Durante la progettazione e l'onboarding di identità cloud, gerarchia delle risorse e reti delle zone di destinazione, tieni in considerazione i suggerimenti di progettazione descritti in Progettazione delle zone di destinazione in Google Cloud e le best practice per la sicurezza di Google Cloud descritte nel progetto delle basi aziendali. Convalida il progetto selezionato in base ai seguenti documenti:
- Best practice e architetture di riferimento per la progettazione di VPC
- Progetta la tua infrastruttura di rete
- Framework dell'architettura Google Cloud: sicurezza, privacy e conformità
Prendi in considerazione anche le seguenti best practice generali:
Quando scegli un'opzione di connettività di rete ibrida o multi-cloud, considera i requisiti aziendali e delle applicazioni, come SLA, prestazioni, sicurezza, costi, affidabilità e larghezza di banda. Per ulteriori informazioni, vedi Scelta di un prodotto per la connettività di rete e Pattern per connettere altri provider di servizi cloud con Google Cloud.
Utilizza VPC condivisi su Google Cloud anziché più VPC quando appropriato e in linea con i requisiti di progettazione della gerarchia delle risorse. Per ulteriori informazioni, consulta Decidere se creare più reti VPC.
Segui le best practice per la pianificazione di account e organizzazioni.
Ove applicabile, stabilisci un'identità comune tra gli ambienti in modo che i sistemi possano eseguire l'autenticazione sicura oltre i confini degli ambienti.
Per esporre in sicurezza le applicazioni agli utenti aziendali in una configurazione ibrida e per scegliere l'approccio più adatto alle tue esigenze, devi seguire i metodi consigliati per integrare Google Cloud con il tuo sistema di gestione delle identità.
Durante la progettazione degli ambienti on-premise e cloud, prendi in considerazione l'indirizzamento IPv6 fin dall'inizio e prendi in considerazione i servizi che lo supportano. Per ulteriori informazioni, consulta Introduzione a IPv6 su Google Cloud. Riassume i servizi supportati quando è stato scritto il blog.
Durante la progettazione, il deployment e la gestione delle regole firewall VPC, puoi:
- Utilizza il filtro basato sull'account di servizio anziché quello basato su tag di rete se hai bisogno di un controllo rigoroso su come le regole firewall vengono applicate alle VM.
- Utilizza i criteri firewall quando raggruppi diverse regole firewall, in modo da poterle aggiornare tutte contemporaneamente. Puoi anche rendere il criterio gerarchicamente. Per le specifiche e i dettagli dei criteri firewall gerarchici, consulta Criteri firewall gerarchici.
- Utilizza gli oggetti di geolocalizzazione nel criterio firewall quando devi filtrare il traffico IPv4 esterno e IPv6 esterno in base a regioni o regioni geografiche specifiche.
- Utilizza Threat Intelligence per le regole dei criteri firewall se hai bisogno di proteggere la tua rete consentendo o bloccando il traffico in base ai dati di Threat Intelligence, come indirizzi IP dannosi noti o in base a intervalli di indirizzi IP del cloud pubblico. Ad esempio, puoi consentire il traffico da intervalli specifici di indirizzi IP del cloud pubblico se i tuoi servizi devono comunicare solo con quel cloud pubblico. Per maggiori informazioni, consulta Best practice per le regole firewall.
Dovresti sempre progettare il cloud e la sicurezza della rete utilizzando un approccio alla sicurezza multilivello, prendendo in considerazione i livelli di sicurezza aggiuntivi, come i seguenti:
- Google Cloud Armor
- Sistema di rilevamento delle intrusioni nel cloud
- IPS Cloud di nuova generazione per il firewall
- Intelligence sulle minacce per le regole dei criteri firewall
Questi livelli aggiuntivi possono aiutarti a filtrare, ispezionare e monitorare un'ampia varietà di minacce nei livelli di rete e di applicazione ai fini dell'analisi e della prevenzione.
Quando decidi dove eseguire la risoluzione DNS in una configurazione ibrida, ti consigliamo di utilizzare due sistemi DNS autorevoli per l'ambiente Google Cloud privato e per le risorse on-premise ospitate da server DNS esistenti nel tuo ambiente on-premise. Per ulteriori informazioni, consulta la sezione Scegliere dove viene eseguita la risoluzione DNS.
Se possibile, esponi sempre le applicazioni tramite API utilizzando un gateway API o un bilanciatore del carico. Ti consigliamo di prendere in considerazione una piattaforma API come Apigee. Apigee funge da astrazione o da facciata per le API dei servizio di backend, combinata con funzionalità di sicurezza, limitazione di frequenza, quote e analisi.
Una piattaforma API (gateway o proxy) e un bilanciatore del carico delle applicazioni non si escludono a vicenda. A volte, l'utilizzo combinato di gateway API e bilanciatori del carico può fornire una soluzione più solida e sicura per la gestione e la distribuzione del traffico API su larga scala. L'utilizzo dei gateway dell'API Cloud Load Balancing ti consente di:
Fornisci API ad alte prestazioni con Apigee e Cloud CDN, per:
- Riduci la latenza
- Ospita le API in tutto il mondo
Aumenta la disponibilità nei periodi di picco del traffico
Per saperne di più, guarda il video Delivering high-performance APIs with Apigee and Cloud CDN su YouTube.
Implementa una gestione avanzata del traffico.
Utilizza Google Cloud Armor come protezione DDoS, WAF e servizio di sicurezza di rete per proteggere le tue API.
Gestisci un bilanciamento del carico efficiente tra gateway in più regioni. Per ulteriori informazioni, guarda Protezione delle API e implementazione del failover multiregionale con PSC e Apigee.
Per determinare quale prodotto di Cloud Load Balancing utilizzare, devi innanzitutto determinare il tipo di traffico che i bilanciatori del carico devono gestire. Per ulteriori informazioni, consulta Scegliere un bilanciatore del carico.
Se utilizzi Cloud Load Balancing, devi usare le funzionalità di ottimizzazione della capacità delle applicazioni ove applicabile. Questo può aiutarti ad affrontare alcuni problemi di capacità che possono verificarsi nelle applicazioni distribuite a livello globale.
- Per un approfondimento sulla latenza, consulta Ottimizzare la latenza delle applicazioni con il bilanciamento del carico.
Mentre Cloud VPN cripta il traffico tra gli ambienti, con Cloud Interconnect devi utilizzare MACsec o VPN ad alta disponibilità su Cloud Interconnect per criptare il traffico in transito a livello di connettività. Per ulteriori informazioni, consulta Come posso criptare il mio traffico su Cloud Interconnect.
- Puoi anche prendere in considerazione la crittografia a livello di servizio tramite TLS. Per maggiori informazioni, consulta Decidere come soddisfare i requisiti di conformità per la crittografia dei dati in transito.
Se hai bisogno di un volume di traffico maggiore su una connettività ibrida VPN rispetto a quello supportato da un singolo tunnel VPN, puoi valutare l'utilizzo dell'opzione di routing VPN ad alta disponibilità attivo/attivo.
- Per configurazioni ibride o multi-cloud a lungo termine con volumi di trasferimento di dati in uscita elevati, prendi in considerazione Cloud Interconnect o Cross-Cloud Interconnect. Queste opzioni di connettività consentono di ottimizzare le prestazioni della connettività e potrebbero ridurre i costi per il trasferimento di dati in uscita per il traffico che soddisfa determinate condizioni. Per ulteriori informazioni, consulta i prezzi di Cloud Interconnect.
Quando ti connetti alle risorse di Google Cloud e provi a scegliere tra Cloud Interconnect, peering diretto o peering con operatori, ti consigliamo di utilizzare Cloud Interconnect, a meno che tu non abbia bisogno di accedere alle applicazioni Google Workspace. Per ulteriori informazioni, puoi confrontare le funzionalità del peering diretto con Cloud Interconnect e del peering con operatori con Cloud Interconnect.
Concedi uno spazio di indirizzi IP sufficiente dal tuo attuale spazio di indirizzi IP RFC 1918 per contenere i sistemi ospitati nel cloud.
Se esistono restrizioni tecniche che richiedono di conservare l'intervallo di indirizzi IP, puoi:
Utilizza gli stessi indirizzi IP interni per i carichi di lavoro on-premise durante la migrazione a Google Cloud mediante subnet ibride.
Esegui il provisioning e utilizza i tuoi indirizzi IPv4 pubblici per le risorse Google Cloud utilizzando il trasferimento del tuo IP (BYOIP) a Google.
Se la progettazione della tua soluzione richiede l'esposizione di un'applicazione basata su Google Cloud alla rete internet pubblica, considera i suggerimenti di progettazione discussi in Networking per la distribuzione di applicazioni per internet.
Ove applicabile, utilizza gli endpoint Private Service Connect per consentire ai carichi di lavoro in Google Cloud, on-premise o in un altro ambiente cloud con connettività ibrida di accedere privatamente alle API di Google o ai servizi pubblicati, utilizzando indirizzi IP interni in modo granulare.
Quando utilizzi Private Service Connect, devi controllare quanto segue:
- Chi può eseguire il deployment delle risorse Private Service Connect.
- Indica se è possibile stabilire connessioni tra consumatori e producer.
- Il traffico di rete autorizzato ad accedere a queste connessioni.
Per maggiori informazioni, vedi Sicurezza di Private Service Connect.
Per ottenere una configurazione cloud solida nel contesto di un'architettura ibrida e multi-cloud:
- Esegui una valutazione completa dei livelli richiesti di affidabilità delle diverse applicazioni nei vari ambienti. In questo modo puoi raggiungere i tuoi obiettivi di disponibilità e resilienza.
- Comprendi le funzionalità di affidabilità e i principi di progettazione del tuo cloud provider. Per ulteriori informazioni, consulta Affidabilità dell'infrastruttura Google Cloud.
La visibilità e il monitoraggio della rete cloud sono essenziali per mantenere comunicazioni affidabili. Network Intelligence Center fornisce un'unica console per la gestione della visibilità, del monitoraggio e della risoluzione dei problemi della rete.