Bonnes pratiques générales

Last reviewed 2023-12-14 UTC

Lorsque vous concevez et intégrez des identités cloud, la hiérarchie des ressources et les réseaux de zones de destination, tenez compte des recommandations de conception de la page Conception des zones de destination dans Google Cloud et des bonnes pratiques de sécurité Google Cloud traitées dans le plan de base de l'entreprise. Validez la conception sélectionnée par rapport aux documents suivants :

Tenez également compte des bonnes pratiques générales suivantes:

  • Lorsque vous choisissez une option de connectivité réseau hybride ou multicloud, tenez compte des exigences de votre entreprise et des applications, telles que les contrats de niveau de service, les performances, la sécurité, les coûts, la fiabilité et la bande passante. Pour en savoir plus, consultez Choisir un produit de connectivité réseau et Modèles pour la connexion d'autres fournisseurs de services cloud avec Google Cloud.

  • Utilisez des VPC partagés sur Google Cloud plutôt que plusieurs VPC lorsque cela est nécessaire et conforme à vos exigences de conception de la hiérarchie des ressources. Pour en savoir plus, consultez Décider de créer ou non plusieurs réseaux VPC.

  • Suivez les bonnes pratiques de planification des comptes et des entreprises.

  • Le cas échéant, établissez une identité commune entre les environnements afin que les systèmes puissent s'authentifier de manière sécurisée dans les limites de l'environnement.

  • Pour exposer en toute sécurité les applications aux utilisateurs d'entreprise dans une configuration hybride et pour choisir l'approche la mieux adaptée à vos besoins, suivez la méthode recommandée pour intégrer Google Cloud à votre système de gestion des identités.

  • Lors de la conception de vos environnements sur site et cloud, tenez compte de l'adressage IPv6 dès le début et tenez compte des services compatibles. Pour en savoir plus, consultez Présentation d'IPv6 sur Google Cloud. Cette section récapitule les services compatibles lors de la rédaction du blog.

  • Lorsque vous concevez, déployez et gérez vos règles de pare-feu VPC, vous pouvez :

  • Vous devez toujours concevoir votre sécurité cloud et réseau en adoptant une approche de sécurité à plusieurs niveaux en envisageant des couches de sécurité supplémentaires, comme les suivantes :

    Ces couches supplémentaires peuvent vous aider à filtrer, inspecter et surveiller un large éventail de menaces au niveau du réseau et des couches d'application à des fins d'analyse et de prévention.

  • Lorsque vous décidez où la résolution DNS doit être effectuée dans une configuration hybride, nous vous recommandons d'utiliser deux systèmes DNS faisant autorité pour votre environnement Google Cloud privé et pour vos ressources sur site hébergées par des serveurs DNS existants dans votre environnement sur site. Pour en savoir plus, consultez Choisir où la résolution DNS est effectuée.

  • Dans la mesure du possible, exposez toujours les applications via des API à l'aide d'une passerelle d'API ou d'un équilibreur de charge. Nous vous recommandons d'utiliser une plate-forme d'API comme Apigee. Apigee agit comme une abstraction ou une façade pour vos API de services de backend, en plus des fonctionnalités de sécurité, de la limitation du débit, des quotas et des analyses.

  • Une plate-forme d'API (gateway ou proxy) et un équilibreur de charge d'application ne s'excluent pas mutuellement. Parfois, l'utilisation conjointe des passerelles d'API et des équilibreurs de charge peut constituer une solution plus robuste et sécurisée pour la gestion et la distribution du trafic des API à grande échelle. L'utilisation des passerelles de l'API Cloud Load Balancing vous permet d'effectuer les opérations suivantes:

  • Pour déterminer le produit Cloud Load Balancing à utiliser, vous devez d'abord déterminer le type de trafic que vos équilibreurs de charge doivent gérer. Pour en savoir plus, consultez la page Choisir un équilibreur de charge.

  • Lorsque Cloud Load Balancing est utilisé, vous devez utiliser ses fonctionnalités d'optimisation de la capacité de l'application, le cas échéant. Cela peut vous aider à résoudre certains problèmes de capacité qui peuvent survenir dans les applications distribuées dans le monde entier.

  • Alors que Cloud VPN chiffre le trafic entre les environnements, avec Cloud Interconnect, vous devez utiliser MACsec ou le VPN haute disponibilité sur Cloud Interconnect pour chiffrer le trafic en transit au niveau de la couche de connectivité. Pour en savoir plus, consultez la section Comment chiffrer le trafic sur Cloud Interconnect ?

  • Si vous avez besoin d'un volume de trafic supérieur à celui accepté par un tunnel VPN unique sur une connectivité VPN hybride, vous pouvez envisager d'utiliser l'option de routage VPN haute disponibilité actif/actif.

    • Pour les configurations hybrides ou multicloud à long terme avec des volumes de transfert de données sortants élevés, envisagez d'utiliser Cloud Interconnect ou Cross-Cloud Interconnect. Ces options de connectivité permettent d'optimiser les performances de connectivité et de réduire les frais de transfert de données sortantes pour le trafic répondant à certaines conditions. Pour en savoir plus, consultez la section sur les tarifs de Cloud Interconnect.

  • Lorsque vous vous connectez aux ressources Google Cloud et que vous essayez de choisir entre Cloud Interconnect, l'appairage direct ou l'appairage opérateur, nous vous recommandons d'utiliser Cloud Interconnect, sauf si vous avez besoin d'accéder aux applications Google Workspace. Pour en savoir plus, comparez les caractéristiques de l'appairage direct avec Cloud Interconnect et de l'appairage opérateur avec Cloud Interconnect.

  • Prévoyez suffisamment d'espace d'adressage IP à partir de votre espace d'adressage IP RFC 1918 existant pour accueillir vos systèmes hébergés sur le cloud.

  • Si des restrictions techniques vous obligent à conserver votre plage d'adresses IP, vous pouvez :

    • Utiliser les mêmes adresses IP internes pour vos charges de travail sur site lors de leur migration vers Google Cloud, à l'aide de sous-réseaux hybrides.

    • Provisionner et utiliser vos propres adresses IPv4 publiques pour les ressources Google Cloud à l'aide de l'option BYOIP (Bring your own IP) de Google.

  • Si la conception de votre solution nécessite l'exposition d'une application Google Cloud à l'Internet public, tenez compte des recommandations de conception abordées dans Mise en réseau pour la diffusion d'applications Web.

  • Le cas échéant, utilisez des points de terminaison Private Service Connect pour autoriser les charges de travail dans Google Cloud, sur site ou dans un autre environnement cloud avec une connectivité hybride à accéder en mode privé aux API Google ou en utilisant des adresses IP internes avec précision.

  • Lorsque vous utilisez Private Service Connect, vous devez contrôler les éléments suivants :

    • Qui peut déployer des ressources Private Service Connect ?
    • Si des connexions peuvent être établies ou non entre les consommateurs et les producteurs.
    • Le trafic réseau autorisé à accéder à ces connexions.

    Pour en savoir plus, consultez Points de terminaison Private Service Connect.

  • Pour obtenir une configuration cloud robuste dans le contexte d'une architecture hybride et multicloud :

    • Effectuez une évaluation complète des niveaux de fiabilité requis pour les différentes applications dans tous les environnements. Cela peut vous aider à atteindre vos objectifs de disponibilité et de résilience.
    • Comprenez les capacités de fiabilité et les principes de conception de votre fournisseur cloud. Pour plus d'informations, consultez le guide de fiabilité de l'infrastructure Google Cloud.

  • La visibilité et la surveillance du réseau cloud sont essentielles pour assurer des communications fiables. Network Intelligence Center fournit une console unique permettant de gérer la visibilité, la surveillance et le dépannage du réseau.

Précédent
Modèle de transfert
Suivant
Étapes suivantes