahami kemampuan keandalan dan prinsip desain penyedia cloud Anda. Untuk informasi selengkapnya, lihat Keandalan infrastruktur Google Cloud.
  • Visibilitas dan pemantauan jaringan cloud sangat penting untuk mempertahankan komunikasi yang andal. Network Intelligence Center menyediakan satu konsol untuk mengelola visibilitas, pemantauan, dan pemecahan masalah jaringan.