Questo documento fornisce una panoramica su come progettare le zone di destinazione in Google Cloud. Una landing zone, chiamata anche cloud foundation, è una configurazione modulare e scalabile che consente alle organizzazioni di adottare Google Cloud per le proprie esigenze aziendali. Una zona di destinazione è spesso un prerequisito per il deployment dei carichi di lavoro aziendali in un ambiente cloud.
Una landing zone non è una zona o risorse di zona.
Questo documento è rivolto a soluzioni architect, professionisti tecnici e stakeholder esecutivi che vogliono una panoramica di quanto segue:
- Elementi tipici delle zone di destinazione in Google Cloud
- Dove trovare informazioni dettagliate sulla progettazione della zona di destinazione
- Come eseguire il deployment di una landing zone per la tua azienda, incluse le opzioni per eseguire il deployment di soluzioni predefinite
Questo documento fa parte di una serie che ti aiuta a capire come progettare e creare una landing zone. Gli altri documenti di questa serie ti aiutano a prendere le decisioni di alto livello che devi prendere quando progetti la landing zone della tua organizzazione. In questa serie scoprirai:
- Progettazione della zona di destinazione in Google Cloud (questo documento)
- Decidere come eseguire l'onboarding delle identità in Google Cloud
- Decidi la gerarchia delle risorse per la tua zona di destinazione Google Cloud
- Decidi la progettazione di rete per la tua zona di destinazione Google Cloud
- Decidere la sicurezza per la tua zona di destinazione Google Cloud
Questa serie non tratta specificamente i requisiti di conformità previsti da settori regolamentati come i servizi finanziari o la sanità.
Che cos'è una landing zone Google Cloud?
Le zone di destinazione consentono alla tua azienda di eseguire il deployment, utilizzare e scalare i servizi Google Cloud in modo più sicuro. Le zone di destinazione sono dinamiche e crescono man mano che la tua azienda adotta più carichi di lavoro basati su cloud nel tempo.
Per eseguire il deployment di una landing zone, devi prima creare una risorsa organizzazione e creare un account di fatturazione, online o fatturato.
Una zona di destinazione si estende su più aree e include diversi elementi, come identità, gestione delle risorse, sicurezza e networking. Molti altri elementi possono far parte di una zona di destinazione, come descritto in Elementi di una zona di destinazione.
Il seguente diagramma mostra un'implementazione di esempio di una landing zone. Mostra un caso d'uso di Infrastructure as a Service (IaaS) con connettività on-premise e cloud ibrido in Google Cloud:
L'architettura di esempio nel diagramma precedente mostra una landing zone Google Cloud che include i seguenti servizi e funzionalità di Google Cloud:
Resource Manager definisce una gerarchia delle risorse con criteri dell'organizzazione.
Un account Cloud Identity si sincronizza con un provider di identità on-premise e con Identity and Access Management (IAM) per fornire accesso granulare alle risorse Google Cloud.
Un deployment di rete che include quanto segue:
- Una rete VPC condivisa per ogni ambiente (produzione, sviluppo e test) connette le risorse di più progetti alla rete VPC.
- Le regole firewall VPC (Virtual Private Cloud) controllano la connettività da e verso i carichi di lavoro nelle reti VPC condiviso.
- Un gateway Cloud NAT consente le connessioni in uscita a internet dalle risorse di queste reti senza indirizzi IP esterni.
- Cloud Interconnect collega gli utenti e le applicazioni on-premise. Puoi scegliere tra diverse opzioni di Cloud Interconnect, tra cui Dedicated Interconnect o Partner Interconnect.
- Cloud VPN si connette ad altri provider di servizi cloud.
- Una zona privata di Cloud DNS ospita i record DNS per i tuoi implementazioni in Google Cloud.
Più progetti di servizio sono configurati per utilizzare le reti VPC condivisa. Questi progetti di servizio ospitano le risorse dell'applicazione.
Google Cloud Observability include Cloud Monitoring per il monitoraggio e Cloud Logging per il logging. Gli audit log di Cloud, la registrazione delle regole firewall e i log di flusso VPC contribuiscono ad assicurare che tutti i dati necessari vengano registrati e siano disponibili per l'analisi.
Un perimetro di Controlli di servizio VPC include il VPC condiviso e l'ambiente on-premise. Un perimetro di sicurezza isola il servizio e le risorse, il che contribuisce a mitigare il rischio di esfiltrazione di dati dai servizi Google Cloud supportati.
Il diagramma riportato sopra è solo un esempio, in quanto non esiste un'implementazione singola o standard di una landing zone. La tua attività deve fare molte scelte di design, a seconda di diversi fattori, tra cui:
- Il tuo settore
- La struttura e i processi organizzativi
- I tuoi requisiti di sicurezza e conformità
- I carichi di lavoro che vuoi spostare su Google Cloud
- L'infrastruttura IT esistente e altri ambienti cloud
- La sede della tua attività e dei tuoi clienti
Quando creare una zona di destinazione
Ti consigliamo di creare una landing zone prima di eseguire il deployment del tuo primo caricamento di lavoro aziendale su Google Cloud, perché una landing zone offre quanto segue:
- Una base progettata per essere sicura
- La rete per i carichi di lavoro aziendali
- Gli strumenti necessari per gestire la distribuzione dei costi interni
Tuttavia, poiché una landing zone è modulare, la prima iterazione di una landing zone spesso non è la versione finale. Pertanto, ti consigliamo di progettare una landing page tenendo conto della scalabilità e della crescita. Ad esempio, se il tuo primo caricamento di lavoro non richiede l'accesso alle risorse di rete on-premise, puoi creare la connettività all'ambiente on-premise in un secondo momento.
A seconda della tua organizzazione e del tipo di carichi di lavoro che prevedi di eseguire su Google Cloud, alcuni potrebbero avere requisiti molto diversi. Ad esempio, alcuni carichi di lavoro potrebbero avere requisiti di scalabilità o conformità unici. In questi casi, potresti richiedere più di una landing zone per la tua organizzazione: una per ospitare la maggior parte dei carichi di lavoro e un'altra separata per ospitare i carichi di lavoro unici. Puoi condividere alcuni elementi, come le identità, la fatturazione e la risorsa dell'organizzazione, tra le tue zone di destinazione. Tuttavia, altri elementi, come la configurazione della rete, i meccanismi di implementazione e i criteri a livello di cartella, potrebbero variare.
Elementi di una zona di destinazione
Una zona di destinazione richiede la progettazione dei seguenti elementi di base su Google Cloud:
Oltre a questi elementi di base, la tua attività potrebbe avere requisiti aggiuntivi. La tabella seguente descrive questi elementi e indica dove puoi trovare ulteriori informazioni.
| Elemento zona di destinazione | Descrizione |
|---|---|
| Monitoraggio e logging |
Progetta una strategia di monitoraggio e logging che ti aiuti a garantire che tutti i dati pertinenti vengano registrati e che tu abbia dashboard che li visualizzino e avvisi che ti informano di eventuali eccezioni che puoi risolvere.
Per saperne di più, consulta la documentazione di Google Cloud Observability |
| Backup e ripristino di emergenza |
Progetta una strategia per i backup e il ripristino di emergenza.
Per ulteriori informazioni, consulta le seguenti risorse: |
| Conformità |
Segui i framework di conformità pertinenti per la tua organizzazione. Per ulteriori informazioni, consulta il Centro risorse per la conformità. |
| Efficienza e controllo dei costi |
Progetta funzionalità per monitorare e ottimizzare i costi per i carichi di lavoro nella tua landing zone.
Per ulteriori informazioni, consulta le seguenti risorse: |
| Gestione delle API | Progetta una soluzione scalabile per le API che sviluppi. Per saperne di più, consulta Gestione delle API Apigee. |
| Gestione dei cluster |
Progetta cluster Google Kubernetes Engine (GKE) che seguano le best practice per creare servizi scalabili, resilienti e osservabili. Per ulteriori informazioni, consulta le seguenti risorse: |
Best practice per la progettazione e l'implementazione di una landing zone
La progettazione e il deployment di una zona di destinazione richiedono una pianificazione. Devi avere il team giusto per eseguire le attività e utilizzare una procedura di gestione dei progetti. Ti consigliamo inoltre di seguire le best practice tecniche descritte in questa serie.
Creare un team
Riunisci un team che includa persone di più funzioni tecniche dell'organizzazione. Il team deve includere persone che possono creare tutti gli elementi della zona di destinazione, tra cui sicurezza, identità, reti e operazioni. Identifica un professionista del cloud che comprenda Google Cloud per guidare il team. Il tuo team deve includere membri che gestiscono il progetto e monitorano i risultati, nonché membri che collaborano con i proprietari di applicazioni o attività.
Assicurati che tutti gli stakeholder siano coinvolti fin dalle prime fasi del processo. I tuoi stakeholder devono raggiungere una comprensione comune dell'ambito del processo e prendere decisioni di alto livello all'avvio del progetto.
Applica la gestione del progetto all'implementazione della landing zone
La progettazione e il deployment della landing zone possono richiedere diverse settimane, quindi la gestione del progetto è essenziale. Assicurati che gli obiettivi del progetto siano definiti e comunicate in modo chiaro a tutti gli stakeholder e che tutte le parti ricevano aggiornamenti su eventuali modifiche al progetto. Definisci checkpoint regolari e concorda traguardi con tempistiche realistiche che tengano conto dei processi operativi e dei ritardi imprevisti.
Per allinearti al meglio ai requisiti aziendali, pianifica l'implementazione iniziale della zona di destinazione in base ai casi d'uso che vuoi implementare per primi in Google Cloud. Ti consigliamo di eseguire prima il deployment dei carichi di lavoro che possono essere eseguiti più facilmente su Google Cloud, ad esempio applicazioni web multilivello con scalabilità orizzontale. Questi carichi di lavoro possono essere nuovi o esistenti. Per valutare l'idoneità alla migrazione dei workload esistenti, consulta Migrazione a Google Cloud: inizio.
Poiché le zone di destinazione sono modulari, centra il design iniziale sugli elementi necessari per eseguire la migrazione dei tuoi primi carichi di lavoro e pianifica di aggiungerne altri in un secondo momento.
Seguire le best practice tecniche
Valuta la possibilità di utilizzare Infrastructure as Code (IaC), ad esempio con Terraform. La IaC ti aiuta a rendere il deployment ripetibile e modulare. Avere una pipeline CI/CD che esegue il deployment delle modifiche dell'infrastruttura cloud utilizzando GitOps ti aiuta ad assicurarti di seguire le linee guida interne e di implementare i controlli giusti.
Quando progetti la tua area di destinazione, assicurati che tu e il tuo team prendiate in considerazione le best practice tecniche. Per ulteriori informazioni sulle decisioni da prendere nella tua area di destinazione, consulta le altre guide di questa serie.
Oltre a questa serie, la tabella seguente descrive framework, guide e progetti base che possono aiutarti anche a seguire le best practice, a seconda dei casi d'uso.
| Documentazione correlata | Descrizione |
|---|---|
| Elenco di controllo per la configurazione di Google Cloud | Un elenco di controllo di alto livello per aiutarti a configurare Google Cloud per carichi di lavoro aziendali scalabili e pronti per la produzione. |
| Blueprint per le basi | Una visione d'insieme delle best practice per la sicurezza di Google Cloud, rivolta a CISO, professionisti della sicurezza, gestori del rischio o responsabili della conformità. |
| Framework dell'architettura di Google Cloud | Suggerimenti e best practice per aiutare architetti, sviluppatori, amministratori e altri professionisti del cloud a progettare e gestire una topologia cloud sicura, efficiente, resiliente, ad alte prestazioni ed economica. |
| Progetti Terraform | Un elenco di blueprint e moduli pacchettizzati come moduli Terraform che puoi utilizzare per creare risorse per Google Cloud. |
Identifica le risorse che ti aiutano a implementare la tua landing zone
Google Cloud offre le seguenti opzioni per aiutarti a configurare la tua zona di destinazione:
- Progetta ed esegui il deployment di una landing zone personalizzata in base alle tue esigenze con i partner di Google Cloud o i servizi professionali di Google Cloud.
- Esegui l'onboarding di un carico di lavoro con il programma di onboarding dei clienti di Google Cloud.
- Esegui il deployment di una landing zone generica con la guida alla configurazione nella console Google Cloud.
- Esegui il deployment di una zona di destinazione altamente opinabile in linea con il progetto di base per la sicurezza utilizzando la base di esempio Terraform.
Tutti questi prodotti hanno approcci progettati specificamente per soddisfare le esigenze di diversi settori e dimensioni aziendali in tutto il mondo. Per aiutarti a effettuare la scelta migliore per il tuo caso d'uso, ti consigliamo di collaborare con il team dedicato al tuo account Google Cloud per effettuare la selezione e contribuire a garantire un progetto di successo.
Passaggi successivi
- Decide come eseguire l'onboarding delle identità in Google Cloud (documento successivo di questa serie).
- Decidi la gerarchia delle risorse per la tua zona di destinazione Google Cloud.
- Decidi la progettazione di rete per la tua zona di destinazione Google Cloud.
- Decidi la sicurezza per la tua zona di destinazione Google Cloud.