Migrer vers Google Cloud: planifier et établir vos fondations

Last reviewed 2024-07-31 UTC

Ce document vous permet de créer l'infrastructure cloud de base pour vos charges de travail. Il peut également vous aider à planifier la façon dont cette infrastructure gère vos applications. Cette planification inclut la gestion des identités, la structure de l'organisation et des projets, ainsi que la mise en réseau.

Ce document fait partie d'une série d'articles sur la migration versGoogle Cloud:

Le diagramme suivant illustre le parcours de votre migration.

Chemin de migration en quatre phases.

Ce document est utile si vous planifiez une migration depuis un environnement sur site, un environnement d'hébergement privé ou un autre fournisseur cloud versGoogle Cloud, ou si vous souhaitez évaluer une migration potentielle afin de découvrir en quoi elle pourrait consister. Ce document vous aide à comprendre les produits disponibles et les décisions que vous prendrez pour créer une fondation axée sur un cas d'utilisation de migration.

Pour connaître les options prédéfinies pouvant être mises en œuvre, consultez les documents suivants :

Pour obtenir d'autres conseils sur les bonnes pratiques de conception de votre fondation, consultez les documents suivants :

Lorsque vous planifiez votre migration vers Google Cloud, vous devez assimiler un large éventail de sujets et de concepts liés à l'architecture cloud. Des fondations mal planifiées peuvent entraîner des retards, de la confusion et des temps d'arrêt au sein de votre entreprise, et ainsi compromettre le succès de votre migration vers le cloud. Ce guide offre un aperçu des concepts et des points de décision fondamentaux de Google Cloud .

Chaque section de ce document aborde des questions que vous devez vous poser et auxquelles vous devez répondre, concernant votre organisation, avant d'établir vos fondations surGoogle Cloud. Ces questions ne sont pas exhaustives. Elles ont pour objectif de faciliter les échanges entre vos équipes responsables de l'architecture et les dirigeants de votre entreprise, sur ce qui sera le plus bénéfique à votre organisation. Vos plans pour l'infrastructure, les outils, la sécurité et la gestion des comptes sont propres à votre entreprise et nécessitent une réflexion approfondie. Après avoir lu ce document et répondu aux questions concernant votre organisation, vous serez prêt à commencer la planification formelle de votre infrastructure cloud et des services compatibles avec votre migration versGoogle Cloud.

Points à prendre en compte concernant l'entreprise

Réfléchissez aux questions suivantes pour votre organisation :

  • Quelles responsabilités IT peuvent évoluer entre vous et votre fournisseur d'infrastructure en passant à Google Cloud ?
  • Comment pouvez-vous atteindre la conformité réglementaire dans le cadre de votre activité (par exemple, HIPAA ou RGPD) et la conserver, pendant et après votre migration versGoogle Cloud ?
  • Comment pouvez-vous contrôler l'emplacement où vos données sont stockées et traitées, conformément à vos exigences de résidence des données ?

Modèle de responsabilité partagée

Les responsabilités partagées entre vous et Google Cloud peuvent être différentes de celles auxquelles vous êtes habitué, et vous devez comprendre leurs implications pour votre entreprise. Les processus que vous avez précédemment mis en œuvre pour provisionner, configurer et consommer des ressources sont susceptibles d'évoluer.

Consultez les conditions d'utilisation et le modèle de sécurité Google pour obtenir un aperçu de la relation contractuelle entre votre organisation et Google, et ce qu'implique le fait de recourir à un fournisseur de cloud public.

Conformité, sécurité et confidentialité

De nombreuses organisations doivent répondre à des exigences de conformité concernant les normes, réglementations et certifications industrielles et gouvernementales. De nombreuses charges de travail d'entreprise sont soumises à une surveillance réglementaire, et peuvent nécessiter des attestations de conformité de votre part et de celle de votre fournisseur cloud. Si votre entreprise est réglementée par la loi HIPAA ou HITECH, assurez-vous de connaître vos responsabilités et les services Google Cloud concernés par ces réglementations. Pour en savoir plus sur les certifications et les normes de conformité, consultez le Centre de ressources pour la conformité. Google Cloud Pour en savoir plus sur les réglementations propres à une région ou à un secteur, consultez Google Cloud et le Règlement général sur la protection des données (RGPD).

La confiance et la sécurité sont importantes pour chaque organisation. Google Cloud met en œuvre un modèle de sécurité partagé pour de nombreux services.

Les principes de confianceGoogle Cloud peuvent vous aider à comprendre notre engagement dans la protection de la confidentialité de vos données et de celles de vos clients. Pour en savoir plus sur l'approche de conception de Google en matière de sécurité et de confidentialité, consultez la section Conception de la sécurité dans l'infrastructure de Google.

Points à prendre en compte concernant la résidence des données

La zone géographique peut également être un aspect important à prendre en compte. Assurez-vous de bien connaître vos exigences de résidence des données et de mettre en œuvre des règles visant à déployer des charges de travail dans de nouvelles régions, afin de contrôler l'emplacement où vos données sont stockées et traitées. Découvrez comment utiliser les contraintes d'emplacement des ressources pour vous assurer que vos charges de travail ne peuvent être déployées que dans des régions préapprouvées. Vous devez tenir compte de la régionalité des différents Google Cloud services lorsque vous choisissez la cible de déploiement pour vos charges de travail. Assurez-vous de bien connaître vos exigences de conformité réglementaire, et que vous savez comment mettre en œuvre une stratégie de gouvernance qui vous aide à garantir cette conformité.

Hiérarchie des ressources

Réfléchissez aux questions suivantes pour votre organisation :

  • Comment vos structures commerciales et organisationnelles existantes vont-elles être associées àGoogle Cloud ?
  • À quelle fréquence la hiérarchie de vos ressources risque-t-elle selon vous d'évoluer ?
  • Quelle incidence les quotas de projet ont-ils sur votre capacité à créer des ressources dans le cloud ?
  • Comment pouvez-vous intégrer vos déploiements cloud existants à vos charges de travail migrées ?
  • Quelles sont les bonnes pratiques pour gérer plusieurs équipes travaillant simultanément sur plusieurs projets Google Cloud ?

La conception de votre Google Cloud hiérarchie de ressources reflète vos processus métier, vos lignes de communication et votre structure de reporting actuels. La hiérarchie des ressources fournit la structure nécessaire à votre environnement cloud, détermine la manière dont vous êtes facturé pour la consommation des ressources et établit un modèle de sécurité pour l'attribution de rôles et d'autorisations. Vous devez comprendre comment ces différents aspects sont mis en œuvre dans votre entreprise à l'heure actuelle et planifier la migration de ces processus vers Google Cloud.

Comprendre les ressources Google Cloud

Les ressources sont les composants fondamentaux sur lesquels reposent tous les servicesGoogle Cloud . La ressource Organisation constitue le sommet de la hiérarchie des ressources Google Cloud . Toutes les ressources qui appartiennent à une organisation sont regroupées sous un nœud d'organisation. Cette structure offre une visibilité et un contrôle centralisés sur chaque ressource appartenant à une organisation.

Une organisation peut contenir un ou plusieurs dossiers, et chaque dossier peut contenir un ou plusieurs projets. Vous pouvez utiliser des dossiers pour regrouper des projets associés.

Les projets Google Cloud contiennent des ressources de service telles que des machines virtuelles (VM) Compute Engine, des sujets Pub/Sub, des buckets Cloud Storage, des points de terminaison Cloud VPN et d'autres Google Cloud services. Vous pouvez créer des ressources à l'aide de la console Google Cloud, de Cloud Shell ou des API Cloud. Si vous prévoyez des changements fréquents dans votre environnement, envisagez d'adopter une approche IaC (Infrastructure as Code, infrastructure en tant que code) pour optimiser la gestion des ressources.

Gérer vos projets Google Cloud

Pour en savoir plus sur la planification et la gestion de votre hiérarchie de ressources Google Cloud, consultez la section Choisir une hiérarchie de ressources pour votre zone de destination Google Cloud . Si vous travaillez déjà dans Google Cloud et que vous avez créé des projets indépendants en tant que tests ou démonstrations de faisabilité, vous pouvez migrer des projets Google Cloud existants dans votre organisation.

Identity and Access Management

Réfléchissez aux questions suivantes pour votre organisation :

  • Qui sera chargé de contrôler, d'administrer et d'auditer l'accès aux ressourcesGoogle Cloud  ?
  • Comment vos règles de sécurité et d'accès existantes vont-elles évoluer lorsque vous passerez à Google Cloud ?
  • Comment allez-vous autoriser en toute sécurité vos utilisateurs et applications à interagir avec les servicesGoogle Cloud  ?

La gestion de l'authentification et des accès (IAM) vous permet d'accorder un accès précis aux Google Cloud ressources. Cloud Identity est un service distinct, mais associé à Cloud IAM. Il peut vous aider à migrer et à gérer vos identités. De manière générale, savoir comment vous souhaitez gérer l'accès à vos ressourcesGoogle Cloud constitue la base du provisionnement, de la configuration et de la gestion d'IAM.

Comprendre les identités

Google Cloud utilise des identités pour la gestion de l'authentification et des accès. Pour accéder à une ressourceGoogle Cloud , un membre de votre organisation doit disposer d'une identité que Google Cloud peut comprendre. Cloud Identity est une plate-forme IDaaS (Identity as a Service, identité en tant que service) qui vous permet de gérer de manière centralisée les utilisateurs et les groupes qui peuvent accéder aux ressources Google Cloud. En configurant vos utilisateurs dans Cloud Identity, vous pouvez configurer l'authentification unique (SSO) avec des milliers d'applications tierces SaaS (Software as a Service, logiciel en tant que service). La façon dont vous configurez Cloud Identity dépend de la façon dont vous gérez les identités.

Pour en savoir plus sur les options de provisionnement d'identité pourGoogle Cloud, consultez la page Choisir comment intégrer les identités à Google Cloud.

Comprendre la gestion des accès

Le modèle de gestion des accès se compose de quatre concepts fondamentaux :

  • Compte principal: peut être un compte Google (pour les utilisateurs finaux), un compte de service (pour les produits Google Cloud ), un groupe Google, ou un compte Google Workspace ou Cloud Identity pouvant accéder à une ressource. Les comptes principaux ne peuvent pas effectuer une action qu'ils ne sont pas autorisés à accomplir.
  • Rôle : correspond à une collection d'autorisations.
  • Autorisation : détermine les opérations qui sont autorisées sur une ressource. Lorsque vous attribuez un rôle à un compte principal, vous lui accordez toutes les autorisations contenues dans ce rôle.
  • Stratégie d'autorisation IAM : lie un ensemble de comptes principaux à un rôle. Lorsque vous souhaitez définir les comptes principaux qui ont accès à une ressource, vous devez créer une stratégie et l'associer à la ressource.

Une configuration appropriée et une gestion efficace des comptes principaux, des rôles et des autorisations constituent le pilier de votre stratégie de sécurité dans Google Cloud. La gestion des accès vous protège de toute utilisation abusive en interne, ainsi que des tentatives externes d'accès non autorisé à vos ressources.

Comprendre les accès aux applications

En plus des utilisateurs et des groupes, il existe un autre type d'identité appelé compte de service. Un compte de service est une identité que vos programmes et services peuvent utiliser pour s'authentifier et accéder aux ressources Google Cloud .

Les comptes de service gérés par l'utilisateur incluent les comptes de service que vous créez et gérez explicitement à l'aide de IAM, ainsi que le compte de service Compute Engine par défaut intégré à tous les projets Google Cloud. Les agents de service sont créés automatiquement et exécutent des processus Google internes en votre nom.

Lorsque vous utilisez des comptes de service, il est important de comprendre le concept d'identifiants par défaut de l'application et de suivre nos bonnes pratiques concernant les comptes de service pour éviter d'exposer vos ressources à des risques inutiles. Les risques les plus courants impliquent une élévation de privilèges ou la suppression accidentelle d'un compte de service sur lequel repose une application essentielle.

Appliquer les bonnes pratiques

Pour en savoir plus sur les bonnes pratiques de gestion efficace des identités et des accès, consultez la page Valider explicitement chaque tentative d'accès.

Facturation

La façon dont vous payez les Google Cloud ressources que vous consommez est un élément important à prendre en compte pour votre entreprise et une partie importante de votre relation avec Google Cloud. Comme pour le reste de votre environnement cloud, vous pouvez gérer la facturation depuis la console Google Cloud, à l'aide de Cloud Billing.

Les concepts de hiérarchie des ressources et de facturation sont étroitement liés. Il est donc essentiel que vous et vos partenaires commerciaux les compreniez bien.

Pour en savoir plus sur les bonnes pratiques, les outils et les techniques permettant de surveiller et de contrôler les coûts, consultez la page Optimisation des coûts.

Connectivité et mise en réseau

Pour en savoir plus sur la conception de votre réseau sur Google Cloud, consultez les pages suivantes:

Si vous utilisez l'environnement source d'un autre fournisseur de services cloud, vous devrez peut-être le connecter à votre environnement Google Cloud . Pour en savoir plus, consultez la page Modèles pour la connexion d'autres fournisseurs de services cloud avec Google Cloud.

Lors de la migration des données et des charges de travail de production vers Google Cloud, nous vous recommandons de réfléchir à l'impact de la disponibilité de la solution de connectivité sur la réussite de votre migration. Par exemple, Cloud Interconnect est compatible avec le contrat de niveau de service en production si vous le provisionnez selon des topologies spécifiques.

Lors de la migration de données de votre environnement source vers votre environnementGoogle Cloud , vous devez ajuster l'unité de transmission maximale (MTU) pour prendre en compte la surcharge du protocole. Cela permet de garantir que les données seront transférées de manière efficace et précise. Cet ajustement peut également éviter les retards causés par la fragmentation des données et les problèmes de performances réseau. Par exemple, si vous utilisez Cloud VPN pour connecter votre environnement source à votre Google Cloud environnement, vous devrez peut-être configurer la MTU sur une valeur inférieure pour gérer la surcharge du protocole VPN dans chaque unité de transmission.

Pour vous aider à éviter les problèmes de connectivité lors de votre migration versGoogle Cloud, nous vous recommandons d'effectuer les opérations suivantes:

  • Assurez-vous que les enregistrements DNS sont résolus dans l'environnement source et dans votre environnementGoogle Cloud .
  • Assurez-vous que les routes réseau entre l'environnement source et votre environnementGoogle Cloud se propagent correctement dans les différents environnements.

Si vous devez provisionner et utiliser vos propres adresses IPv4 publiques dans vos VPC, consultez la page Utiliser votre propre adresse IP.

Connaître les options DNS

Cloud DNS peut servir de serveur de système de noms de domaine (DNS) public. Pour en savoir plus sur la mise en œuvre de Cloud DNS, consultez la page Bonnes pratiques Cloud DNS.

Si vous devez personnaliser la manière dont Cloud DNS répond aux requêtes en fonction de leur source ou de leur destination, consultez la page Présentation des règles DNS. Par exemple, vous pouvez configurer Cloud DNS pour transférer des requêtes vers vos serveurs DNS existants, ou vous pouvez remplacer les réponses DNS privées en fonction du nom de la requête.

Votre VPC inclut un service distinct, mais similaire, appelé DNS interne. Au lieu de migrer et de configurer manuellement vos propres serveurs DNS, vous pouvez utiliser le service DNS interne de votre réseau privé. Pour en savoir plus, consultez la page de présentation du DNS interne.

Comprendre le transfert de données

La gestion et la facturation de l'infrastructure sur site sont fondamentalement différentes de celles des infrastructures cloud. Lorsque vous gérez votre propre centre de données ou bien une installation hébergée en colocation, vous devez prévoir des dépenses d'investissement initiales, d'un montant figé, pour installer des routeurs et des commutateurs, et tirer des câbles. Dans le cloud, vous êtes facturé pour le transfert de données plutôt que pour le coût fixe de l'installation du matériel, plus des frais continus liés à la maintenance. En comprenant les coûts de transfert de données, vous serez à même de les planifier et les gérer avec précision dans le cloud.

Lorsque vous planifiez la gestion du trafic, trois modes de facturation vous sont proposés :

  • Trafic entrant: trafic réseau qui entre dans votre environnementGoogle Cloud depuis des emplacements extérieurs. Ces emplacements peuvent correspondre à l'Internet public, à des emplacements sur site ou à d'autres environnements cloud. Le trafic entrant est gratuit pour la plupart des services surGoogle Cloud. La facturation de certains services qui traitent de la gestion du trafic Internet, tels que Cloud Load Balancing, Cloud CDN et Google Cloud Armor, est basée sur le trafic entrant qu'ils gèrent.
  • Trafic sortant: trafic réseau qui quitte votre environnementGoogle Cloud de quelque façon que ce soit. Les frais de trafic sortant s'appliquent à de nombreux Google Cloud services, y compris Compute Engine, Cloud Storage, Cloud SQL et Cloud Interconnect.
  • Trafic régional et zonal: le trafic réseau qui traverse les frontières régionales ou zonales de Google Cloud peut également être soumis à des frais d'utilisation de la bande passante. Ces frais peuvent avoir une incidence sur la façon dont vous décidez de concevoir vos applications pour la reprise après sinistre et la haute disponibilité. Comme pour la facturation du trafic sortant, les frais applicables au trafic entre plusieurs régions et entre plusieurs zones concernent de nombreux servicesGoogle Cloud . Ce sont des points importants à prendre en compte pour la planification de la haute disponibilité et de la reprise après sinistre. Par exemple, l'envoi de trafic vers une instance dupliquée de base de données située dans une autre zone est soumis à des frais de trafic entre zones.

Automatiser et contrôler la configuration de votre réseau

Dans Google Cloud, la couche réseau physique est virtualisée, et vous déployez et configurez votre réseau à l'aide du réseau défini par logiciel (SDN). Pour vous assurer que votre réseau est configuré de manière cohérente et reproductible, vous devez savoir comment déployer et supprimer automatiquement vos environnements. Vous pouvez utiliser des outils IaC, tels que Terraform.

Sécurité

La façon dont vous gérez et garantissez la sécurité de vos systèmes dansGoogle Cloud, ainsi que les outils que vous utilisez, est différente du mode de gestion d'une infrastructure sur site. Votre approche évoluera au fil du temps pour s'adapter à de nouvelles menaces, à de nouveaux produits et à des modèles de sécurité améliorés.

Les responsabilités que vous partagez avec Google peuvent être différentes de celles de votre fournisseur actuel. Il est essentiel de connaître ces différences pour garantir la sécurité et la conformité de vos charges de travail. Une stratégie de sécurité forte et vérifiable va souvent de pair avec une parfaite conformité réglementaire. Celles-ci passent en outre par de solides pratiques de gestion et de surveillance, une mise en œuvre cohérente des Google Cloud bonnes pratiques, et la détection et la surveillance actives des menaces.

Pour en savoir plus sur la conception d'un environnement sécurisé sur Google Cloud, consultez la section Décider de la sécurité de votre Google Cloud zone de destination.

Surveillance, alertes et journalisation

Pour en savoir plus sur la configuration de la surveillance, des alertes et de la journalisation, consultez les pages suivantes :

Gouvernance

Réfléchissez aux questions suivantes pour votre organisation :

  • Comment pouvez-vous faire en sorte que vos utilisateurs remplissent leurs exigences de conformité, et aligner ces exigences sur les règles de votre entreprise ?
  • Quelles sont les stratégies disponibles pour gérer et organiser vos utilisateurs et vos ressourcesGoogle Cloud  ?

Une gouvernance efficace est essentielle pour assurer la fiabilité, la sécurité et la gestion de vos ressources dans Google Cloud. Comme pour tout système, l'entropie augmente naturellement au fil du temps. Si elle n'est pas endiguée, elle peut entraîner une prolifération de votre environnement cloud et d'autres problèmes de gestion. Sans gouvernance efficace, l'accumulation de ces problèmes peut avoir une incidence sur votre capacité à atteindre vos objectifs stratégiques et à réduire les risques. La planification et l'application rigoureuses de normes liées aux conventions de nommage, aux stratégies d'ajout de libellés, aux contrôles des accès, au contrôle des coûts et aux niveaux de service constituent des éléments importants de votre stratégie de migration vers le cloud. Plus largement, l'élaboration d'une stratégie de gouvernance permet d'instaurer une unité entre les personnes concernées et les dirigeants de l'entreprise.

Garantir la conformité continue

Pour garantir la conformité de vos ressourcesGoogle Cloud à l'échelle de l'organisation, envisagez d'adopter une stratégie de nommage et de regroupement des ressources cohérente.Google Cloud propose plusieurs méthodes pour annoter les ressources et leur appliquer des règles:

  • Les marques de sécurité vous permettent de classer les ressources afin d'obtenir des informations de sécurité via Security Command Center, et d'appliquer des règles sur des groupes de ressources.
  • Les libellés permettent d'effectuer le suivi des dépenses liées à vos ressources dans Cloud Billing, et fournissent des informations supplémentaires dans Cloud Logging.
  • Les tags pour les pare-feu vous permettent de définir des sources et des cibles dans les règles de pare-feu réseau globales et dans les règles de pare-feu réseau régionales.

Pour en savoir plus, consultez la page Risk and compliance as code (Risques et conformité en tant que code).

Étape suivante

Contributeurs

Auteurs :