Quando progetti e esegui l'onboarding delle identità cloud, della gerarchia delle risorse e delle reti delle zone di destinazione, prendi in considerazione i consigli di progettazione descritti in Design delle zone di destinazione in Google Cloud e le best practice di sicurezza di Google Cloud descritte nel blueprint Enterprise Foundations. Convalida il progetto selezionato in base ai seguenti documenti:
- Best practice e architetture di riferimento per la progettazione di VPC
- Decidi una gerarchia di risorse per la tua zona di destinazione Google Cloud
- Framework dell'architettura Google Cloud: sicurezza, privacy e conformità
Prendi in considerazione anche le seguenti best practice generali:
Quando si sceglie un'opzione di connettività di rete ibrida o multi-cloud, considerare i requisiti aziendali e dell'applicazione, come SLA, prestazioni sicurezza, costi, affidabilità e larghezza di banda. Per ulteriori informazioni, vedi Scegliere un prodotto per la connettività di rete e Pattern per connettere altri provider di servizi cloud a Google Cloud.
Utilizza VPC condivisi su Google Cloud anziché più VPC quando appropriati e in linea con i tuoi progettazione della gerarchia delle risorse i tuoi requisiti. Per ulteriori informazioni, vedi Decidere se creare più reti VPC.
Segui le best practice per la pianificazione di account e organizzazioni.
Ove applicabile, creare un'identità comune tra gli ambienti in modo che i sistemi possano eseguire l'autenticazione sicura confini ambientali.
Per esporre in sicurezza le applicazioni agli utenti aziendali in una configurazione ibrida, e per scegliere l'approccio più adatto alle tue esigenze, devi segui i metodi consigliati per integrare Google Cloud con il tuo sistema di gestione delle identità.
Quando progetti i tuoi ambienti on-premise e cloud, prendi in considerazione l'indirizzamento IPv6 fin dall'inizio e tieni conto di quali servizi lo supportano. Per maggiori informazioni le informazioni, vedi Introduzione a IPv6 su Google Cloud. Riassume i servizi supportati quando è stato scritto il blog.
Durante la progettazione, il deployment e la gestione delle regole firewall VPC, puoi:
- Utilizza il filtro basato sugli account di servizio anziché il filtro basato sui tag di rete se hai bisogno di un controllo rigoroso sull'applicazione delle regole firewall alle VM.
- Utilizza criteri firewall quando raggruppi diverse regole firewall, in modo da poterle aggiornare tutte contemporaneamente. Puoi anche rendere il criterio gerarchico. Per gerarchiche le specifiche e i dettagli dei criteri firewall, consulta Criteri firewall gerarchici.
- Utilizza oggetti di geolocalizzazione nel criterio del firewall quando devi filtrare il traffico IPv4 e IPv6 esterno in base a regioni o località geografiche specifiche.
- Utilizza Threat Intelligence per le regole dei criteri di firewall se devi proteggere la tua rete consentendo o bloccando il traffico in base ai dati di Threat Intelligence, ad esempio indirizzi IP dannosi noti o in base a intervalli di indirizzi IP del cloud pubblico. Ad esempio, puoi consentire il traffico da intervalli di indirizzi IP di cloud pubblici specifici se i tuoi servizi devono comunicare solo con quel cloud pubblico. Per ulteriori informazioni, consulta le best practice per le regole firewall.
Devi sempre progettare la sicurezza del cloud e della rete utilizzando un approccio di sicurezza a più livelli tenendo conto di ulteriori livelli di sicurezza, come i seguenti:
- Google Cloud Armor
- Cloud Intrusion Detection System
- IPS Cloud Next Generation Firewall
- Intelligence sulle minacce per le regole dei criteri firewall
Questi livelli aggiuntivi possono aiutarti a filtrare, ispezionare e monitorare un'ampia gamma di minacce a livello di rete e applicazione per analisi e prevenzione.
Quando decidi dove eseguire la risoluzione DNS in una configurazione ibrida, ti consigliamo di utilizzare due sistemi DNS autorevoli per il tuo ambiente Google Cloud privato e per le risorse on-premise ospitate da server DNS esistenti nel tuo ambiente on-premise. Per maggiori informazioni le informazioni vedi, Scegli dove eseguire la risoluzione DNS.
Se possibile, esponi sempre le applicazioni tramite API utilizzando un gateway o un bilanciatore del carico delle API. Ti consigliamo di prendere in considerazione un'API come Apigee. Apigee funge da astrazione o facade per le API dei servizi di backend, combinata con funzionalità di sicurezza, limitazione della frequenza, quote e analisi.
Una piattaforma API (gateway o proxy) e un bilanciatore del carico delle applicazioni non sono mutuamente esclusivi. A volte, l'utilizzo congiunto di gateway API e bilanciatori del carico può fornire una soluzione più solida e sicura per gestire e distribuire il traffico API su larga scala. Utilizzo Gateway API Cloud Load Balancing ti consente di:
Offri API ad alte prestazioni con Apigee e Cloud CDN per:
- Riduci la latenza
- Ospita le API in tutto il mondo
Aumentare la disponibilità per i periodi di picco del traffico
Per saperne di più, guarda Caricare API ad alte prestazioni con Apigee e Cloud CDN su YouTube.
Implementa la gestione avanzata del traffico.
Utilizzare Google Cloud Armor per la protezione dagli attacchi DDoS, WAF e la sicurezza di rete per proteggere le API.
Gestisci un bilanciamento del carico efficiente tra i gateway in più regioni. Per ulteriori informazioni, guarda Protezione delle API ed implementazione del failover multiregionale con PSC e Apigee.
Per determinare quale prodotto Cloud Load Balancing utilizzare, devi innanzitutto determinare il tipo di traffico che i bilanciatori del carico devono gestire. Per ulteriori informazioni, consulta Scegliere un bilanciatore del carico.
Quando utilizzi Cloud Load Balancing, devi usare i suoi delle funzionalità di ottimizzazione della capacità dell'applicazione ove applicabile. Questo può aiutarti a gestire parte della capacità le sfide che si possono presentare nelle applicazioni distribuite a livello globale.
- Per un approfondimento sulla latenza, consulta: Ottimizza la latenza delle applicazioni con il bilanciamento del carico.
Mentre Cloud VPN cripta il traffico tra gli ambienti, Cloud Interconnect richiede l'uso di MACsec VPN ad alta disponibilità su Cloud Interconnect a criptare il traffico in transito a livello di connettività. Per ulteriori informazioni, consulta Come faccio a criptare il mio traffico tramite Cloud Interconnect.
- Puoi anche prendere in considerazione la crittografia a livello di servizio tramite TLS. Per maggiori informazioni, consulta Decidere come soddisfare i requisiti di conformità per la crittografia in transito.
Se hai bisogno di più volume di traffico su una connettività ibrida VPN rispetto a una un singolo tunnel VPN supporta, puoi valutare l'uso routing VPN ad alta disponibilità attivo/attivo .
- Per configurazioni ibride o multicloud a lungo termine con elevati volumi di trasferimento di dati in uscita, valuta la possibilità di utilizzare Cloud Interconnect o Cross-Cloud Interconnect. Queste opzioni di connettività consentono ottimizzare le prestazioni di connettività e ridurre i dati in uscita addebiti per il trasferimento di traffico che soddisfa determinate condizioni. Per maggiori informazioni le informazioni, vedi Prezzi di Cloud Interconnect.
Quando ti connetti alle risorse Google Cloud e cerchi di scegliere tra Cloud Interconnect, peering diretto o peering con operatori, ti consigliamo di utilizzare Cloud Interconnect, a meno che tu non debba accedere alle applicazioni Google Workspace. Per ulteriori informazioni, puoi confrontare le caratteristiche Peering diretto con Cloud Interconnect e Peering con operatori con Cloud Interconnect.
Consenti spazio sufficiente per gli indirizzi IP dall'indirizzo IP RFC 1918 esistente lo spazio di archiviazione ideale per ospitare i tuoi sistemi ospitati nel cloud.
Se esistono restrizioni tecniche che richiedono di conservare la proprietà intellettuale di indirizzi IP, puoi:
Utilizza gli stessi indirizzi IP interni per i tuoi ambienti on-premise durante la migrazione a Google Cloud, subnet ibride.
Esegui il provisioning e utilizza i tuoi indirizzi IPv4 pubblici per alle risorse Google Cloud Bring Your Own IP (BYOIP) a Google.
Se la progettazione della tua soluzione richiede l'esposizione di un'applicazione basata su Google Cloud all'internet pubblico, prendi in considerazione i consigli di progettazione descritti in Networking per l'implementazione di applicazioni rivolte a internet.
Ove applicabile, utilizza Endpoint Private Service Connect per consentire i carichi di lavoro in Google Cloud, on-premise o in un altro cloud con connettività ibrida, per accedere privatamente alle API di Google e i servizi pubblicati, usando gli indirizzi IP interni in modo granulare.
Quando utilizzi Private Service Connect, devi controllare quanto segue:
- Chi può eseguire il deployment delle risorse Private Service Connect.
- Indica se è possibile stabilire connessioni tra consumatori e producer.
- Il traffico di rete autorizzato ad accedere a queste connessioni.
Per ulteriori informazioni, vedi Sicurezza Private Service Connect.
Per ottenere una configurazione del cloud solida nel contesto di ambienti ibridi e multi-cloud dell'architettura:
- Esegui una valutazione completa dei livelli di affidabilità richiesti delle diverse applicazioni negli ambienti. In questo modo può aiutarti a raggiungere i tuoi obiettivi in termini di disponibilità e resilienza.
- Comprendere le funzionalità di affidabilità e principi di progettazione del tuo cloud provider. Per ulteriori informazioni, vedi Affidabilità dell'infrastruttura Google Cloud.
La visibilità e il monitoraggio della rete cloud sono essenziali per mantenere comunicazioni affidabili. Network Intelligence Center fornisce un'unica console per la gestione della visibilità, del monitoraggio e della risoluzione dei problemi di rete.