Bonnes pratiques générales

Last reviewed 2023-12-14 UTC

Lorsque vous concevez et intégrez des identités cloud, la hiérarchie des ressources et les réseaux de zones de destination, tenez compte des recommandations de conception de la page Conception des zones de destination dans Google Cloud et des bonnes pratiques de sécurité Google Cloud traitées dans le plan de base de l'entreprise. Vérifiez que la conception que vous avez sélectionnée est conforme aux documents suivants:

Tenez également compte des bonnes pratiques générales suivantes:

  • Lorsque vous choisissez une option de connectivité réseau hybride ou multicloud, tenez compte des exigences métier et applicatives telles que les contrats de niveau de service, les performances, la sécurité, les coûts, la fiabilité et la bande passante. Pour en savoir plus, consultez les pages Choisir un produit de connectivité réseau et Modèles pour connecter d'autres fournisseurs de services cloud à Google Cloud.

  • Utilisez des VPC partagés sur Google Cloud au lieu de plusieurs VPC lorsque cela est approprié et conforme aux exigences de votre conception de hiérarchie des ressources. Pour en savoir plus, consultez la section Choisir de créer ou non plusieurs réseaux VPC.

  • Suivez les bonnes pratiques de planification des comptes et des entreprises.

  • Le cas échéant, établissez une identité commune entre les environnements afin que les systèmes puissent s'authentifier de manière sécurisée dans les limites de l'environnement.

  • Pour exposer en toute sécurité les applications aux utilisateurs d'entreprise dans une configuration hybride et pour choisir l'approche la mieux adaptée à vos besoins, suivez la méthode recommandée pour intégrer Google Cloud à votre système de gestion des identités.

  • Lorsque vous concevez vos environnements sur site et cloud, tenez compte de l'adressage IPv6 dès le départ et identifiez les services qui le prennent en charge. Pour en savoir plus, consultez la page Présentation d'IPv6 sur Google Cloud. Cette section récapitule les services compatibles lors de la rédaction du blog.

  • Lorsque vous concevez, déployez et gérez vos règles de pare-feu VPC, vous pouvez:

  • Vous devez toujours concevoir la sécurité de votre cloud et de votre réseau à l'aide d'une approche de sécurité multicouche en tenant compte de couches de sécurité supplémentaires, comme les suivantes:

    Ces couches supplémentaires peuvent vous aider à filtrer, inspecter et surveiller un large éventail de menaces au niveau des couches réseau et application à des fins d'analyse et de prévention.

  • Lorsque vous décidez où la résolution DNS doit être effectuée dans une configuration hybride, nous vous recommandons d'utiliser deux systèmes DNS faisant autorité pour votre environnement Google Cloud privé et pour vos ressources sur site hébergées par des serveurs DNS existants dans votre environnement sur site. Pour en savoir plus, consultez la section Choisir où la résolution DNS est effectuée.

  • Dans la mesure du possible, exposez toujours les applications via des API à l'aide d'une passerelle API ou d'un équilibreur de charge. Nous vous recommandons d'envisager une plate-forme d'API comme Apigee. Apigee agit comme une abstraction ou une façade pour vos API de service de backend, associées à des fonctionnalités de sécurité, une limitation du débit, des quotas et des analyses.

  • Une plate-forme d'API (gateway ou proxy) et un équilibreur de charge d'application ne s'excluent pas mutuellement. Parfois, l'utilisation conjointe d'API Gateways et d'équilibreurs de charge peut fournir une solution plus robuste et sécurisée pour gérer et distribuer le trafic des API à grande échelle. Les passerelles API Cloud Load Balancing vous permettent d'effectuer les opérations suivantes:

  • Pour déterminer le produit Cloud Load Balancing à utiliser, vous devez d'abord déterminer le type de trafic que vos équilibreurs de charge doivent gérer. Pour en savoir plus, consultez la page Choisir un équilibreur de charge.

  • Lorsque vous utilisez Cloud Load Balancing, vous devez utiliser ses fonctionnalités d'optimisation de la capacité des applications, le cas échéant. Cela peut vous aider à résoudre certains des problèmes de capacité pouvant survenir dans les applications distribuées dans le monde entier.

  • Alors que Cloud VPN chiffre le trafic entre les environnements, avec Cloud Interconnect, vous devez utiliser MACsec ou le VPN haute disponibilité via Cloud Interconnect pour chiffrer le trafic en transit au niveau de la couche de connectivité. Pour en savoir plus, consultez la section Comment chiffrer le trafic sur Cloud Interconnect ?

  • Si vous avez besoin d'un volume de trafic sur une connectivité hybride VPN supérieur à celui qu'un seul tunnel VPN peut prendre en charge, vous pouvez envisager d'utiliser l'option de routage VPN haute disponibilité actif/actif.

    • Pour les configurations hybrides ou multicloud à long terme avec des volumes de transfert de données sortants élevés, envisagez Cloud Interconnect ou interconnexion cross-cloud. Ces options de connectivité permettent d'optimiser les performances de connectivité et peuvent réduire les frais de transfert de données sortantes pour le trafic qui répond à certaines conditions. Pour en savoir plus, consultez la section sur les tarifs de Cloud Interconnect.
  • Lorsque vous vous connectez aux ressources Google Cloud et que vous devez choisir entre Cloud Interconnect, l'appairage direct ou l'appairage opérateur, nous vous recommandons d'utiliser Cloud Interconnect, sauf si vous avez besoin d'accéder aux applications Google Workspace. Pour en savoir plus, vous pouvez comparer les caractéristiques de l'appairage direct avec Cloud Interconnect et de l'appairage opérateur avec Cloud Interconnect.

  • Prévoyez suffisamment d'espace d'adressage IP à partir de votre espace d'adressage IP RFC 1918 existant pour accueillir vos systèmes hébergés dans le cloud.

  • Si des restrictions techniques vous obligent à conserver votre plage d'adresses IP, vous pouvez:

    • Utiliser les mêmes adresses IP internes pour vos charges de travail sur site lors de leur migration vers Google Cloud, à l'aide de sous-réseaux hybrides.

    • Provisionner et utiliser vos propres adresses IPv4 publiques pour les ressources Google Cloud à l'aide de l'option BYOIP (Bring your own IP) de Google.

  • Si la conception de votre solution nécessite l'exposition d'une application Google Cloud à l'Internet public, tenez compte des recommandations de conception abordées dans Mise en réseau pour la diffusion d'applications Web.

  • Le cas échéant, utilisez des points de terminaison Private Service Connect pour autoriser les charges de travail dans Google Cloud, sur site ou dans un autre environnement cloud avec une connectivité hybride à accéder de manière privée aux API Google ou aux services publiés, à l'aide d'adresses IP internes de manière précise.

  • Lorsque vous utilisez Private Service Connect, vous devez contrôler les éléments suivants:

    • Qui peut déployer des ressources Private Service Connect ?
    • Si des connexions peuvent être établies ou non entre les consommateurs et les producteurs.
    • Le trafic réseau autorisé à accéder à ces connexions.

    Pour en savoir plus, consultez Points de terminaison Private Service Connect.

  • Pour obtenir une configuration cloud robuste dans le contexte d'une architecture hybride et multicloud:

    • Effectuez une évaluation complète des niveaux de fiabilité requis pour les différentes applications dans les différents environnements. Cela peut vous aider à atteindre vos objectifs de disponibilité et de résilience.
    • Comprendre les fonctionnalités de fiabilité et les principes de conception de votre fournisseur de services cloud Pour plus d'informations, consultez le guide de fiabilité de l'infrastructure Google Cloud.
  • La visibilité et la surveillance du réseau cloud sont essentielles pour assurer des communications fiables. Network Intelligence Center fournit une console unique permettant de gérer la visibilité, la surveillance et le dépannage du réseau.