Questo documento fornisce una panoramica su come progettare zone di destinazione in Google Cloud. Una landing zone, chiamata anche cloud foundation, è una configurazione modulare e scalabile che consente alle organizzazioni di adottare Google Cloud per le proprie esigenze aziendali. Una zona di destinazione è spesso un prerequisito per il deployment dei carichi di lavoro aziendali in un ambiente cloud.
Una zona di destinazione non è una zona o risorse di zona.
Questo documento è rivolto a soluzioni architect, professionisti tecnici e stakeholder esecutivi che vogliono una panoramica di quanto segue:
- Elementi tipici delle zone di destinazione in Google Cloud
- Dove trovare informazioni dettagliate sul design della zona di destinazione
- Come implementare una zona di destinazione per la tua azienda, incluse le opzioni per deployment di soluzioni predefinite
Questo documento fa parte di una serie che ti aiuta a capire come progettare e per creare una zona di destinazione. Gli altri documenti di questa serie ti aiutano a prendere le decisioni di alto livello che devi prendere quando progetti la landing zone della tua organizzazione. In questa serie imparerai a:
- Progettazione della zona di destinazione in Google Cloud (questo documento)
- Decidere come eseguire l'onboarding delle identità in Google Cloud
- Decidi la gerarchia delle risorse per la tua zona di destinazione Google Cloud
- Decidere la progettazione della rete per la zona di destinazione di Google Cloud
- Decidere la sicurezza per la tua zona di destinazione Google Cloud
Questa serie non tratta specificamente i requisiti di conformità previsti da settori regolamentati come i servizi finanziari o la sanità.
Che cos'è una landing zone Google Cloud?
Le zone di destinazione aiutano la tua azienda a eseguire il deployment, utilizzare e scalare Google Cloud dei servizi in modo più sicuro. Le zone di destinazione sono dinamiche e crescono man mano che la tua azienda adotta più carichi di lavoro basati su cloud nel tempo.
Per eseguire il deployment di una landing zone, devi prima creare una risorsa organizzazione e creare un account di fatturazione, online o fatturato.
Una zona di destinazione si estende su più aree e include diversi elementi, come identità, gestione delle risorse, sicurezza e networking. Molti altri elementi può anche far parte di una zona di destinazione, come descritto Elementi di una zona di destinazione.
Il seguente diagramma mostra un'implementazione di esempio di una landing zone. Mostra un caso d'uso Infrastructure as a Service (IaaS) con cloud ibrido e on-premise connettività in Google Cloud:
L'architettura di esempio nel diagramma precedente mostra un cluster Google Cloud una zona di destinazione che include i seguenti servizi e caratteristiche:
Resource Manager definisce una gerarchia delle risorse con criteri dell'organizzazione.
Un account Cloud Identity si sincronizza con un provider di identità on-premise e con Identity and Access Management (IAM) per fornire accesso granulare alle risorse Google Cloud.
Un deployment di rete che include quanto segue:
- R VPC condiviso rete per ogni ambiente (produzione, sviluppo e test) connette risorse di più progetti alla rete VPC.
- Regole firewall Virtual Private Cloud (VPC) controllare la connettività da e verso carichi di lavoro VPC condiviso reti.
- Un gateway Cloud NAT consente le connessioni in uscita a internet dalle risorse di queste reti senza indirizzi IP esterni.
- Cloud Interconnect collega gli utenti e le applicazioni on-premise. Puoi scegliere tra diverse opzioni di Cloud Interconnect, tra cui Dedicated Interconnect o Partner Interconnect.
- Cloud VPN si connette ad altri provider di servizi cloud.
- R Cloud DNS la zona privata ospita i record DNS per i tuoi deployment in Google Cloud.
Più progetti di servizio sono configurati per utilizzare le reti VPC condivisa. Questi progetti di servizio ospitano le risorse dell'applicazione.
Google Cloud Observability include Cloud Monitoring per il monitoraggio e Cloud Logging per il logging. Cloud Audit Logs Logging delle regole firewall e Log di flusso VPC assicura che tutti i dati necessari vengano registrati e disponibili per l'analisi.
Un perimetro di Controlli di servizio VPC include il VPC condiviso e l'ambiente on-premise. Un perimetro di sicurezza isola il servizio e le risorse, il che contribuisce a mitigare il rischio di esfiltrazione dei dati dai servizi Google Cloud supportati.
Il diagramma riportato sopra è solo un esempio, perché non esiste un l'implementazione di una zona di destinazione. La tua attività deve fare molte scelte di design, a seconda di diversi fattori, tra cui:
- Il tuo settore
- La struttura e i processi organizzativi
- I tuoi requisiti di sicurezza e conformità
- I carichi di lavoro da spostare in Google Cloud
- L'infrastruttura IT esistente e altri ambienti cloud
- La località della tua attività e dei clienti
Quando creare una zona di destinazione
Ti consigliamo di creare una landing zone prima di eseguire il deployment del tuo primo carico di lavoro aziendale su Google Cloud, perché una landing zone offre quanto segue:
- Una base progettata per essere sicura
- La rete per i carichi di lavoro aziendali
- Gli strumenti necessari per gestire la distribuzione dei costi interni
Tuttavia, poiché una zona di destinazione è modulare, la prima iterazione di una pagina di destinazione spesso non è la versione finale. Ti consigliamo quindi di progettare una una zona di destinazione tenendo presente la scalabilità e la crescita. Ad esempio, se il tuo primo caricamento di lavoro non richiede l'accesso alle risorse di rete on-premise, puoi creare la connettività all'ambiente on-premise in un secondo momento.
A seconda della tua organizzazione e del tipo di carichi di lavoro che prevedi di eseguire su Google Cloud, alcuni carichi di lavoro potrebbero avere requisiti molto diversi. Per Ad esempio, alcuni carichi di lavoro potrebbero avere scalabilità o conformità unica i tuoi requisiti. In questi casi, potresti avere bisogno di più di una zona di destinazione per dell'organizzazione: una zona di destinazione per ospitare la maggior parte dei carichi di lavoro e della zona di destinazione per ospitare i carichi di lavoro univoci. Puoi condividere alcuni elementi, come le identità, la fatturazione e la risorsa dell'organizzazione, tra le tue zone di destinazione. Tuttavia, altri elementi, come la configurazione della rete, i meccanismi di distribuzione e a livello di cartella, potrebbero variare.
Elementi di una zona di destinazione
Una zona di destinazione richiede la progettazione dei seguenti elementi principali Google Cloud:
Oltre a questi elementi di base, la tua attività potrebbe avere requisiti aggiuntivi. La tabella seguente descrive questi elementi e indica dove trovare ulteriori informazioni.
| Elemento zona di destinazione | Descrizione |
|---|---|
| Monitoraggio e logging |
Progetta una strategia di monitoraggio e logging che ti aiuti a garantire che tutti i dati pertinenti vengano registrati e che tu abbia dashboard che li visualizzino e avvisi che ti informano di eventuali eccezioni che puoi risolvere.
Per ulteriori informazioni, consulta quanto segue: |
| Backup e ripristino di emergenza |
Progetta una strategia per i backup e il ripristino di emergenza.
Per ulteriori informazioni, consulta quanto segue: |
| Conformità |
Segui i framework di conformità pertinenti per la tua organizzazione. Per ulteriori informazioni, consulta il Centro risorse per la conformità. |
| Efficienza e controllo dei costi |
Progetta funzionalità per monitorare e ottimizzare i costi per i carichi di lavoro nella tua zona di destinazione.
Per ulteriori informazioni, consulta le seguenti risorse: |
| Gestione delle API | Progetta una soluzione scalabile per le API che sviluppi. Per saperne di più, consulta Gestione delle API Apigee. |
| Gestione dei cluster |
Progetta cluster Google Kubernetes Engine (GKE) che rispettano al meglio per creare servizi scalabili, resilienti e osservabili. Per ulteriori informazioni, consulta le seguenti risorse: |
Best practice per la progettazione e l'implementazione di una landing zone
La progettazione e il deployment di una zona di destinazione richiedono una pianificazione. Devi disporre dei il team giusto per eseguire le attività e usare un processo di project management. Ti consigliamo inoltre di seguire le best practice tecniche descritte in questa serie.
Forma un team
Riunisci un team che includa persone appartenenti a più funzioni tecniche all'interno dell'organizzazione. Il team deve includere persone che possono creare tutti gli elementi della zona di destinazione, tra cui sicurezza, identità, reti e operazioni. Identificazione un professionista cloud che capisce Google Cloud per guidare il team. Il tuo il team deve includere i membri che gestiscono il progetto e tengono traccia dei risultati e membri che collaborano con proprietari di applicazioni o attività.
Assicurati che tutti gli stakeholder siano coinvolti fin dalle prime fasi del processo. Il tuo gli stakeholder devono raggiungere una conoscenza comune dell'ambito del processo e prendere decisioni importanti quando il progetto viene avviato.
Applica la gestione del progetto all'implementazione della landing zone
La progettazione e il deployment della landing zone possono richiedere diverse settimane, pertanto la gestione del progetto è essenziale. Assicurati che gli obiettivi del progetto siano definiti e comunicate in modo chiaro a tutti gli stakeholder e che tutte le parti ricevano aggiornamenti su eventuali modifiche al progetto. Definisci checkpoint regolari e concorda traguardi con tempistiche realistiche che tengano conto dei processi operativi e dei ritardi imprevisti.
Per allinearti al meglio ai requisiti aziendali, pianifica la zona di destinazione iniziale il deployment intorno ai casi d'uso in cui vuoi eseguire il deployment in Google Cloud. Ti consigliamo di eseguire prima il deployment dei carichi di lavoro che possono essere eseguiti più facilmente su Google Cloud, ad esempio applicazioni web a più livelli con scalabilità orizzontale. Potrebbero essere carichi di lavoro nuovi o esistenti. A Valutare l'idoneità della migrazione dei carichi di lavoro esistenti. Migrazione a Google Cloud: introduzione.
Poiché le zone di destinazione sono modulari, occorre centrare il progetto iniziale intorno agli elementi necessari per eseguire la migrazione dei primi carichi di lavoro e pianificare l'aggiunta di altri elementi in un secondo momento.
Seguire le best practice tecniche
Valuta l'uso di Infrastructure as Code (IaC), con, ad esempio, Terraform. La IaC ti aiuta a rendere il deployment ripetibile e modulare. Avere una pipeline CI/CD che esegue il deployment delle modifiche dell'infrastruttura cloud utilizzando GitOps ti aiuta ad assicurarti di seguire le linee guida interne e di implementare i controlli giusti.
Quando progetti la tua area di destinazione, assicurati che tu e il tuo team teniate conto delle best practice tecniche. Per ulteriori informazioni sulle decisioni da prendere in la zona di destinazione, consulta le altre guide di questa serie.
Oltre a questa serie, la tabella seguente descrive framework, guide e progetti base che possono aiutarti anche a seguire le best practice, a seconda dei casi d'uso.
| Documentazione correlata | Descrizione |
|---|---|
| Elenco di controllo per la configurazione di Google Cloud | Un elenco di controllo di alto livello per aiutarti a configurare Google Cloud per carichi di lavoro aziendali scalabili e pronti per la produzione. |
| Blueprint per le basi della sicurezza | Una visione "guidata" delle best practice per la sicurezza di Google Cloud rivolte a CISO, professionisti della sicurezza, responsabili dei rischi responsabili della conformità. |
| Architettura di Google Cloud . | Consigli e best practice per aiutare architect sviluppatori, amministratori e altri professionisti del cloud progettano e a utilizzare una topologia cloud sicura, efficiente, resiliente ad alte prestazioni ed economicamente conveniente. |
| Progetti Terraform | Un elenco di progetti e moduli pacchettizzati come Terraform e che puoi usare per creare risorse in Google Cloud. |
Identifica le risorse che ti aiuteranno a implementare la tua zona di destinazione
Google Cloud offre le seguenti opzioni per aiutarti a configurare la destinazione zona:
- Progetta e implementa una zona di destinazione personalizzata in base alle tue esigenze con Google Cloud partner oppure Google Cloud servizi professionali.
- Esegui l'onboarding di un carico di lavoro con il programma di onboarding dei clienti di Google Cloud.
- Esegui il deployment di una landing zone generica con la guida alla configurazione nella console Google Cloud.
- Esegui il deployment di una zona di destinazione altamente mirata, allineata alle basi di sicurezza utilizzando la base di esempio Terraform.
Tutte queste offerte seguono approcci studiati specificatamente per soddisfare le esigenze di diversi settori e dimensioni aziendali, in tutto il mondo. Per fare la scelta migliore in base al tuo caso d'uso, ti consigliamo di collaborare con al team dedicato all'account Google Cloud per effettuare la selezione e contribuire a garantire di un progetto di successo.
Passaggi successivi
- Decidere come eseguire l'onboarding delle identità in Google Cloud (documento successivo di questa serie).
- Decidi la gerarchia delle risorse per la tua zona di destinazione Google Cloud.
- Decidi la progettazione della rete per la tua zona di destinazione di Google Cloud.
- Stabilisci la sicurezza per la tua zona di destinazione di Google Cloud.