Praktik terbaik umum

Saat mendesain dan melakukan orientasi identitas cloud, hierarki resource, dan jaringan zona landing, pertimbangkan rekomendasi desain dalam Desain zona landing di Google Cloud dan praktik terbaik keamanan Google Cloud yang tercakup dalam blueprint perusahaan dasar. Validasi desain yang Anda pilih terhadap dokumen berikut:

• Praktik terbaik dan arsitektur referensi untuk desain VPC
• Mendesain infrastruktur jaringan
• Framework Arsitektur Google Cloud: Keamanan, privasi, dan kepatuhan

Selain itu, pertimbangkan praktik terbaik umum berikut:

• Saat memilih opsi konektivitas jaringan hybrid atau multicloud, pertimbangkan persyaratan bisnis dan aplikasi seperti SLA, performa, keamanan, biaya, keandalan, dan bandwidth. Untuk mengetahui informasi selengkapnya, lihat Memilih produk Konektivitas Jaringan dan Pola untuk menghubungkan penyedia layanan cloud lain dengan Google Cloud.

• Gunakan VPC bersama di Google Cloud, bukan beberapa VPC, jika sesuai dan selaras dengan persyaratan desain hierarki resource Anda. Untuk informasi selengkapnya, lihat Memutuskan apakah akan membuat beberapa jaringan VPC.

• Ikuti praktik terbaik untuk merencanakan akun dan organisasi.

• Jika memungkinkan, tetapkan identitas umum antarlingkungan sehingga sistem dapat melakukan autentikasi dengan aman di seluruh batas lingkungan.

• Untuk mengekspos aplikasi ke pengguna perusahaan dengan aman dalam konfigurasi hybrid dan memilih pendekatan yang paling sesuai dengan kebutuhan, Anda harus mengikuti cara yang direkomendasikan untuk mengintegrasikan Google Cloud dengan sistem pengelolaan identitas Anda.

  • Selain itu, lihat Pola untuk mengautentikasi pengguna tenaga kerja di lingkungan hybrid.

• Saat mendesain lingkungan lokal dan cloud, pertimbangkan untuk menggunakan alamat IPv6 sejak dini, dan pertimbangkan layanan mana yang mendukungnya. Untuk mengetahui informasi selengkapnya, lihat Pengantar IPv6 di Google Cloud. Kode ini merangkum layanan yang didukung saat blog ditulis.

• Saat mendesain, men-deploy, dan mengelola aturan firewall VPC, Anda dapat:

  • Gunakan pemfilteran berbasis akun layanan daripada pemfilteran berbasis tag jaringan jika Anda memerlukan kontrol ketat terkait penerapan aturan firewall ke VM.
  • Gunakan kebijakan firewall saat Anda mengelompokkan beberapa aturan firewall, sehingga Anda dapat memperbarui semuanya sekaligus. Anda juga dapat membuat kebijakan hierarkis. Untuk mengetahui detail dan spesifikasi kebijakan firewall hierarki, lihat Kebijakan firewall hierarkis.
  • Gunakan objek geolokasi dalam kebijakan firewall saat Anda perlu memfilter traffic IPv4 eksternal dan IPv6 eksternal berdasarkan lokasi geografis atau region tertentu.
  • Gunakan Threat Intelligence untuk aturan kebijakan firewall jika Anda perlu mengamankan jaringan dengan mengizinkan atau memblokir traffic berdasarkan data Threat Intelligence, seperti alamat IP berbahaya yang diketahui, atau berdasarkan rentang alamat IP cloud publik. Misalnya, Anda dapat mengizinkan traffic dari rentang alamat IP cloud publik tertentu jika layanan Anda hanya perlu berkomunikasi dengan cloud publik tersebut. Untuk mengetahui informasi selengkapnya, lihat Praktik terbaik untuk aturan firewall.

• Anda harus selalu merancang keamanan cloud dan jaringan menggunakan pendekatan keamanan berlapis dengan mempertimbangkan lapisan keamanan tambahan, seperti berikut:

  • Google Cloud Armor
  • Cloud Intrusion Detection System
  • IPS Firewall Cloud Next Generation
  • Kecerdasan Ancaman untuk aturan kebijakan firewall

  Lapisan tambahan ini dapat membantu Anda memfilter, memeriksa, dan memantau berbagai macam ancaman di lapisan jaringan dan aplikasi untuk analisis dan pencegahan.

• Saat menentukan resolusi DNS yang harus dilakukan dalam konfigurasi hybrid, sebaiknya gunakan dua sistem DNS otoritatif untuk lingkungan Google Cloud pribadi Anda, dan untuk resource lokal yang dihosting oleh server DNS yang ada di lingkungan lokal Anda. Untuk mengetahui informasi selengkapnya, lihat Memilih tempat resolusi DNS dilakukan.

• Jika memungkinkan, selalu ekspos aplikasi melalui API menggunakan gateway atau load balancer API. Sebaiknya pertimbangkan platform API seperti Apigee. Apigee bertindak sebagai abstraksi atau fasad untuk API layanan backend, yang dikombinasikan dengan kemampuan keamanan, pembatasan kapasitas, kuota, dan analisis.

• Platform API (gateway atau proxy) dan Load Balancer Aplikasi tidak saling eksklusif. Terkadang, penggunaan gateway API dan load balancer secara bersamaan dapat memberikan solusi yang lebih andal dan aman untuk mengelola dan mendistribusikan traffic API dalam skala besar. Dengan gateway Cloud Load Balancing API, Anda dapat melakukan beberapa hal berikut:

  • Kirim API berperforma tinggi dengan Apigee dan Cloud CDN, untuk:

    • Mengurangi latensi
    • Menghosting API secara global

    • Meningkatkan ketersediaan selama musim lalu lintas puncak

      Untuk informasi selengkapnya, tonton Menghadirkan API berperforma tinggi dengan Apigee dan Cloud CDN di YouTube.

  • Terapkan pengelolaan traffic lanjutan.

  • Gunakan Google Cloud Armor sebagai perlindungan terhadap DDoS, WAF, dan layanan keamanan jaringan untuk melindungi API Anda.

  • Kelola load balancing yang efisien di berbagai gateway di berbagai region. Untuk informasi selengkapnya, tonton Securing APIs and Implement multi-region failover with PSC dan Apigee.

• Untuk menentukan produk Cloud Load Balancing yang akan digunakan, Anda harus terlebih dahulu menentukan jenis traffic yang harus ditangani oleh load balancer. Untuk mengetahui informasi selengkapnya, lihat artikel Memilih load balancer.

• Saat Cloud Load Balancing digunakan, Anda harus menggunakan kemampuan pengoptimalan kapasitas aplikasi jika berlaku. Cara ini dapat membantu Anda mengatasi beberapa tantangan kapasitas yang dapat terjadi pada aplikasi yang didistribusikan secara global.

  • Untuk mempelajari latensi secara mendalam, baca artikel Mengoptimalkan latensi aplikasi dengan load balancing.

• Meskipun Cloud VPN mengenkripsi traffic antarlingkungan, dengan Cloud Interconnect, Anda harus menggunakan MACsec atau VPN HA melalui Cloud Interconnect untuk mengenkripsi traffic saat transit di lapisan konektivitas. Untuk mengetahui informasi selengkapnya, baca Cara mengenkripsi traffic melalui Cloud Interconnect.

  • Anda juga dapat mempertimbangkan enkripsi lapisan layanan menggunakan TLS. Untuk mengetahui informasi selengkapnya, lihat Menentukan cara memenuhi persyaratan kepatuhan untuk enkripsi saat transit.

• Jika memerlukan lebih banyak volume traffic melalui konektivitas hybrid VPN daripada yang dapat didukung oleh satu tunnel VPN, Anda dapat mempertimbangkan untuk menggunakan opsi perutean VPN dengan ketersediaan tinggi (HA) aktif/aktif.

  • Untuk penyiapan hybrid atau multicloud jangka panjang dengan volume transfer data keluar yang tinggi, pertimbangkan Cloud Interconnect atau Cross-Cloud Interconnect. Opsi konektivitas tersebut membantu mengoptimalkan performa konektivitas dan dapat mengurangi biaya transfer data keluar untuk traffic yang memenuhi kondisi tertentu. Untuk mengetahui informasi selengkapnya, lihat harga Cloud Interconnect.

• Saat terhubung ke resource Google Cloud dan mencoba memilih antara Cloud Interconnect, Peering Langsung, atau Peering Operator, sebaiknya gunakan Cloud Interconnect, kecuali jika Anda perlu mengakses aplikasi Google Workspace. Untuk mengetahui informasi selengkapnya, Anda dapat membandingkan fitur Peering Langsung dengan Cloud Interconnect dan Peering Operator dengan Cloud Interconnect.

• Berikan ruang alamat IP yang cukup dari ruang alamat IP RFC 1918 Anda yang ada untuk mengakomodasi sistem yang dihosting di cloud.

• Jika memiliki batasan teknis yang mengharuskan Anda mempertahankan rentang alamat IP, Anda dapat:

  • Gunakan alamat IP internal yang sama untuk workload lokal Anda saat memigrasikannya ke Google Cloud, menggunakan subnet hybrid.

  • Sediakan dan gunakan alamat IPv4 publik Anda sendiri untuk resource Google Cloud menggunakan bawa IP Anda sendiri (BYOIP) ke Google.

• Jika desain solusi Anda mengharuskan eksposur aplikasi berbasis Google Cloud ke internet publik, pertimbangkan rekomendasi desain yang dibahas dalam Jaringan untuk pengiriman aplikasi untuk internet.

• Jika berlaku, gunakan endpoint Private Service Connect untuk mengizinkan workload di Google Cloud, infrastruktur lokal, atau di lingkungan cloud lain dengan konektivitas hybrid, untuk mengakses Google API secara pribadi atau layanan yang dipublikasikan, menggunakan alamat IP internal secara terperinci.

• Saat menggunakan Private Service Connect, Anda harus mengontrol hal-hal berikut:

  • Siapa yang dapat men-deploy resource Private Service Connect.
  • Apakah hubungan dapat dibentuk antara konsumen dan produsen.
  • Lalu lintas jaringan mana yang diizinkan untuk mengakses koneksi tersebut.

  Untuk mengetahui informasi selengkapnya, lihat keamanan Private Service Connect.

• Untuk mencapai penyiapan cloud yang andal dalam konteks arsitektur hybrid dan multicloud:

  • Lakukan penilaian komprehensif terhadap tingkat keandalan yang diperlukan dari berbagai aplikasi di seluruh lingkungan. Tindakan ini dapat membantu Anda memenuhi tujuan untuk ketersediaan dan ketahanan.
  • Pahami kemampuan keandalan dan prinsip desain penyedia cloud Anda. Untuk mengetahui informasi selengkapnya, lihat Keandalan infrastruktur Google Cloud.

• Visibilitas dan pemantauan jaringan cloud sangat penting untuk mempertahankan komunikasi yang andal. Network Intelligence Center menyediakan konsol tunggal untuk mengelola visibilitas, pemantauan, dan pemecahan masalah jaringan.