Ce document explique comment concevoir des zones de destination dans Google Cloud. Une zone de destination, également appelée fondation cloud, est une configuration modulaire et évolutive qui permet aux entreprises d'adopter Google Cloud pour répondre à leurs besoins métier. Une zone de destination est souvent une condition préalable au déploiement de charges de travail d'entreprise dans un environnement cloud.
Une zone de destination n'est pas une zone ni des ressources zonales.
Ce document s'adresse aux architectes de solutions, aux experts techniques et aux cadres dirigeants qui souhaitent obtenir un aperçu des éléments suivants :
- Éléments types des zones de destination dans Google Cloud
- Où trouver des informations détaillées sur la conception des zones de destination
- Comment déployer une zone de destination pour votre entreprise, y compris des options permettant de déployer des solutions prédéfinies
Ce document fait partie d'une série qui vous aide à concevoir et à créer une zone de destination. Les autres documents de cette série vous guident dans les décisions générales que vous devez prendre lorsque vous concevez la zone de destination de votre organisation. Dans cet atelier, vous allez apprendre à effectuer les opérations suivantes :
- Conception de zone de destination dans Google Cloud (ce document)
- Choisir comment intégrer les identités à Google Cloud
- Choisir une hiérarchie des ressources pour votre zone de destination Google Cloud
- Choisir une conception réseau pour votre zone de destination Google Cloud
- Choisir comment sécuriser votre zone de destination Google Cloud
Cette série ne traite pas spécifiquement des exigences de conformité des secteurs réglementés tels que les services financiers ou le secteur de la santé.
Qu'est-ce qu'une zone de destination Google Cloud ?
Les zones de destination aident votre entreprise à déployer, utiliser et faire évoluer des services Google Cloud de manière plus sécurisée. Les zones de destination sont dynamiques et se développent à mesure que votre entreprise adopte des charges de travail basées sur le cloud au fil du temps.
Pour déployer une zone de destination, vous devez d'abord créer une ressource d'organisation et créer un compte de facturation, en ligne ou avec facture.
Une zone de destination couvre plusieurs zones et comprend différents éléments, tels que les identités, la gestion des ressources, la sécurité et la mise en réseau. De nombreux autres éléments peuvent également faire partie d'une zone de destination, comme décrit dans la section Éléments d'une zone de destination.
Le diagramme suivant montre un exemple de mise en œuvre d'une zone de destination. Cette page présente un cas d'utilisation de type Infrastructure as a Service (IaaS) avec une connectivité cloud hybride et sur site dans Google Cloud :
L'exemple d'architecture du diagramme précédent montre une zone de destination Google Cloud incluant les services et fonctionnalités Google Cloud suivants :
Resource Manager, qui définit une hiérarchie des ressources avec des règles d'administration.
Un compte Cloud Identity, qui est synchronisé avec un fournisseur d'identité sur site ainsi qu'avec Identity and Access Management (IAM) afin d'offrir un accès précis aux ressources Google Cloud.
Un déploiement réseau incluant les éléments suivants :
- Un réseau VPC partagé pour chaque environnement (production, développement et test) connecte les ressources de plusieurs projets au réseau VPC.
- Des règles de pare-feu de cloud privé virtuel (VPC) contrôlent la connectivité vers et depuis les charges de travail des réseaux VPC partagés.
- Une passerelle Cloud NAT qui autorise les connexions sortantes à Internet depuis les ressources situées dans ces réseaux sans nécessiter d'adresse IP externe.
- Cloud Interconnect, qui connecte les applications sur site et les utilisateurs. (Vous pouvez choisir entre différentes options d'interconnexion Cloud Interconnect, y compris l'interconnexion dédiée et l'interconnexion partenaire).
- Cloud VPN se connecte à d'autres fournisseurs de services cloud.
- Une zone privée Cloud DNS qui héberge les enregistrements DNS pour vos déploiements dans Google Cloud.
Plusieurs projets de service sont configurés pour utiliser les réseaux VPC partagés. Ces projets de service hébergent les ressources de votre application.
Google Cloud Observability inclut Cloud Monitoring pour la surveillance et Cloud Logging pour la journalisation. Les journaux d'audit Cloud, la journalisation des règles de pare-feu et les journaux de flux VPC permettent de garantir que toutes les données nécessaires sont bien enregistrées et disponibles pour l'analyse.
Un périmètre VPC Service Controls inclut un VPC partagé et l'environnement sur site. Un périmètre de sécurité isole le service et les ressources, ce qui permet de limiter le risque d'exfiltration de données à partir des services Google Cloud compatibles.
Le diagramme ci-dessus n'est qu'un exemple, car il n'existe pas de mise en œuvre unique ou standard pour une zone de destination. Votre entreprise doit faire de nombreux choix de conception en fonction de différents facteurs, dont les suivants :
- Votre secteur d'activité
- Votre structure organisationnelle et vos processus
- Vos exigences de sécurité et de conformité
- Les charges de travail que vous souhaitez migrer vers Google Cloud
- Votre infrastructure informatique existante et vos autres environnements cloud
- L'emplacement de votre entreprise et de vos clients
Quand créer une zone de destination
Nous vous recommandons de créer une zone de destination avant de déployer votre première charge de travail d'entreprise sur Google Cloud, car une zone de destination fournit les éléments suivants :
- Des fondations conçues pour être sécurisées
- Un réseau pour vos charges de travail d'entreprise
- Les outils nécessaires pour régir la répartition de vos coûts internes
Cependant, du fait de la modularité d'une zone de destination, il est rare que votre première itération soit la version définitive. Par conséquent, nous vous recommandons de concevoir une zone de destination en tenant compte de l'évolutivité et de la croissance future. Par exemple, si votre première charge de travail ne nécessite pas d'accès aux ressources réseau sur site, vous pourrez créer une connectivité à votre environnement sur site ultérieurement.
En fonction de votre organisation et du type de charges de travail que vous prévoyez d'exécuter sur Google Cloud, certaines charges de travail peuvent avoir des exigences très différentes. Par exemple, certaines charges de travail peuvent présenter des exigences d'évolutivité ou de conformité uniques. Dans ces cas, vous pouvez avoir besoin de plusieurs zones de destination pour votre organisation : une zone de destination pour héberger la plupart des charges de travail et une zone de destination distincte pour les charges de travail uniques. Vous pouvez partager certains éléments tels que les identités, la facturation et la ressource de l'organisation entre vos zones de destination. Cependant, d'autres éléments, tels que la configuration réseau, les mécanismes de déploiement et des règles au niveau des dossiers, peuvent varier.
Éléments d'une zone de destination
Une zone de destination nécessite la conception des éléments principaux suivants sur Google Cloud :
En plus de ces éléments principaux, votre entreprise peut avoir des exigences supplémentaires. Le tableau suivant décrit ces éléments et vous permet de les découvrir plus en détail.
| Élément de zone de destination | Description |
|---|---|
| Surveillance et journalisation |
Concevez une stratégie de surveillance et de journalisation qui garantit que toutes les données pertinentes sont bien consignées et que vous disposez de tableaux de bord intégrant les données et les alertes qui vous informent des exceptions exploitables.
Pour en savoir plus, consultez les ressources suivantes : |
| Sauvegarde et reprise après sinistre |
Élaborez une stratégie de sauvegarde et de reprise après sinistre.
Pour en savoir plus, consultez les ressources suivantes : |
| Conformité |
Suivez les chartes de régulation pertinentes pour votre organisation. Pour en savoir plus, consultez le Centre de ressources pour la conformité. |
| Maîtrise et optimisation des coûts |
Concevez des fonctionnalités permettant de surveiller et d'optimiser les coûts des charges de travail dans votre zone de destination.
Pour en savoir plus, consultez les ressources suivantes : |
| Gestion des API | Concevez une solution évolutive pour les API que vous développez. Pour en savoir plus, consultez la page Gestion des API Apigee. |
| Gestion des clusters |
Concevez des clusters Google Kubernetes Engine (GKE) qui suivent les bonnes pratiques pour créer des services évolutifs, résilients et observables. Pour en savoir plus, consultez les ressources suivantes : |
Bonnes pratiques pour concevoir et déployer une zone de destination
La conception et le déploiement d'une zone de destination nécessitent une planification. Vous devez disposer de l'équipe appropriée pour effectuer les tâches et mettre en œuvre un processus de gestion de projet. Nous vous recommandons également de suivre les bonnes pratiques techniques décrites dans cette série.
Mettre en place une équipe
Rassemblez une équipe composée de membres de plusieurs postes techniques au sein de l'organisation. L'équipe doit inclure des personnes capables de créer tous les éléments de la zone de destination, y compris les éléments de sécurité, d'identité, de réseaux et d'opérations. Identifiez un professionnel du cloud avec une bonne compréhension de Google Cloud pour diriger l'équipe. Votre équipe doit inclure des membres qui gèrent le projet et suivent l'avancement, et des membres qui collaborent avec les propriétaires d'applications ou avec les dirigeants de l'entreprise.
Assurez-vous que toutes les parties prenantes sont impliquées dès le début du processus. Vos intervenants doivent comprendre la portée du processus et prendre des décisions générales lors du lancement du projet.
Appliquer la gestion de projet au déploiement de votre zone de destination
La conception et le déploiement d'une zone de destination peuvent prendre plusieurs semaines. La gestion du projet est donc essentielle. Assurez-vous que les objectifs du projet sont clairement définis et communiqués à toutes les parties prenantes, et qu'elles sont toutes dûment notifiées en cas de modification du projet. Définissez des points de contrôle réguliers et des étapes clés avec des délais réalistes, en prenant en compte les processus opérationnels et les retards inattendus.
Pour mieux vous adapter aux exigences métier, planifiez le déploiement de la zone de destination initiale en fonction des cas d'utilisation que vous souhaitez déployer en premier dans Google Cloud. Nous vous recommandons de commencer par déployer les charges de travail qui peuvent le plus facilement être exécutées sur Google Cloud (scaling horizontal des applications Web multiniveau, par exemple). Ces charges de travail peuvent être nouvelles ou existantes. Pour évaluer l'aptitude à la migration des charges de travail existantes, consultez la page Migration vers Google Cloud : premiers pas.
Du fait de la modularité des zones de destination, concentrez votre conception initiale sur les éléments nécessaires à la migration de vos premières charges de travail, en planifiant l'ajout ultérieur d'autres éléments.
Appliquer les bonnes pratiques techniques
Envisagez d'utiliser l'Infrastructure as Code (IaC), par exemple avec Terraform. L'IaC permet de rendre votre déploiement reproductible et modulaire. Le fait de disposer d'un pipeline CI/CD qui déploie les modifications d'infrastructure cloud avec GitOps vous permet de garantir le bon respect des consignes internes et de mettre en place des contrôles appropriés.
Pour vous comme pour vos équipes, veillez toujours au bon respect des bonnes pratiques techniques lors de la conception de votre zone de destination. Pour plus d'informations sur les décisions à prendre dans votre zone de destination, consultez les autres guides de cette série.
En plus de cette série, le tableau suivant décrit les frameworks, les guides et les plans qui peuvent vous aider à appliquer les bonnes pratiques, en fonction de vos cas d'utilisation.
| Documentation associée | Description |
|---|---|
| Checklist de configuration de Google Cloud | Checklist de haut niveau pour vous aider à configurer Google Cloud pour des charges de travail d'entreprise évolutives prêtes pour la production. |
| Plan de base de sécurité | Une vision avisée des bonnes pratiques Google Cloud en termes de sécurité (à l'intention des RSSI, professionnels de la sécurité, responsables de la gestion du risque ou responsables de la conformité). |
| Framework d'architecture Google Cloud | Recommandations et bonnes pratiques pour aider les architectes, développeurs, administrateurs et autres professionnels du cloud à concevoir et exploiter une topologie cloud sécurisée, efficace, résiliente, performante et économique. |
| Plans Terraform | Liste des plans et des modules empaquetés sous forme de modules Terraform que vous pouvez utiliser afin de créer des ressources pour Google Cloud. |
Identifier les ressources à mettre en œuvre pour votre zone de destination
Google Cloud offre les options suivantes pour vous aider à configurer votre zone de destination :
- Concevoir et déployer une zone de destination personnalisée selon vos besoins avec les partenaires Google Cloud ou les services professionnels Google Cloud.
- Intégrer une charge de travail avec le programme d'intégration client Google Cloud
- Déployer une zone de destination générique à l'aide du guide de configuration de la console Google Cloud.
- Déployer une zone de destination très rigoureuse, conforme au plan de sécurité de base à l'aide de l'exemple de base Terraform.
Toutes ces offres proposent des approches conçues spécifiquement pour répondre aux besoins de différents secteurs et différentes tailles d'entreprise dans le monde entier. Pour vous aider à choisir la meilleure option pour votre cas d'utilisation, nous vous recommandons de collaborer avec votre équipe chargée de compte Google Cloud qui vous orientera vers le choix le plus adapté pour la réussite de votre projet.
Étape suivante
- Choisir comment intégrer les identités à Google Cloud (document suivant de cette série).
- Choisir une hiérarchie des ressources pour votre zone de destination Google Cloud.
- Choisir une conception réseau pour votre zone de destination Google Cloud.
- Choisir comment sécuriser votre zone de destination Google Cloud.