迁移到 Google Cloud:构建您的基础

本文档可帮助您为自己的工作负载创建基本的云基础架构。此外,它还可帮助您规划此基础架构如何支持您的应用。该项规划包括身份管理、组织和项目结构以及网络。

本文档是关于迁移到 Google Cloud 的系列文章中的一篇。如果您想要了解该系列文章,请参阅迁移到 Google Cloud:选择迁移路径

本文档是以下系列文章中的一篇:

下图说明了迁移过程的路径。

迁移路径包含四个阶段。

如果您计划从本地环境、私有托管环境或其他云提供商迁移到 Google Cloud,或者您要评估迁移机会并希望了解其具体操作,那么本文档非常有用。企业新手入门核对清单 和本文档可帮助您了解可用的产品、服务和选项,帮助您在 Google Cloud 上构建您的基础。

在计划迁移到 Google Cloud 时,您需要了解一系列与云架构相关的主题和概念。基础规划不佳可能会导致您的企业遇到延迟、混乱和停机问题,并且可能为成功进行云迁移带来风险。本指南简要介绍了 Google Cloud 基础概念和决策点。

本文档的每个部分都提出了您在 Google Cloud 上构建基础之前需要为您的组织提出和解答的问题。这些问题并不详尽;它们旨在促进您的架构团队与业务领导者之间就适合您的组织的内容展开讨论。您的基础架构、工具、安全性和帐号管理计划对于您的业务是独一无二的,需要您的深思熟虑。完成本文档并为组织回答这些问题后,您即可开始正式规划支持向 Google Cloud 迁移的云基础架构和服务。

企业注意事项

针对您的组织,请考虑以下问题:

  • 迁移到 Google Cloud 后,您与您的基础架构提供商之间可能存在哪些 IT 责任变动?
  • 在迁移到 Google Cloud 期间以及之后,您如何支持或满足法规(例如美国《健康保险流通与责任法案》(HIPAA) 或 GDPR)遵从要求?
  • 您如何根据数据驻留要求控制数据的存储和处理位置?

责任共担模型

您与 Google Cloud 之间的共同责任可能与以往您所熟悉的相关内容不同,您需要了解它们对您的业务产生的影响。您之前实施的用于预配、配置和使用资源的流程可能会发生改变。

请查看 服务条款Google 安全模型,简要了解您的组织与 Google 之间的合同关系,以及使用公有云提供商所产生的影响。

法规遵从性、安全性和隐私

许多组织都具有关于行业和政府标准、法规和认证的法规遵从方面的要求。许多企业工作负载都受监管审查的约束,可能需要您和您的云提供商证明其合规性。如果您的业务受 HIPAA 或 HITECH 的监管,请确保您了解 您的责任 以及受监管的 Google Cloud 服务。如需了解 Google Cloud 认证和合规性标准,请参阅 合规性资源中心。如需详细了解特定于区域或特定于行业的法规,请参阅 Google Cloud 和一般数据保护条例 (GDPR)

信任与安全 对每个组织都至关重要。Google Cloud 为许多服务实现了共享安全模型,例如 Google Kubernetes Engine 的共享安全模型和 PCI DSS 的共担责任表。]

Google Cloud 信任原则 可帮助您了解我们对保护您以及您的客户的数据隐私所做的承诺。如需详细了解 Google 的安全性和隐私设计方法,请参阅 Google 基础架构安全设计概览

数据驻留注意事项

地理位置也可能是合规性的一个重要考虑因素。确保您了解您的数据驻留要求,并实施将工作负载部署到新区域的政策,以 控制数据的存储和处理位置。了解如何使用 资源位置限制 来帮助确保您的工作负载只能部署到预先批准的区域。在为您的工作负载选择部署目标时,您需要考虑到 不同 Google Cloud 服务的区域性。确保您了解法规遵从方面的要求以及如何实施有助于确保合规性的管控策略。

资源层次结构

针对您的组织,请考虑以下问题:

  • 您的现有业务和组织结构如何映射到 Google Cloud?
  • 您希望多久对资源层次结构进行一次更改?
  • 项目配额如何影响您在云端创建资源的能力?
  • 您如何将现有云部署与迁移后的工作负载相结合?
  • 管理同时处理多个 Google Cloud 项目的多个团队的最佳做法有哪些?

Google Cloud 资源层次结构 设计体现了您当前的业务流程、沟通渠道和报告结构。资源层次结构为您的云环境提供了必要的结构,确定了您为所用资源付费的方式,并且建立了用于授予角色和权限的安全模型。您需要了解现在您的企业是如何实施这些方面的,并规划如何将这些流程迁移到 Google Cloud。

了解 Google Cloud 资源

资源是构成所有 Google Cloud 服务的基本组成部分。组织资源 是 Google Cloud 资源层次结构的顶端。属于组织的所有资源都会在组织节点下进行分组。这种结构使您可以集中查看和控制属于组织的所有资源。

一个组织可以包含一个或多个 文件夹,并且每个文件夹可以包含一个或多个项目。您可以使用文件夹对相关项目进行分组。

Cloud 项目 包含多种服务资源,例如 Compute Engine 虚拟机 (VM)、Pub/Sub 主题、Cloud Storage 存储分区、Cloud VPN 端点以及其他 Google Cloud 服务。您可以使用 Cloud Console、Cloud Shell 或 Cloud API 创建资源。如果您预期经常要对环境进行更改,请考虑采用基础架构即代码 (IaC) 方法来简化资源管理。

管理您的 Cloud 项目

Google Cloud 会针对每个项目强制执行资源使用 配额。这些配额针对项目可以使用的特定 Google Cloud 资源设置了限制。配额管理对任何到 Google Cloud 的迁移都至关重要,因此您应在迁移策略中加入详细的配额计划。

另外,配额是资源层次结构中 Cloud 项目的一种特性。在规划 Google Cloud 基础时,拥有较多项目可帮助您更好地管理配额。例如,请查看有关 Virtual Private Cloud (VPC) 资源配额的文档,以更好地了解选择 标准 VPC共享 VPC 所产生的配额影响。

查看 企业组织最佳做法,获取有关规划 Google Cloud 资源层次结构的帮助并了解其他基础主题。如果您已在 Google Cloud 中进行工作,并且创建了独立的项目作为测试或概念验证,则可以 将现有 Cloud 项目迁移到您的组织

Identity and Access Management

针对您的组织,请考虑以下问题:

  • 谁将控制、管理和审核对 Google Cloud 资源的访问权限?
  • 迁移到 Google Cloud 后,您的现有安全和访问政策将如何改变?
  • 您如何安全地让您的用户和应用与 Google Cloud 服务进行交互?

Identity and Access Management(IAM) 可让您授予对 Google Cloud 资源的精细访问权限。Cloud Identity 是一种单独但相关的服务,可帮助您迁移和管理您的身份。概括来讲,了解如何管理对 Google Cloud 资源的访问权限是如何预配、配置和维护 IAM 的基础。

了解身份

Google Cloud 使用 身份 进行身份验证和访问权限管理。如需访问任何 Google Cloud 资源,您组织中的成员必须拥有 Google Cloud 可以识别的身份。Cloud Identity 是一种身份即服务 (IDaaS) 平台,可让您集中管理可访问 Google Cloud 资源的用户和群组。通过在 Cloud Identity 中设置用户,您可以为数千个第三方软件即服务 (SaaS) 应用设置 单点登录 (SSO)。您设置 Cloud Identity 的方式取决于您当前管理身份的方式。您可以通过以下三种常见方式在 Google Cloud 中设置身份:

  • 直接在 Google Cloud 中管理身份。
  • 使用现有的 Google Workspace 帐号。
  • 使用现有身份提供商 (IdP)。

如果您希望直接在 Google Cloud 中管理身份,则可以使用 Cloud Identity,而无需任何原有 IdP。如果您是 Google Workspace 客户,则可以使用 Google Workspace 应用所用的身份在混合环境中对公司用户进行身份验证。如果您组织中已有 IdP,则可以 将现有 IdP 与 Google Cloud 结合使用

迁移身份

如果您的当前环境中已有 IdP,则使用 身份联合 可在支持 SSO 的同时让您继续管理当前 IdP 中的身份。企业 IT 部门通常依靠现有目录服务来管理用户帐号并控制对应用和计算资源的访问权限。

身份联合的工作原理是将您当前 IdP 中的身份同步到 Google Cloud,并将身份验证委托给现有 IdP。这种类型的配置意味着用户仅登录一次,并且由于他们已在您的系统中经过了身份验证,因此,借助身份联合,这些用户还可以访问 Google Cloud 资源。

借助 Google Cloud Directory Sync,您可以将身份和群组从轻量级目录访问协议 (LDAP) 服务器同步到 Google Cloud。Google Cloud Directory Sync 通过安全连接与 Identity Platform 进行通信,并且通常在您的现有计算环境中运行。

了解访问权限管理

用于管理访问权限的模型包含四个核心概念:

  • 成员:可以是 Google 用户、服务帐号(针对 Google Cloud 产品)、Google 群组,或者可以访问资源的 Google Workspace 或 Cloud Identity 帐号。成员无法执行他们无权执行的任何操作。
  • 角色:权限集合。
  • 权限:确定可对资源执行的操作。向成员授予某角色,即授予该角色所包含的所有权限。
  • IAM 政策:将一组成员绑定到某个角色。如果要定义哪些成员可以访问资源,则需要创建政策并将其与该资源关联。

正确设置并有效管理成员、角色和权限构成了 Google Cloud 安全状况的支柱。访问权限管理有助于防止内部滥用,并且有助于防止对您的资源进行未经授权访问的外部尝试。

了解应用访问权限

除用户和群组外,还存在另一种身份,名为 服务帐号。服务帐号是您的程序和服务可用于对 Google Cloud 资源进行身份验证和访问的一种身份。

服务帐号由用户管理或者由 Google 管理。 用户管理的服务帐号 包括您使用 IAM 明确创建和管理的服务帐号,以及内置于所有 Cloud 项目中的 Compute Engine 默认服务帐号。Google 管理的服务帐号 是自动创建的服务帐号,代表您运行内部 Google 流程。

使用服务帐号时,请务必了解 应用默认凭据,并遵循我们建议的 服务帐号的最佳做法,避免将资源暴露于不应有的风险之中。最常见的风险包括权限提升或意外删除重要应用所依赖的服务帐号。

遵循最佳做法

正确配置 IAM 可帮助您 记录和审核 用户执行的任何操作。请务必 了解角色和权限,并根据 最低权限原则 授予角色。请定期查阅 IAM 角色建议,以识别对 IAM 用户过度授予的权限。

在设计 IAM 政策时,请避免一些 常见错误。请注意,子级资源上设置的政策 无法限制对其父级授予的访问权限。请检查在每项资源上授予的政策,并确保您了解层次结构沿用设置。了解何时使用基本角色、预定义角色和自定义角色组织政策限制,以及如何测试权限IAM 最佳做法 还有助于解释常见的实现模式。

将您的应用的每个组件视为单独的信任边界。如果您有多个需要不同权限的服务,请为每个服务创建一个单独的服务帐号,然后只为每个服务帐号授予必需的权限。为您的用户帐号 强制执行多重身份验证,并帮助确保 通过移动设备进行安全访问。Google 已将其最低权限原则和零信任安全性概念纳入名为 BeyondCorp 的企业安全性新模型。

结算

针对您的组织,请考虑以下问题:

  • 您的现有财务跟踪方法将如何改变或适应 Cloud Billing?
  • 您的帐单将会寄到哪里?付款方式有哪些?
  • “随用随付”结算模式将如何改变您分配资金和获取 IT 服务的方式?
  • 应用所有者会如何将其云支出归因于现有成本中心?

评估您的结算要求

如何支付所用 Google Cloud 资源的费用是您的业务的一项重要考虑因素,并且是您与 Google Cloud 的关系的一个重要组成部分。您可以在 Cloud Console 中使用 Cloud Billing,与云环境的其他部分一起管理结算。

资源层次结构 概念和 结算 概念紧密相关,因此您和您的业务利益相关方都务必要了解这些概念。请务必全面评估并了解您的当前核算和报告要求,以便以符合要求的方式 设置 Cloud Billing 帐号。如果您的组织中有其他 Google Cloud 帐号,则可以 将 Cloud Billing 帐号迁移 到您的组织。

本地结算问题涉及物理硬件和设施的维护、供电和冷却。Cloud Billing 有自己的独有问题,包括使用多个帐号、预算、标签和报告选项。

管理对 Cloud Billing 的访问权限

Cloud Billing 帐号定义谁为一组指定的资源付费。 这些帐号与设置了付款方式的付款资料相关联。 创建 Cloud Billing 帐号 时,您需要确定组织中谁是 Cloud Billing 管理员。您还需要定义谁可以访问 Cloud Billing 帐号,以及允许他们通过该帐号执行哪些操作。如需了解详情,请参阅 Cloud Billing 访问权限控制

为了帮助控制费用和强制执行预算限制,请了解如何 创建预算和设置提醒,以便在资源使用量达到特定阈值时收到通知。

管理和分析费用

资源按 Google Cloud 项目进行分组,并且 Cloud Billing 帐号与一个或多个项目相关联,以确定谁为哪些资源付费。您可以使用 标签 实现更精细的费用归属,例如向各团队或成本中心收取使用费。在 将结算数据导出到 BigQuery 进行详细分析时,标签非常有用。您还可以使用 Orbitera 等高级工具来帮助管理复杂的结算安排。

如果您打算使用 Cloud Billing 标签来更好地了解组织的云支出,则应将标签纳入您的云管控策略中。这些工作有助于确保在 Google Cloud 中推出的所有资源都附有适当的标签。

连接性与网络

针对您的组织,请考虑以下问题:

  • 软件定义网络将如何改变您管理工作负载之间的连接性的方式?
  • 如何在 Google Cloud 中设置网络防火墙规则?
  • 如何在全球范围内部署工作负载?
  • 有哪些策略可用于将现有的本地环境与新的云环境相关联?

评估您的网络要求

网络架构决定了 Google Cloud 资源的细分方式,以及它们与现有本地环境、公共互联网、任何第三方服务及其他 Google 资源之间的通信方式。此架构依赖于以下多个方面:您的当前网络架构、合规性与法规遵从要求、可伸缩性和灾难恢复注意事项、性能要求以及 Google Cloud 网络最佳做法。您需要了解这些 Google Cloud 网络概念如何与您的当前基础架构相关联。

在计划迁移到 Google Cloud 时,您需要确定要将工作负载迁移到的 区域和地区。确保您了解这些决定如何与您的业务目标及法规遵从要求相关联。

了解 VPC

Virtual Private Cloud (VPC) 是 Google Cloud 中由您控制的专用网络空间,并且是您的网络架构的基本组成部分。配置您的 VPC 需要了解一些重要的安全性和管控注意事项。如果配置正确,VPC 有助于巩固您的基础并加速您的迁移。

VPC 可让您灵活地在多个地区和区域之间进行扩缩,并配置工作负载的连接和部署方式。这种多区域功能对于规划组织的灾难恢复工作和规划产品和服务的全球可用性至关重要。

您可以为整个组织运行单个 VPC 并在多个 Cloud 项目之间进行共享,也可以设置多个 VPC。您还可以利用 共享 VPC 将多个 Cloud 项目中的资源连接到一个共有的 VPC 网络,或使用 VPC 对等互连 连接不同项目或组织中的多个 VPC。

Google Cloud 中的防火墙管理可能与您的网络团队所熟悉的不同。因此,您需要了解现有防火墙配置如何转换为 VPC 防火墙规则,以帮助保护您的工作负载并最大限度地减少云资产的受攻击面。

了解区域和地区

Google Cloud 在 多个不同位置 托管其基础架构,因此您可以选择资源的部署位置,您还可以通过 Google Cloud 扩缩工作负载以利用 Google 的全球网络。

区域是独立的地理位置,由多个地区组成。地区是区域中 Google Cloud 资源的单个部署位置。将地区视为区域内的单个故障网域。Google Cloud 中的资源可以是 全球资源、多区域资源、区域性资源或地区性资源。例如,VPC 及其关联路由和防火墙规则是全球性的,这意味着它们不与任何特定区域或地区相关联。选择如何部署资源时,需要考虑诸多因素;请务必了解地理位置如何影响您的结算、网络架构、性能、灾难恢复以及法规遵从情况。

了解连接性选项

您的工作负载可能需要连接到您的本地环境和公共互联网。请花一些时间了解 Google Cloud 提供的用于管理与本地或多云端环境的连接的 混合连接选项。每种连接选项都具有不同的特性,您应查找最符合您的业务要求的产品。每种方法都具有重要的安全性、性能和法规遵从性影响。

您可以使用以下方法将您的 VPC 连接到本地网络:

Cloud VPN 可以快速设置,并且可让您通过 IPsec VPN 隧道经由互联网安全连接到 Google Cloud 网络。Cloud Interconnect 可通过灵活的带宽方式创建到 VPC 的专用、企业级、高可用性、低延迟连接。建立 Cloud Interconnect 所需的时间比建立 Cloud VPN 连接要长,并且通常需要使用 合作伙伴互连。使用直接对等互连或运营商对等互连也是一种专用、企业级连接方式,如果您满足 Google 的 要求,则可以降低带宽费用并减少设置时间。

根据业务需求,您可以结合使用 VPN、Cloud Interconnect 或对等互连。VPC 最佳做法 概述了许多最常见的连接方式。选择并实施您的连接方式之后,Cloud Router 服务可使用 边界网关协议 (BGP) 与您的本地网络交换路由信息。

您可以使用 Cloud NAT 向您的专用虚拟机和 Google Kubernetes Engine (GKE) 集群提供对公共互联网的安全、受控访问。规划云中的 IP 地址。规划 Google Cloud 环境时,您必须了解各种可用 IP 地址选项。首先,了解创建 VPC 时具有的各种默认 IP 地址选项。您可以使用 自动模式 在各个区域自动创建 预定义专用 IP 地址范围 的子网。或者,您可以使用 自定义模式 网络,该网络允许您仅使用 您指定的区域和 IP 地址范围 来确定要创建的子网。如果您使用自动模式构建 VPC,则可以在以后随时 将其转换为自定义模式,但您无法从自定义模式转换回自动模式。您应始终先规划生产网络,然后再进行部署。我们建议在生产环境中使用自定义模式。

虚拟机可以具有一个主要内部 IP 地址、一个或多个 次要 IP 地址 和一个外部 IP 地址。如需在同一 VPC 网络上的实例之间进行通信,您可以使用实例的内部 IP 地址。如需与公共互联网进行通信,除非您已配置代理或 Cloud NAT,否则必须使用实例的外部 IP 地址。同样,除非网络是通过 VPC 对等互连 或 Cloud VPN 进行连接的,否则您必须使用实例的外部 IP 地址连接到同一 VPC 网络外的实例。外部和内部 IP 地址可以是 临时静态 IP 地址。

许多其他 Google Cloud 服务的 IP 地址规则会影响您设计 Google Cloud 基础的方式。例如,您可以使用 基于路由的 规则或 VPC 原生 规则来创建 GKE 集群。在设计 pod 时,GKE 具有关于 优化 IP 地址分配 的指导。请务必浏览您计划在 Google Cloud 中使用的每项服务的 IP 设计详细信息。

了解 DNS 选项

Cloud DNS 可用作您的公共 域名系统 (DNS) 服务器。VPC 中包含一种名为 内部 DNS 的单独但类似的服务。您可以为专用网络使用内部 DNS 服务,而不用手动迁移和配置自己的 DNS 服务器。如需了解详情,请参阅内部 DNS 与 Cloud DNS 的不同之处。如果您具有一些 IP 地址,并且希望在 Google Cloud 中使用这些地址,请了解如何迁移您的 IP 地址。如需详细了解如何实施 Cloud DNS,请参阅 Cloud DNS 最佳做法

了解数据传输

本地网络的管理和定价方式与云网络截然不同。在管理您自己的数据中心或对接网点时,安装路由器、交换机和布线需要固定的预付资本支出。在云端,您需要承担数据传输的费用,而不是安装硬件的固定费用和持续的维护费用。了解数据传输费用,在云端准确规划和管理数据传输费用。

在规划流量管理时,可以通过以下三种方式计费:

  • 入站流量:从外部位置进入 Google Cloud 环境的网络流量。这些位置可以来自公共互联网、本地位置或其他云环境。对于 Google Cloud 上的大部分服务,入站流量免费。对于处理面向互联网的流量管理的一些服务(例如 Cloud Load BalancingCloud CDNGoogle Cloud Armor),它们根据它们所处理的入站流量的多少计费。
  • 出站流量:以任何方式离开 Google Cloud 环境的网络流量。许多 Google Cloud 服务都会收取出站流量费用,包括 Compute Engine、Cloud Storage、Cloud SQLCloud Interconnect
  • 区域和地区流量:Google Cloud 中跨区域或地区边界的网络流量也可能会产生带宽费用。这些费用会影响您设计应用以实现灾难恢复和高可用性的方式。与出站流量费用类似,跨区域和跨地区流量费用适用于许多 Google Cloud 服务,是规划高可用性和灾难恢复时的一项重要考虑因素。例如,向其他地区的数据库副本发送流量会产生跨地区流量费用

自动进行并控制您的网络设置

在 Google Cloud 中,物理网络层是虚拟化的,您可以使用 软件定义网络 (SDN) 来部署和配置您的网络。您可以将 SDN 视为 IaC 的网络子集。为了确保以一致且可重复的方式配置网络,您需要了解如何自动部署和删除您的环境。您可以使用 IaC 工具,例如 Deployment Manager。Google Cloud 还支持开源 IaC 工具,例如 Terraform

安全

针对您的组织,请考虑以下问题:

  • 如何将现有的安全工具和流程映射到新的 Google Cloud 环境?
  • 若要利用基于云的安全服务并适应新式云安全模型,您需要进行哪些管理和流程更改?
  • Google 如何在 Google Cloud 中保护您的私有数据的安全和隐私?
  • 您如何保护您的云环境免受数据渗漏和其他不断变化的安全威胁的影响?

了解 Google Cloud 安全模型

您在 Google Cloud 中管理和维护系统安全的方式以及您使用的工具不同于在管理本地基础架构时所用的方式和工具。随着时间的推移,您的方法将发生更改并不断改进,以适应新的威胁、新的产品以及改进的安全模型。零信任安全性 是 Google 开创的一种新型企业安全方法,很可能不同于您当前为本地工作负载所采用的安全模型。

大多数公司都使用防火墙来帮助强制执行边界安全机制。但是,这种安全模式存在问题,因为边界被打破后,攻击者可以较轻松地访问公司的特权内网。

迁移可能涉及采用新的工具、技术、做法和对企业安全性的态度,从而改善您的安全状况,帮助保护您的任务关键型工作负载免遭攻击,并保护您的数据免遭操纵和渗漏。请务必了解如何针对零信任安全性环境调整您的当前做法和工具。如需了解详情,请参阅 BeyondCorp 白皮书

您与 Google 共担的责任可能不同于您当前提供商的责任,了解这些更改对于确保工作负载的持续安全性和法规遵从性至关重要。强大、可验证的安全性和法规遵从性往往相互交织,都是从强大的管理和监督实践、Google Cloud 最佳做法的一致实施以及主动威胁检测和监控开始。

保护您的数据

Google 安全策略的核心是身份验证、完整性和加密,对于静态数据和传输中的数据均适用。静态加密 通过加密存储的数据,帮助防止您的数据受到系统入侵或数据渗漏的危害。当数据在本地环境和 Google Cloud 之间移动或者在两个 Google Cloud 服务之间移动时,如果通信遭到拦截,传输加密 可帮助保护您的数据。安全管理加密密钥是整体安全和监管状况的一个重要方面。

您可以使用 Cloud Key Management Service (Cloud KMS) 管理加密密钥,将加密密钥保存在一个中心位置。例如,了解如何使用 Cloud KMS 配置 密钥轮替 不仅是一种不错的安全做法,而且是支持 PCI 数据安全标准 合规性所必需的。确保您知道何时需要 硬件安全模块 来保护您的密钥,如何 管理 Cloud KMS 中的密钥 以及如何配置 密钥访问和密钥环

对于存储或处理敏感客户数据或内部商家信息的工作负载,请了解如何使用 Cloud Data Loss Prevention 帮助保护这些工作负载。

借助 VPC,您可以为 Google Cloud 服务的资源 配置安全边界,并控制跨边界的数据移动。VPC 在 IAM 的范围之外运行,因此即使您的 IAM 凭据被破解,您的数据也能受到保护。

保护您的应用

为了在云端安全运行应用,您首先需要评估每个应用的安全需求。此评估有助于确保正确配置和管理您的 VPC、网络路由政策、防火墙规则和 IAM。除了解网络层面的政策外,您还需要了解何时使用 Identity-Aware Proxy 以及如何将其配置为应用的中央授权层。其他工作负载可能需要来自 安全强化型虚拟机 的操作系统级保护,以实现增强的安全性或满足法规遵从性要求。面向公众的应用可能需要通过配置 Google Cloud Armor 政策 获得有效的 DDoS 保护。

管理风险

您和您的安全管理员应了解 Security Command Center (SCC),以帮助您跟踪和监控整个组织的潜在安全风险。Security Command Center 可帮助您在攻击者利用这些风险之前消除这些风险。如果 Google 的核心基础架构存在已知风险,Google 会公开 报告、传达和解决此类突发事件的过程。这些突发事件管理政策和流程与 Google 在内部使用的政策和流程相同,您可以考虑为您的组织采用这些流程以便更好地保护您的资产。有关 Google 如何处理突发事件响应的完整策略方案,请参阅 《站点可靠性工程》一书的第 9 章

监控和提醒

针对您的组织,请考虑以下问题:

  • 您的当前监控解决方案如何与 Google Cloud 进行互操作?
  • 您在监控您的服务和 Google Cloud 提供的服务时有哪些选择?
  • 您如何实现对您的服务的安全、透明访问,以符合监管机构和审核员的要求?

评估当前的监控和提醒解决方案

您的当前企业 IT 环境可能已经采用了一种或多种日志记录和监控解决方案。在 Google Cloud 中,您可以将基础架构的所有日志记录、指标和事件聚合到 工作区 中。请务必了解管理从基础架构和工作负载生成的日志记录数据的方式。

如果要集中管理日志记录数据,您可以将日志从 Cloud Logging 导出到现有解决方案,或从当前工具导入日志。Cloud Logging 支持丰富且不断发展的 集成生态系统,以扩展 Google Cloud 客户可用的运营、安全性和合规性功能。

了解日志记录

Cloud Logging 聚合了多个 Google Cloud 服务中的日志记录数据,供您的团队执行分析、审核用户活动、监控工作负载以及响应问题。您的突发事件响应团队可以使用 Cloud Logging 作为检测、响应和修复应用 Bug 和安全突发事件的命令中心。通过 Cloud Logging 收集的信息,您可以使用从各种来源(包括 IAM 审核日志VPC 流日志代理日志)收集的数据,深入了解您的 Google Cloud 环境。这些日志以原始形式流入 Cloud Logging,并通过实施 指标提醒过滤条件 而丰富。您的团队需要了解要监控什么以及如何监控、如何分析收集的数据,以及如何创建相关且可操作的提醒。

除了实时监控外,您还可以通过 将 Cloud Logging 数据导出到 BigQuery,对大型日志记录数据集执行自定义分析。例如,您可以查询日志,了解应用性能如何与 Google Cloud 上的内部用户操作相关联。

Cloud Logging 会收集有关您的工作负载和基础架构的重要且通常属于机密的数据。与所有 Google Cloud 服务一样,请务必了解如何 使用 IAM 控制对 Cloud Logging 的访问。您可以使用 Cloud Audit Logs 查看授权用户执行的操作。当您与 Google Cloud 支持人员互动以帮助诊断问题时,我们的支持人员可能需要访问您的环境。您可以启用 Access Transparency 来审核支持团队所采取的操作。

工作区 是一种单一管理平台,您可以在其中为多个 Cloud 项目配置日志记录、监控和提醒。在混合和多云端环境中,您可以使用 Cloud Logging 来监控您的 本地基础架构 和您的 Amazon Web Services (AWS) 环境。由于工作区聚合了来自多个来源的指标,因此最佳做法是在单独的 Cloud 项目中设置工作区和相关工具(例如 BigQuery)。然后,您可以有效定制对此信息的访问权限,避免影响 项目配额

了解指标和提醒

Cloud Monitoring 中的指标是了解基础架构工作负载状态的主要工具。指标是 Cloud Monitoring 所收集的观察对象,可帮助您了解应用和系统服务的性能。Google Cloud 提供了 超过 1000 种指标类型,可帮助您监控 Google Cloud、AWS 和其他平台。此外,您还可以根据您的用例和业务需求创建 自定义指标,以监控工作负载和基础架构的其他方面。充分了解指标对于创建有用提醒至关重要。可以通过配置 提醒政策 触发提醒。

指标还会流向 信息中心 中显示的数据和 Cloud Monitoring 中的图表。了解如何将 透明的服务等级指标 整合到您的监控中,以帮助诊断问题。您可以确定问题可能是由您的某个业务工作负载造成的,还是由一个或多个 Google Cloud 服务的降级造成的。您还可以使用 Google Cloud 状态信息中心 快速地大致了解 Google Cloud 基础架构的当前运行状态。

与 Google Cloud 交互

针对您的组织,请考虑以下问题:

  • 您的用户和应用如何与 Google Cloud 服务交互?
  • 您如何自动预配新资源?这如何影响您的现有业务流程?

比较方法

您可以通过多种方式与 Google Cloud 服务交互:

  • Cloud API 提供了编程接口,用于通过您的应用代码与 Google Cloud 交互。Cloud API 是与 Google Cloud 进行的每一次交互的基础。
  • Cloud Console 是一个图形界面,可让您在浏览器中与 Google Cloud 进行交互。
  • Cloud SDK 是一种对开发者友好的软件库,可让您的应用与 Cloud API 进行交互。
  • gcloud 命令行工具 是一种工具,可让您通过命令行调用 Cloud API,它对编写重复性任务的脚本非常有用。
  • 借助基础架构即代码 (IaC) 工具(例如 Deployment ManagerTerraform),您可以在源代码中管理基础架构部署并使用 Cloud API 实现资源预配标准化。

不同的用户和系统与 Google Cloud 交互的方式各有不同,具体取决于其角色和功能。例如,财务团队成员可能使用 Cloud Console 与 BigQuery 中的 Cloud Billing 日志进行交互。自动部署过程可通过直接调用 Cloud API 来预配资源。了解如何正确使用每种方法对于正确管控和保护您的云环境至关重要。

特定于产品的交互

Cloud Storage 和 GKE 等服务提供了自己的工具,用于与这些服务进行精细交互。例如,Cloud Storage 提供了一种名为 gsutil 的工具。请务必了解此工具,以优化数据迁移并正确管理 Cloud Storage 存储分区的安全性。在 GKE 中,您可以使用 Cloud Console 或 gcloud 命令行工具部署集群,但使用 kubectl 命令行工具 执行集群管理。

实现交互自动化

Google Cloud 还提供了 Cloud Build,这是一种用于支持构建和部署代码的托管式服务。对于可以利用 IaC 的服务,Deployment Manager 可让您管理 Google Cloud 服务和产品的生命周期。

您可以使用 Cloud API 自动执行与特定资源的交互。在 Google Cloud 中,Cloud API 按项目启用,您的管控策略应确定允许谁在什么条件下 启用 Cloud API。使用这些 API 会消耗 Google Cloud 服务中的资源并产生费用,因此请务必了解启用 Cloud API 将如何影响您的结算。

治理

针对您的组织,请考虑以下问题:

  • 您如何确保您的用户支持并满足其合规性要求,并使其与您的业务政策保持一致?
  • 有哪些策略可用于维护和组织您的 Google Cloud 用户和资源?

有效的管控对于帮助确保 Google Cloud 中的资产的可靠性、安全性和可维护性至关重要。与在任何系统中一样,熵会随着时间的推移而自然增加,如果不加控制,则可能会导致云散乱和其他可维护性难题。如果缺乏有效管控,这些难题的积累可能会影响您实现业务目标和降低风险的能力。规范规划和强制执行有关命名惯例、标签策略、访问权限控制、费用控制和服务等级的标准是云迁移策略的一个重要组成部分。更广泛地讲,制定管控策略可使利益相关方与业务领导者保持一致。

支持持续的法规遵从性

为帮助支持 Google Cloud 资源的组织范围的法规遵从性,请考虑建立一致的资源 命名和分组策略。Google Cloud 提供了多种方法,用于对资源进行注释并强制执行政策:

  • 安全标记 可让您对资源进行分类,以便通过 Security Command Center 提供安全性数据分析,并对资源组强制执行政策。
  • 标签 可跟踪您在 Cloud Billing 中的资源支出,并在 Cloud Logging 中提供额外的数据分析。
  • 网络标记 通过确定哪些虚拟机受防火墙和网络规则的约束来控制进出虚拟机的网络流量。

例如,您可以使用 Cloud Functions 作为法规遵从性即代码解决方案。在 Cloud Functions 函数中,您可以使用 Cloud API 来验证名称 和已预配资源上的标签,并确保遵循您的标准。在某些情况下,您可以自动取消预配违反既定标准的资源。在迁移规划过程中制定这些标准和惯例并确定如何强制执行非常重要。您还可以 防止意外删除 重要资源,并且可以使用 Cloud Functions 针对具有特定标签的资源自动强制执行此类保护措施。确保您了解如何利用 IAM 条件 根据资源的特定属性来更改访问权限。

为涉及迁移的员工赋能

针对您的组织,请考虑以下问题:

  • 您是否具备规划和执行迁移到云端所需的知识、经验和人员?
  • 您如何在云迁移过程中获得策略指导和技术支持?
  • 在云端运行后,您可以在哪里获取帮助?

评估您的能力

迁移到 Google Cloud 对您的业务来说是一项重要的战略性转变。组织可通过多种方式选择如何分解任何云迁移工作。一些公司可能选择仅使用内部资源,其他公司则可能将此项工作完全外包出去,但大部分公司都介于两者之间。了解您自己的能力(包括您当前组织的知识和专业知识),可帮助您在这些方法之间取得恰当的平衡。

每个组织都应高度重视对员工的培训。 借助 Google Cloud 认证,您的现有团队能够展示和验证在业务中充分运用 Google Cloud 技术所需的技能。此外,Google 还通过 高级课程动手实验直接培训活动 提供了各种 培训 方式。

与云专家合作

Google 提供了专业咨询服务,帮助您完成迁移到 Google Cloud 的各个阶段。

在选择顾问时,您需要与帮助构建 Google Cloud 基础架构的专家合作。他们可以为您的团队提供成功完成工作的最佳做法和指导原则方面的培训。

您可能需要考虑与 Google Cloud 合作伙伴 进行协作,具体取决于您的项目需求。合作伙伴通过了 Google 的一项或多项专长审核,并雇有 Google Cloud 认证专家。合适的合作伙伴可以提供专业知识和实践指导,帮助加速您的云迁移。

了解支持方式

您的业务在 Google Cloud 上运行后,Google Cloud 支持团队 可首先帮助您防范问题出现。如果您遇到问题,支持团队可以帮助您迅速找到问题根源,并提供长期解决方案来避免问题再度出现。了解您 可以使用的各种支持方式,并确定适合您的业务的方式。

后续步骤