Questo documento fornisce una panoramica su come progettare zone di destinazione in Google Cloud. Una zona di destinazione, chiamata anche base di cloud, è una configurazione modulare e scalabile che consente alle organizzazioni di adottare Google Cloud per le proprie esigenze aziendali. Una zona di destinazione è spesso un prerequisito per il deployment di carichi di lavoro aziendali in un ambiente cloud.
Una zona di destinazione non è una zona né una risorse a livello di zona.
Questo documento è rivolto ai Solutions Architect, ai professionisti tecnici e agli stakeholder esecutivi che vogliono una panoramica di quanto segue:
- Elementi tipici delle zone di destinazione in Google Cloud
- Dove trovare informazioni dettagliate sulla progettazione delle zone di destinazione
- Come eseguire il deployment di una zona di destinazione per la tua azienda, con opzioni per il deployment di soluzioni predefinite
Questo documento fa parte di una serie che aiuta a capire come progettare e creare una zona di destinazione. Gli altri documenti di questa serie ti aiutano nelle decisioni generali che devi prendere quando progetti la zona di destinazione della tua organizzazione. In questa serie imparerai a:
- Progettazione delle zone di destinazione in Google Cloud (questo documento)
- Decidi come eseguire l'onboarding delle identità in Google Cloud
- Decidi la gerarchia delle risorse per la tua zona di destinazione Google Cloud
- Decidere la progettazione della rete per la tua zona di destinazione Google Cloud
- Decidi la sicurezza per la tua zona di destinazione Google Cloud
Questa serie non risponde in modo specifico ai requisiti di conformità dei settori regolamentati come i servizi finanziari o la sanità.
Che cos'è una zona di destinazione di Google Cloud?
Le zone di destinazione aiutano la tua azienda a eseguire il deployment, utilizzare e scalare i servizi Google Cloud in modo più sicuro. Le zone di destinazione sono dinamiche e crescono man mano che la tua azienda adotta più carichi di lavoro basati su cloud nel tempo.
Per eseguire il deployment di una zona di destinazione, devi prima creare una risorsa organizzazione e creare un account di fatturazione, online o con fatturazione.
Una zona di destinazione copre più aree e include diversi elementi, come identità, gestione delle risorse, sicurezza e networking. Molti altri elementi possono anche far parte di una zona di destinazione, come descritto in Elementi di una zona di destinazione.
Il seguente diagramma mostra un'implementazione di esempio di una zona di destinazione. Mostra un caso d'uso Infrastructure as a Service (IaaS) con cloud ibrido e connettività on-premise in Google Cloud:
L'architettura di esempio nel diagramma precedente mostra una zona di destinazione di Google Cloud che include i seguenti servizi e funzionalità Google Cloud:
Resource Manager definisce una gerarchia delle risorse con criteri organizzativi.
Un account Cloud Identity si sincronizza con un provider di identità on-premise e con Identity and Access Management (IAM) fornendo un accesso granulare alle risorse Google Cloud.
Un deployment di rete che include quanto segue:
- Una rete VPC condiviso per ogni ambiente (produzione, sviluppo e test) connette le risorse di più progetti alla rete VPC.
- Le regole firewall VPC (Virtual Private Cloud) controllano la connettività da e verso i carichi di lavoro nelle reti VPC condivisi.
- Un gateway Cloud NAT consente le connessioni in uscita verso internet dalle risorse in queste reti senza indirizzi IP esterni.
- Cloud Interconnect connette le applicazioni e gli utenti on-premise. (puoi scegliere tra diverse opzioni di Cloud Interconnect, tra cui Dedicated Interconnect o Partner Interconnect.)
- Cloud VPN si connette ad altri provider di servizi cloud.
- Una zona privata di Cloud DNS ospita i record DNS per i tuoi deployment in Google Cloud.
Più progetti di servizio sono configurati per l'utilizzo delle reti VPC condivisi. Questi progetti di servizio ospitano le risorse dell'applicazione.
Osservabilità di Google Cloud include Cloud Monitoring per il monitoraggio e Cloud Logging per il logging. Gli audit log Cloud, il logging delle regole firewall e i log di flusso VPC contribuiscono a garantire che tutti i dati necessari siano registrati e disponibili per l'analisi.
Un perimetro Controlli di servizio VPC include il VPC condiviso e l'ambiente on-premise. Un perimetro di sicurezza isola il servizio e le risorse, il che contribuisce a mitigare il rischio di esfiltrazione di dati dai servizi Google Cloud supportati.
Il diagramma riportato sopra è solo un esempio, perché non esiste un'implementazione singola o standard di una zona di destinazione. La tua azienda deve fare molte scelte di design, a seconda di diversi fattori, tra cui:
- Il tuo settore
- Struttura e processi organizzativi
- I tuoi requisiti di sicurezza e conformità
- I carichi di lavoro che vuoi spostare su Google Cloud.
- La tua infrastruttura IT esistente e altri ambienti cloud
- La sede della tua attività e dei tuoi clienti
Quando creare una zona di destinazione
Ti consigliamo di creare una zona di destinazione prima di eseguire il deployment del primo carico di lavoro aziendale su Google Cloud, poiché una zona di destinazione fornisce quanto segue:
- Una base progettata per essere sicura
- La rete per i carichi di lavoro aziendali
- Gli strumenti necessari per gestire la distribuzione interna dei costi
Tuttavia, poiché una zona di destinazione è modulare, la prima iterazione di una zona di destinazione spesso non corrisponde alla versione finale. Pertanto, ti consigliamo di progettare una zona di destinazione pensando alla scalabilità e alla crescita. Ad esempio, se il primo carico di lavoro non richiede l'accesso alle risorse di rete on-premise, potresti creare la connettività all'ambiente on-premise in un secondo momento.
A seconda della tua organizzazione e del tipo di carichi di lavoro che prevedi di eseguire su Google Cloud, alcuni carichi di lavoro potrebbero avere requisiti molto diversi. Ad esempio, alcuni carichi di lavoro potrebbero avere requisiti di scalabilità o conformità univoci. In questi casi, potresti richiedere più di una zona di destinazione per la tua organizzazione: una zona di destinazione per ospitare la maggior parte dei carichi di lavoro e una zona di destinazione separata per ospitare i carichi di lavoro univoci. Puoi condividere alcuni elementi come identità, fatturazione e risorsa dell'organizzazione tra le zone di destinazione. Tuttavia, altri elementi, quali la configurazione della rete, i meccanismi di deployment e i criteri a livello di cartella, possono variare.
Elementi di una zona di destinazione
Una zona di destinazione richiede la progettazione dei seguenti elementi principali su Google Cloud:
Oltre a questi elementi principali, la tua attività potrebbe avere altri requisiti. La seguente tabella descrive questi elementi e dove puoi trovare ulteriori informazioni in merito.
| Elemento della zona di destinazione | Descrizione |
|---|---|
| Monitoraggio e logging |
Progetta una strategia di monitoraggio e logging che aiuti a garantire che tutti i dati pertinenti vengano registrati e che disponi di dashboard che visualizzano i dati e avvisi che segnalano eventuali eccezioni attuabili.
Per ulteriori informazioni, consulta quanto segue: |
| Backup e ripristino di emergenza |
Progetta una strategia per backup e ripristino di emergenza.
Per ulteriori informazioni, consulta quanto segue: |
| Conformità |
Segui i framework di conformità pertinenti per la tua organizzazione. Per ulteriori informazioni, consulta il Centro risorse per la conformità. |
| Efficienza e controllo dei costi |
Progetta funzionalità per monitorare e ottimizzare i costi dei carichi di lavoro nella tua zona di destinazione.
Per ulteriori informazioni, consulta quanto segue: |
| Gestione delle API | Progetta una soluzione scalabile per le API che sviluppi. Per ulteriori informazioni, consulta Gestione delle API Apigee. |
| Gestione dei cluster |
Progettare cluster Google Kubernetes Engine (GKE) che seguono le best practice per creare servizi scalabili, resilienti e osservabili. Per ulteriori informazioni, consulta le seguenti risorse: |
Best practice per la progettazione e il deployment di una zona di destinazione
La progettazione e il deployment di una zona di destinazione richiede una pianificazione. Devi disporre del team giusto per eseguire le attività e utilizzare un processo di gestione dei progetti. Ti consigliamo inoltre di seguire le best practice tecniche descritte in questa serie.
Crea un team
Riunisci un team composto da persone appartenenti a più funzioni tecniche all'interno dell'organizzazione. Il team deve includere persone in grado di creare tutti gli elementi delle zone di destinazione, tra cui sicurezza, identità, reti e operazioni. Identifica un professionista cloud che conosce Google Cloud per guidare il team. Il team deve includere membri che gestiscono il progetto e monitorano i risultati e i membri che collaborano con i proprietari dell'applicazione o delle attività.
Assicurati che tutti gli stakeholder siano coinvolti fin dalle prime fasi del processo. I tuoi stakeholder devono raggiungere una comprensione comune dell'ambito del processo e prendere decisioni di alto livello quando il progetto viene avviato.
Applica la gestione dei progetti al deployment della zona di destinazione
La progettazione e il deployment della zona di destinazione può richiedere più settimane, per cui la gestione dei progetti è essenziale. Assicurati che gli obiettivi del progetto siano definiti e comunicati in modo chiaro a tutti gli stakeholder e che tutte le parti ricevano aggiornamenti su qualsiasi modifica al progetto. Definire punti di controllo regolari e concordare gli obiettivi con tempistiche realistiche che tengano conto dei processi operativi e dei ritardi imprevisti.
Per allinearti al meglio ai requisiti aziendali, pianifica il deployment iniziale della zona di destinazione in base ai casi d'uso di cui vuoi eseguire il deployment prima in Google Cloud. Ti consigliamo di eseguire prima il deployment dei carichi di lavoro eseguibili nel modo più semplice su Google Cloud, ad esempio le applicazioni web multilivello con scalabilità orizzontale. Questi carichi di lavoro potrebbero essere carichi di lavoro nuovi o esistenti. Per valutare i carichi di lavoro esistenti per l'idoneità alla migrazione, consulta Introduzione alla migrazione a Google Cloud.
Poiché le zone di destinazione sono modulari, centra il progetto iniziale sugli elementi necessari per la migrazione dei primi carichi di lavoro e pianifica l'aggiunta di altri elementi in un secondo momento.
Segui le best practice tecniche
Prendi in considerazione l'utilizzo di Infrastructure as Code (IaC) con, ad esempio, Terraform. IaC consente di rendere il deployment ripetibile e modulare. Avere una pipeline CI/CD che esegue il deployment delle modifiche dell'infrastruttura cloud utilizzando GitHub aiuta a garantire di seguire le linee guida interne e di applicare i giusti controlli.
Quando progetti la tua zona di destinazione, assicurati di prendere in considerazione le best practice tecniche da parte tua e del tuo team. Per ulteriori informazioni sulle decisioni da prendere nella tua zona di destinazione, consulta le altre guide di questa serie.
Oltre a questa serie, la seguente tabella descrive framework, guide e progetti che possono anche aiutarti a seguire le best practice in base ai casi d'uso.
| Documentazione correlata | Descrizione |
|---|---|
| Elenco di controllo per la configurazione di Google Cloud | Elenco di controllo di alto livello che ti aiuta a configurare Google Cloud per carichi di lavoro aziendali scalabili e pronti per la produzione. |
| Progetto della piattaforma di sicurezza | Una visione guidata delle best practice di sicurezza di Google Cloud, rivolta a CISO, professionisti della sicurezza, gestori del rischio o responsabili della conformità. |
| Framework dell'architettura di Google Cloud | Suggerimenti e best practice per aiutare architect, sviluppatori, amministratori e altri professionisti del cloud a progettare e gestire una topologia cloud sicura, efficiente, resiliente, ad alte prestazioni ed economica. |
| Progetti Terraform | Un elenco di progetti e moduli pacchettizzati come moduli Terraform, che puoi utilizzare per creare risorse per Google Cloud. |
Identifica le risorse per implementare la tua zona di destinazione
Google Cloud offre le seguenti opzioni per aiutarti a configurare la tua zona di destinazione:
- Progetta ed esegui il deployment di una zona di destinazione personalizzata in base alle tue esigenze con i partner Google Cloud o con i servizi professionali Google Cloud.
- Onboarding di un carico di lavoro, con il programma di onboarding dei clienti Google Cloud.
- Esegui il deployment di una zona di destinazione generica con la guida alla configurazione nella console Google Cloud.
- Esegui il deployment di una zona di destinazione altamente riflessa in linea con il progetto delle piattaforme di sicurezza utilizzando la base di esempio Terraform.
Tutte queste offerte hanno approcci progettati specificamente per soddisfare le esigenze di diversi settori e dimensioni aziendali, in tutto il mondo. Per effettuare la selezione migliore per il tuo caso d'uso, ti consigliamo di collaborare con il team dedicato all'account Google Cloud per effettuare la selezione e contribuire al successo di un progetto.
Passaggi successivi
- Decidi come eseguire l'onboarding delle identità in Google Cloud (prossimo documento di questa serie).
- Decidi la gerarchia delle risorse per la tua zona di destinazione Google Cloud.
- Decidi il design della rete per la tua zona di destinazione Google Cloud.
- Decidi la sicurezza per la tua zona di destinazione Google Cloud.