Quando progetti e esegui l'onboarding delle identità cloud, della gerarchia delle risorse e delle reti delle zone di destinazione, prendi in considerazione i consigli per la progettazione riportati in Progettazione della zona di destinazione in Google Cloud e le Google Cloud best practice per la sicurezza descritte nel blueprint Enterprise Foundations. Convalida il design selezionato in base ai seguenti documenti:
- Best practice e architetture di riferimento per la progettazione di VPC
- Decidi una gerarchia delle risorse per la tua Google Cloud zona di destinazione
- Google Cloud Framework di architettura: sicurezza, privacy e conformità
Inoltre, tieni presente le seguenti best practice generali:
Quando scegli un'opzione di connettività di rete ibrida o multicloud, tieni conto dei requisiti aziendali e delle applicazioni, come SLA, prestazioni, sicurezza, costi, affidabilità e larghezza di banda. Per ulteriori informazioni, consulta Scegliere un prodotto per la connettività di rete e Modelli per connettere altri fornitori di servizi cloud a Google Cloud.
Utilizza le VPC condivise su Google Cloud anziché su più VPC quando è opportuno e in linea con i requisiti della progettazione della gerarchia delle risorse. Per saperne di più, consulta Decidere se creare più reti VPC.
Segui le best practice per la pianificazione di account e organizzazioni.
Ove applicabile, stabilisci un'identità comune tra gli ambienti in modo che i sistemi possano autenticarsi in modo sicuro tra i confini degli ambienti.
Per esporre in modo sicuro le applicazioni agli utenti aziendali in una configurazione ibrida e per scegliere l'approccio più adatto alle tue esigenze, devi seguire le modalità consigliate per l'integrazione Google Cloud con il tuo sistema di gestione delle identità.
Quando progetti i tuoi ambienti on-premise e cloud, prendi in considerazione in anticipo l'indirizzamento IPv6 e tieni conto di quali servizi lo supportano. Per ulteriori informazioni, consulta Introduzione all'IPv6 su Google Cloud. Riassume i servizi supportati al momento della stesura del blog.
Quando progetti, esegui il deployment e gestisci le regole firewall VPC, puoi:
- Utilizza il filtro basato sugli account di servizio anziché quello basato sui tag di rete se hai bisogno di un controllo rigoroso sull'applicazione delle regole firewall alle VM.
- Utilizza i criteri firewall quando raggruppi diverse regole firewall, in modo da poterle aggiornare tutte contemporaneamente. Puoi anche rendere il criterio gerarchico. Per le specifiche e i dettagli dei criteri firewall gerarchici, consulta Criteri firewall gerarchici.
- Utilizza oggetti di geolocalizzazione nel criterio del firewall quando devi filtrare il traffico IPv4 e IPv6 esterno in base a regioni o località geografiche specifiche.
- Utilizza Threat Intelligence per le regole dei criteri di firewall se devi proteggere la tua rete consentendo o bloccando il traffico in base ai dati di Threat Intelligence, ad esempio indirizzi IP noti come dannosi o in base a intervalli di indirizzi IP del cloud pubblico. Ad esempio, puoi consentire il traffico da intervalli di indirizzi IP di cloud pubblici specifici se i tuoi servizi devono comunicare solo con quel cloud pubblico. Per ulteriori informazioni, consulta le best practice per le regole firewall.
Devi sempre progettare la sicurezza del cloud e della rete utilizzando un approccio di sicurezza a più livelli tenendo conto di ulteriori livelli di sicurezza, come i seguenti:
- Google Cloud Armor
- Cloud Intrusion Detection System
- IPS Cloud Next Generation Firewall
- Threat intelligence per le regole delle policy firewall
Questi livelli aggiuntivi possono aiutarti a filtrare, ispezionare e monitorare un'ampia gamma di minacce a livello di rete e applicazione per analisi e prevenzione.
Quando decidi dove eseguire la risoluzione DNS in una configurazione ibrida, ti consigliamo di utilizzare due sistemi DNS autorevoli per il tuo ambienteGoogle Cloud privato e per le risorse on-premise ospitate da server DNS esistenti nel tuo ambiente on-premise. Per ulteriori informazioni, consulta Scegliere dove viene eseguita la risoluzione DNS.
Se possibile, esponi sempre le applicazioni tramite API utilizzando un gateway API o un bilanciatore del carico. Ti consigliamo di prendere in considerazione una piattaforma API come Apigee. Apigee funge da astrazione o facade per le API dei servizio di backend, combinata con funzionalità di sicurezza, limitazione della frequenza, quote e analisi.
Una piattaforma API (gateway o proxy) e un bilanciatore del carico delle applicazioni non sono mutuamente esclusivi. A volte, l'utilizzo congiunto di gateway API e bilanciatori del carico può fornire una soluzione più solida e sicura per gestire e distribuire il traffico API su larga scala. L'utilizzo di API Gateway per Cloud Load Balancing ti consente di:
Pubblica API ad alte prestazioni con Apigee e Cloud CDN per:
- Riduci la latenza
- Ospitare API a livello globale
Aumentare la disponibilità per i periodi di picco del traffico
Per saperne di più, guarda Caricare API ad alte prestazioni con Apigee e Cloud CDN su YouTube.
Implementa la gestione avanzata del traffico.
Utilizza Google Cloud Armor come servizio di protezione DDoS, WAF e sicurezza della rete per proteggere le tue API.
Gestisci un bilanciamento del carico efficiente tra i gateway in più regioni. Per saperne di più, guarda Protezione delle API e implementazione del failover multiregione con PSC e Apigee.
Per determinare quale prodotto Cloud Load Balancing utilizzare, devi innanzitutto determinare il tipo di traffico che i bilanciatori del carico devono gestire. Per ulteriori informazioni, consulta Scegliere un bilanciatore del carico.
Quando utilizzi Cloud Load Balancing, devi utilizzare le sue funzionalità di ottimizzazione della capacità dell'applicazione, ove applicabili. In questo modo, puoi risolvere alcune delle problematiche legate alla capacità che possono verificarsi nelle applicazioni distribuite a livello globale.
- Per un'analisi approfondita della latenza, consulta Ottimizzazione della latenza delle applicazioni con il bilanciamento del carico.
Sebbene Cloud VPN cripti il traffico tra gli ambienti, con Cloud Interconnect devi utilizzare MACsec o VPN ad alta disponibilità su Cloud Interconnect per criptare il traffico in transito a livello di connettività. Per ulteriori informazioni, consulta Come faccio a criptare il mio traffico tramite Cloud Interconnect.
- Puoi anche prendere in considerazione la crittografia a livello di servizio tramite TLS. Per maggiori informazioni, consulta la pagina Decidere come soddisfare i requisiti di conformità per la crittografia in transito.
Se hai bisogno di un volume di traffico maggiore su una connettività ibrida VPN rispetto a quanto supportato da un singolo tunnel VPN, puoi prendere in considerazione l'opzione di routing VPN ad alta disponibilità attiva/attiva.
- Per configurazioni ibride o multicloud a lungo termine con elevati volumi di trasferimento di dati in uscita, valuta la possibilità di utilizzare Cloud Interconnect o Cross-Cloud Interconnect. Queste opzioni di connettività contribuiscono a ottimizzare le prestazioni della connettività e potrebbero ridurre gli addebiti per i trasferimenti di dati in uscita per il traffico che soddisfa determinate condizioni. Per ulteriori informazioni, consulta i prezzi di Cloud Interconnect.
Quando ti connetti alle risorse Google Cloud e cerchi di scegliere tra Cloud Interconnect, peering diretto o peering con operatori, ti consigliamo di utilizzare Cloud Interconnect, a meno che tu non debba accedere alle applicazioni Google Workspace. Per ulteriori informazioni, puoi confrontare le funzionalità del peering diretto con Cloud Interconnect e del peering con l'operatore con Cloud Interconnect.
Assegna uno spazio di indirizzi IP sufficiente dallo spazio di indirizzi IP RFC 1918 esistente per ospitare i sistemi in cloud.
Se hai limitazioni tecniche che ti richiedono di mantenere l'intervallo di indirizzi IP, puoi:
Utilizza gli stessi indirizzi IP interni per i carichi di lavoro on-premise durante la migrazione a Google Cloud, utilizzando subnet ibride.
Esegui il provisioning e utilizza i tuoi indirizzi IPv4 pubblici per leGoogle Cloud risorse che utilizzano il servizio Bring Your Own IP (BYOIP) per Google.
Se la progettazione della tua soluzione richiede l'esposizione di un'applicazione basata suGoogle Cloudalla rete internet pubblica, valuta i consigli di progettazione descritti in Networking per l'implementazione di applicazioni rivolte a internet.
Ove applicabile, utilizza gli endpoint Private Service Connect per consentire ai carichi di lavoro in Google Cloud, on-premise o in un altro ambiente cloud con connettività ibrida di accedere in privato alle API di Google o ai servizi pubblicati, utilizzando indirizzi IP interni in modo granulare.
Quando utilizzi Private Service Connect, devi controllare quanto segue:
- Chi può eseguire il deployment delle risorse Private Service Connect.
- Indica se è possibile stabilire connessioni tra consumatori e produttori.
- Il traffico di rete che può accedere a queste connessioni.
Per ulteriori informazioni, consulta Sicurezza di Private Service Connect.
Per ottenere una configurazione cloud solida nel contesto di un'architettura ibrida e multi-cloud:
- Esegui una valutazione completa dei livelli di affidabilità richiesti delle diverse applicazioni negli ambienti. In questo modo, puoi raggiungere i tuoi obiettivi di disponibilità e resilienza.
- Scopri le funzionalità di affidabilità e i principi di progettazione del tuo provider cloud. Per ulteriori informazioni, consulta la sezione sull'Google Cloud affidabilità dell'infrastruttura.
La visibilità e il monitoraggio della rete cloud sono essenziali per mantenere comunicazioni affidabili. Network Intelligence Center fornisce un'unica console per la gestione della visibilità, del monitoraggio e della risoluzione dei problemi di rete.