迁移到 Google Cloud：构建您的基础

本文档可帮助您为自己的工作负载创建基本的云基础架构。此外，它还可帮助您规划此基础架构如何支持您的应用。该项规划包括身份管理、组织和项目结构以及网络。

本文档是关于迁移到 Google Cloud 的以下系列文章中的一篇：

• 迁移到 Google Cloud：使用入门
• 迁移到 Google Cloud：评估和发现您的工作负载
• 迁移到 Google Cloud：构建您的基础（本文档）
• 迁移到 Google Cloud：转移您的大型数据集
• 迁移到 Google Cloud：部署您的工作负载
• 迁移到 Google Cloud：从手动部署迁移到自动容器化部署
• 迁移到 Google Cloud：优化您的环境
• 迁移到 Google Cloud：验证迁移计划的最佳实践
• 迁移到 Google Cloud：最大限度地降低费用

下图说明了迁移过程的路径。

如果您计划从本地环境、私有托管环境或其他云提供商迁移到 Google Cloud，或者您要评估迁移机会并希望了解其具体操作，那么本文档非常有用。本文档可帮助您了解可用的产品以及您在构建专注于迁移用例的基础时将做出的决策。

如需了解预建的实现选项，请参阅：

• Google Cloud 设置核对清单
• 企业基础蓝图

如需了解设计基础的更多最佳实践指南，请参阅：

• 着陆区设计（用于广泛设计基础）。
• 架构框架，用于提供关于系统设计的最佳实践指南。

在计划迁移到 Google Cloud 时，您需要了解一系列与云架构相关的主题和概念。基础规划不佳可能会导致您的企业遇到延迟、混乱和停机问题，并且可能为成功进行云迁移带来风险。本指南简要介绍了 Google Cloud 基础概念和决策点。

本文档的每个部分都提出了您在 Google Cloud 上构建基础之前需要为您的组织提出和解答的问题。这些问题并不详尽；它们旨在促进您的架构团队与业务领导者之间就适合您的组织的内容展开讨论。您的基础架构、工具、安全性和账号管理计划对于您的业务是独一无二的，需要您的深思熟虑。完成本文档并为组织回答这些问题后，您即可开始正式规划支持向 Google Cloud 迁移的云基础架构和服务。

企业注意事项

针对您的组织，请考虑以下问题：

• 迁移到 Google Cloud 后，您与您的基础架构提供商之间可能存在哪些 IT 责任变动？
• 在迁移到 Google Cloud 期间以及之后，您如何支持或满足法规（例如美国《健康保险流通与责任法案》(HIPAA) 或 GDPR）遵从要求？
• 您如何根据数据驻留要求控制数据的存储和处理位置？

责任共担模型

您与 Google Cloud 之间的共同责任可能与以往您所熟悉的相关内容不同，您需要了解它们对您的业务产生的影响。您之前实施的用于预配、配置和使用资源的流程可能会发生改变。

请查看 服务条款 和 Google 安全模型，简要了解您的组织与 Google 之间的合同关系，以及使用公有云提供商所产生的影响。

法规遵从性、安全性和隐私

许多组织都具有关于行业和政府标准、法规和认证的法规遵从方面的要求。许多企业工作负载都受监管审查的约束，可能需要您和您的云提供商证明其合规性。如果您的业务受 HIPAA 或 HITECH 的监管，请确保您了解 您的责任 以及受监管的 Google Cloud 服务。如需了解 Google Cloud 认证和合规性标准，请参阅 合规性资源中心。如需详细了解特定于区域或特定于行业的法规，请参阅 Google Cloud 和一般数据保护条例 (GDPR)。

信任与安全 对每个组织都至关重要。Google Cloud 为许多服务实现了共享安全模型。

Google Cloud 信任原则 可帮助您了解我们对保护您以及您的客户的数据隐私所做的承诺。如需详细了解 Google 的安全性和隐私设计方法，请参阅 Google 基础架构安全设计概览。

数据驻留注意事项

地理位置也可能是合规性的一个重要考虑因素。确保您了解您的数据驻留要求，并实施将工作负载部署到新区域的政策，以 控制数据的存储和处理位置。了解如何使用 资源位置限制 来帮助确保您的工作负载只能部署到预先批准的区域。在为您的工作负载选择部署目标时，您需要考虑到 不同 Google Cloud 服务的区域性。确保您了解法规遵从方面的要求以及如何实施有助于确保合规性的管控策略。

资源层次结构

针对您的组织，请考虑以下问题：

• 您的现有业务和组织结构如何映射到 Google Cloud？
• 您希望多久对资源层次结构进行一次更改？
• 项目配额如何影响您在云端创建资源的能力？
• 您如何将现有云部署与迁移后的工作负载相结合？
• 管理同时处理多个 Google Cloud 项目的多个团队的最佳做法有哪些？

Google Cloud 资源层次结构 设计体现了您当前的业务流程、沟通渠道和报告结构。资源层次结构为您的云环境提供了必要的结构，确定了您为所用资源付费的方式，并且建立了用于授予角色和权限的安全模型。您需要了解现在您的企业是如何实施这些方面的，并规划如何将这些流程迁移到 Google Cloud。

了解 Google Cloud 资源

资源是构成所有 Google Cloud 服务的基本组成部分。组织资源 是 Google Cloud 资源层次结构的顶端。属于组织的所有资源都会在组织节点下进行分组。这种结构使您可以集中查看和控制属于组织的所有资源。

一个组织可以包含一个或多个 文件夹，并且每个文件夹可以包含一个或多个项目。您可以使用文件夹对相关项目进行分组。

Google Cloud 项目 包含多种服务资源，例如 Compute Engine 虚拟机 (VM)、Pub/Sub 主题、Cloud Storage 存储桶、Cloud VPN 端点，以及其他 Google Cloud 服务。您可以使用 Google Cloud 控制台、Cloud Shell 或 Cloud API 创建资源。如果您预期经常要对环境进行更改，请考虑采用基础架构即代码 (IaC) 方法来简化资源管理。

管理 Google Cloud 项目

如需详细了解如何规划和管理 Google Cloud 资源层次结构，请参阅确定您的 Google Cloud 着陆区的资源层次结构。如果您已在 Google Cloud 中进行工作，并且创建了独立的项目作为测试或概念验证，则可以 将现有 Google Cloud 项目迁移到您的组织。

Identity and Access Management

针对您的组织，请考虑以下问题：

• 谁将控制、管理和审核对 Google Cloud 资源的访问权限？
• 迁移到 Google Cloud 后，您的现有安全和访问政策将如何改变？
• 您如何安全地让您的用户和应用与 Google Cloud 服务进行交互？

Identity and Access Management（IAM） 可让您授予对 Google Cloud 资源的精细访问权限。Cloud Identity 是一种单独但相关的服务，可帮助您迁移和管理您的身份。概括来讲，了解如何管理对 Google Cloud 资源的访问权限是如何预配、配置和维护 IAM 的基础。

了解身份

Google Cloud 使用 身份 进行身份验证和访问权限管理。如需访问任何 Google Cloud 资源，您组织中的成员必须拥有 Google Cloud 可以识别的身份。Cloud Identity 是一种身份即服务 (IDaaS) 平台，可让您集中管理可访问 Google Cloud 资源的用户和群组。通过在 Cloud Identity 中设置用户，您可以为数千个第三方软件即服务 (SaaS) 应用设置 单点登录 (SSO)。您设置 Cloud Identity 的方式取决于您当前管理身份的方式。

如需详细了解 Google Cloud 的身份预配选项，请参阅确定如何为 Google Cloud 中的身份进行初始配置。

了解访问权限管理

用于管理访问权限的模型包含四个核心概念：

• 主账号：可以是 Google 账号（针对最终用户）、服务账号（针对 Google Cloud 产品）、Google 群组或可以访问资源的 Google Workspace 或 Cloud Identity 账号。主账号无法执行他们无权执行的任何操作。
• 角色：权限集合。
• 权限：确定可对资源执行的操作。向主账号授予某角色，即授予该角色所包含的所有权限。
• IAM 允许政策：将一组主账号绑定到某个角色。如果要定义哪些主账号可以访问资源，则需要创建政策并将其与该资源关联。

正确设置并有效管理主账号、角色和权限构成了 Google Cloud 安全状况的支柱。访问权限管理有助于防止内部滥用，并且有助于防止对您的资源进行未经授权访问的外部尝试。

了解应用访问权限

除用户和群组外，还存在另一种身份，名为 服务账号。服务账号是您的程序和服务可用于对 Google Cloud 资源进行身份验证和访问的一种身份。

服务账号由用户管理或者由 Google 管理。 用户管理的服务账号 包括您使用 IAM 明确创建和管理的服务账号，以及内置于所有 Google Cloud 项目中的 Compute Engine 默认服务账号。Google 管理的服务账号 是自动创建的服务账号，代表您运行内部 Google 流程。

使用服务账号时，请务必了解 应用默认凭据，并遵循我们建议的 服务账号的最佳做法，避免将资源暴露于不应有的风险之中。最常见的风险包括权限提升或意外删除重要应用所依赖的服务账号。

遵循最佳做法

如需详细了解有效管理身份和访问权限的最佳实践，请参阅管理身份和访问权限。

结算

如何支付所用 Google Cloud 资源的费用是您的业务的一项重要考虑因素，并且是您与 Google Cloud 的关系的一个重要组成部分。您可以在 Google Cloud 控制台中使用 Cloud Billing，与云环境的其他部分一起管理结算。

资源层次结构 概念和 结算 概念紧密相关，因此您和您的业务利益相关方都务必要了解这些概念。

如需详细了解可帮助您跟踪和控制费用的最佳实践、工具和技术，请参阅监控和控制费用。

连接性与网络

如需详细了解如何在 Google Cloud 上设计网络，请参阅以下内容：

• 确定 Google Cloud 着陆区的网络设计。
• 实现 Google Cloud 着陆区网络设计。

如果来源环境位于其他云服务提供商中，您可能需要将其连接到 Google Cloud 环境。如需了解详情，请参阅其他云服务提供商与 Google Cloud 的连接模式。

将生产数据和工作负载迁移到 Google Cloud 时，我们建议您考虑连接解决方案的可用性如何影响迁移的成功。例如，Cloud Interconnect 支持生产级 SLA（如果您根据特定拓扑预配生产级 SLA）。

将数据从来源环境迁移到 Google Cloud 环境时，您应调整最大传输单元 (MTU)，以将协议开销考虑在内。这样做有助于确保高效准确地转移数据。这种调整还有助于防止由数据碎片和网络性能问题引起的延迟。比方说，如果您使用 Cloud VPN 将来源环境连接到 Google Cloud 环境，则可能需要将 MTU 配置为较低的值以适应每个传输单元中的 VPN 协议开销。

为避免在迁移到 Google Cloud 期间出现连接问题，我们建议您：

• 确保 DNS 记录在来源环境和 Google Cloud 环境中解析。
• 确保来源环境与 Google Cloud 环境之间的网络路由正确跨环境传播。

如果您需要在 VPC 中预配和使用您自己的公共 IPv4 地址，请参阅自备 IP 地址。

了解 DNS 选项

Cloud DNS 可用作您的公共域名系统 (DNS) 服务器。如需详细了解如何实现 Cloud DNS，请参阅 Cloud DNS 最佳实践。

如果您需要自定义 Cloud DNS 如何根据查询的来源或目标响应查询，请参阅 DNS 政策概览。例如，您可以将 Cloud DNS 配置为将查询转发到现有 DNS 服务器，也可以根据查询名称替换专用 DNS 响应。

VPC 中包含一种名为“内部 DNS”的单独但类似的服务。您可以为专用网络使用内部 DNS 服务，而不用手动迁移和配置自己的 DNS 服务器。如需了解详情，请参阅内部 DNS 概览。

了解数据传输

本地网络的管理和定价方式与云网络截然不同。在管理您自己的数据中心或对接网点时，安装路由器、交换机和布线需要固定的预付资本支出。在云端，您需要承担数据传输的费用，而不是安装硬件的固定费用和持续的维护费用。了解数据传输费用，在云端准确规划和管理数据传输费用。

在规划流量管理时，可以通过以下三种方式计费：

• 入站流量：从外部位置进入 Google Cloud 环境的网络流量。这些位置可以来自公共互联网、本地位置或其他云环境。对于 Google Cloud 上的大部分服务，入站流量免费。对于处理面向互联网的流量管理的一些服务（例如 Cloud Load Balancing、Cloud CDN 和 Google Cloud Armor），它们根据它们所处理的入站流量的多少计费。
• 出站流量：以任何方式离开 Google Cloud 环境的网络流量。许多 Google Cloud 服务都会收取出站流量费用，包括 Compute Engine、Cloud Storage、Cloud SQL 和 Cloud Interconnect。
• 区域和地区流量：Google Cloud 中跨区域或地区边界的网络流量也可能会产生带宽费用。这些费用会影响您设计应用以实现灾难恢复和高可用性的方式。与出站流量费用类似，跨区域和跨地区流量费用适用于许多 Google Cloud 服务，是规划高可用性和灾难恢复时的一项重要考虑因素。例如，向其他地区的数据库副本发送流量会产生跨地区流量费用

自动进行并控制您的网络设置

在 Google Cloud 中，物理网络层是虚拟化的，您可以使用 软件定义网络 (SDN) 来部署和配置您的网络。为了确保以一致且可重复的方式配置网络，您需要了解如何自动部署和删除您的环境。您可以使用 IaC 工具，例如 Terraform。

安全

您在 Google Cloud 中管理和维护系统安全的方式以及您使用的工具不同于在管理本地基础架构时所用的方式和工具。随着时间的推移，您的方法将发生更改并不断改进，以适应新的威胁、新的产品以及改进的安全模型。

您与 Google 共担的责任可能不同于您当前提供商的责任，了解这些更改对于确保工作负载的持续安全性和法规遵从性至关重要。强大、可验证的安全性和法规遵从性往往相互交织，都是从强大的管理和监督实践、Google Cloud 最佳做法的一致实施以及主动威胁检测和监控开始。

如需详细了解如何在 Google Cloud 上设计安全环境，请参阅确定 Google Cloud 着陆区的安全性。

监控、提醒和日志记录

如需详细了解如何设置监控、提醒和日志记录，请参阅：

• 设置监控、提醒和日志记录
• 集中聚合审核日志
• 查看保护对敏感日志的访问权限的最佳实践

治理

针对您的组织，请考虑以下问题：

• 您如何确保您的用户支持并满足其合规性要求，并使其与您的业务政策保持一致？
• 有哪些策略可用于维护和组织您的 Google Cloud 用户和资源？

有效的管控对于帮助确保 Google Cloud 中的资产的可靠性、安全性和可维护性至关重要。与在任何系统中一样，熵会随着时间的推移而自然增加，如果不加控制，则可能会导致云散乱和其他可维护性难题。如果缺乏有效管控，这些难题的积累可能会影响您实现业务目标和降低风险的能力。规范规划和强制执行有关命名惯例、标签策略、访问权限控制、费用控制和服务等级的标准是云迁移策略的一个重要组成部分。更广泛地讲，制定管控策略可使利益相关方与业务领导者保持一致。

支持持续的法规遵从性

为帮助支持 Google Cloud 资源的组织范围的法规遵从性，请考虑建立一致的资源 命名和分组策略。Google Cloud 提供了多种方法，用于对资源进行注释并强制执行政策：

• 安全标记 可让您对资源进行分类，以便通过 Security Command Center 提供安全性数据分析，并对资源组强制执行政策。
• 标签 可跟踪您在 Cloud Billing 中的资源支出，并在 Cloud Logging 中提供额外的数据分析。
• 借助防火墙标记，您可以在全球网络防火墙政策和区域级网络防火墙政策中定义来源和目标。

如需了解详情，请参阅风险和合规即代码。

后续步骤

• 了解如何在 Google Cloud 中实现安全基础。
• 继续进行云迁移，并探索如何将数据转移到 Google Cloud。
• 了解如何寻求迁移帮助。
• 探索有关 Google Cloud 的参考架构、图表和最佳实践。查看我们的 Cloud Architecture Center。