Migrer vers Google Cloud : établir une fondation

Last reviewed 2023-06-07 UTC

Ce document vous permet de créer l'infrastructure cloud de base pour vos charges de travail. Il peut également vous aider à planifier la façon dont cette infrastructure gère vos applications. Cette planification inclut la gestion des identités, la structure de l'organisation et des projets, ainsi que la mise en réseau.

Ce document fait partie d'une série d'articles sur la migration vers Google Cloud :

Le diagramme suivant illustre le parcours de votre migration.

Chemin de migration en quatre phases

Ce document est utile si vous planifiez une migration vers Google Cloud depuis un environnement sur site, un environnement d'hébergement privé ou un autre fournisseur cloud, ou si vous souhaitez évaluer une migration potentielle afin de découvrir en quoi elle pourrait consister. Ce document vous aide à comprendre les produits disponibles et les décisions que vous prendrez pour créer une fondation axée sur un cas d'utilisation de migration.

Pour connaître les options prédéfinies pouvant être mises en œuvre, consultez les documents suivants :

Pour obtenir d'autres conseils sur les bonnes pratiques de conception de votre fondation, consultez les documents suivants :

Lors de la planification d'une migration vers Google Cloud, vous devez assimiler un large éventail de sujets et de concepts liés à l'architecture cloud. Des fondations mal planifiées peuvent entraîner des retards, de la confusion et des temps d'arrêt au sein de votre entreprise, et ainsi compromettre le succès de votre migration vers le cloud. Ce guide offre un aperçu des concepts et des points de décision fondamentaux de Google Cloud.

Chaque section du document aborde des questions concernant votre organisation, que vous devez vous poser et auxquelles vous devez répondre, avant d'établir vos fondations sur Google Cloud. Ces questions ne sont pas exhaustives. Elles ont pour objectif de faciliter les échanges entre vos équipes responsables de l'architecture et les dirigeants de votre entreprise, sur ce qui sera le plus bénéfique à votre organisation. Vos plans pour l'infrastructure, les outils, la sécurité et la gestion des comptes sont propres à votre entreprise et nécessitent une réflexion approfondie. Après avoir lu ce document et répondu aux questions concernant votre organisation, vous serez prêt à commencer la planification formelle de votre infrastructure cloud et des services compatibles avec votre migration vers Google Cloud.

Points à prendre en compte concernant l'entreprise

Réfléchissez aux questions suivantes pour votre organisation :

  • Parmi les responsabilités informatiques incombant à votre entreprise et à votre fournisseur d'infrastructure, quelles sont celles susceptibles d'évoluer en passant à Google Cloud ?
  • Comment pouvez-vous atteindre la conformité réglementaire dans le cadre de votre activité (par exemple, HIPAA ou RGPD) et la conserver, pendant et après votre migration vers Google Cloud ?
  • Comment pouvez-vous contrôler l'emplacement où vos données sont stockées et traitées, conformément à vos exigences de résidence des données ?

Modèle de responsabilité partagée

Les responsabilités partagées entre vous et Google Cloud peuvent être différentes de celles auxquelles vous êtes habitué, et vous devez comprendre leurs implications pour votre entreprise. Les processus que vous avez précédemment mis en œuvre pour provisionner, configurer et consommer des ressources sont susceptibles d'évoluer.

Consultez les conditions d'utilisation et le modèle de sécurité Google pour obtenir un aperçu de la relation contractuelle entre votre organisation et Google, et ce qu'implique le fait de recourir à un fournisseur de cloud public.

Conformité, sécurité et confidentialité

De nombreuses organisations doivent répondre à des exigences de conformité concernant les normes, réglementations et certifications industrielles et gouvernementales. De nombreuses charges de travail d'entreprise sont soumises à une surveillance réglementaire, et peuvent nécessiter des attestations de conformité de votre part et de celle de votre fournisseur cloud. Si votre entreprise doit se conformer à la loi HIPAA ou HITECH, assurez-vous que vous connaissez vos responsabilités et les services Google Cloud concernés par ces réglementations. Pour en savoir plus sur les certifications et les normes de conformité de Google Cloud, consultez le Centre de ressources pour la conformité. Pour en savoir plus sur les réglementations propres à une région ou à un secteur, consultez la page Google Cloud et le Règlement général sur la protection des données (RGPD).

La confiance et la sécurité sont importantes pour chaque organisation. Google Cloud met en œuvre un modèle de sécurité partagé pour de nombreux services.

Les principes de confiance de Google Cloud peuvent vous aider à comprendre notre engagement dans la protection de la confidentialité de vos données et de celles de vos clients. Pour en savoir plus sur la façon dont Google aborde la sécurité et la confidentialité lors de ses processus de conception, consultez la page Présentation de la sécurité sur l'infrastructure de Google.

Points à prendre en compte concernant la résidence des données

La zone géographique peut également être un aspect important à prendre en compte. Assurez-vous de bien connaître vos exigences de résidence des données et de mettre en œuvre des règles visant à déployer des charges de travail dans de nouvelles régions, afin de contrôler l'emplacement où vos données sont stockées et traitées. Découvrez comment utiliser les contraintes d'emplacement des ressources pour vous assurer que vos charges de travail ne peuvent être déployées que dans des régions pré-approuvées. Vous devez tenir compte de la régionalité des différents services Google Cloud lorsque vous choisissez la cible de déploiement pour vos charges de travail. Assurez-vous de bien connaître vos exigences de conformité réglementaire, et que vous savez comment mettre en œuvre une stratégie de gouvernance qui vous aide à garantir cette conformité.

Hiérarchie des ressources

Réfléchissez aux questions suivantes pour votre organisation :

  • Comment vos structures commerciales et organisationnelles existantes vont-elles être associées à Google Cloud ?
  • À quelle fréquence la hiérarchie de vos ressources risque-t-elle selon vous d'évoluer ?
  • Quelle incidence les quotas de projet ont-ils sur votre capacité à créer des ressources dans le cloud ?
  • Comment pouvez-vous intégrer vos déploiements cloud existants à vos charges de travail migrées ?
  • Quelles sont les bonnes pratiques pour gérer plusieurs équipes travaillant simultanément sur plusieurs projets Google Cloud ?

La conception de votre hiérarchie de ressources Google Cloud va refléter vos processus métier, vos lignes de communication et votre structure de création de rapports actuels. La hiérarchie des ressources fournit la structure nécessaire à votre environnement cloud, détermine la manière dont vous êtes facturé pour la consommation des ressources et établit un modèle de sécurité pour l'attribution de rôles et d'autorisations. Vous devez comprendre comment ces différents aspects sont mis en œuvre dans votre entreprise à l'heure actuelle et planifier la migration de ces processus vers Google Cloud.

Connaître les ressources Google Cloud

Les ressources sont les composants fondamentaux sur lesquels reposent tous les services Google Cloud. La ressource Organisation constitue le sommet de la hiérarchie des ressources Google Cloud. Toutes les ressources qui appartiennent à une organisation sont regroupées sous un nœud d'organisation. Cette structure offre une visibilité et un contrôle centralisés sur chaque ressource appartenant à une organisation.

Une organisation peut contenir un ou plusieurs dossiers, et chaque dossier peut contenir un ou plusieurs projets. Vous pouvez utiliser des dossiers pour regrouper des projets associés.

Les projets Google Cloud contiennent des ressources de service telles que des machines virtuelles (VM) Compute Engine, des sujets Pub/Sub, des buckets Cloud Storage, des points de terminaison Cloud VPN et d'autres services Google Cloud. Vous pouvez créer des ressources à l'aide de la console Google Cloud, de Cloud Shell ou des API Cloud. Si vous prévoyez des changements fréquents dans votre environnement, envisagez d'adopter une approche IaC (Infrastructure as Code, infrastructure en tant que code) pour optimiser la gestion des ressources.

Gérer vos projets Google Cloud

Pour en savoir plus sur la planification et la gestion de votre hiérarchie de ressources Google Cloud, consultez la page Choisir une hiérarchie de ressources pour votre zone de destination Google Cloud. Si vous travaillez déjà dans Google Cloud, et que vous avez créé des projets indépendants en tant que tests ou démonstrations de faisabilité, vous pouvez migrer des projets Google Cloud existants dans votre organisation.

Identity and Access Management

Réfléchissez aux questions suivantes pour votre organisation :

  • Qui sera chargé de contrôler, d'administrer et d'auditer l'accès aux ressources Google Cloud ?
  • Comment vos règles de sécurité et d'accès existantes vont-elles évoluer lorsque vous passerez à Google Cloud ?
  • Comment allez-vous autoriser en toute sécurité vos utilisateurs et applications à interagir avec les services Google Cloud ?

La gestion de l'authentification et des accès (IAM) vous permet d'accorder un accès précis aux ressources Google Cloud. Cloud Identity est un service distinct, mais associé à Cloud IAM. Il peut vous aider à migrer et à gérer vos identités. De manière générale, savoir comment vous souhaitez gérer l'accès à vos ressources Google Cloud constitue la base du provisionnement, de la configuration et de la gestion d'IAM.

Comprendre les identités

Google Cloud utilise des identités pour la gestion de l'authentification et des accès. L'accès à une ressource Google Cloud, quelle qu'elle soit, par un membre de votre organisation, suppose que celui-ci dispose d'une identité que Google Cloud peut comprendre. Cloud Identity est une plate-forme IDaaS (Identity as a Service, identité en tant que service) vous permettant de gérer de manière centralisée les utilisateurs et les groupes qui peuvent accéder aux ressources Google Cloud. En configurant vos utilisateurs dans Cloud Identity, vous pouvez configurer l'authentification unique (SSO, Single Sign-On) avec des milliers d'applications tierces SaaS (Software as a Service, logiciel en tant que service). La façon dont vous configurez Cloud Identity dépend de celle dont vous gérez actuellement les identités.

Pour en savoir plus sur les options de provisionnement d'identité pour Google Cloud, consultez la page Choisir comment intégrer les identités à Google Cloud.

Comprendre la gestion des accès

Le modèle de gestion des accès se compose de quatre concepts fondamentaux :

  • Compte principal : peut être un compte Google (pour les utilisateurs finaux), un compte de service (pour les produits Google Cloud), un groupe Google, ou un compte Google Workspace ou Cloud Identity pouvant accéder à une ressource. Les comptes principaux ne peuvent pas effectuer une action qu'ils ne sont pas autorisés à accomplir.
  • Rôle : correspond à une collection d'autorisations.
  • Autorisation : détermine les opérations qui sont autorisées sur une ressource. Lorsque vous attribuez un rôle à un compte principal, vous lui accordez toutes les autorisations contenues dans ce rôle.
  • Stratégie d'autorisation IAM : lie un ensemble de comptes principaux à un rôle. Lorsque vous souhaitez définir les comptes principaux qui ont accès à une ressource, vous devez créer une stratégie et l'associer à la ressource.

Une configuration appropriée et une gestion efficace des comptes principaux, des rôles et des autorisations constituent le pilier de votre stratégie de sécurité dans Google Cloud. La gestion des accès vous protège de toute utilisation abusive en interne, ainsi que des tentatives externes d'accès non autorisé à vos ressources.

Comprendre les accès aux applications

En plus des utilisateurs et des groupes, il existe un autre type d'identité appelé compte de service. Un compte de service est une identité que vos programmes et services peuvent utiliser pour s'authentifier et accéder aux ressources Google Cloud.

Les comptes de service sont gérés soit par l'utilisateur, soit par Google. Les comptes de service gérés par l'utilisateur incluent les comptes de service que vous créez et gérez explicitement à l'aide de IAM, ainsi que le compte de service Compute Engine par défaut intégré à tous les projets Google Cloud. Les comptes de service gérés par Google sont créés automatiquement et exécutent des processus Google internes en votre nom.

Lorsque vous utilisez des comptes de service, il est important de comprendre le concept d'identifiants par défaut de l'application et de suivre nos bonnes pratiques concernant les comptes de service pour éviter d'exposer vos ressources à des risques inutiles. Les risques les plus courants impliquent une élévation de privilèges ou la suppression accidentelle d'un compte de service sur lequel repose une application essentielle.

Appliquer les bonnes pratiques

Pour en savoir plus sur les bonnes pratiques de gestion efficace des identités et des accès, consultez la page Gérer l'identité et l'accès.

Facturation

La façon dont vous vous acquittez des ressources Google Cloud que vous consommez est un élément important à prendre en compte pour votre entreprise et une part essentielle de votre relation avec Google Cloud. Comme pour le reste de votre environnement cloud, vous pouvez gérer la facturation depuis la console Google Cloud, à l'aide de Cloud Billing.

Les concepts de hiérarchie des ressources et de facturation sont étroitement liés. Il est donc essentiel que vous et vos partenaires commerciaux les compreniez bien.

Pour en savoir plus sur les bonnes pratiques, les outils et les techniques permettant de surveiller et de contrôler les coûts, consultez la page Surveiller et contrôler les coûts.

Connectivité et mise en réseau

Pour en savoir plus sur la conception de votre réseau sur Google Cloud, consultez les pages suivantes :

Si vous utilisez l'environnement source d'un autre fournisseur de services cloud, vous devrez peut-être le connecter à votre environnement Google Cloud. Pour en savoir plus, consultez la page