Saat mendesain dan melakukan orientasi identitas cloud, hierarki resource, dan jaringan zona landing, pertimbangkan rekomendasi desain dalam Landing zone design in Google Cloud dan praktik terbaik keamanan Google Cloud yang dibahas dalam enterprise foundations blueprint. Validasi desain yang Anda pilih dengan dokumen berikut:
- Praktik terbaik dan arsitektur referensi untuk desain VPC
- Menentukan hierarki resource untuk zona landing Google Cloud
- Framework Arsitektur Google Cloud: Keamanan, privasi, dan kepatuhan
Selain itu, pertimbangkan praktik terbaik umum berikut:
Saat memilih opsi konektivitas jaringan hybrid atau multicloud, pertimbangkan persyaratan bisnis dan aplikasi seperti SLA, performa, keamanan, biaya, keandalan, dan bandwidth. Untuk mengetahui informasi selengkapnya, lihat Memilih produk Network Connectivity dan Pola untuk menghubungkan penyedia layanan cloud lainnya dengan Google Cloud.
Gunakan VPC bersama di Google Cloud, bukan beberapa VPC jika sesuai dan selaras dengan persyaratan desain hierarki resource. Untuk informasi selengkapnya, lihat Menentukan apakah akan membuat beberapa jaringan VPC atau tidak.
Ikuti praktik terbaik untuk merencanakan akun dan organisasi.
Jika berlaku, bangun identitas bersama antarlingkungan agar sistem dapat melakukan autentikasi dengan aman di seluruh batas lingkungan.
Untuk mengekspos aplikasi dengan aman kepada pengguna perusahaan dalam konfigurasi campuran, dan memilih pendekatan yang paling sesuai dengan persyaratan Anda, Anda harus mengikuti cara yang direkomendasikan untuk mengintegrasikan Google Cloud dengan sistem pengelolaan identitas Anda.
- Selain itu, lihat Pola untuk mengautentikasi pengguna tenaga kerja di lingkungan hybrid.
Saat mendesain lingkungan lokal dan cloud, pertimbangkan alamat IPv6 sejak awal, dan pertimbangkan layanan mana yang mendukungnya. Untuk mengetahui informasi selengkapnya, lihat Pengantar IPv6 di Google Cloud. Halaman ini merangkum layanan yang didukung saat blog ditulis.
Saat mendesain, men-deploy, dan mengelola aturan firewall VPC, Anda dapat:
- Gunakan pemfilteran berbasis akun layanan daripada pemfilteran berbasis tag jaringan jika Anda memerlukan kontrol ketat atas cara aturan firewall diterapkan ke VM.
- Gunakan kebijakan firewall saat Anda mengelompokkan beberapa aturan firewall, sehingga Anda dapat memperbaruinya sekaligus. Anda juga dapat membuat kebijakan hierarkis. Untuk spesifikasi dan detail kebijakan firewall hierarkis, lihat Kebijakan firewall hierarkis.
- Gunakan objek geolokasi dalam kebijakan firewall saat Anda perlu memfilter traffic IPv4 eksternal dan IPv6 eksternal berdasarkan lokasi geografis atau region tertentu.
- Gunakan Kecerdasan Ancaman untuk aturan kebijakan firewall jika Anda perlu mengamankan jaringan dengan mengizinkan atau memblokir traffic berdasarkan data Kecerdasan Ancaman, seperti alamat IP berbahaya yang diketahui atau berdasarkan rentang alamat IP cloud publik. Misalnya, Anda dapat mengizinkan traffic dari rentang alamat IP cloud publik tertentu jika layanan Anda hanya perlu berkomunikasi dengan cloud publik tersebut. Untuk informasi selengkapnya, lihat Praktik terbaik untuk aturan firewall.
Anda harus selalu mendesain keamanan cloud dan jaringan menggunakan pendekatan keamanan multilapis dengan mempertimbangkan lapisan keamanan tambahan, seperti berikut:
- Google Cloud Armor
- Cloud Intrusion Detection System
- IPS Cloud Next Generation Firewall
- Kecerdasan Ancaman untuk aturan kebijakan firewall
Lapisan tambahan ini dapat membantu Anda memfilter, memeriksa, dan memantau berbagai ancaman di lapisan jaringan dan aplikasi untuk analisis dan pencegahan.
Saat memutuskan tempat resolusi DNS harus dilakukan dalam penyiapan hybrid, sebaiknya gunakan dua sistem DNS resmi untuk lingkungan Google Cloud pribadi dan untuk resource lokal yang dihosting oleh server DNS yang ada di lingkungan lokal Anda. Untuk mengetahui informasi selengkapnya, lihat Memilih tempat resolusi DNS dilakukan.
Jika memungkinkan, selalu ekspos aplikasi melalui API menggunakan gateway API atau load balancer. Sebaiknya pertimbangkan platform API seperti Apigee. Apigee bertindak sebagai abstraksi atau fasad untuk API layanan backend Anda, yang dikombinasikan dengan kemampuan keamanan, pembatasan kecepatan, kuota, dan analisis.
Platform API (gateway atau proxy) dan Load Balancer Aplikasi tidak saling eksklusif. Terkadang, menggunakan API gateway dan load balancer secara bersamaan dapat memberikan solusi yang lebih andal dan aman untuk mengelola dan mendistribusikan traffic API dalam skala besar. Dengan menggunakan gateway Cloud Load Balancing API, Anda dapat melakukan hal berikut:
Mengirimkan API berperforma tinggi dengan Apigee dan Cloud CDN, untuk:
- Mengurangi latensi
- Menghosting API secara global
Meningkatkan ketersediaan untuk musim puncak traffic
Untuk mengetahui informasi selengkapnya, tonton Menyediakan API berperforma tinggi dengan Apigee dan Cloud CDN di YouTube.
Terapkan pengelolaan traffic lanjutan.
Gunakan Google Cloud Armor sebagai perlindungan DDoS, WAF, dan layanan keamanan jaringan untuk melindungi API Anda.
Kelola load balancing yang efisien di seluruh gateway di beberapa region. Untuk mengetahui informasi selengkapnya, tonton Mengamankan API dan Mengimplementasikan failover multi-region dengan PSC dan Apigee.
Untuk menentukan produk Cloud Load Balancing mana yang akan digunakan, Anda harus terlebih dahulu menentukan jenis traffic yang harus ditangani oleh load balancer. Untuk informasi selengkapnya, lihat Memilih load balancer.
Saat Cloud Load Balancing digunakan, Anda harus menggunakan kemampuan pengoptimalan kapasitas aplikasi jika berlaku. Tindakan ini dapat membantu Anda mengatasi beberapa tantangan kapasitas yang dapat terjadi dalam aplikasi yang didistribusikan secara global.
- Untuk mengetahui informasi selengkapnya tentang latensi, lihat Mengoptimalkan latensi aplikasi dengan load balancing.
Meskipun Cloud VPN mengenkripsi traffic antarlingkungan, dengan Cloud Interconnect, Anda harus menggunakan MACsec atau VPN dengan ketersediaan tinggi (HA) melalui Cloud Interconnect untuk mengenkripsi traffic dalam pengiriman di lapisan konektivitas. Untuk mengetahui informasi selengkapnya, lihat Bagaimana cara mengenkripsi traffic melalui Cloud Interconnect.
- Anda juga dapat mempertimbangkan enkripsi lapisan layanan menggunakan TLS. Untuk mengetahui informasi selengkapnya, lihat Menentukan cara memenuhi persyaratan kepatuhan untuk enkripsi dalam pengiriman.
Jika Anda memerlukan volume traffic yang lebih besar melalui konektivitas hibrida VPN daripada yang dapat didukung oleh satu tunnel VPN, Anda dapat mempertimbangkan untuk menggunakan opsi pemilihan rute VPN dengan ketersediaan tinggi (HA) aktif/aktif.
- Untuk penyiapan hybrid atau multi-cloud jangka panjang dengan volume transfer data keluar yang tinggi, pertimbangkan Cloud Interconnect atau Cross-Cloud Interconnect. Opsi konektivitas tersebut membantu mengoptimalkan performa konektivitas dan dapat mengurangi biaya transfer data keluar untuk traffic yang memenuhi kondisi tertentu. Untuk mengetahui informasi selengkapnya, lihat Harga Cloud Interconnect.
Saat terhubung ke resource Google Cloud dan mencoba memilih antara Cloud Interconnect, Direct Peering, atau Carrier Peering, sebaiknya gunakan Cloud Interconnect, kecuali jika Anda perlu mengakses aplikasi Google Workspace. Untuk informasi selengkapnya, Anda dapat membandingkan fitur Peering Langsung dengan Cloud Interconnect dan Peering Operator dengan Cloud Interconnect.
Berikan ruang alamat IP yang cukup dari ruang alamat IP RFC 1918 yang ada untuk mengakomodasi sistem yang dihosting di cloud.
Jika memiliki batasan teknis yang mengharuskan Anda mempertahankan rentang alamat IP, Anda dapat:
Gunakan alamat IP internal yang sama untuk workload lokal Anda saat memigrasikannya ke Google Cloud, menggunakan subnet hybrid.
Sediakan dan gunakan alamat IPv4 publik Anda sendiri untuk resource Google Cloud menggunakan bawa IP Anda sendiri (BYOIP) ke Google.
Jika desain solusi Anda memerlukan eksposur aplikasi berbasis Google Cloud ke internet publik, pertimbangkan rekomendasi desain yang dibahas dalam Jaringan untuk pengiriman aplikasi yang menghadap internet.
Jika berlaku, gunakan endpoint Private Service Connect untuk mengizinkan beban kerja di Google Cloud, lokal, atau di lingkungan cloud lain dengan konektivitas campuran, untuk mengakses Google API atau layanan yang dipublikasikan secara pribadi, menggunakan alamat IP internal dengan cara yang terperinci.
Saat menggunakan Private Service Connect, Anda harus mengontrol hal berikut:
- Siapa yang dapat men-deploy resource Private Service Connect.
- Apakah koneksi dapat dibuat antara konsumen dan produsen.
- Traffic jaringan mana yang diizinkan untuk mengakses koneksi tersebut.
Untuk mengetahui informasi selengkapnya, lihat Keamanan Private Service Connect.
Untuk mencapai penyiapan cloud yang andal dalam konteks arsitektur hybrid dan multicloud:
- Lakukan penilaian komprehensif terhadap tingkat keandalan yang diperlukan dari berbagai aplikasi di seluruh lingkungan. Dengan begitu, Anda dapat memenuhi tujuan ketersediaan dan ketahanan.
- Pahami kemampuan keandalan dan prinsip desain penyedia cloud Anda. Untuk informasi selengkapnya, lihat Keandalan infrastruktur Google Cloud.
Visibilitas dan pemantauan jaringan cloud sangat penting untuk mempertahankan komunikasi yang andal. Network Intelligence Center menyediakan satu konsol untuk mengelola visibilitas, pemantauan, dan pemecahan masalah jaringan.