Questo documento fornisce una panoramica su come progettare zone di destinazione in Google Cloud. Una zona di destinazione, chiamata anche base cloud, è una configurazione modulare e scalabile che consente alle organizzazioni di adottare Google Cloud per le proprie esigenze aziendali. Una zona di destinazione è spesso un prerequisito per il deployment dei carichi di lavoro aziendali in un ambiente cloud.
Una zona di destinazione non è una zona o risorse di zona.
Questo documento è rivolto ad architetti di soluzioni, professionisti tecnici e stakeholder esecutivi che desiderano una panoramica di quanto segue:
- Elementi tipici delle zone di destinazione in Google Cloud
- Dove trovare informazioni dettagliate sulla progettazione delle zone di destinazione
- Come eseguire il deployment di una zona di destinazione per l'azienda, incluse le opzioni per il deployment di soluzioni predefinite
Questo documento fa parte di una serie che ti aiuta a capire come progettare e creare una zona di destinazione. Gli altri documenti di questa serie ti guidano attraverso le decisioni di alto livello che devi prendere quando progetti la zona di destinazione della tua organizzazione. In questa serie imparerai a:
- Progettazione della zona di destinazione in Google Cloud (questo documento)
- Decidere come eseguire l'onboarding delle identità in Google Cloud
- Decidi la gerarchia delle risorse per la zona di destinazione di Google Cloud
- Decidere la progettazione della rete per la zona di destinazione di Google Cloud
- Stabilisci la sicurezza per la tua zona di destinazione di Google Cloud
Questa serie non soddisfa in modo specifico i requisiti di conformità di settori regolamentati, come i servizi finanziari o la sanità.
Che cos'è una zona di destinazione di Google Cloud?
Le zone di destinazione aiutano la tua azienda a eseguire il deployment, utilizzare e scalare i servizi Google Cloud in modo più sicuro. Le zone di destinazione sono dinamiche e crescono man mano che l'azienda adotta un numero sempre maggiore di carichi di lavoro basati su cloud.
Per eseguire il deployment di una zona di destinazione, devi prima creare una risorsa organizzazione e creare un account di fatturazione online o con fatturazione.
Una zona di destinazione si estende su più aree e include diversi elementi, come identità, gestione delle risorse, sicurezza e networking. Anche molti altri elementi possono far parte di una zona di destinazione, come descritto in Elementi di una zona di destinazione.
Il seguente diagramma mostra un'implementazione di esempio di una zona di destinazione. Mostra un caso d'uso di Infrastructure as a Service (IaaS) con cloud ibrido e connettività on-premise in Google Cloud:
L'architettura di esempio nel diagramma precedente mostra una zona di destinazione di Google Cloud che include i seguenti servizi e funzionalità di Google Cloud:
Resource Manager definisce una gerarchia delle risorse con criteri dell'organizzazione.
Un account Cloud Identity si sincronizza con un provider di identità on-premise e con Identity and Access Management (IAM) fornendo un accesso granulare alle risorse Google Cloud.
Un deployment di rete che include quanto segue:
- Una rete VPC condiviso per ogni ambiente (produzione, sviluppo e test) connette le risorse di più progetti alla rete VPC.
- Le regole firewall VPC (Virtual Private Cloud) controllano la connettività da e verso carichi di lavoro nelle reti VPC condivisi.
- Un gateway Cloud NAT consente le connessioni in uscita verso internet da risorse in queste reti senza indirizzi IP esterni.
- Cloud Interconnect connette applicazioni e utenti on-premise. (Puoi scegliere tra diverse opzioni di Cloud Interconnect, inclusa Dedicated Interconnect o Partner Interconnect.)
- Cloud VPN si connette ad altri provider di servizi cloud.
- Una zona privata di Cloud DNS ospita i record DNS per i tuoi deployment in Google Cloud.
Sono configurati più progetti di servizio per utilizzare le reti VPC condivisi. Questi progetti di servizio ospitano le risorse dell'applicazione.
Google Cloud Observability include Cloud Monitoring per il monitoraggio e Cloud Logging per il logging. Gli audit log di Cloud, il logging delle regole firewall e i log di flusso VPC contribuiscono a garantire che tutti i dati necessari siano registrati e disponibili per l'analisi.
Un perimetro dei Controlli di servizio VPC include il VPC condiviso e l'ambiente on-premise. Un perimetro di sicurezza isola servizio e risorse, il che contribuisce a ridurre il rischio di esfiltrazione di dati dai servizi Google Cloud supportati.
Il diagramma riportato sopra è solo un esempio, poiché non esiste un'implementazione singola o standard di una zona di destinazione. L'azienda deve fare molte scelte di design, a seconda di diversi fattori, tra cui:
- Il tuo settore
- La struttura e i processi organizzativi
- I tuoi requisiti di sicurezza e conformità
- I carichi di lavoro da spostare in Google Cloud
- La tua infrastruttura IT esistente e altri ambienti cloud
- La località della tua attività e dei clienti
Quando creare una zona di destinazione
Ti consigliamo di creare una zona di destinazione prima di eseguire il deployment del primo carico di lavoro aziendale su Google Cloud, perché una zona di destinazione fornisce quanto segue:
- Una base progettata per essere sicura
- La rete per i carichi di lavoro aziendali
- Gli strumenti necessari per gestire la distribuzione dei costi interni
Tuttavia, poiché una zona di destinazione è modulare, la tua prima iterazione spesso non è quella finale. Pertanto, ti consigliamo di progettare una zona di destinazione che abbia la scalabilità e la crescita in considerazione. Ad esempio, se il tuo primo carico di lavoro non richiede l'accesso alle risorse di rete on-premise, puoi creare una connettività all'ambiente on-premise in un secondo momento.
A seconda della tua organizzazione e del tipo di carichi di lavoro che prevedi di eseguire su Google Cloud, alcuni carichi di lavoro potrebbero avere requisiti molto diversi. Ad esempio, alcuni carichi di lavoro potrebbero avere requisiti di scalabilità o conformità unici. In questi casi, potresti richiedere più di una zona di destinazione per la tua organizzazione: una zona di destinazione per ospitare la maggior parte dei carichi di lavoro e un'altra zona di destinazione per ospitare i carichi di lavoro unici. Puoi condividere alcuni elementi come identità, fatturazione e risorsa dell'organizzazione nelle zone di destinazione. Tuttavia, altri elementi, come la configurazione di rete, i meccanismi di deployment e i criteri a livello di cartella, possono variare.
Elementi di una zona di destinazione
Una zona di destinazione richiede la progettazione dei seguenti elementi principali su Google Cloud:
Oltre a questi elementi fondamentali, la tua azienda potrebbe avere requisiti aggiuntivi. La seguente tabella descrive questi elementi e consente di trovare ulteriori informazioni al riguardo.
| Elemento zona di destinazione | Descrizione |
|---|---|
| Monitoraggio e logging |
Progetta una strategia di monitoraggio e logging che aiuti a garantire che tutti i dati rilevanti vengano registrati e di disporre di dashboard che visualizzano i dati e avvisi che segnalano eventuali eccezioni applicabili.
Per ulteriori informazioni, consulta quanto segue: |
| Backup e ripristino di emergenza |
Progetta una strategia per backup e ripristino di emergenza.
Per ulteriori informazioni, consulta quanto segue: |
| Conformità |
Segui i framework di conformità pertinenti per la tua organizzazione. Per ulteriori informazioni, consulta il Centro risorse per la conformità. |
| Efficienza e controllo dei costi |
Progetta funzionalità per monitorare e ottimizzare i costi per i carichi di lavoro nella tua zona di destinazione.
Per ulteriori informazioni, consulta quanto segue: |
| Gestione delle API | Progetta una soluzione scalabile per le API che sviluppi. Per ulteriori informazioni, consulta la pagina relativa alla gestione delle API Apigee. |
| Gestione dei cluster |
Progetta cluster Google Kubernetes Engine (GKE) che seguono le best practice per creare servizi scalabili, resilienti e osservabili. Per ulteriori informazioni, consulta le seguenti risorse: |
Best practice per la progettazione e il deployment di una zona di destinazione
La progettazione e l'implementazione di una zona di destinazione richiede una pianificazione. Devi avere il team giusto per eseguire le attività e utilizzare un processo di project management. Ti consigliamo inoltre di seguire le best practice tecniche descritte in questa serie.
Forma un team
Riunisci un team che includa persone appartenenti a più funzioni tecniche all'interno dell'organizzazione. Il team deve comprendere persone in grado di creare tutti gli elementi della zona di destinazione, tra cui sicurezza, identità, reti e operazioni. Identifica un professionista cloud che capisce Google Cloud per guidare il team. Il tuo team deve includere membri che gestiscono il progetto e tenere traccia degli obiettivi e membri che collaborano con i proprietari dell'applicazione o dell'attività.
Assicurarsi che tutti gli stakeholder siano coinvolti nelle prime fasi del processo. Gli stakeholder devono raggiungere una conoscenza comune dell'ambito del processo e prendere decisioni di alto livello quando il progetto viene avviato.
Applica il project management al deployment della zona di destinazione
La progettazione e il deployment della zona di destinazione può richiedere diverse settimane, quindi la gestione dei progetti è essenziale. Assicurati che gli obiettivi del progetto siano chiaramente definiti e comunicati a tutti gli stakeholder e che tutte le parti ricevano aggiornamenti su eventuali modifiche al progetto. Definisci punti di controllo regolari e concorda gli obiettivi con tempistiche realistiche che tengano conto dei processi operativi e dei ritardi imprevisti.
Per allinearti al meglio ai requisiti aziendali, pianifica il deployment iniziale della zona di destinazione in base ai casi d'uso in cui vuoi eseguire il deployment per primi in Google Cloud. Consigliamo di eseguire prima il deployment di carichi di lavoro che possono essere eseguiti più facilmente su Google Cloud, come la scalabilità orizzontale di applicazioni web multilivello. Potrebbero essere carichi di lavoro nuovi o esistenti. Per valutare l'idoneità dei carichi di lavoro esistenti alla migrazione, consulta Migrazione a Google Cloud: guida introduttiva.
Poiché le zone di destinazione sono modulari, centra il progetto iniziale intorno agli elementi necessari per la migrazione dei primi carichi di lavoro e pianifica di aggiungere altri elementi in un secondo momento.
Seguire le best practice tecniche
Valuta la possibilità di utilizzare Infrastructure as Code (IaC), ad esempio con Terraform. IaC consente di rendere il deployment ripetibile e modulare. Avere una pipeline CI/CD che esegue il deployment delle modifiche dell'infrastruttura cloud tramite GitOps ti aiuta ad assicurarti di seguire le linee guida interne e di mettere in atto i controlli giusti.
Quando progetti la zona di destinazione, assicurati che tu e il tuo team prendete in considerazione le best practice tecniche. Per ulteriori informazioni sulle decisioni da prendere nella tua zona di destinazione, consulta le altre guide di questa serie.
Oltre a questa serie, la tabella seguente descrive framework, guide e progetti che possono aiutarti a seguire le best practice, a seconda dei tuoi casi d'uso.
| Documentazione correlata | Descrizione |
|---|---|
| Elenco di controllo per la configurazione di Google Cloud | Un elenco di controllo di alto livello per aiutarti a configurare Google Cloud per carichi di lavoro aziendali scalabili e pronti per la produzione. |
| Progetto della piattaforma di sicurezza | Una visione ponderata delle best practice per la sicurezza di Google Cloud, rivolta a CISO, professionisti della sicurezza, gestori del rischio o responsabili della conformità. |
| Framework dell'architettura Google Cloud | Suggerimenti e best practice per aiutare architect, sviluppatori, amministratori e altri professionisti del cloud a progettare e utilizzare una topologia cloud che sia sicura, efficiente, resiliente, ad alte prestazioni ed economica. |
| Progetti Terraform | Un elenco di progetti e moduli pacchettizzati come moduli Terraform che puoi utilizzare per creare risorse per Google Cloud. |
Identifica le risorse che ti aiuteranno a implementare la tua zona di destinazione
Google Cloud offre le seguenti opzioni per aiutarti a configurare la zona di destinazione:
- Progetta ed esegui il deployment di una zona di destinazione personalizzata in base ai tuoi requisiti con i partner Google Cloud o i servizi professionali Google Cloud.
- Esegui l'onboarding di un carico di lavoro con il programma di onboarding del cliente Google Cloud.
- Esegui il deployment di una zona di destinazione generica con la guida alla configurazione nella console Google Cloud.
- Esegui il deployment di una zona di destinazione altamente mirata, allineata al progetto della piattaforma di sicurezza utilizzando la base di esempio Terraform.
Tutte queste offerte seguono approcci studiati specificatamente per soddisfare le esigenze di diversi settori e dimensioni aziendali, in tutto il mondo. Per fare la scelta migliore per il tuo caso d'uso, ti consigliamo di collaborare con il team dedicato al tuo account Google Cloud per effettuare la scelta e contribuire a garantire il successo del progetto.
Passaggi successivi
- Decidere come eseguire l'onboarding delle identità in Google Cloud (prossimo documento di questa serie).
- Decidi la gerarchia delle risorse per la zona di destinazione di Google Cloud.
- Decidi la progettazione della rete per la tua zona di destinazione di Google Cloud.
- Stabilisci la sicurezza per la tua zona di destinazione di Google Cloud.