Esegui la migrazione a Google Cloud: pianifica e crea le basi

Questo documento ti aiuta a creare l'infrastruttura cloud di base per i tuoi carichi di lavoro. Può anche aiutarti a pianificare in che modo questa infrastruttura supporta le tue applicazioni. Questa pianificazione include la gestione delle identità, l'organizzazione e la struttura del progetto e il networking.

Questo documento fa parte della seguente serie in più parti sulla migrazione a Google Cloud:

• Eseguire la migrazione a Google Cloud: inizia
• Esegui la migrazione a Google Cloud: valuta e scopri i tuoi carichi di lavoro
• Esegui la migrazione a Google Cloud: pianifica e crea le basi (questo documento)
• Eseguire la migrazione a Google Cloud: trasferire i set di dati di grandi dimensioni
• Eseguire la migrazione a Google Cloud: esegui il deployment dei carichi di lavoro
• Esegui la migrazione a Google Cloud: migrazione dai deployment manuali a quelli containerizzati e automatici
• Eseguire la migrazione a Google Cloud: ottimizzare l'ambiente
• Esegui la migrazione a Google Cloud: best practice per convalidare un piano di migrazione
• Esegui la migrazione a Google Cloud: riduci al minimo i costi

Il seguente diagramma illustra il percorso del tuo percorso di migrazione.

Questo documento è utile se stai pianificando una migrazione da un ambiente on-premise, da un ambiente di hosting privato o da un altro provider cloud a Google Cloud oppure se stai valutando la possibilità di eseguire la migrazione e vuoi capire come potrebbe essere. Questo documento ti aiuta a comprendere i prodotti disponibili e le decisioni che dovrai prendere per creare una base incentrata su un caso d'uso di migrazione.

Per le opzioni di implementazione predefinite, consulta:

• Elenco di controllo per la configurazione di Google Cloud
• Enterprise Foundations Blueprint

Per ulteriori best practice sulla progettazione della base, consulta:

• Design della zona di destinazione per progettare una base in modo generale.
• Framework dell'architettura per indicazioni sulle best practice per la progettazione del sistema.

Quando pianifichi la migrazione a Google Cloud, devi comprendere una serie di argomenti e concetti relativi all'architettura cloud. Una base pianificata male può causare ritardi, confusione e tempo di riposo della tua attività e mettere a rischio il successo della migrazione al cloud. Questa guida fornisce una panoramica dei concetti di base e dei punti di decisione di Google Cloud.

Ogni sezione di questo documento pone domande che devi porre e a cui devi rispondere per la tua organizzazione prima di creare le basi su Google Cloud. Queste domande non sono esaustive, ma hanno lo scopo di favorire una conversazione tra i team di architettura e la leadership aziendale su ciò che è giusto per la tua organizzazione. I tuoi piani per l'infrastruttura, gli strumenti, la sicurezza e la gestione dell'account sono unici per la tua attività e richiedono un'attenta considerazione. Quando avrai terminato questo documento e avrai risposto alle domande relative alla tua organizzazione, potrai iniziare la pianificazione formale della tua infrastruttura e dei tuoi servizi cloud che supportano la migrazione a Google Cloud.

Considerazioni aziendali

Valuta le seguenti domande per la tua organizzazione:

• Quali responsabilità IT potrebbero cambiare tra te e il tuo fornitore di infrastrutture quando passi a Google Cloud?
• Come puoi supportare o soddisfare le tue esigenze di conformità alle normative, ad esempio HIPAA o GDPR, durante e dopo la migrazione a Google Cloud?
• Come puoi controllare dove vengono archiviati ed elaborati i tuoi dati in base ai requisiti di residenza dei dati?

Modello di responsabilità condivisa

Le responsabilità condivise tra te e Google Cloud potrebbero essere diverse da quelle a cui sei abituato e devi comprenderne le implicazioni per la tua attività. Le procedure che hai implementato in precedenza per eseguire il provisioning, configurare e consumare risorse potrebbero cambiare.

Esamina i Termini di servizio e il modello di sicurezza di Google per una panoramica del rapporto contrattuale tra la tua organizzazione e Google, nonché delle implicazioni dell'utilizzo di un fornitore di cloud pubblico.

Conformità, sicurezza e privacy

Molte organizzazioni hanno requisiti di conformità relativi a standard, normative e certificazioni di settore e governative. Molti carichi di lavoro aziendali sono soggetti a controlli normativi e possono richiedere attestazioni di conformità da parte tua e del tuo provider cloud. Se la tua attività è regolamentata ai sensi di HIPAA o HITECH, assicurati di comprendere le tue responsabilità e quali servizi Google Cloud sono regolamentati. Per informazioni sulle certificazioni e sugli standard di conformità di Google Cloud, consulta il Centro risorse per la conformità. Per ulteriori informazioni sulle normative specifiche per regione o settore, consulta Google Cloud e il Regolamento generale sulla protezione dei dati (GDPR).

Fiducia e sicurezza sono importanti per ogni organizzazione. Google Cloud implementa un modello di sicurezza condiviso per molti servizi.

I principi di fiducia di Google Cloud possono aiutarti a comprendere il nostro impegno a proteggere la privacy dei tuoi dati e dei dati dei tuoi clienti. Per ulteriori informazioni sull'approccio di progettazione di Google per la sicurezza e la privacy, leggi la panoramica sulla progettazione della sicurezza per l'infrastruttura Google.

Considerazioni sulla residenza dei dati

Anche la geografia può essere un fattore importante per la conformità. Assicurati di conoscere i requisiti di residenza dei dati e di implementare criteri per il deployment dei carichi di lavoro in nuove regioni per controllare dove vengono archiviati ed elaborati i tuoi dati. Scopri come utilizzare limitazioni della posizione delle risorse per assicurarti che i carichi di lavoro possano essere implementati solo in regioni preapprovate. Devi tenere conto della regionalità dei diversi servizi Google Cloud quando scegli la destinazione di deployment per i tuoi carichi di lavoro. Assicurati di conoscere i requisiti di conformità alle normative e come implementare una strategia di governance che ti aiuti a garantire la conformità.

Gerarchia delle risorse

Valuta le seguenti domande per la tua organizzazione:

• Come vengono mappate le tue strutture aziendali e organizzative esistenti su Google Cloud?
• Con quale frequenza prevedi modifiche alla gerarchia delle risorse?
• In che modo le quote del progetto influiscono sulla tua capacità di creare risorse nel cloud?
• Come puoi incorporare i tuoi deployment cloud esistenti con i carichi di lavoro sottoposti a migrazione?
• Quali sono le best practice per gestire più team che lavorano contemporaneamente su più progetti Google Cloud?

I tuoi attuali processi aziendali, le linee di comunicazione e la struttura dei report si riflettono nel design della gerarchia delle risorse di Google Cloud. La gerarchia delle risorse fornisce la struttura necessaria al tuo ambiente cloud, determina il modo in cui ti viene addebitato il consumo delle risorse e stabilisce un modello di sicurezza per la concessione di ruoli e autorizzazioni. Devi comprendere come queste sfaccettature sono implementate nella tua attività al momento e pianificare come eseguire la migrazione di questi processi in Google Cloud.

Informazioni sulle risorse Google Cloud

Le risorse sono i componenti fondamentali di tutti i servizi Google Cloud. La risorsa organizzazione è il vertice della gerarchia delle risorse Google Cloud. Tutte le risorse che appartengono a un'organizzazione sono raggruppate nel nodo dell'organizzazione. Questa struttura fornisce visibilità e controllo centralizzati su ogni risorsa che appartiene a un'organizzazione.

Un'organizzazione può contenere una o più cartelle, e ogni cartella può contenere uno o più progetti. Puoi utilizzare le cartelle per raggruppare i progetti correlati.

I progetti Google Cloud contengono risorse di servizio come Compute Engine macchine virtuali (VM), Pub/Sub argomenti, Cloud Storage bucket, Cloud VPN endpoint e altri servizi Google Cloud. Puoi creare risorse utilizzando la console Google Cloud, Cloud Shell o le API Cloud. Se prevedi modifiche frequenti al tuo ambiente, valuta la possibilità di adottare un approccio Infrastructure as a Code (IaC) per semplificare la gestione delle risorse.

Gestire i progetti Google Cloud

Per ulteriori informazioni sulla pianificazione e sulla gestione della gerarchia delle risorse Google Cloud, consulta Decidere una gerarchia delle risorse per la zona di destinazione Google Cloud. Se utilizzi già Google Cloud e hai creato progetti indipendenti come test o proof of concept, puoi eseguire la migrazione dei progetti Google Cloud esistenti nella tua organizzazione.

Identity and Access Management

Valuta le seguenti domande per la tua organizzazione:

• Chi controllerà, amministrerà e controllerà l'accesso alle risorse Google Cloud?
• In che modo i tuoi criteri di sicurezza e accesso esistenti cambieranno quando passerai a Google Cloud?
• In che modo consentirai in modo sicuro ai tuoi utenti e alle tue app di interagire con i servizi Google Cloud?

Identity and Access Management (IAM) ti consente di concedere l'accesso granulare alle risorse Google Cloud. Cloud Identity è un servizio separato, ma correlato, che può aiutarti a eseguire la migrazione e gestire le tue identità. A un livello generale, comprendere come vuoi gestire l'accesso alle tue risorse Google Cloud costituisce la base per il provisioning, la configurazione e la manutenzione di IAM.

Informazioni sulle identità

Google Cloud utilizza identità per l'autenticazione e la gestione degli accessi. Per accedere a qualsiasi risorsa Google Cloud, un membro della tua organizzazione deve avere un'identità che Google Cloud possa comprendere. Cloud Identity è una piattaforma Identity as a Service (IDaaS) che consente di gestire centralmente gli utenti e i gruppi che possono accedere alle risorse Google Cloud. Configurando gli utenti in Cloud Identity, puoi configurare il Single Sign-On (SSO) con migliaia di applicazioni Software as a Service (SaaS) di terze parti. Il modo in cui configuri Cloud Identity dipende dal modo in cui gestisci le identità.

Per ulteriori informazioni sulle opzioni di provisioning delle identità per Google Cloud, consulta Decidere come eseguire l'onboarding delle identità in Google Cloud.

Informazioni sulla gestione degli accessi

Il modello per la gestione dell'accesso è costituito da quattro concetti fondamentali:

• Principale: può essere un Account Google (per gli utenti finali), un account di servizio (per i prodotti Google Cloud), un gruppo Google o un account Google Workspace o Cloud Identity che può accedere a una risorsa. Le entità principali non possono eseguire azioni che non sono autorizzate a svolgere.
• Ruolo: una raccolta di autorizzazioni.
• Autorizzazione: determina quali operazioni sono consentite su una risorsa. Se concedi un ruolo a un'entità, concedi tutte le autorizzazioni incluse nel ruolo.
• Criterio di autorizzazione IAM: Associa un insieme di entità a un ruolo. Quando vuoi definire le entità che hanno accesso a una risorsa, crea un criterio e associalo alla risorsa.

La configurazione corretta e la gestione efficace di entità, ruoli e autorizzazioni costituiscono la spina dorsale della tua strategia di sicurezza in Google Cloud. La gestione dell'accesso ti aiuta a proteggerti da usi impropri interni e da tentativi esterni di accesso non autorizzato alle tue risorse.

Informazioni sull'accesso alle applicazioni

Oltre agli utenti e ai gruppi, esiste un altro tipo di identità noto come account di servizio. Un account di servizio è un'identità che i tuoi programmi e servizi possono utilizzare per autenticarti e ottenere l'accesso alle risorse Google Cloud.

Gli account di servizio gestiti dall'utente includono gli account di servizio che crei e gestisci esplicitamente utilizzando IAM e l'account di servizio predefinito di Compute Engine integrato in tutti i progetti Google Cloud. Gli agenti di servizio vengono creati automaticamente ed eseguono i processi interni di Google per tuo conto.

Quando utilizzi gli account di servizio, è importante comprendere le credenziali predefinite dell'applicazione e seguire le nostre best practice consigliate per gli account di servizio per evitare di esporre le tue risorse a rischi ingiustificati. I rischi più comuni riguardano escalation dei privilegi o l'eliminazione accidentale di un account di servizio su cui si basa un'applicazione critica.

Segui le best practice

Per ulteriori informazioni sulle best practice per gestire in modo efficace l'identità e l'accesso, consulta Gestire l'identità e l'accesso.

Fatturazione

Il modo in cui paghi le risorse Google Cloud che utilizzi è un aspetto importante per la tua attività e una parte fondamentale del tuo rapporto con Google Cloud. Puoi gestire la fatturazione nella console Google Cloud con Fatturazione Cloud, insieme al resto del tuo ambiente cloud.

I concetti di gerarchia delle risorse e fatturazione sono strettamente correlati, pertanto è fondamentale che tu e gli stakeholder della tua attività li comprendiate.

Per ulteriori informazioni su best practice, strumenti e tecniche per aiutarti a monitorare e controllare i costi, consulta la pagina Ottimizzazione dei costi.

Connettività e reti

Per ulteriori informazioni sulla progettazione della rete su Google Cloud, consulta:

• Decidi la progettazione di rete per la tua zona di destinazione Google Cloud.
• Implementa il design di rete della tua zona di destinazione Google Cloud.

Se l'ambiente di origine si trova in un altro provider di servizi cloud, potresti dover collegarlo al tuo ambiente Google Cloud. Per ulteriori informazioni, consulta Modelli per collegare altri fornitori di servizi cloud a Google Cloud.

Quando esegui la migrazione di dati e carichi di lavoro di produzione a Google Cloud, ti consigliamo di valutare in che modo la disponibilità della soluzione di connettività può influire sul buon esito della migrazione. Ad esempio, Cloud Interconnect supporta gli SLA a livello di produzione se lo esegui il provisioning in base a topologie specifiche.

Quando esegui la migrazione dei dati dall'ambiente di origine all'ambiente Google Cloud, devi modificare l'unità di trasmissione massima (MTU) per tenere conto del sovraccarico del protocollo. In questo modo, contribuisci a garantire che i dati vengano trasferiti in modo efficiente e accurato. Questo aggiustamento può anche contribuire a evitare i ritardi causati dalla frammentazione dei dati e dai problemi di prestazioni della rete. Ad esempio, se utilizzi Cloud VPN per collegare l'ambiente di origine all'ambiente Google Cloud, potresti dover configurare l'MTU su un valore inferiore per supportare il sovraccarico del protocollo VPN in ogni unità di trasmissione.

Per aiutarti a evitare problemi di connettività durante la migrazione a Google Cloud, ti consigliamo di:

• Assicurati che i record DNS vengano risolti nell'ambiente di origine e nel tuo ambiente Google Cloud.
• Assicurati che le route di rete tra l'ambiente di origine e il tuo ambiente Google Cloud si propaghino correttamente tra gli ambienti.

Se devi eseguire il provisioning e utilizzare i tuoi indirizzi IPv4 pubblici nelle tue VPC, consulta Porta il tuo indirizzo IP.

Informazioni sulle opzioni DNS

Cloud DNS può fungere da server DNS (Domain Name System) pubblico. Per saperne di più su come implementare Cloud DNS, consulta le best practice di Cloud DNS.

Se devi personalizzare la modalità di risposta di Cloud DNS alle query in base alla loro origine o destinazione, consulta la panoramica dei criteri DNS. Ad esempio, puoi configurare Cloud DNS in modo che inoltri le query ai tuoi server DNS esistenti oppure puoi ignorare le risposte DNS private in base al nome della query.

Un servizio separato, ma simile, chiamato DNS interno, è incluso nel tuo VPC. Anziché eseguire manualmente la migrazione e la configurazione dei tuoi server DNS, puoi utilizzare il servizio DNS interno per la tua rete privata. Per ulteriori informazioni, consulta la Panoramica del DNS interno.

Informazioni sul trasferimento dei dati

La gestione e la determinazione del prezzo della rete on-premise sono diverse in modo sostanziale rispetto alla rete cloud. Quando gestisci un data center o una struttura di collocamento, l'installazione di router, switch e cablaggio richiede una spesa in conto capitale fissa e anticipata. Nel cloud, ti viene addebitato il trasferimento dei dati anziché il costo fisso dell'installazione dell'hardware, oltre al costo continuo della manutenzione. Pianifica e gestisci con precisione i costi di trasferimento dei dati nel cloud conoscendoli.

Quando pianifichi la gestione del traffico, ti vengono addebitati tre tipi di costi:

• Traffico in entrata: traffico di rete che entra nel tuo ambiente Google Cloud da località esterne. Queste località possono provenire dalla rete internet pubblica, da località on-premise o da altri ambienti cloud. Ingress è gratuito per la maggior parte dei servizi su Google Cloud. Alcuni servizi che si occupano della gestione del traffico in entrata su internet, come Cloud Load Balancing, Cloud CDN e Google Cloud Armor, vengono addebitati in base alla quantità di traffico in entrata gestita.
• Traffico in uscita: il traffico di rete che esce dall'ambiente Google Cloud in qualsiasi modo. Gli addebiti in uscita si applicano a molti servizi Google Cloud, tra cui Compute Engine, Cloud Storage, Cloud SQL e Cloud Interconnect.
• Traffico regionale e zonale: il traffico di rete che attraversa i confini regionali o zonali in Google Cloud può essere soggetto anche a costi di larghezza di banda. Questi addebiti possono influire sul modo in cui scegli di progettare le tue applicazioni per il ripristino di emergenza e l'alta disponibilità. Analogamente agli addebiti in uscita, gli addebiti per il traffico tra regioni e tra zone si applicano a molti servizi Google Cloud e sono importanti da considerare durante la pianificazione dell'alta disponibilità e del ripristino di emergenza. Ad esempio, l'invio di traffico a una replica del database in un'altra zona è soggetto a costi per il traffico tra zone.

Automatizza e controlla la configurazione della rete

In Google Cloud, il livello di rete fisico è virtualizzato e puoi eseguire il deployment e la configurazione della rete utilizzando la networking software-defined (SDN). Per assicurarti che la rete sia configurata in modo coerente e ripetibile, devi capire come eseguire il deployment e il teardown automatici degli ambienti. Puoi utilizzare strumenti IaC, come Terraform.

Sicurezza

Il modo in cui gestisci e mantieni la sicurezza dei tuoi sistemi in Google Cloud e gli strumenti che utilizzi sono diversi rispetto alla gestione di un'infrastruttura on-premise. Il tuo approccio cambierà ed evolverà nel tempo per adattarsi a nuove minacce, nuovi prodotti e modelli di sicurezza migliorati.

Le responsabilità che condividi con Google potrebbero essere diverse da quelle del tuo fornitore attuale e comprendere queste modifiche è fondamentale per garantire la sicurezza e la conformità continua dei tuoi carichi di lavoro. La conformità normativa e la sicurezza solida e verificabile sono spesso intrecciate e devono iniziare con pratiche di gestione e supervisione efficaci, implementazione coerente delle best practice di Google Cloud e monitoraggio e rilevamento attivo delle minacce.

Per ulteriori informazioni sulla progettazione di un ambiente sicuro su Google Cloud, consulta Decidere la sicurezza per la tua zona di destinazione Google Cloud.

Monitoraggio, avvisi e logging

Per ulteriori informazioni sulla configurazione di monitoraggio, avvisi e logging, consulta:

• Aggregare centralmente i log di controllo
• Esamina le best practice per proteggere l'accesso ai log sensibili

Governance

Valuta le seguenti domande per la tua organizzazione:

• Come puoi assicurarti che i tuoi utenti supportino e soddisfino le loro esigenze di conformità e li allineino alle norme della tua attività?
• Quali strategie sono disponibili per gestire e organizzare gli utenti e le risorse di Google Cloud?

Una governance efficace è fondamentale per contribuire a garantire l'affidabilità, la sicurezza e la manutenibilità delle risorse in Google Cloud. Come in qualsiasi sistema, l'entropia aumenta naturalmente nel tempo e, se non viene controllata, può portare a un'espansione incontrollata del cloud e ad altri problemi di manutenibilità. Senza una governance efficace, l'accumulo di queste sfide può influire sulla tua capacità di raggiungere gli obiettivi commerciali e ridurre i rischi. La pianificazione e l'applicazione disciplinate di standard relativi a convenzioni di denominazione, strategie di etichettatura, controlli di accesso, controlli dei costi e livelli di servizio sono un componente importante della strategia di migrazione al cloud. In termini più ampi, l'esercizio di sviluppo di una strategia di governance crea un allineamento tra gli stakeholder e la leadership aziendale.

Supportare la conformità continua

Per contribuire a supportare la conformità delle risorse Google Cloud a livello di organizzazione, ti consigliamo di stabilire una strategia di denominazione e raggruppamento delle risorse coerente. Google Cloud offre diversi metodi per annotare e applicare i criteri alle risorse:

• I contrassegni di sicurezza ti consentono di classificare le risorse per fornire approfondimenti sulla sicurezza da Security Command Center e per applicare i criteri a gruppi di risorse.
• Le Etichette possono monitorare la spesa per le risorse in Fatturazione Cloud e fornire approfondimenti aggiuntivi in Cloud Logging.
• I tag per i firewall ti consentono di definire origini e destinazioni nei criteri firewall di rete globali e regionali.

Per ulteriori informazioni, consulta Risk and Compliance as Code.

Passaggi successivi

• Scopri come implementare una base sicura in Google Cloud.
• Continua la migrazione al cloud ed esplora il trasferimento dei dati in Google Cloud.
• Scopri quando richiedere assistenza per le migrazioni.
• Per altre architetture di riferimento, diagrammi e best practice, visita il Cloud Architecture Center.

Collaboratori

Autori:

• Marco Ferrari | Cloud Solutions Architect
• Travis Webb | Solution Architect