Dieses Dokument bietet einen Überblick über die Entwicklung von Landing-Zones in Google Cloud. Eine Landing-Zone, auch als Cloud-Grundlage bezeichnet, ist eine modulare und skalierbare Konfiguration, die es Organisationen ermöglicht, Google Cloud für ihre Geschäftsanforderungen zu übernehmen. Eine Landing-Zone ist oft eine Voraussetzung für die Bereitstellung von Unternehmens-Arbeitslasten in einer Cloud-Umgebung.
Eine Landing-Zone ist keine Zone oder zonale Ressourcen.
Dieses Dokument richtet sich an Lösungsarchitekten, technische Fachkräfte und Führungskräfte, die eine Übersicht über Folgendes erhalten möchten:
- Typische Elemente von Landing-Zonen in Google Cloud
- Detaillierte Informationen zum Design der Landing-Zone
- Hier erfahren Sie, wie Sie eine Landing Zone für Ihr Unternehmen bereitstellen, einschließlich Vordefinierte Lösungen bereitstellen
Dieses Dokument ist Teil einer Reihe, die Ihnen zeigt, wie Sie eine Landing Zone entwerfen und erstellen. Die anderen Dokumente in dieser Reihe unterstützen Sie bei den allgemeinen Entscheidungen, die Sie beim Entwerfen der Landing-Zone Ihrer Organisation treffen müssen. In dieser Reihe lernen Sie:
- Design der Landing-Zone in Google Cloud (dieses Dokument)
- Festlegen, wie Identitäten in Google Cloud eingebunden werden
- Ressourcenhierarchie für Ihre Google Cloud-Landing-Zone festlegen
- Netzwerkdesign für Ihre Google Cloud-Landing-Zone festlegen
- Sicherheit für Ihre Google Cloud-Landing-Zone festlegen
Diese Reihe befasst sich nicht speziell mit den Compliance-Anforderungen aus regulierten Branchen wie Finanzdienstleistungen oder dem Gesundheitswesen.
Was ist eine Google Cloud-Landing-Zone?
Landing-Zonen helfen Ihrem Unternehmen, Google Cloud-Dienste sicherer bereitzustellen, zu verwenden und zu skalieren. Landing-Zonen sind dynamisch und wachsen, wenn Ihr Unternehmen im Laufe der Zeit immer mehr cloudbasierte Arbeitslasten annimmt.
Zum Bereitstellen einer Landing-Zone müssen Sie zuerst eine Organisationsressource erstellen und ein Rechnungskonto erstellen, entweder online oder auf Rechnung.
Eine Landing-Zone umfasst mehrere Bereiche und enthält verschiedene Elemente, wie Identitäten, Ressourcenverwaltung, Sicherheit und Netzwerke. Viele andere Elemente können auch Teil einer Landing-Zone sein, wie unter Elemente einer Landing-Zone beschrieben.
Das folgende Diagramm zeigt eine Beispielimplementierung einer Landing-Zone. Es zeigt einen IaaS-Anwendungsfall (Infrastructure as a Service) mit Hybrid-Cloud und lokalen Verbindungen in Google Cloud:
Die Beispielarchitektur im vorherigen Diagramm zeigt eine Google Cloud-Landing-Zone, die die folgenden Google Cloud-Dienste und -Features enthält:
Resource Manager definiert eine Ressourcenhierarchie mit Organisationsrichtlinien.
Ein Cloud Identity-Konto wird mit einem lokalen Identitätsanbieter und Identity and Access Management (IAM) synchronisiert, das detaillierten Zugriff zu Google Cloud-Ressourcen ermöglicht.
Ein Netzwerk-Deployment, die Folgendes enthält:
- Ein freigegebenes VPC-Netzwerk für jede Umgebung (Produktion, Entwicklung und Test), die Ressourcen aus mehreren Projekten mit dem VPC-Netzwerk verbindet.
- VPC-Firewallregeln, die die Konnektivität zu und von Arbeitslasten in den freigegebenen VPC-Netzwerken steuern.
- Ein Cloud NAT-Gateway ermöglicht ausgehende Verbindungen zum Internet von Ressourcen in diesen Netzwerken ohne externe IP-Adressen.
- Cloud Interconnect verbindet lokale Anwendungen und Nutzer. (Sie können zwischen verschiedenen Cloud Interconnect-Optionen wählen, darunter Dedicated Interconnect-Verbindung oder Partner Interconnect)
- Cloud VPN stellt eine Verbindung zu anderen Cloud-Dienstanbietern her.
- Eine private Zone von Cloud DNS hostet DNS-Einträge für Ihre Bereitstellungen in Google Cloud.
Mehrere Dienstprojekte sind für die Verwendung der Freigegebenen VPC-Netzwerke konfiguriert. In diesen Dienstprojekten werden Ihre Anwendungsressourcen gehostet.
Google Cloud Observability umfasst Cloud Monitoring für Monitoring und Cloud Logging für das Logging. Cloud-Audit-Logs, Logging von Firewallregeln und VPC-Flusslogs tragen dazu bei, dass alle erforderlichen Daten protokolliert werden und für die Analyse verfügbar sind.
A VPC Service Controls Der Perimeter umfasst die freigegebene VPC und die lokale Umgebung. Ein Sicherheitsbereich isoliert Dienste und Ressourcen, wodurch Sie die Möglichkeit haben, das Risiko der Daten-Exfiltration aus unterstützten Google Cloud-Diensten zu verringern.
Das obige Diagramm ist nur ein Beispiel, da es keine einzelne oder Standardimplementierung einer Landing-Zone gibt. Ihr Unternehmen muss je nach verschiedenen Faktoren viele Design-Entscheidungen treffen, darunter:
- Ihre Branche
- Ihre Organisationsstruktur und Ihre -prozesse
- Ihre Sicherheits- und Complianceanforderungen
- Die Arbeitslasten, die Sie zu Google Cloud verschieben möchten
- Vorhandene IT-Infrastruktur und andere Cloud-Umgebungen
- Standort Ihres Unternehmens und Ihrer Kunden
Wann eine Landing-Zone erstellt werden sollte
Wir empfehlen, eine Landing-Zone zu erstellen, bevor Sie Ihre erste Unternehmensarbeitslast in Google Cloud bereitstellen, da eine Landing-Zone Folgendes bietet:
- Eine solide Grundlage
- Netzwerk für Unternehmensarbeitslasten
- Die Tools, die Sie benötigen, um Ihre interne Kostenverteilung zu steuern
Da eine Landing-Zone jedoch modular ist, ist die erste Iteration einer Landing-Zone häufig nicht die endgültige Version. Daher empfehlen wir Ihnen, eine Zielzone unter Berücksichtigung von Skalierbarkeit und Wachstum zu entwerfen. Wenn Ihre erste Arbeitslast beispielsweise keinen Zugriff auf lokale Netzwerkressourcen benötigt, können Sie später eine Verbindung zu Ihrer lokalen Umgebung herstellen.
Je nach Organisation und Art der Arbeitslasten, die Sie in Google Cloud ausführen möchten, haben einige Arbeitslasten möglicherweise unterschiedliche Anforderungen. Beispielsweise können einige Arbeitslasten einzigartige Anforderungen an Skalierbarkeit oder Compliance haben. In diesen Fällen benötigen Sie möglicherweise mehr als eine Landing-Zone für Ihre Organisation: eine Landing-Zone für die meisten der Arbeitslasten und eine separate Landing-Zone für die eindeutigen Arbeitslasten. Sie können einige Elemente wie Identitäten, Abrechnung und die Organisationsressource in Ihren Landing-Zones gemeinsam nutzen. Andere Elemente wie die Netzwerkeinrichtung, Bereitstellungsmechanismen und Richtlinien auf Ordnerebene können jedoch variieren.
Elemente einer Landing-Zone
Für eine Landing-Zone müssen Sie die folgenden Kernelemente in Google Cloud entwerfen:
Zusätzlich zu diesen Kernelementen kann Ihr Unternehmen weitere Anforderungen haben. In der folgenden Tabelle werden diese Elemente und entsprechende Informationen beschrieben.
| Element der Landing Zone | Beschreibung |
|---|---|
| Monitoring und Logging |
Entwerfen Sie eine Monitoring- und Logging-Strategie, mit der Sie gewährleisten, dass alle relevanten Daten protokolliert werden und dass Sie Dashboards haben, die die Daten und Benachrichtigungen visualisieren, mit denen Sie über anwendbaren Ausnahmen informiert werden.
Hier finden Sie weitere Informationen: |
| Sicherung und Notfallwiederherstellung |
Strategie für Sicherungen und Notfallwiederherstellung
Hier finden Sie weitere Informationen: |
| Compliance |
Folgen Sie den Compliance-Frameworks, die für Ihre Organisation relevant sind. Weitere Informationen finden Sie im Center für Compliance-Ressourcen. |
| Kosteneffizienz und -kontrolle |
Entwerfen Sie Funktionen zur Überwachung und Optimierung der Kosten für Arbeitslasten in Ihrer Landing-Zone.
Hier finden Sie weitere Informationen: |
| API-Verwaltung | Eine skalierbare Lösung für selbst entwickelte APIs entwerfen Weitere Informationen finden Sie unter Apigee API Management. |
| Clusterverwaltung |
GKE-Cluster (Google Kubernetes Engine) anhand von Best Practices entwickeln, um skalierbare, robuste und beobachtbare Dienste zu erstellen. Hier finden Sie weitere Informationen: |
Best Practices für das Erstellen und Bereitstellen einer Landing-Zone
Der Entwurf und die Bereitstellung einer Landing-Zone erfordert Planung. Sie müssen das richtige Team haben, um die Aufgaben auszuführen und einen Projektverwaltungsprozess zu verwenden. Außerdem sollten Sie die in dieser Reihe beschriebenen technischen Best Practices befolgen.
Team aufbauen
Schließen Sie ein Team zusammen, das Personen aus mehreren technischen Funktionen in der Organisation umfasst. Das Team muss Personen einbeziehen, die alle Elemente der Landing-Zone erstellen können, einschließlich Sicherheit, Identität, Netzwerken und Vorgängen. Ermitteln Sie einen Cloud-Anwender, der Google Cloud kennt und das Team leitet. Ihr Team sollte Mitglieder enthalten, die das Projekt verwalten und Erfolge verfolgen, sowie Mitglieder, die mit Anwendungs- oder Geschäftsinhabern zusammenarbeiten.
Sorgen Sie dafür, dass alle Stakeholder frühzeitig in den Prozess einbezogen werden. Die Beteiligten müssen sich über den Umfang des Prozesses informieren und allgemeine Entscheidungen treffen, wenn das Projekt gestartet wird.
Projektmanagement auf die Bereitstellung der Landing-Zone anwenden
Das Entwerfen und Bereitstellen Ihrer Landing-Zone kann mehrere Wochen dauern, sodass das Projektmanagement unerlässlich ist. Achten Sie darauf, dass die Projektziele klar definiert und allen Stakeholdern mitgeteilt werden und dass alle Parteien über Projektänderungen aktualisiert werden. Definieren Sie regelmäßige Prüfpunkte und vereinbaren Sie Meilensteine mit realistischen Zeitachsen, die betriebliche Prozesse und unerwartete Verzögerungen berücksichtigen.
Um die Geschäftsanforderungen am besten zu erfüllen, planen Sie die erste Bereitstellung der Landing Zone für die Anwendungsfälle, die Sie zuerst in Google Cloud bereitstellen möchten. Wir empfehlen, zuerst Arbeitslasten bereitzustellen, die sich einfach in Google Cloud ausführen lassen, z. B. horizontale Skalierung mehrschichtiger Webanwendungen. Diese Arbeitslasten können neue oder vorhandene Arbeitslasten sein. Unter Migration zu Google Cloud: Einstieg erfahren Sie, wie Sie vorhandene Arbeitslasten für die Migrationsbereitschaft bewerten.
Da Landing-Zonen modular sind, zentriert sich das ursprüngliche Design auf die Elemente, die erforderlich sind, wenn Sie Ihre ersten Arbeitslasten migrieren und später weitere Elemente hinzufügen möchten.
Technische Best Practices befolgen
Erwägen Sie die Verwendung von Infrastruktur als Code (IaC), z. B. mit Terraform. IaC unterstützt Sie dabei, Ihre Bereitstellung wiederholbar und modular zu gestalten. Mit einer CI/CD-Pipeline, die Änderungen an der Cloud-Infrastruktur mithilfe von GitOps bereitstellt, können Sie interne Richtlinien einhalten und die richtigen Kontrollen einrichten.
Achten Sie beim Entwerfen der Landing-Zone darauf, dass Sie und Ihr Team technische Best Practices berücksichtigen. Weitere Informationen zu Entscheidungen in Ihrer Landing-Zone finden Sie in den anderen Leitfäden dieser Reihe.
Zusätzlich zu dieser Reihe werden in der folgenden Tabelle Frameworks, Leitfäden und Blueprints beschrieben, mit denen Sie je nach Anwendungsfall auch Best Practices anwenden können.
| Weitere Dokumentation | Beschreibung |
|---|---|
| Checkliste für die Einrichtung von Google Cloud | Eine allgemeine Checkliste zur Einrichtung von Google Cloud für skalierbare, produktionsreife Unternehmensarbeitslasten. |
| Sicherheitsgrundlagen-Blueprint | Best Practices zur Sicherheit von Google Cloud. Diese richten sich an CISO, Sicherheitsexperten, Risikomanager oder Compliance-Beauftragte. |
| Google Cloud-Architektur-Framework | Empfehlungen und Best Practices für Architekten, Entwickler, Administratoren und andere Cloud-Experten, die eine Cloud-Topologie entwerfen und betreiben, die sicher, effizient, stabil, leistungsstark und kostengünstig ist. |
| Terraform-Blueprints | Eine Liste von Blueprints und Modulen, die als Terraform-Module verpackt sind und mit denen Sie Ressourcen für Google Cloud erstellen können. |
Ressourcen für die Implementierung der Landing Zone identifizieren
Google Cloud bietet die folgenden Optionen, um Sie bei der Einrichtung Ihrer Landing-Zone zu unterstützen:
- Entwerfen und stellen Sie eine Landing-Zone bereit, die auf Ihre Anforderungen zugeschnitten ist – mit Google Cloud-Partnern oder professionellen Diensten von Google Cloud.
- Arbeitslast mit dem Google Cloud- Onboarding-Programm für Kunden einrichten.
- Stellen Sie mithilfe des Einrichtungsleitfadens in der Google Cloud Console eine generische Landing Zone bereit.
- Eine strikte Landing Zone bereitstellen, die mithilfe der Terraform-Beispielgrundlage auf den Security Foundation-Blueprint ausgerichtet ist.
Alle diese Angebote wurden speziell für die Anforderungen unterschiedlicher Branchen und Unternehmensgrößen entwickelt. Damit Sie die beste Auswahl für Ihren Anwendungsfall treffen können, empfehlen wir Ihnen, mit Ihrem Google Cloud-Kontoteam zusammenzuarbeiten, um die Auswahl zu treffen und ein erfolgreiches Projekt sicherzustellen.
Nächste Schritte
- Festlegen, wie Sie Identitäten in Google Cloud einbinden (nächstes Dokument in dieser Reihe).
- Ressourcenhierarchie für Ihre Google Cloud-Landing-Zone festlegen
- Netzwerkdesign für Ihre Google Cloud-Landing-Zone festlegen
- Sicherheit für Ihre Google Cloud-Landing-Zone festlegen