Esegui la migrazione a Google Cloud: crea la tua base

Questo documento consente di creare l'infrastruttura cloud di base per i tuoi carichi di lavoro. Può anche aiutarti a pianificare il modo in cui questa infrastruttura supporta le tue applicazioni. che include gestione delle identità, struttura dell'organizzazione e dei progetti e networking.

Questo documento fa parte di una serie in più parti sulla migrazione a Google Cloud:

• Migrazione a Google Cloud: inizia
• Migrazione a Google Cloud: valutazione e scoperta dei carichi di lavoro
• Esegui la migrazione a Google Cloud: crea la tua base (questo documento)
• Migrazione a Google Cloud: trasferimento di set di dati di grandi dimensioni
• Migrazione a Google Cloud: esegui il deployment dei tuoi carichi di lavoro
• Migrazione a Google Cloud: esegui la migrazione dai deployment manuali a quelli automatizzati e containerizzati
• Esegui la migrazione a Google Cloud: ottimizza il tuo ambiente
• Migrazione a Google Cloud: best practice per la convalida di un piano di migrazione
• Migrazione a Google Cloud: riduci al minimo i costi

Il seguente diagramma illustra il percorso del tuo percorso di migrazione.

Questo documento è utile se stai pianificando una migrazione da un ambiente on-premise, da un ambiente di hosting privato, da un altro cloud provider a Google Cloud, o se stai valutando l'opportunità di eseguire la migrazione e vuoi esplorare il possibile aspetto. Questo documento ti aiuta a comprendere i prodotti disponibili e le decisioni che dovrai prendere creando una base incentrata su un caso d'uso di migrazione.

Per le opzioni predefinite implementabili, consulta:

• Elenco di controllo per la configurazione di Google Cloud
• Progetto di fondazioni aziendali

Per altre best practice per la progettazione degli elementi di base, consulta:

• progettazione della zona di destinazione per progettare una fondazione in generale.
• Framework dell'architettura per indicazioni sulle best practice per la progettazione di sistemi.

Quando pianifichi la migrazione a Google Cloud, devi conoscere una serie di argomenti e concetti relativi all'architettura cloud. Una base pianificata in modo scorretto può causare alla tua azienda ritardi, confusione e tempi di inattività e può mettere a rischio il successo della tua migrazione al cloud. Questa guida fornisce una panoramica dei concetti di base di Google Cloud e dei punti decisionali.

Ogni sezione di questo documento pone domande che devi porre e rispondere per la tua organizzazione prima di creare le tue basi su Google Cloud. Queste domande non sono esaustive; hanno lo scopo di facilitare una conversazione tra i team di architettura e la leadership aziendale su ciò che è giusto per la tua organizzazione. I tuoi piani per l'infrastruttura, gli strumenti, la sicurezza e la gestione degli account sono unici per la tua attività e richiedono un'attenta considerazione. Una volta terminato questo documento e risposto alle domande per la tua organizzazione, potrai iniziare la pianificazione formale dell'infrastruttura cloud e dei servizi che supportano la migrazione a Google Cloud.

Considerazioni aziendali

Considera le seguenti domande per la tua organizzazione:

• Quali responsabilità IT potrebbero cambiare tra te e il tuo provider di infrastruttura quando passi a Google Cloud?
• Come puoi supportare o soddisfare le tue esigenze di conformità normativa, ad esempio HIPAA o GDPR, durante e dopo la migrazione a Google Cloud?
• Come puoi controllare dove vengono archiviati ed elaborati i tuoi dati in base ai tuoi requisiti di residenza dei dati?

Modello di responsabilità condivisa

Le responsabilità condivise tra te e Google Cloud potrebbero essere diverse da quelle a cui sei abituato ed è necessario comprenderne le implicazioni per la tua azienda. I processi implementati in precedenza per eseguire il provisioning, la configurazione e l'utilizzo delle risorse potrebbero cambiare.

Consulta i Termini di servizio e il modello di sicurezza di Google per una panoramica del rapporto contrattuale tra la tua organizzazione e Google, nonché le implicazioni dell'utilizzo di un cloud provider pubblico.

Conformità, sicurezza e privacy

Molte organizzazioni hanno requisiti di conformità per normative, normative e standard di settore e governativi. Molti carichi di lavoro aziendali sono soggetti a controllo normativo e possono richiedere attestazioni di conformità da parte tua e del tuo cloud provider. Se la tua attività è regolamentata da HIPAA o HITECH, assicurati di comprendere le tue responsabilità e quali servizi Google Cloud sono regolamentati. Per informazioni sulle certificazioni e gli standard di conformità di Google Cloud, consulta il Centro risorse per la conformità. Per maggiori informazioni su normative specifiche per regione o settore, consulta Google Cloud e il Regolamento generale sulla protezione dei dati (GDPR).

Fiducia e sicurezza sono importanti per ogni organizzazione. Google Cloud implementa un modello di sicurezza condivisa per molti servizi,

I principi di fiducia di Google Cloud possono aiutarti a comprendere il nostro impegno a proteggere la privacy dei tuoi dati e di quelli dei tuoi clienti. Per ulteriori informazioni sull'approccio di progettazione di Google per la sicurezza e la privacy, leggi la panoramica sulla progettazione della sicurezza dell'infrastruttura di Google.

Considerazioni sulla residenza dei dati

Anche l'area geografica può essere un fattore importante per la conformità. Assicurati di comprendere i requisiti di localizzazione dei dati e di implementare i criteri per il deployment dei carichi di lavoro in nuove regioni in modo da controllare dove vengono archiviati ed elaborati i tuoi dati. Scopri come utilizzare i vincoli di località delle risorse per garantire che il deployment dei carichi di lavoro possa essere eseguito solo in regioni preapprovate. Quando scegli la destinazione di deployment per i tuoi carichi di lavoro, devi tenere conto della regionalità dei diversi servizi Google Cloud. Assicurati di aver compreso i requisiti di conformità normativa e di come implementare una strategia di governance che ti aiuti a garantire la conformità.

Gerarchia delle risorse

Considera le seguenti domande per la tua organizzazione:

• Come vengono mappate le strutture aziendali e organizzative esistenti a Google Cloud?
• Con quale frequenza prevedi modifiche alla gerarchia delle risorse?
• In che modo le quote dei progetti influiscono sulla tua capacità di creare risorse nel cloud?
• Come puoi incorporare i deployment cloud esistenti con i carichi di lavoro di cui è stata eseguita la migrazione?
• Quali sono le best practice per gestire più team che lavorano contemporaneamente su più progetti Google Cloud?

I processi aziendali attuali, le linee di comunicazione e la struttura di reporting si riflettono nella progettazione della gerarchia delle risorse di Google Cloud. La gerarchia delle risorse fornisce la struttura necessaria al tuo ambiente cloud, determina le modalità di fatturazione per il consumo delle risorse e stabilisce un modello di sicurezza per la concessione di ruoli e autorizzazioni. Devi comprendere come vengono implementati questi facet nella tua azienda oggi e pianificare come eseguire la migrazione di questi processi in Google Cloud.

Informazioni sulle risorse Google Cloud

Le risorse sono i componenti fondamentali di tutti i servizi Google Cloud. La risorsa Organizzazione è l'apice della gerarchia delle risorse Google Cloud. Tutte le risorse che appartengono a un'organizzazione sono raggruppate sotto il nodo organizzazione. Questa struttura offre visibilità e controllo centrali su ogni risorsa che appartiene a un'organizzazione.

Un'organizzazione può contenere una o più cartelle, ciascuna delle quali può contenere uno o più progetti. Puoi usare le cartelle per raggruppare i progetti correlati.

I progetti Google Cloud contengono risorse di servizio come macchine virtuali (VM) Compute Engine, argomenti Pub/Sub, bucket Cloud Storage, endpoint Cloud VPN e altri servizi Google Cloud. Puoi creare risorse utilizzando la console Google Cloud, Cloud Shell o l'API Cloud. Se prevedi cambiamenti frequenti al tuo ambiente, ti consigliamo di adottare un approccio Infrastructure as a Code (IaC) per semplificare la gestione delle risorse.

Gestire i progetti Google Cloud

Per saperne di più sulla pianificazione e sulla gestione della gerarchia delle risorse Google Cloud, consulta Decidere una gerarchia delle risorse per la zona di destinazione di Google Cloud. Se lavori già in Google Cloud e hai creato progetti indipendenti come test o proof of concept, puoi eseguire la migrazione dei progetti Google Cloud esistenti nella tua organizzazione.

Identity and Access Management

Considera le seguenti domande per la tua organizzazione:

• Chi controllerà, amministrerà e controllerà l'accesso alle risorse di Google Cloud?
• Come cambieranno i criteri di sicurezza e accesso esistenti quando passi a Google Cloud?
• Come consentirà a utenti e app di interagire in modo sicuro con i servizi Google Cloud?

Identity and Access Management (IAM) consente di concedere un accesso granulare alle risorse Google Cloud. Cloud Identity è un servizio separato ma correlato che può aiutarti a eseguire la migrazione e a gestire le tue identità. A livello generale, comprendere come vuoi gestire l'accesso alle tue risorse Google Cloud è la base per il provisioning, la configurazione e la gestione di IAM.

Informazioni sulle identità

Google Cloud utilizza le identities per l'autenticazione e la gestione degli accessi. Per accedere a qualsiasi risorsa Google Cloud, un membro della tua organizzazione deve avere un'identità comprensibile da Google Cloud. Cloud Identity è una piattaforma Identity as a Service (IDaaS) che consente di gestire centralmente gli utenti e i gruppi che hanno accesso alle risorse Google Cloud. Configurando gli utenti in Cloud Identity, puoi configurare il Single Sign-On (SSO) con migliaia di applicazioni SaaS (Software as a Service) di terze parti. Il modo in cui configuri Cloud Identity dipende da come gestisci attualmente le identità.

Per ulteriori informazioni sulle opzioni di provisioning delle identità per Google Cloud, consulta Decidere come eseguire l'onboarding delle identità in Google Cloud.

Informazioni sulla gestione degli accessi

Il modello per la gestione degli accessi è costituito da quattro concetti fondamentali:

• Entità: può essere un Account Google (per gli utenti finali), un account di servizio (per i prodotti Google Cloud), un gruppo Google o un account Google Workspace o Cloud Identity che può accedere a una risorsa. Le entità non possono eseguire azioni che non sono autorizzate.
• Ruolo: una raccolta di autorizzazioni.
• Autorizzazione: determina quali operazioni sono consentite su una risorsa. Se concedi un ruolo a un'entità, concedi tutte le autorizzazioni incluse nel ruolo.
• Criterio di autorizzazione IAM: associ un insieme di entità a un ruolo. Quando vuoi definire quali entità hanno accesso a una risorsa, devi creare un criterio e collegarlo alla risorsa.

La configurazione corretta e la gestione efficace di entità, ruoli e autorizzazioni costituiscono la spina dorsale del tuo approccio di sicurezza in Google Cloud. La gestione degli accessi contribuisce a proteggerti dall'uso improprio interno e a proteggerti da tentativi esterni di accesso non autorizzato alle tue risorse.

Informazioni sull'accesso alle applicazioni

Oltre a utenti e gruppi, esiste un altro tipo di identità noto come account di servizio. Un account di servizio è un'identità che i programmi e i servizi possono utilizzare per autenticarsi e ottenere l'accesso alle risorse Google Cloud.

Gli account di servizio sono gestiti dall'utente o da Google. Gli account di servizio gestiti dall'utente includono quelli creati e gestiti in modo esplicito tramite IAM, nonché l'account di servizio predefinito di Compute Engine integrato in tutti i progetti Google Cloud. Gli account di servizio gestiti da Google vengono creati automaticamente ed eseguono i processi interni di Google per tuo conto.

Quando utilizzi gli account di servizio, è importante comprendere le credenziali predefinite dell'applicazione e seguire le nostre best practice consigliate per gli account di servizio per evitare di esporre le risorse a rischi eccessivi. I rischi più comuni sono l'escalation dei privilegi o l'eliminazione accidentale di un account di servizio su cui fa affidamento un'applicazione critica.

Segui le best practice

Per ulteriori informazioni sulle best practice per gestire identità e accesso in modo efficace, consulta Gestione di identità e accesso.

Fatturazione

Il modo in cui paghi per le risorse Google Cloud che utilizzi è una considerazione importante per la tua azienda e una parte importante del tuo rapporto con Google Cloud. Puoi gestire la fatturazione nella console Google Cloud con Fatturazione Cloud, oltre al resto dell'ambiente cloud.

I concetti di gerarchia delle risorse e billing sono strettamente correlati, pertanto è fondamentale che tu e gli stakeholder aziendali comprendano questi concetti.

Per ulteriori informazioni su best practice, strumenti e tecniche che ti aiuteranno a monitorare e controllare i costi, consulta Monitorare e controllare i costi.

Connettività e networking

Per ulteriori informazioni sulla progettazione della tua rete su Google Cloud, vedi:

• Decidi il design della rete per la tua zona di destinazione Google Cloud.
• Implementa la progettazione della rete della zona di destinazione di Google Cloud.

Se il tuo ambiente di origine si trova in un altro provider di servizi cloud, potrebbe essere necessario connetterlo al tuo ambiente Google Cloud. Per maggiori informazioni, consulta Pattern per la connessione di altri provider di servizi cloud con Google Cloud.

Durante la migrazione dei dati e dei carichi di lavoro di produzione a Google Cloud, ti consigliamo di valutare in che modo la disponibilità della soluzione di connettività può influire sul successo della migrazione. Ad esempio, Cloud Interconnect fornisce uno SLA a livello di produzione se esegui il provisioning in base a topologie specifiche.

Quando esegui la migrazione dei dati dall'ambiente di origine all'ambiente Google Cloud, devi regolare l'unità massima di trasmissione (MTU) per tenere conto dell'overhead del protocollo. Questo contribuisce a garantire che i dati vengano trasferiti in modo efficiente e preciso. Questo aggiustamento può anche aiutare a evitare ritardi causati da frammentazione dei dati e problemi di prestazioni della rete. Ad esempio, se usi Cloud VPN per connettere l'ambiente di origine all'ambiente Google Cloud, potresti dover configurare l'MTU su un valore più basso per soddisfare l'overhead del protocollo VPN in ogni unità di trasmissione.

Per aiutarti a evitare problemi di connettività durante la migrazione a Google Cloud, ti consigliamo di:

• Assicurati che i record DNS vengano risolti nell'ambiente di origine e nell'ambiente Google Cloud.
• Assicurati che le route di rete tra l'ambiente di origine e il tuo ambiente Google Cloud si propagano correttamente negli ambienti.

Se devi eseguire il provisioning e utilizzare i tuoi indirizzi IPv4 pubblici nelle reti VPC, consulta la sezione Bring your own IP address (Bring your own device, Porta il tuo indirizzo IP).

Informazioni sulle opzioni DNS

Cloud DNS può fungere da server DNS (Domain Name System) pubblico. Per ulteriori informazioni su come implementare Cloud DNS, consulta le best practice di Cloud DNS.

Se hai bisogno di personalizzare il modo in cui Cloud DNS risponde alle query in base alla loro origine o destinazione, consulta la panoramica dei criteri DNS. Ad esempio, puoi configurare Cloud DNS per inoltrare le query ai server DNS esistenti oppure puoi sostituire le risposte DNS private in base al nome della query.

Il VPC include un servizio separato ma simile, chiamato DNS interno. Anziché eseguire la migrazione e la configurazione manuale dei tuoi server DNS, puoi utilizzare il servizio DNS interno per la tua rete privata. Per ulteriori informazioni, consulta la panoramica del DNS interno.

Informazioni sul trasferimento di dati

Il networking on-premise è gestito e i prezzi sono sostanzialmente diversi rispetto al networking cloud. Quando gestisci il tuo data center o la tua struttura di colocation, l'installazione di router, switch e cavi richiede spese in conto capitale fisse e anticipati. Nel cloud, ti viene addebitato il costo del trasferimento di dati anziché il costo fisso di installazione dell'hardware, più il costo continuo di manutenzione. Pianifica e gestisci con precisione i costi di trasferimento di dati nel cloud comprendendo i costi di trasferimento dei dati.

Quando pianifichi la gestione del traffico, esistono tre modi per ricevere gli addebiti:

• Traffico in entrata: traffico di rete che entra nel tuo ambiente Google Cloud da località esterne. Queste località possono provenire dalla rete internet pubblica, da località on-premise o da altri ambienti cloud. Il traffico in entrata è gratuito per la maggior parte dei servizi su Google Cloud. Alcuni servizi che si occupano della gestione del traffico verso internet, come Cloud Load Balancing, Cloud CDN e Google Cloud Armor, addebitano i costi in base alla quantità di traffico in entrata che gestiscono.
• Traffico in uscita: traffico di rete che lascia in qualsiasi modo l'ambiente Google Cloud. I costi per il traffico in uscita si applicano a molti servizi Google Cloud, tra cui Compute Engine, Cloud Storage, Cloud SQL e Cloud Interconnect.
• Traffico a livello di regione e zona: anche il traffico di rete che supera i confini regionali o di zona in Google Cloud può essere soggetto a addebiti per la larghezza di banda. Questi addebiti possono influire sulla scelta di progettare le tue app per il ripristino di emergenza e l'alta disponibilità. Analogamente a quelli per il traffico in uscita, quelli per il traffico tra regioni e zone si applicano a molti servizi Google Cloud e sono importanti da considerare quando si pianifica l'alta disponibilità e il ripristino di emergenza. Ad esempio, l'invio di traffico a una replica di database in un'altra zona è soggetto a addebiti per il traffico tra zone diverse

Automatizza e controlla la configurazione della rete

In Google Cloud, il livello di rete fisica è virtualizzato; puoi eseguire il deployment e configurare la rete utilizzando SDN (Software-defined Networking),. Per assicurarti che la tua rete sia configurata in modo coerente e ripetibile, devi capire come eseguire automaticamente il deployment e l'eliminazione degli ambienti. Puoi utilizzare strumenti IaC, come Terraform.

Sicurezza

Le modalità di gestione e manutenzione della sicurezza dei tuoi sistemi in Google Cloud e degli strumenti che utilizzi sono diverse rispetto alla gestione di un'infrastruttura on-premise. Il tuo approccio cambierà e si evolverà nel tempo per adattarsi a nuove minacce, nuovi prodotti e modelli di sicurezza migliorati.

Le responsabilità che condividi con Google potrebbero essere diverse da quelle del tuo attuale provider; comprendere queste modifiche è fondamentale per garantire la sicurezza e la conformità continue dei tuoi carichi di lavoro. Sicurezza e conformità normativa solide e verificabili sono spesso intrecciate e iniziano con solide pratiche di gestione e supervisione, implementazione coerente delle best practice di Google Cloud e rilevamento e monitoraggio attivi delle minacce.

Per saperne di più sulla progettazione di un ambiente sicuro su Google Cloud, consulta Decidere la sicurezza per la tua zona di destinazione Google Cloud.

Monitoraggio, avvisi e logging

Per maggiori informazioni sulla configurazione del monitoraggio, degli avvisi e del logging, consulta:

• Configura monitoraggio, avvisi e logging
• Audit log aggregati a livello centrale
• Esamina le best practice per proteggere l'accesso ai tuoi log sensibili

Governance

Considera le seguenti domande per la tua organizzazione:

• Come puoi assicurarti che i tuoi utenti supportino e soddisfino le loro esigenze di conformità e allinearle alle norme aziendali?
• Quali strategie sono disponibili per gestire e organizzare gli utenti e le risorse di Google Cloud?

Una governance efficace è fondamentale per garantire affidabilità, sicurezza e gestibilità dei tuoi asset in Google Cloud. Come in qualsiasi sistema, l'entropia aumenta naturalmente nel tempo e non è selezionata, causando una proliferazione del cloud e altre sfide in termini di manutenibilità. Senza una governance efficace, l'accumulo di queste sfide può influire sulla tua capacità di raggiungere gli scopi commerciali e ridurre i rischi. La pianificazione disciplinata e l'applicazione di standard in materia di convenzioni di denominazione, strategie di etichettatura, controlli dell'accesso, controlli dei costi e livelli di servizio sono una componente importante della strategia di migrazione cloud. Più in generale, lo sviluppo di una strategia di governance crea allineamento tra stakeholder e leadership aziendale.

Supporta la conformità continua

Per supportare la conformità delle risorse Google Cloud a livello di organizzazione, valuta la possibilità di definire una strategia di denominazione e raggruppamento coerente. Google Cloud offre diversi metodi per l'annotazione e l'applicazione di criteri sulle risorse:

• I contrassegni di sicurezza consentono di classificare le risorse per fornire insight sulla sicurezza da Security Command Center e per applicare criteri a gruppi di risorse.
• Le etichette possono tenere traccia della spesa per le risorse nel fatturazione Cloud e fornire ulteriori insight in Cloud Logging.
• I tag per firewall consentono di definire origini e destinazioni nei criteri firewall di rete globali e nei criteri firewall di rete a livello di regione.

Per maggiori informazioni, consulta Rischio e conformità come codice.

Passaggi successivi

• Scopri come implementare una base sicura in Google Cloud.
• Continua la migrazione al cloud ed esplora il trasferimento dei dati in Google Cloud.
• Scopri come trovare assistenza per le migrazioni.
• Esplora le architetture di riferimento, i diagrammi e le best practice su Google Cloud. Visita il nostro Cloud Architecture Center.