Quando progetti e esegui l'onboarding di identità cloud, gerarchia delle risorse e reti della zona di destinazione, tieni conto dei suggerimenti di progettazione riportati in Progettazione della zona di destinazione in Google Cloud e delle Google Cloud best practice di sicurezza trattate nelprogetto base per la sicurezza. Convalida il design selezionato in base ai seguenti documenti:
- Best practice e architetture di riferimento per la progettazione di VPC
- Decidi una gerarchia delle risorse per la tua zona di destinazione Google Cloud
- Google Cloud Well-Architected Framework: sicurezza, privacy e conformità
Inoltre, tieni presente le seguenti best practice generali:
Quando scegli un'opzione di connettività di rete ibrida o multicloud, considera i requisiti aziendali e delle applicazioni, come SLA, prestazioni, sicurezza, costi, affidabilità e larghezza di banda. Per ulteriori informazioni, consulta Scegliere un prodotto per la connettività di rete e Pattern per la connessione di altri fornitori di servizi cloud con Google Cloud.
Utilizza i VPC condivisi su Google Cloud anziché più VPC quando è appropriato e in linea con i requisiti di progettazione della gerarchia delle risorse. Per ulteriori informazioni, consulta Decidere se creare più reti VPC.
Segui le best practice per la pianificazione di account e organizzazioni.
Ove applicabile, stabilisci un'identità comune tra gli ambienti in modo che i sistemi possano autenticarsi in modo sicuro oltre i confini degli ambienti.
Per esporre in modo sicuro le applicazioni agli utenti aziendali in una configurazione ibrida e per scegliere l'approccio più adatto ai tuoi requisiti, devi seguire i modi consigliati per integrare Google Cloud il tuo sistema di gestione delle identità.
Quando progetti i tuoi ambienti on-premise e cloud, considera l'indirizzamento IPv6 fin dall'inizio e tieni conto dei servizi che lo supportano. Per ulteriori informazioni, consulta An Introduction to IPv6 on Google Cloud. Riassume i servizi supportati al momento della stesura del post del blog.
Quando progetti, implementi e gestisci le regole firewall VPC, puoi:
- Utilizza il filtro basato su service account anziché quello basato su tag di rete se hai bisogno di un controllo rigoroso su come le regole firewall vengono applicate alle VM.
- Utilizza le policy firewall quando raggruppi diverse regole firewall, in modo da poterle aggiornare tutte contemporaneamente. Puoi anche rendere il criterio gerarchico. Per le specifiche e i dettagli dei criteri firewall gerarchici, vedi Criteri firewall gerarchici.
- Utilizza oggetti di geolocalizzazione nella policy firewall quando devi filtrare il traffico IPv4 esterno e IPv6 esterno in base a regioni o località geografiche specifiche.
- Utilizza Threat Intelligence per le regole dei criteri firewall se devi proteggere la tua rete consentendo o bloccando il traffico in base ai dati di Threat Intelligence, come indirizzi IP dannosi noti o in base agli intervalli di indirizzi IP del cloud pubblico. Ad esempio, puoi consentire il traffico da intervalli di indirizzi IP cloud pubblici specifici se i tuoi servizi devono comunicare solo con quel cloud pubblico. Per saperne di più, consulta Best practice per le regole firewall.
Devi sempre progettare la sicurezza del cloud e della rete utilizzando un approccio di sicurezza multilivello prendendo in considerazione ulteriori livelli di sicurezza, come i seguenti:
- Google Cloud Armor
- Cloud Intrusion Detection System
- Cloud Next Generation Firewall IPS
- Threat Intelligence per le regole dei criteri firewall
Questi livelli aggiuntivi possono aiutarti a filtrare, ispezionare e monitorare un'ampia gamma di minacce a livello di rete e applicazione per l'analisi e la prevenzione.
Quando decidi dove deve essere eseguita la risoluzione DNS in una configurazione ibrida, ti consigliamo di utilizzare due sistemi DNS autorevoli per il tuo ambiente privatoGoogle Cloud e per le tue risorse on-premise ospitate da server DNS esistenti nel tuo ambiente on-premise. Per ulteriori informazioni, vedi Scegliere dove viene eseguita la risoluzione DNS.
Ove possibile, esponi sempre le applicazioni tramite API utilizzando un gateway API o un bilanciatore del carico. Ti consigliamo di prendere in considerazione una piattaforma API come Apigee. Apigee funge da astrazione o facade per le API dei servizio di backend, in combinazione con funzionalità di sicurezza, limitazione della frequenza, quote e analisi.
Una piattaforma API (gateway o proxy) e il bilanciatore del carico delle applicazioni non si escludono a vicenda. A volte, l'utilizzo combinato di gateway API e bilanciatori del carico può fornire una soluzione più solida e sicura per la gestione e la distribuzione del traffico API su larga scala. L'utilizzo dei gateway API Cloud Load Balancing ti consente di eseguire le seguenti operazioni:
Fornisci API ad alto rendimento con Apigee e Cloud CDN per:
- Ridurre la latenza
- Ospitare le API a livello globale
Aumentare la disponibilità per i periodi di picco del traffico
Per saperne di più, guarda il video Delivering high-performing APIs with Apigee and Cloud CDN su YouTube.
Implementa la gestione avanzata del traffico.
Utilizza Cloud Armor come servizio di protezione DDoS, WAF e sicurezza di rete per proteggere le tue API.
Gestisci il bilanciamento del carico efficiente tra i gateway in più regioni. Per saperne di più, guarda Securing APIs and Implementing multi-region failover with PSC and Apigee.
Per determinare quale prodotto Cloud Load Balancing utilizzare, devi innanzitutto determinare il tipo di traffico che i bilanciatori del carico devono gestire. Per saperne di più, consulta la sezione Scegliere un bilanciatore del carico.
Quando viene utilizzato Cloud Load Balancing, devi utilizzare le relative funzionalità di ottimizzazione della capacità dell'applicazione, ove applicabile. In questo modo, puoi risolvere alcuni problemi di capacità che possono verificarsi nelle applicazioni distribuite a livello globale.
- Per un approfondimento sulla latenza, consulta Ottimizzazione della latenza delle applicazioni con il bilanciamento del carico.
Mentre Cloud VPN cripta il traffico tra gli ambienti, con Cloud Interconnect devi utilizzare MACsec o VPN ad alta disponibilità su Cloud Interconnect per criptare il traffico in transito a livello di connettività. Per ulteriori informazioni, vedi Come posso criptare il mio traffico su Cloud Interconnect.
- Puoi anche prendere in considerazione la crittografia a livello di servizio utilizzando TLS. Per maggiori informazioni, consulta Decidere come soddisfare i requisiti di conformità per la crittografia in transito.
Se hai bisogno di un volume di traffico maggiore rispetto a quello che può supportare un singolo tunnel VPN tramite una connettività ibrida VPN, puoi prendere in considerazione l'utilizzo dell'opzione di routing VPN ad alta disponibilità attivo/attivo.
- Per configurazioni ibride o multicloud a lungo termine con volumi elevati di trasferimento di dati in uscita, prendi in considerazione Cloud Interconnect o Cross-Cloud Interconnect. Queste opzioni di connettività contribuiscono a ottimizzare le prestazioni della connettività e potrebbero ridurre gli addebiti per il trasferimento di dati in uscita per il traffico che soddisfa determinate condizioni. Per ulteriori informazioni, consulta i prezzi di Cloud Interconnect.
Quando ti connetti Google Cloud alle risorse e cerchi di scegliere tra Cloud Interconnect, peering diretto o peering con operatori, ti consigliamo di utilizzare Cloud Interconnect, a meno che tu non debba accedere alle applicazioni Google Workspace. Per ulteriori informazioni, puoi confrontare le funzionalità di Direct Peering con Cloud Interconnect e Carrier Peering con Cloud Interconnect.
Consenti uno spazio di indirizzi IP sufficiente dal tuo spazio di indirizzi IP RFC 1918 esistente per ospitare i tuoi sistemi ospitati sul cloud.
Se hai limitazioni tecniche che richiedono di mantenere l'intervallo di indirizzi IP, puoi:
Utilizza gli stessi indirizzi IP interni per i tuoi carichi di lavoro on-premise durante la migrazione a Google Cloud, utilizzando le subnet ibride.
Esegui il provisioning e utilizza i tuoi indirizzi IPv4 pubblici per le risorseGoogle Cloud utilizzando Bring Your Own IP (BYOIP) su Google.
Se la progettazione della tua soluzione richiede l'esposizione di un'applicazione basata suGoogle Clouda internet pubblico, prendi in considerazione i consigli di progettazione illustrati in Networking per la distribuzione di applicazioni con accesso a internet.
Ove applicabile, utilizza gli endpoint Private Service Connect per consentire ai carichi di lavoro in Google Cloud, on-premise o in un altro ambiente cloud con connettività ibrida di accedere privatamente alle API di Google o ai servizi pubblicati, utilizzando indirizzi IP interni in modo granulare.
Quando utilizzi Private Service Connect, devi controllare quanto segue:
- Chi può eseguire il deployment delle risorse Private Service Connect.
- Se è possibile stabilire connessioni tra consumatori e produttori.
- Quale traffico di rete è autorizzato ad accedere a queste connessioni.
Per ulteriori informazioni, vedi Sicurezza di Private Service Connect.
Per ottenere una configurazione cloud solida nel contesto dell'architettura ibrida e multi-cloud:
- Esegui una valutazione completa dei livelli richiesti di affidabilità delle diverse applicazioni nei vari ambienti. In questo modo puoi raggiungere i tuoi obiettivi di disponibilità e resilienza.
- Comprendere le funzionalità di affidabilità e i principi di progettazione del tuo cloud provider. Per ulteriori informazioni, consulta Affidabilità dell'infrastruttura.Google Cloud
La visibilità e il monitoraggio della rete cloud sono essenziali per mantenere comunicazioni affidabili. Network Intelligence Center fornisce una console unica per la gestione della visibilità, del monitoraggio e della risoluzione dei problemi di rete.