Migrer vers Google Cloud : établir une fondation

Last reviewed 2023-06-07 UTC

Ce document vous permet de créer l'infrastructure cloud de base pour vos charges de travail. Il peut également vous aider à planifier la façon dont cette infrastructure gère vos applications. Cette planification inclut la gestion des identités, la structure de l'organisation et des projets, ainsi que la mise en réseau.

Ce document fait partie d'une série d'articles sur la migration vers Google Cloud :

Le diagramme suivant illustre le parcours de votre migration.

Chemin de migration en quatre phases

Ce document est utile si vous planifiez une migration vers Google Cloud depuis un environnement sur site, un environnement d'hébergement privé ou un autre fournisseur cloud, ou si vous souhaitez évaluer une migration potentielle afin de découvrir en quoi elle pourrait consister. Ce document vous aide à comprendre les produits disponibles et les décisions que vous prendrez pour créer une fondation axée sur un cas d'utilisation de migration.

Pour connaître les options prédéfinies pouvant être mises en œuvre, consultez les documents suivants :

Pour obtenir d'autres conseils sur les bonnes pratiques de conception de votre fondation, consultez les documents suivants :

Lors de la planification d'une migration vers Google Cloud, vous devez assimiler un large éventail de sujets et de concepts liés à l'architecture cloud. Des fondations mal planifiées peuvent entraîner des retards, de la confusion et des temps d'arrêt au sein de votre entreprise, et ainsi compromettre le succès de votre migration vers le cloud. Ce guide offre un aperçu des concepts et des points de décision fondamentaux de Google Cloud.

Chaque section du document aborde des questions concernant votre organisation, que vous devez vous poser et auxquelles vous devez répondre, avant d'établir vos fondations sur Google Cloud. Ces questions ne sont pas exhaustives. Elles ont pour objectif de faciliter les échanges entre vos équipes responsables de l'architecture et les dirigeants de votre entreprise, sur ce qui sera le plus bénéfique à votre organisation. Vos plans pour l'infrastructure, les outils, la sécurité et la gestion des comptes sont propres à votre entreprise et nécessitent une réflexion approfondie. Après avoir lu ce document et répondu aux questions concernant votre organisation, vous serez prêt à commencer la planification formelle de votre infrastructure cloud et des services compatibles avec votre migration vers Google Cloud.

Points à prendre en compte concernant l'entreprise

Réfléchissez aux questions suivantes pour votre organisation :

  • Parmi les responsabilités informatiques incombant à votre entreprise et à votre fournisseur d'infrastructure, quelles sont celles susceptibles d'évoluer en passant à Google Cloud ?
  • Comment pouvez-vous atteindre la conformité réglementaire dans le cadre de votre activité (par exemple, HIPAA ou RGPD) et la conserver, pendant et après votre migration vers Google Cloud ?
  • Comment pouvez-vous contrôler l'emplacement où vos données sont stockées et traitées, conformément à vos exigences de résidence des données ?

Modèle de responsabilité partagée

Les responsabilités partagées entre vous et Google Cloud peuvent être différentes de celles auxquelles vous êtes habitué, et vous devez comprendre leurs implications pour votre entreprise. Les processus que vous avez précédemment mis en œuvre pour provisionner, configurer et consommer des ressources sont susceptibles d'évoluer.

Consultez les conditions d'utilisation et le modèle de sécurité Google pour obtenir un aperçu de la relation contractuelle entre votre organisation et Google, et ce qu'implique le fait de recourir à un fournisseur de cloud public.

Conformité, sécurité et confidentialité

De nombreuses organisations doivent répondre à des exigences de conformité concernant les normes, réglementations et certifications industrielles et gouvernementales. De nombreuses charges de travail d'entreprise sont soumises à une surveillance réglementaire, et peuvent nécessiter des attestations de conformité de votre part et de celle de votre fournisseur cloud. Si votre entreprise doit se conformer à la loi HIPAA ou HITECH, assurez-vous que vous connaissez vos responsabilités et les services Google Cloud concernés par ces réglementations. Pour en savoir plus sur les certifications et les normes de conformité de Google Cloud, consultez le Centre de ressources pour la conformité. Pour en savoir plus sur les réglementations propres à une région ou à un secteur, consultez la page Google Cloud et le Règlement général sur la protection des données (RGPD).

La confiance et la sécurité sont importantes pour chaque organisation. Google Cloud met en œuvre un modèle de sécurité partagé pour de nombreux services.

Les principes de confiance de Google Cloud peuvent vous aider à comprendre notre engagement dans la protection de la confidentialité de vos données et de celles de vos clients. Pour en savoir plus sur la façon dont Google aborde la sécurité et la confidentialité lors de ses processus de conception, consultez la page Présentation de la sécurité sur l'infrastructure de Google.

Points à prendre en compte concernant la résidence des données

La zone géographique peut également être un aspect important à prendre en compte. Assurez-vous de bien connaître vos exigences de résidence des données et de mettre en œuvre des règles visant à déployer des charges de travail dans de nouvelles régions, afin de contrôler l'emplacement où vos données sont stockées et traitées. Découvrez comment utiliser les contraintes d'emplacement des ressources pour vous assurer que vos charges de travail ne peuvent être déployées que dans des régions pré-approuvées. Vous devez tenir compte de la régionalité des différents services Google Cloud lorsque vous choisissez la cible de déploiement pour vos charges de travail. Assurez-vous de bien connaître vos exigences de conformité réglementaire, et que vous savez comment mettre en œuvre une stratégie de gouvernance qui vous aide à garantir cette conformité.

Hiérarchie des ressources

Réfléchissez aux questions suivantes pour votre organisation :

  • Comment vos structures commerciales et organisationnelles existantes vont-elles être associées à Google Cloud ?
  • À quelle fréquence la hiérarchie de vos ressources risque-t-elle selon vous d'évoluer ?
  • Quelle incidence les quotas de projet ont-ils sur votre capacité à créer des ressources dans le cloud ?
  • Comment pouvez-vous intégrer vos déploiements cloud existants à vos charges de travail migrées ?
  • Quelles sont les bonnes pratiques pour gérer plusieurs équipes travaillant simultanément sur plusieurs projets Google Cloud ?

La conception de votre hiérarchie de ressources Google Cloud va refléter vos processus métier, vos lignes de communication et votre structure de création de rapports actuels. La hiérarchie des ressources fournit la structure nécessaire à votre environnement cloud, détermine la manière dont vous êtes facturé pour la consommation des ressources et établit un modèle de sécurité pour l'attribution de rôles et d'autorisations. Vous devez comprendre comment ces différents aspects sont mis en œuvre dans votre entreprise à l'heure actuelle et planifier la migration de ces processus vers Google Cloud.

Connaître les ressources Google Cloud

Les ressources sont les composants fondamentaux sur lesquels reposent tous les services Google Cloud. La ressource Organisation constitue le sommet de la hiérarchie des ressources Google Cloud. Toutes les ressources qui appartiennent à une organisation sont regroupées sous un nœud d'organisation. Cette structure offre une visibilité et un contrôle centralisés sur chaque ressource appartenant à une organisation.

Une organisation peut contenir un ou plusieurs dossiers, et chaque dossier peut contenir un ou plusieurs projets. Vous pouvez utiliser des dossiers pour regrouper des projets associés.

Les projets Google Cloud contiennent des ressources de service telles que des machines virtuelles (VM) Compute Engine, des sujets Pub/Sub, des buckets Cloud Storage, des points de terminaison Cloud VPN et d'autres services Google Cloud. Vous pouvez créer des ressources à l'aide de la console Google Cloud, de Cloud Shell ou des API Cloud. Si vous prévoyez des changements fréquents dans votre environnement, envisagez d'adopter une approche IaC (Infrastructure as Code, infrastructure en tant que code) pour optimiser la gestion des ressources.

Gérer vos projets Google Cloud

Pour en savoir plus sur la planification et la gestion de votre hiérarchie de ressources Google Cloud, consultez la page Choisir une hiérarchie de ressources pour votre zone de destination Google Cloud. Si vous travaillez déjà dans Google Cloud, et que vous avez créé des projets indépendants en tant que tests ou démonstrations de faisabilité, vous pouvez migrer des projets Google Cloud existants dans votre organisation.

Identity and Access Management

Réfléchissez aux questions suivantes pour votre organisation :

  • Qui sera chargé de contrôler, d'administrer et d'auditer l'accès aux ressources Google Cloud ?
  • Comment vos règles de sécurité et d'accès existantes vont-elles évoluer lorsque vous passerez à Google Cloud ?
  • Comment allez-vous autoriser en toute sécurité vos utilisateurs et applications à interagir avec les services Google Cloud ?

La gestion de l'authentification et des accès (IAM) vous permet d'accorder un accès précis aux ressources Google Cloud. Cloud Identity est un service distinct, mais associé à Cloud IAM. Il peut vous aider à migrer et à gérer vos identités. De manière générale, savoir comment vous souhaitez gérer l'accès à vos ressources Google Cloud constitue la base du provisionnement, de la configuration et de la gestion d'IAM.

Comprendre les identités

Google Cloud utilise des identités pour la gestion de l'authentification et des accès. L'accès à une ressource Google Cloud, quelle qu'elle soit, par un membre de votre organisation, suppose que celui-ci dispose d'une identité que Google Cloud peut comprendre. Cloud Identity est une plate-forme IDaaS (Identity as a Service, identité en tant que service) vous permettant de gérer de manière centralisée les utilisateurs et les groupes qui peuvent accéder aux ressources Google Cloud. En configurant vos utilisateurs dans Cloud Identity, vous pouvez configurer l'authentification unique (SSO, Single Sign-On) avec des milliers d'applications tierces SaaS (Software as a Service, logiciel en tant que service). La façon dont vous configurez Cloud Identity dépend de celle dont vous gérez actuellement les identités.

Pour en savoir plus sur les options de provisionnement d'identité pour Google Cloud, consultez la page Choisir comment intégrer les identités à Google Cloud.

Comprendre la gestion des accès

Le modèle de gestion des accès se compose de quatre concepts fondamentaux :

  • Compte principal : peut être un compte Google (pour les utilisateurs finaux), un compte de service (pour les produits Google Cloud), un groupe Google, ou un compte Google Workspace ou Cloud Identity pouvant accéder à une ressource. Les comptes principaux ne peuvent pas effectuer une action qu'ils ne sont pas autorisés à accomplir.
  • Rôle : correspond à une collection d'autorisations.
  • Autorisation : détermine les opérations qui sont autorisées sur une ressource. Lorsque vous attribuez un rôle à un compte principal, vous lui accordez toutes les autorisations contenues dans ce rôle.
  • Stratégie d'autorisation IAM : lie un ensemble de comptes principaux à un rôle. Lorsque vous souhaitez définir les comptes principaux qui ont accès à une ressource, vous devez créer une stratégie et l'associer à la ressource.

Une configuration appropriée et une gestion efficace des comptes principaux, des rôles et des autorisations constituent le pilier de votre stratégie de sécurité dans Google Cloud. La gestion des accès vous protège de toute utilisation abusive en interne, ainsi que des tentatives externes d'accès non autorisé à vos ressources.

Comprendre les accès aux applications

En plus des utilisateurs et des groupes, il existe un autre type d'identité appelé compte de service. Un compte de service est une identité que vos programmes et services peuvent utiliser pour s'authentifier et accéder aux ressources Google Cloud.

Les comptes de service gérés par l'utilisateur incluent les comptes de service que vous créez et gérez explicitement à l'aide de IAM, ainsi que le compte de service Compute Engine par défaut intégré à tous les projets Google Cloud. Les agents de service sont créés automatiquement et exécutent des processus Google internes en votre nom.

Lorsque vous utilisez des comptes de service, il est important de comprendre le concept d'identifiants par défaut de l'application et de suivre nos bonnes pratiques concernant les comptes de service pour éviter d'exposer vos ressources à des risques inutiles. Les risques les plus courants impliquent une élévation de privilèges ou la suppression accidentelle d'un compte de service sur lequel repose une application essentielle.

Appliquer les bonnes pratiques

Pour en savoir plus sur les bonnes pratiques de gestion efficace des identités et des accès, consultez la page Gérer l'identité et l'accès.

Facturation

La façon dont vous vous acquittez des ressources Google Cloud que vous consommez est un élément important à prendre en compte pour votre entreprise et une part essentielle de votre relation avec Google Cloud. Comme pour le reste de votre environnement cloud, vous pouvez gérer la facturation depuis la console Google Cloud, à l'aide de Cloud Billing.

Les concepts de hiérarchie des ressources et de facturation sont étroitement liés. Il est donc essentiel que vous et vos partenaires commerciaux les compreniez bien.

Pour en savoir plus sur les bonnes pratiques, les outils et les techniques permettant de surveiller et de contrôler les coûts, consultez la page Surveiller et contrôler les coûts.

Connectivité et mise en réseau

Pour en savoir plus sur la conception de votre réseau sur Google Cloud, consultez les pages suivantes :

Si vous utilisez l'environnement source d'un autre fournisseur de services cloud, vous devrez peut-être le connecter à votre environnement Google Cloud. Pour en savoir plus, consultez la page Modèles pour la connexion d'autres fournisseurs de services cloud avec Google Cloud.

Lors de la migration des données et des charges de travail de production vers Google Cloud, nous vous recommandons de réfléchir à l'impact de la disponibilité de la solution de connectivité sur la réussite de votre migration. Par exemple, Cloud Interconnect est compatible avec le contrat de niveau de service en production si vous le provisionnez selon des topologies spécifiques.

Lors de la migration de données de votre environnement source vers votre environnement Google Cloud, vous devez ajuster l'unité de transmission maximale (MTU) pour prendre en compte la surcharge du protocole. Cela permet de garantir que les données seront transférées de manière efficace et précise. Cet ajustement peut également éviter les retards causés par la fragmentation des données et les problèmes de performances réseau. Par exemple, si vous utilisez Cloud VPN pour connecter votre environnement source à votre environnement Google Cloud, vous devrez peut-être configurer la MTU sur une valeur inférieure pour gérer la surcharge du protocole VPN dans chaque unité de transmission.

Pour vous aider à éviter les problèmes de connectivité lors de votre migration vers Google Cloud, nous vous recommandons d'effectuer les opérations suivantes :

  • Assurez-vous que les enregistrements DNS sont résolus dans l'environnement source et dans votre environnement Google Cloud.
  • Assurez-vous que les routes réseau entre l'environnement source et votre environnement Google Cloud se propagent correctement dans les différents environnements.

Si vous devez provisionner et utiliser vos propres adresses IPv4 publiques dans vos VPC, consultez la page Utiliser votre propre adresse IP.

Connaître les options DNS

Cloud DNS peut servir de serveur de système de noms de domaine (DNS) public. Pour en savoir plus sur la mise en œuvre de Cloud DNS, consultez la page Bonnes pratiques Cloud DNS.

Si vous devez personnaliser la manière dont Cloud DNS répond aux requêtes en fonction de leur source ou de leur destination, consultez la page Présentation des règles DNS. Par exemple, vous pouvez configurer Cloud DNS pour transférer des requêtes vers vos serveurs DNS existants, ou vous pouvez remplacer les réponses DNS privées en fonction du nom de la requête.

Votre VPC inclut un service distinct, mais similaire, appelé DNS interne. Au lieu de migrer et de configurer manuellement vos propres serveurs DNS, vous pouvez utiliser le service DNS interne de votre réseau privé. Pour en savoir plus, consultez la page de présentation du DNS interne.

Comprendre le transfert de données

La gestion et la facturation de l'infrastructure sur site sont fondamentalement différentes de celles des infrastructures cloud. Lorsque vous gérez votre propre centre de données ou bien une installation hébergée en colocation, vous devez prévoir des dépenses d'investissement initiales, d'un montant figé, pour installer des routeurs et des commutateurs, et tirer des câbles. Dans le cloud, vous êtes facturé pour le transfert de données plutôt que pour le coût fixe de l'installation du matériel, plus des frais continus liés à la maintenance. En comprenant les coûts de transfert de données, vous serez à même de les planifier et les gérer avec précision dans le cloud.

Lorsque vous planifiez la gestion du trafic, trois modes de facturation vous sont proposés :

  • Trafic entrant : trafic réseau qui entre dans votre environnement Google Cloud depuis des emplacements extérieurs. Ces emplacements peuvent correspondre à l'Internet public, à des emplacements sur site ou à d'autres environnements cloud. Le trafic entrant est gratuit pour la plupart des services sur Google Cloud. La facturation de certains services qui traitent de la gestion du trafic Internet, tels que Cloud Load Balancing, Cloud CDN et Google Cloud Armor, est basée sur le trafic entrant qu'ils gèrent.
  • Trafic sortant : trafic réseau qui quitte votre environnement Google Cloud de quelque façon que ce soit. La facturation du trafic sortant s'applique à de nombreux services Google Cloud, dont Compute Engine, Cloud Storage, Cloud SQL et Cloud Interconnect.
  • Trafic régional et zonal : le trafic réseau qui traverse les frontières régionales ou zonales de Google Cloud peut également être soumis à des frais d'utilisation de la bande passante. Ces frais peuvent avoir une incidence sur la façon dont vous décidez de concevoir vos applications pour la reprise après sinistre et la haute disponibilité. Comme pour la facturation du trafic sortant, les frais applicables au trafic entre plusieurs régions et entre plusieurs zones concernent de nombreux services Google Cloud. Ce sont des points importants à prendre en compte pour la planification de la haute disponibilité et de la reprise après sinistre. Par exemple, l'envoi de trafic vers une instance dupliquée de base de données située dans une autre zone est soumis à des frais de trafic entre zones.

Automatiser et contrôler la configuration de votre réseau

Dans Google Cloud, la couche réseau physique est virtualisée, et vous déployez et configurez votre réseau à l'aide du réseau défini par logiciel (SDN, Software-Defined Networking). Pour vous assurer que votre réseau est configuré de manière cohérente et reproductible, vous devez savoir comment déployer et supprimer automatiquement vos environnements. Vous pouvez utiliser des outils IaC, tels que Terraform.

Sécurité

La façon dont vous gérez et garantissez la sécurité de vos systèmes dans Google Cloud, ainsi que les outils que vous utilisez, est différente du mode de gestion d'une infrastructure sur site. Votre approche évoluera au fil du temps pour s'adapter à de nouvelles menaces, à de nouveaux produits et à des modèles de sécurité améliorés.

Les responsabilités que vous partagez avec Google peuvent être différentes de celles de votre fournisseur actuel. Il est essentiel de connaître ces différences pour garantir la sécurité et la conformité de vos charges de travail. Une stratégie de sécurité forte et vérifiable va souvent de pair avec une parfaite conformité réglementaire. Celles-ci passent en outre par de solides pratiques de gestion et de surveillance, une mise en œuvre cohérente des bonnes pratiques de Google Cloud, et la détection et la surveillance actives des menaces.

Pour plus d'informations sur la conception d'un environnement sécurisé sur Google Cloud, consultez la page Décider de la sécurité de votre zone de destination Google Cloud.

Surveillance, alertes et journalisation

Pour en savoir plus sur la configuration de la surveillance, des alertes et de la journalisation, consultez les pages suivantes :

Gouvernance

Réfléchissez aux questions suivantes pour votre organisation :

  • Comment pouvez-vous faire en sorte que vos utilisateurs remplissent leurs exigences de conformité, et aligner ces exigences sur les règles de votre entreprise ?
  • Quelles sont les stratégies disponibles pour gérer et organiser vos utilisateurs et vos ressources Google Cloud ?

Une gouvernance efficace est essentielle pour assurer la fiabilité, la sécurité et la gestion de vos ressources dans Google Cloud. Comme pour tout système, l'entropie augmente naturellement au fil du temps. Si elle n'est pas endiguée, elle peut entraîner une prolifération de votre environnement cloud et d'autres problèmes de gestion. Sans gouvernance efficace, l'accumulation de ces problèmes peut avoir une incidence sur votre capacité à atteindre vos objectifs stratégiques et à réduire les risques. La planification et l'application rigoureuses de normes liées aux conventions de nommage, aux stratégies d'ajout de libellés, aux contrôles des accès, au contrôle des coûts et aux niveaux de service constituent des éléments importants de votre stratégie de migration vers le cloud. Plus largement, l'élaboration d'une stratégie de gouvernance permet d'instaurer une unité entre les personnes concernées et les dirigeants de l'entreprise.

Garantir la conformité continue

Pour garantir la conformité de vos ressources Google Cloud à l'échelle de l'organisation, envisagez d'adopter une stratégie de nommage et de regroupement des ressources cohérente. Google Cloud propose plusieurs méthodes pour annoter les ressources et leur appliquer des règles :

  • Les marques de sécurité vous permettent de classer les ressources afin d'obtenir des informations de sécurité via Security Command Center, et d'appliquer des règles sur des groupes de ressources.
  • Les libellés permettent d'effectuer le suivi des dépenses liées à vos ressources dans Cloud Billing, et fournissent des informations supplémentaires dans Cloud Logging.
  • Les tags pour les pare-feu vous permettent de définir des sources et des cibles dans les règles de pare-feu réseau globales et dans les règles de pare-feu réseau régionales.

Pour en savoir plus, consultez la page Risk and compliance as code (Risques et conformité en tant que code).

Étapes suivantes