Best Practices für Unternehmen

In diesem Leitfaden werden Best Practices vorgestellt, die Unternehmenskunden wie Sie beim Einstieg in die Google Cloud Platform (GCP) unterstützen sollen. Der Leitfaden ist nicht als vollständige Liste von Empfehlungen zu betrachten. Er soll Unternehmensarchitekten und Technologie-Stakeholdern einen Überblick über den Umfang der Aktivitäten bieten, damit sie entsprechend planen können. In jedem Abschnitt werden wichtige Aktionen und weiterführende Links aufgeführt.

Bevor Sie diesen Leitfaden lesen, sollten Sie die Plattformübersicht durchgehen, um sich mit den Zusammenhängen der gesamten GCP-Landschaft vertraut zu machen.

Organisatorische Einrichtung

Ressourcenhierarchie definieren

GCP-Ressourcen sind hierarchisch organisiert. Mithilfe dieser Hierarchie können Sie die operative Struktur Ihres Unternehmens in der GCP abbilden und die Zugriffssteuerung und Berechtigungen für Gruppen zugehöriger Ressourcen verwalten. Das folgende Diagramm zeigt eine Beispielhierarchie.

Umgekehrte Baumstruktur mit hierarchisch angeordneten Ressourcen

Der oberste Knoten der Hierarchie ist die Organisationsressource, die für eine Organisation steht, z. B. ein Unternehmen. Über die Organisationsressource können Sie alle Ressourcen in der Hierarchie zentral einsehen und verwalten.

Auf der nächsten Hierarchieebene befinden sich Ordner. Mithilfe von Ordnern können Sie Anforderungen isolieren, die für verschiedene Abteilungen und Teams der Organisation gelten. Außerdem können Sie Ordner verwenden, um Produktionsressourcen und Entwicklungsressourcen voneinander zu trennen.

Am Ende der Hierarchie stehen Projekte. Projekte enthalten die Rechen-, Speicher- und Netzwerkressourcen, aus denen sich Ihre Anwendungen zusammensetzen. Ausführliche Informationen dazu finden Sie später in diesem Dokument.

Die Struktur, die Sie definieren, ist flexibel, sodass Sie auf neue Anforderungen reagieren können. Wenn Sie die GCP gerade erst eingeführt haben, können Sie die einfachste Struktur verwenden, die Ihren anfänglichen Anforderungen genügt. Ausführliche Informationen finden Sie in der Übersicht zu Resource Manager.

Organisationsknoten erstellen

Viele der Funktionen, die von der GCP unterstützt werden, erfordern einen Organisationsknoten. Sie können über Cloud Identity einen Organisationsknoten erstellen, der der Internetdomain Ihres Unternehmens zugeordnet ist, z. B. example.com. Bestehende GCP-Projekte und Rechnungskonten können in den Organisationsknoten migriert werden. Weitere Informationen finden Sie unter Organisationen erstellen und verwalten.

Wenn Sie Hilfe bei der Einrichtung benötigen, können Sie den Abschnitt Einrichtungsassistent für Organisationen aufrufen.

Projektstruktur festlegen

Zur Verwendung der GCP ist ein Projekt erforderlich. Alle GCP-Ressourcen wie virtuelle Compute Engine-Maschinen und Cloud Storage-Buckets gehören zu einem einzigen Projekt. Weitere Informationen zu Projekten finden Sie in der Plattformübersicht.

Sie bestimmen den Umfang Ihrer Projekte. Ein einzelnes Projekt kann mehrere separate Anwendungen umfassen und eine einzelne Anwendung kann umgekehrt mehrere Projekte enthalten. Die Ressourcen eines Projekts können auf mehrere Regionen und Standorte verteilt sein.

Die ideale Projektstruktur hängt von Ihren individuellen Anforderungen ab und kann sich mit der Zeit verändern. Beim Entwickeln der Projektstruktur sollten Sie festlegen, ob Ressourcen separat abgerechnet werden, wie viel Isolation erforderlich ist und wie die Teams organisiert sind, die die Ressourcen und Anwendungen verwalten.

Projekterstellung automatisieren

Die Automatisierung der Erstellung und Verwaltung Ihrer GCP-Projekte und -Ressourcen bietet Ihnen Vorteile wie Konsistenz, Reproduzierbarkeit und Testbarkeit. Wenn Sie Ihre Konfiguration als Code behandeln, können Sie ihren Lebenszyklus zusammen mit den Softwareartefakten versionieren und verwalten. Die Automatisierung ermöglicht Ihnen, Best Practices wie konsistente Namenskonventionen und die Ressourcenkennzeichnung mit Labels umzusetzen. Wenn sich Ihre Anforderungen ändern, vereinfacht die Automatisierung außerdem die Refaktorierung Ihrer Projekte.

Für GCP-Projekte können Sie Cloud Deployment Manager verwenden, das native Managementtool der GCP. Mit Cloud Deployment Manager erstellen Sie eine Konfigurationsdatei, die eine Gruppe von GCP-Ressourcen beschreibt, die Sie zusammen bereitstellen möchten. Sie können parametrisierte Vorlagen definieren, die als wiederverwendbare Bausteine fungieren. Cloud Deployment Manager kann über Cloud IAM außerdem Zugriffsberechtigungen festlegen, sodass Ihre Entwickler im Rahmen der Projekterstellung den benötigten Zugriff erhalten.

Wenn Sie bereits Tools wie Terraform, Ansible oder Puppet verwenden, können Sie auch diese verwenden. So können Sie bereits vorhandenes Know-how Ihrer Mitarbeiter nutzen.

Identitäts- und Zugriffsverwaltung

Google-Identitäten verwalten

Die GCP verwendet Google-Konten für die Authentifizierung und Zugriffsverwaltung. Ihre Entwickler und andere technische Mitarbeiter müssen Google-Konten haben, um auf die GCP zugreifen zu können. Wir empfehlen die Nutzung vollständig verwalteter Google-Konten, die über Cloud Identity dem Domainnamen Ihres Unternehmens zugeordnet sind. Entwickler können dann mit ihren Unternehmens-E-Mail-IDs auf die GCP zugreifen und Administratoren können die Konten über die Admin-Konsole einsehen und verwalten. In späteren Abschnitten dieses Dokuments wird beschrieben, wie Sie Ihre vorhandene Identitätsplattform in Cloud Identity einbinden.

Cloud Identity ist eine eigenständige Identity-as-a-Service-Lösung (IDaaS). Sie bietet Kunden der Cloud Platform Zugriff auf viele Identitätsverwaltungsfunktionen der G Suite, einer Reihe von Produktivitätsanwendungen der Google Cloud. Cloud Identity erfordert keine G Suite-Lizenz. Durch die Anmeldung bei Cloud Identity wird eine Verwaltungsebene über Google-Konten bereitgestellt, die dem Domainnamen Ihres Unternehmens zugeordnet sind. Mithilfe dieser Verwaltungsebene können Sie den Zugriff Ihrer Mitarbeiter auf Google-Dienste, einschließlich der GCP, aktivieren oder deaktivieren. Außerdem wird durch die Anmeldung bei Cloud Identity ein Organisationsknoten für Ihre Domain erstellt, der die Verknüpfung von Unternehmensstruktur und -kontrollen mit GCP-Ressourcen über die Ressourcenhierarchie erleichtert.

Weitere Informationen finden Sie unter Cloud Identity-Lösungen.

Vorhandene Identitätsplattform synchronisieren

Wenn Ihre Organisation eine lokale oder eine Drittanbieter-Identitätsplattform verwendet, können Sie Ihr vorhandenes Nutzerverzeichnis mit Cloud Identity synchronisieren. Dadurch können die Nutzer mit ihren Unternehmensanmeldedaten auf die GCP zugreifen. Ihre bestehende Identitätsplattform bleibt die "Source of Truth" und Sie können über Cloud Identity steuern, wie Ihre Mitarbeiter auf Google-Dienste zugreifen.

Sie können Google Cloud Directory Sync (GCDS) verwenden, um die Nutzer und Gruppen Ihres Active Directory- oder LDAP-Servers mit dem Nutzerverzeichnis von Cloud Identity zu synchronisieren. GCDS stellt Google-Konten bereit, die Ihren Unternehmensnutzern und -gruppen entsprechen. Die Synchronisierung erfolgt in eine Richtung: Die Daten auf Ihrem Verzeichnisserver werden nicht geändert. Passwörter werden nicht in das Google-Verzeichnis kopiert (sofern Sie dies nicht explizit konfigurieren).

Viele Anbieter von Identitätsverwaltungslösungen bieten außerdem Connectors für die G Suite. Da die GCP und die G Suite über Cloud Identity eine gemeinsame Identitätsinfrastruktur nutzen, gelten diese Connectors auch für die GCP.

Weitere Informationen finden Sie auf der Seite des Google-Blogs zum Thema Identity & Security unter Using your existing identity management system with Google Cloud Platform (Vorhandenes Identitätsverwaltungssystems mit der Google Cloud Platform verwenden) [Nur auf Englisch verfügbar].

Einmalanmeldung (SSO) implementieren

Nachdem Sie die vorhandene Identitätsverwaltungsplattform in Cloud Identity eingebunden haben, können Sie die Einmalanmeldung (SSO) einrichten. Über SSO müssen sich Nutzer nur einmal anmelden, um Zugriff auf alle Cloudanwendungen des Unternehmens zu erhalten. Die GCP unterstützt SAML 2.0-basiertes SSO bei Ihrer vorhandenen lokalen oder Drittanbieter-Identitätsverwaltung. Wenn Sie einen Nutzer konfiguriert haben, muss er sich bei Ihrem Identitätsanbieter authentifizieren, um auf die Cloud Platform zugreifen zu können.

Die GCP Console und die gcloud- und gsutil-Befehlszeilentools unterstützen SAML 2.0-basiertes SSO. Wenn ein Nutzer auf eins dieser Tools zugreift, ohne sich vorher beim SSO-Anbieter authentifiziert zu haben, entweder direkt oder über eine weitere Anwendung, wird der Nutzer aufgefordert, sich anzumelden.

Informationen zur Einrichtung von SSO finden Sie unter Einmalanmeldung (SSO) einrichten.

Nicht verwaltete Konten migrieren

Wenn Mitglieder Ihrer Domain ihre Unternehmens-E-Mail-Adressen verwendet haben, um ein persönliches Google-Konto zu erstellen, z. B. um sich bei einem Google-Dienst wie YouTube oder Blogger anzumelden, sollten Sie sich überlegen, diese Konten zu migrieren, sodass sie auch über Cloud Identity verwaltet werden können. Alternativ können Sie eine Änderung der verwendeten E-Mail-Adressen für diese Konten erzwingen.

Weitere Informationen zur Migration oder zur erzwungenen Umbenennung von Konten finden Sie in der Cloud Identity-Dokumentation.

Ressourcenzugriff steuern

Sie müssen Ihre Entwickler und IT-Mitarbeiter zur Nutzung von GCP-Ressourcen autorisieren. Mit Cloud Identity and Access Management (Cloud IAM) können Sie granularen Zugriff auf bestimmte GCP-Ressourcen gewähren und unbefugte Zugriffe auf andere Ressourcen verhindern. Insbesondere können Sie in Cloud IAM festlegen, wer (Identität) welchen Zugriff (Rolle) auf welche Ressource hat.

Dabei nutzen Sie Rollen, statt Berechtigungen direkt zuzuweisen. Cloud IAM-Rollen sind Sammlungen von Berechtigungen. Die Rolle "BigQuery-Datenbetrachter" enthält z. B. Berechtigungen zum Auflisten, Lesen und Abfragen von BigQuery-Tabellen, jedoch nicht zum Erstellen neuer Tabellen oder zum Ändern vorhandener Daten. Cloud IAM bietet viele vordefinierte Rollen für häufige Anwendungsfälle. Sie können aber auch benutzerdefinierte Rollen erstellen.

Mit Cloud IAM können Sie das Sicherheitsprinzip der geringsten Berechtigung anwenden, um nur den notwendigen Zugriff auf Ihre Ressourcen zu gewähren. Cloud IAM ist ein grundlegendes Thema für Unternehmen. Weitere Informationen zur Identitäts- und Zugriffsverwaltung finden Sie in den folgenden Ressourcen:

Verantwortung mithilfe von Gruppen und Dienstkonten delegieren

Wir empfehlen, Nutzer mit denselben Verantwortungsbereichen in Gruppen zusammenzufassen und diesen Gruppen, statt den einzelnen Nutzern, Cloud IAM-Rollen zuzuweisen. Sie können z. B. eine Gruppe mit dem Namen "Data Scientists" erstellen und geeignete Rollen zuweisen, um die Interaktion mit BigQuery und Cloud Storage zu ermöglichen. Wenn Ihr Team durch einen neuen Data Scientist verstärkt wird, können Sie ihn einfach zur Gruppe hinzufügen, um ihm die festgelegten Berechtigungen zu erteilen. Gruppen können über die Admin-Konsole erstellt und verwaltet werden.

Ein Dienstkonto ist eine spezielle Art von Google-Konto, das eine Google Cloud-Dienstidentität oder -anwendung darstellt, statt für einen einzelnen Nutzer zu stehen. Wie Nutzer und Gruppen können Dienstkonten IAM-Rollen zugewiesen werden, um Zugriff auf bestimmte Ressourcen zu gewähren. Zur Authentifizierung verwenden Dienstkonten einen Schlüssel anstelle eines Passworts. Google verwaltet und rotiert die Dienstkontoschlüssel für Code, der in der GCP ausgeführt wird. Wir empfehlen, Dienstkonten für Server-zu-Server-Interaktionen zu verwenden.

Organisationsrichtlinie definieren

Mit dem Organisationsrichtliniendienst können Sie die Cloudressourcen Ihrer Organisation zentral und programmatisch steuern. Cloud IAM konzentriert sich auf Identitäten und bietet die Möglichkeit, Nutzer und Gruppen anhand bestimmter Berechtigungen zu autorisieren, Aktionen für bestimmte Ressourcen auszuführen. Eine Organisationsrichtlinie konzentriert sich auf Ressourcen und bietet die Möglichkeit, Einschränkungen für bestimmte Ressourcen festzulegen, um zu bestimmen, wie sie konfiguriert und verwendet werden können. Sie können z. B. eine Einschränkung definieren, um zu verhindern, dass VM-Instanzen eine externe IP-Adresse zugewiesen wird.

Richtlinien für Ressourcen werden in der Ressourcenhierarchie eingerichtet. Alle Nachfolger einer Ressource übernehmen standardmäßig ihre Richtlinien. Sie können eine Gruppe von grundlegenden Einschränkungen festlegen, die für alle Elemente in der Hierarchie gelten, indem Sie dem Organisationsknoten der obersten Ebene eine Richtlinie hinzufügen. Anschließend können Sie benutzerdefinierte Organisationsrichtlinien für untergeordnete Knoten festlegen, die die übernommene Richtlinie überschreiben oder mit ihr zusammengeführt werden.

Weitere Informationen zum Festlegen von Richtlinien finden Sie unter Richtlinienentwurf für Unternehmenskunden.

Netzwerk und Sicherheit

Netzwerk mit VPC definieren

Mit VPCs und Subnetzen können Sie Ihr Netzwerk abbilden und verwandte Ressourcen gruppieren und isolieren. Virtual Private Cloud (VPC) ist eine virtuelle Version eines physischen Netzwerks. VPC-Netzwerke bieten skalierbare und flexible Netzwerke für Ihre Compute Engine-VM-Instanzen und für die Dienste, die VM-Instanzen nutzen, z. B. Google Kubernetes Engine (GKE), Cloud Dataproc und Cloud Dataflow.

VPC-Netzwerke sind globale Ressourcen. Eine einzelne VPC kann sich über mehrere Regionen erstrecken, ohne über das öffentliche Internet zu kommunizieren. Das bedeutet, dass Sie in einem einzigen GCP-Projekt Ressourcen verknüpfen und verwalten können, die auf die ganze Welt verteilt sind. Außerdem können Sie mehrere isolierte VPC-Netzwerke in einem einzigen Projekt erstellen.

VPC-Netzwerke legen keine eigenen IP-Adressbereiche fest. Stattdessen besteht jedes VPC-Netzwerk aus einer oder mehreren Partitionen, die als Subnetzwerke bezeichnet werden. In jedem Subnetz werden wiederum ein oder mehrere IP-Adressbereiche festgelegt. Subnetze sind regionale Ressourcen – jedes Subnetz ist explizit einer einzelnen Region zugeordnet.

Weitere Informationen finden Sie unter VPC-Netzwerk (Virtual Private Cloud) – Übersicht.

Traffic mit Firewallregeln verwalten

Für jedes VPC-Netzwerk wird eine verteilte virtuelle Firewall implementiert. Sie sollten Firewallregeln konfigurieren, die den ein- oder ausgehenden Traffic für die mit dem VPC-Netzwerk verbundenen Ressourcen zulassen oder verweigern, einschließlich Compute Engine-VM-Instanzen und GKE-Cluster. Firewallregeln werden auf der Ebene virtueller Netzwerke angewendet. Sie bieten deshalb unabhängig vom Betriebssystem, das Ihre Instanzen nutzen, einen wirksamen Schutz und eine effektive Zugriffskontrolle. Die Firewall ist zustandsorientiert. Das bedeutet, dass der Rücktraffic für zulässige Datenflüsse automatisch zugelassen wird.

Firewallregeln gelten immer nur für ein spezifisches VPC-Netzwerk. Sie können in den Regeln den gewünschten Traffictyp angeben, z. B. Ports und Protokolle, sowie die Quelle oder das Ziel des Traffics, einschließlich IP-Adressen, Subnetzen, Tags und Dienstkonten. Sie können beispielsweise eine Regel für eingehenden Traffic erstellen, damit jede VM-Instanz, die einem bestimmten Dienstkonto zugeordnet ist, TCP-Traffic aus einem bestimmten Quellsubnetz an Port 80 zulässt. Jede VPC enthält automatisch standardmäßige und implizierte Firewallregeln.

Wenn Ihre App in GKE gehostet wird, sollten Sie beim Verwalten des Netzwerktraffics und beim Konfigurieren von Firewallregeln weitere Aspekte beachten. Ausführliche Informationen finden Sie in der Netzwerkübersicht für Kubernetes Engine.

Externen Zugriff beschränken

Wenn Sie eine GCP-Ressource erstellen, die ein VPC-Netzwerk nutzt, wählen Sie ein Netzwerk und ein Subnetz aus, in dem die Ressource platziert werden soll. Der Ressource wird eine interne IP-Adresse aus einem der IP-Bereiche zugewiesen, die dem Subnetz zugeordnet sind. Ressourcen in einem VPC-Netzwerk können über interne IP-Adressen miteinander kommunizieren, sofern die Firewallregeln dies zulassen.

Zur Kommunikation mit dem Internet müssen Ressourcen eine externe, öffentliche IP-Adresse haben oder Cloud NAT verwenden. Entsprechend benötigen Ressourcen eine externe IP-Adresse, um eine Verbindung zu Ressourcen außerhalb des VPC-Netzwerks herzustellen, sofern die Netzwerke nicht z. B. über ein VPN miteinander verbunden sind. Weitere Informationen finden Sie in der Dokumentation zu IP-Adressen.

Beschränken Sie den Internetzugriff auf wirklich erforderliche Ressourcen. Ressourcen, die nur eine private, interne IP-Adresse haben, können über den privaten Google-Zugriff weiterhin auf viele Google APIs und Google-Dienste zugreifen. Dieser private Zugriff ermöglicht Ressourcen die Interaktion mit wichtigen Google- und GCP-Diensten, ohne die Isolation vom Internet aufzuheben.

Netzwerksteuerung zentralisieren

Sie können eine freigegebene VPC verwenden, um eine Verbindung zu einem gemeinsam genutzten VPC-Netzwerk herzustellen. Ressourcen in diesen Projekten können mithilfe von internen IP-Adressen sicher und effizient über Projektgrenzen hinweg miteinander kommunizieren. Freigegebene Netzwerkressourcen wie Subnetze, Routen und Firewalls können über ein zentrales Hostprojekt verwaltet werden. So können Sie konsistente Netzwerkrichtlinien für alle Projekte anwenden und durchsetzen.

Mit freigegebener VPC und IAM-Steuerelementen können Sie die Netzwerk- von der Projektverwaltung trennen. Diese Trennung hilft Ihnen, den Grundsatz der geringsten Berechtigung zu implementieren. Ein zentralisiertes Netzwerkteam kann beispielsweise das Netzwerk verwalten, ohne Berechtigungen für die beteiligten Projekte zu haben. Ebenso können die Projektadministratoren ihre Projektressourcen verwalten, ohne dazu berechtigt zu sein, Änderungen am freigegebenen Netzwerk vorzunehmen.

Unternehmensnetzwerk verbinden

Viele Unternehmen müssen die vorhandene lokale Infrastruktur mit ihren GCP-Ressourcen verbinden. Zur Auswahl der besten Verbindungsoption sollten Sie Ihre Bandbreiten-, Latenz- und SLA-Anforderungen prüfen:

  • Wenn Sie hochverfügbare Unternehmensverbindungen mit niedriger Latenz benötigen, um Daten zuverlässig zwischen lokalen und VPC-Netzwerken zu übertragen, ohne die Internetverbindungen zur GCP zu verwenden, sollten Sie Cloud Interconnect nutzen:

    • Dedicated Interconnect stellt eine direkte physische Verbindung zwischen Ihrem lokalen Netzwerk und dem Netzwerk von Google bereit.
    • Partner Interconnect stellt eine Verbindung zwischen Ihrem lokalen und Ihren GCP-VPC-Netzwerken über einen unterstützten Dienstanbieter her.
  • Wenn Sie nicht auf die niedrige Latenz und hohe Verfügbarkeit von Cloud Interconnect angewiesen oder gerade erst in die Cloud gewechselt sind, können Sie mit Cloud VPN verschlüsselte IPsec-VPN-Tunnel zwischen Ihrem lokalen Netzwerk und der VPC einrichten. IPsec-VPN-Tunnel sind weniger aufwendig und kostengünstiger als direkte, private Verbindungen.

Anwendungen und Daten sichern

Die GCP bietet robuste Sicherheitsfunktionen für Infrastruktur und Dienste, vom physischen Schutz von Rechenzentren und kundenspezifischer Sicherheitshardware bis zu dedizierten Sicherheitsexperten. Die Sicherung Ihrer GCP-Ressourcen ist jedoch eine gemeinschaftliche Verantwortung. Sie müssen geeignete Maßnahmen ergreifen, um dafür zu sorgen, dass Ihre Anwendungen und Daten geschützt sind.

Neben Firewallregeln und VPC-Isolation können Sie die folgenden Tools einsetzen, um Ihre Anwendungen zu sichern und zu schützen:

  • Mit VPC Service Controls können Sie einen Sicherheitsbereich für GCP-Ressourcen festlegen, um Daten in einer VPC einzuschränken und die Risiken einer unbefugten Datenweitergabe zu minimieren.
  • Ein globaler HTTP(S)-Load-Balancer unterstützt Hochverfügbarkeit und Skalierung für Ihre Dienste im Internet.
  • Binden Sie Cloud Armor in den HTTP(S)-Load-Balancer ein, um DDoS-Schutz bereitzustellen und IP-Adressen am Netzwerkrand auf die schwarze und die weiße Liste zu setzen.
  • Mithilfe von Cloud Identity-Aware Proxy (Cloud IAP) können Sie den Anwendungszugriff steuern, indem Sie die Nutzeridentität und den Kontext von Anfragen überprüfen und dadurch bestimmen, ob einem Nutzer Zugriff gewährt werden soll.

In der GCP werden Daten während der Übertragung und inaktive Daten per Verschlüsselung geschützt. Inaktive Daten werden standardmäßig mit von Google verwalteten Verschlüsselungsschlüsseln verschlüsselt. Für sensible Daten können Sie Ihre Schlüssel auch in der GCP verwalten. Wenn Sie mehr Kontrolle benötigen, können Sie eigene Verschlüsselungsschlüssel verwenden, die außerhalb der GCP verwaltet werden. Da die Anwendung und Verwaltung eigener Schlüssel zusätzlichen Aufwand verursacht, empfehlen wir, diesen Ansatz nur für wirklich sensible Daten zu nutzen. Weitere Informationen finden Sie unter Verschlüsselung inaktiver Daten.

Logging, Monitoring und Vorgänge

Logging und Monitoring zentralisieren

Unternehmen führen in der Regel mehrere Anwendungen, Datenpipelines und weitere Prozesse aus, häufig auf unterschiedlichen Plattformen. Eine wichtige Aufgabe von Entwicklern und Betriebsteams besteht darin, die Integrität dieser Anwendungen und Prozesse zu gewährleisten. Dafür empfehlen wir den Einsatz von Stackdriver, mit dem Sie Logging, Monitoring, Fehlerbehebung, Tracing, Profilerstellung und vieles mehr verwalten können.

Logs sind eine Hauptquelle für Diagnoseinformationen zum Zustand von Anwendungen und Prozessen. Stackdriver Logging ist Teil der Stackdriver-Suite und bietet Ihnen die Möglichkeit, Logdaten und Ereignisse zu speichern, einzusehen, zu durchsuchen, zu analysieren und zu überwachen. Logging ist nativ in vielen GCP-Diensten enthalten. Der Dienst umfasst einen Logging-Agent und eine API zur Unterstützung von Anwendungen, die auf Amazon EC2-Instanzen und lokal ausgeführt werden. Mit Logging können Sie Logs aus allen Ihren Anwendungen in Stackdriver zusammenführen.

Neben der Auswertung von Logs müssen Sie normalerweise weitere Aspekte Ihrer Anwendungen und Systeme überwachen, um einen zuverlässigen Betrieb zu gewährleisten. Mit Stackdriver Monitoring können Sie sich eine Übersicht der Leistung, der Verfügbarkeit und des Gesamtzustands von Anwendungen und Infrastruktur verschaffen. Monitoring erfasst Ereignisse, Messwerte und Metadaten und stellt Informationen über Dashboards, Diagramme und Benachrichtigungen bereit. Der Dienst unterstützt Messwerte aus vielen GCP- und Drittanbieterquellen. Außerdem können Sie mit Monitoring benutzerdefinierte Messwerte festlegen. Sie können z. B. Messwerte verwenden, um Benachrichtigungsrichtlinien einzurichten, sodass Betriebsteams über ungewöhnliches Verhalten oder ungewöhnliche Trends informiert werden. Monitoring bietet außerdem flexible Dashboards und umfangreiche Visualisierungstools, mit denen sich potenzielle Probleme rechtzeitig erkennen lassen.

Audit-Trail einrichten

Neben der Erfassung von Logs auf Anwendungs- und Prozessebene müssen Sie möglicherweise nachverfolgen, wie Ihre Entwickler und IT-Teams mit GCP-Ressourcen interagieren. Mit Cloud-Audit-Logging können Sie nachvollziehen, wann und was welcher Nutzer in Ihren GCP-Projekten ausgeführt hat. Eine Liste der GCP-Dienste, die Audit-Logs generieren, finden Sie im Abschnitt Audit-Logs generierende Dienste. Mit IAM-Steuerelementen können Sie einschränken, wer Audit-Logs aufrufen kann.

Cloud-Audit-Logging zeichnet verschiedene Arten von Aktivitäten auf. Logs zu Administratoraktivitäten enthalten Logeinträge für API-Aufrufe und andere Verwaltungsaktionen, mit denen die Konfiguration oder die Metadaten von Ressourcen geändert werden. Administratoraktivitätslogs sind immer aktiviert. In Audit-Logs für den Datenzugriff werden API-Aufrufe zum Erstellen, Ändern oder Lesen der von Nutzern bereitgestellten Daten aufgezeichnet. Da Audit-Logs für den Datenzugriff relativ groß sein können, sind sie standardmäßig deaktiviert. Sie können konfigurieren, für welche GCP-Dienste Datenzugriffslogs erzeugt werden.

Ausführlichere Informationen zum Auditing finden Sie unter Best practices for working with Cloud Audit Logging (Best Practices für die Arbeit mit Cloud-Audit-Logging) [Nur auf Englisch verfügbar].

Logs exportieren

Anwendungs- und Audit-Logs werden in Logging nur für einen begrenzten Zeitraum aufbewahrt. Möglicherweise müssen Sie Logs länger aufbewahren, um Complianceverpflichtungen zu erfüllen oder um zu einem späteren Zeitpunkt Verlaufsanalysen auszuführen.

Sie können Logs nach Cloud Storage, BigQuery und Cloud Pub/Sub exportieren. Mithilfe von Filtern können Sie bestimmte Ressourcen in den Export einschließen oder davon ausschließen. So lassen sich beispielsweise alle Compute Engine-Logs exportieren, ohne die umfangreichen Logs von Cloud Load Balancing einzubeziehen.

Wohin Sie Ihre Logs exportieren, hängt vom jeweiligen Anwendungsfall ab. Viele Unternehmen exportieren an mehrere Ziele. Im Allgemeinen sollten Sie für die langfristige Aufbewahrung Cloud Storage verwenden, um Complianceverpflichtungen zu erfüllen. Wenn Sie Logs analysieren müssen, sollten Sie BigQuery einsetzen, da der Dienst SQL-Abfragen und ein großes Angebot von Drittanbietertools unterstützt.

Weitere Informationen zu Logging-Exporten finden Sie unter Entwurfsmuster zum Exportieren mit Stackdriver Logging.

DevOps nutzen und Site Reliability Engineering testen

Zum Verbessern der Flexibilität und zum Verkürzen der Einführungszeit für Ihre Anwendungen und Funktionen sollten Sie Datensilos zwischen Entwickler-, Betriebs-, Netzwerks- und Sicherheitsteams beseitigen. Dies erfordert eine Kultur der Zusammenarbeit, Prozesse und Tools, die zusammen als DevOps bezeichnet werden.

Die GCP bietet eine Reihe von Diensten, die Sie bei der Einführung von DevOps-Praktiken unterstützen. Zu den Features gehören integrierte Quellcode-Repositories, Tools für die kontinuierliche Bereitstellung, umfassende Monitoringfunktionen über Stackdriver und Unterstützung für viele Open-Source-Tools. Weitere Informationen finden Sie auf der GCP-Seite zu DevOps-Lösungen.

Site Reliability Engineering (SRE) besteht aus einer Reihe von Methoden, die eng mit DevOps zusammenhängen. Sie wurden vom SRE-Team entwickelt, das die Produktionsinfrastruktur von Google verwaltet. Die Erstellung einer dedizierten SRE-Funktion geht bei vielen Unternehmen wahrscheinlich über den Rahmen des Möglichen hinaus. Dennoch empfehlen wir, die SRE-Bücher zu lesen, um Methoden kennenzulernen, die Ihnen bei der Gestaltung Ihrer Betriebsstrategie helfen können.

Cloudarchitektur

Migration planen

Die Migration lokaler Anwendungen und Infrastrukturen in die Cloud erfordert eine sorgfältige Bewertung und Planung. Sie müssen die verschiedenen Migrationsstrategien, von Lift-and-Shift bis Transform-and-Move, für jede einzelne Anwendung evaluieren. Die GCP bietet Tools zur Migration virtueller Maschinen, zur Übertragung von Daten und zur Modernisierung Ihrer Arbeitslasten. Weitere Informationen finden Sie im Migrationscenter.

Aufgrund rechtlicher, technischer oder finanzieller Einschränkungen kann es unmöglich oder gar nicht gewünscht sein, bestimmte Anwendungen in die öffentliche Cloud zu verschieben. In diesem Fall müssen Sie Arbeitslasten möglicherweise in Ihrer lokalen und der GCP-Infrastruktur verteilen und integrieren. Dieser Ansatz wird als Hybrid-Cloud bezeichnet. Weitere Informationen zu Hybridarbeitslasten finden Sie auf den Seiten Hybrid-Cloud verwalten und Hybrid- und Multi-Cloud-Muster und -Praktiken.

Verwaltete Dienste nutzen

Für den Umstieg in die Cloud ist es wichtig, die IT-Kosten zu senken und die Effizienz zu erhöhen, damit Sie sich auf Ihr Kerngeschäft konzentrieren können. Neben der Einführung von DevOps-Praktiken und dem verstärkten Einsatz von Automatisierungsfunktionen sollten Sie verwaltete GCP-Dienste nutzen, um die betriebliche Last und die Gesamtbetriebskosten (TCO) zu reduzieren.

Anstatt alle Komponenten eines Anwendungspakets unabhängig voneinander zu installieren, zu verwalten und zu betreiben, können Sie verwaltete Dienste einsetzen, um Teile Ihres Anwendungspakets als Dienste zu nutzen. Zum Beispiel können Sie eine von Cloud SQL bereitgestellte MySQL-Datenbank verwenden, statt eine MySQL-Datenbank auf einer VM-Instanz zu installieren und selbst zu verwalten. Die Verwaltung der zugrunde liegenden Infrastruktur wird dann von der GCP übernommen und Sicherungen, Updates und Replikationsvorgänge werden automatisch durchgeführt.

Wir empfehlen, das für jeden verwalteten Dienst bereitgestellte SLA durchzugehen.

Die GCP bietet verwaltete Dienste und serverlose Optionen für viele gängige Anwendungskomponenten und Anwendungsfälle, von verwalteten Datenbanken bis zu Tools für die Big Data-Verarbeitung. Viele dieser verwalteten Dienste bieten Unterstützung für bewährte Open-Source-Frameworks und -Plattformen. Sie können also TCO-Vorteile erzielen, wenn Sie vorhandene Anwendungen, die diese Plattformen nutzen, per Lift-and-Shift in die Cloud verschieben.

Hochverfügbarkeit bereitstellen

Entwickeln Sie stabile Anwendungen, die Ausfälle oder unerwartete Lastspitzen problemlos überstehen, um eine möglichst hohe Betriebszeit für geschäftskritische Lösungen zu gewährleisten. Hochverfügbarkeit bezeichnet die Fähigkeit einer Anwendung, trotz Komponentenausfällen im System reaktions- und funktionsfähig zu bleiben. Hochverfügbare Architekturen beinhalten normalerweise die Verteilung von Rechenressourcen, Load-Balancing und die Replikation von Daten. Der Umfang Ihrer Hochverfügbarkeitsanforderungen kann je nach Anwendung variieren. Weitere Informationen zu Verfügbarkeitskonzepten finden Sie in der Dokumentation zu Geografie und Regionen.

Sie sollten zumindest Rechenressourcen wie Compute Engine-VM-Instanzen und GKE-Cluster auf die verfügbaren Zonen in einer Region verteilen, um die Auswirkungen eines Ausfalls einer bestimmten Zone zu mindern. Wenn Sie die Verfügbarkeit Ihrer Rechenressourcen zusätzlich verbessern möchten, können Sie sie auf mehrere geografisch verteilte Regionen verteilen, um einen potenziellen Ausfall einer gesamten Region abzuschwächen. Informationen zum Auswählen eines Standorts für Rechenressourcen finden Sie unter Best Practices für die Auswahl der Region in Compute Engine.

Die GCP bietet verschiedene Varianten des Load-Balancings. Für die Freigabe von Anwendungen im Internet wird häufig der HTTP(S)-Load-Balancer verwendet. Dieser Load-Balancer bietet einen globalen Ausgleich durch die Verteilung der Last auf Regionen in unterschiedlichen Geografien. Wenn eine Zone oder Region nicht verfügbar ist, leitet der Load-Balancer den Traffic an eine Zone mit verfügbarer Kapazität weiter. Weitere Informationen finden Sie unter Optimierung der Anwendungskapazität mit globalem Load-Balancing.

Auch bei der Auswahl Ihres Datenspeichers sollten Sie auf die Verfügbarkeit achten. Einige GCP-Datenspeicherdienste bieten die Möglichkeit, Daten zwischen Zonen in einer einzigen Region zu replizieren. Andere Dienste replizieren Daten automatisch über mehrere Regionen in einem geografischen Gebiet hinweg. Möglicherweise müssen dabei jedoch Abstriche bei der Latenz oder beim Konsistenzmodell gemacht werden. Die Wahl eines geeigneten Datenspeicherdiensts hängt von der Anwendung und den Verfügbarkeitsanforderungen ab.

Strategie zur Notfallwiederherstellung planen

Neben der Hochverfügbarkeit sollte Ihr Plan die Wahrung der Geschäftskontinuität für den Fall eines weitflächigen Ausfalls oder einer Naturkatastrophe beinhalten. Als Notfallwiederherstellung wird die Fähigkeit eines Systems bezeichnet, nach seltenen, aber schwerwiegenden Vorfällen wieder in den Normalbetrieb zurückzukehren. Wenn Hochverfügbarkeitsvorkehrungen unwirksam oder nicht verfügbar sind, müssen Sie möglicherweise eine Notfallwiederherstellung einleiten.

Die Erstellung eines effektiven Notfallwiederherstellungsplans erfordert Vorbereitung und Tests. Wir empfehlen, dass Sie sich frühzeitig damit auseinandersetzen. Weitere Informationen finden Sie im Leitfaden zur Planung der Notfallwiederherstellung und zugehörigen Artikeln.

Ressourcen

Abrechnung und Verwaltung

Berechnung von Ressourcen

Die GCP basiert auf einem Nutzungsmodell. Die anfallenden Kosten richten sich nach der Nutzung einer bestimmten Ressource oder eines bestimmten Produkts in einem bestimmten Abrechnungszeitraum. Die Nutzung wird dabei je nach Produkt unterschiedlich gemessen, zum Beispiel:

  • Nach Zeit (wie viele Sekunden eine Maschine ausgeführt wurde)
  • Als Volumen (wie viele Daten gespeichert werden)
  • Als Anzahl der ausgeführten Vorgänge
  • Als Variationen dieser Konzepte

Sie sollten sich darüber informieren, wie die Abrechnung für die Komponenten in Ihrem System funktioniert, damit Sie die Kosten genau kalkulieren können. Die Dokumentation jedes Produkts enthält detaillierte Preisinformationen. Viele Produkte bieten ein kostenlose Stufe, bei der für die Nutzung in einem bestimmten Rahmen keine Gebühren anfallen. Wenn Sie Ressourcen über das Angebot der kostenlosen Stufe hinaus nutzen möchten, müssen Sie die Abrechnung aktivieren.

Weitere Informationen zu Preisgestaltung, Neuerungen und Rabatten für die GCP finden Sie in der Preisübersicht.

Abrechnung und Berechtigungen einrichten

Alle GCP-Ressourcen, einschließlich Compute Engine-VMs, Cloud Storage-Buckets und BigQuery-Datasets, müssen einem GCP-Projekt zugeordnet werden. Damit Ressourcen über das Angebot der kostenlosen Stufe hinaus genutzt werden können, muss ein Projekt mit einem Rechnungskonto verknüpft sein. Die Beziehung zwischen Rechnungskonten und Projekten ist 1:n – ein Projekt kann jeweils nur einem Rechnungskonto zugeordnet werden, aber ein Rechnungskonto kann mit vielen Projekten verknüpft sein.

Mit einem Rechnungskonto können Sie festlegen, wer die Ressourcen in bestimmten Projekten bezahlt. Das Konto enthält ein Zahlungsmittel, das mit den Kosten belastet wird, z. B. eine Kreditkarte. Sie können Rechnungskonten auf Organisationsebene definieren, um Projekte unter dem Organisationsknoten mit den Rechnungskonten zu verknüpfen. Sie können in Ihrer Organisation mehrere Rechnungskonten für unterschiedliche Kostenstellen oder Abteilungen einrichten.

Cloud IAM bietet eine Reihe nützlicher Steuerelemente, mit denen Sie einschränken können, wie verschiedene Nutzer die Abrechnung verwalten und mit ihr interagieren können. Diese Steuerelemente helfen Ihnen, das Prinzip der geringsten Berechtigungen anzuwenden, und ermöglichen eine übersichtliche Rollentrennung. Sie können beispielsweise die Berechtigung zum Erstellen von Rechnungskonten von der Berechtigung zum Verknüpfen von Projekten mit einem bestimmten Rechnungskonto trennen.

Ausführliche Informationen zu Abrechnungskonzepten und zur Einrichtung finden Sie in der Checkliste zur Abrechnungseinrichtung.

Rechnung analysieren und exportieren

Nutzer mit den entsprechenden Berechtigungen können eine detaillierte Aufschlüsselung der Kosten, des Transaktionsverlaufs und weiterer Posten in der GCP Console aufrufen. Die Informationen werden pro Rechnungskonto angezeigt. Die Console enthält außerdem interaktive Abrechnungsberichte, in denen Sie die Kosten nach Projekt, Produkt und Zeitraum filtern und aufschlüsseln können. Die Funktionen der GCP Console sind für Kunden mit weniger komplizierten GCP-Einstellungen in der Regel ausreichend.

Normalerweise benötigen Sie jedoch benutzerdefinierte Analysen und Berichte zu Ihren Cloudausgaben. Dafür müssen Sie den täglichen Export von Abrechnungskosten aktivieren. Sie können Dateiexporte konfigurieren, um eine CSV- oder JSON-Datei in einen Cloud Storage-Bucket zu exportieren. Ebenso können Sie den Export in ein BigQuery-Dataset einrichten. Dabei werden alle Labels exportiert, die auf Ressourcen angewendet wurden.

Wir empfehlen die Aktivierung von BigQuery-Exporten. Diese bieten Ihnen eine detailliertere Aufteilung der Kosten im Vergleich zum Dateiexport. Sobald die Rechnungsdaten in BigQuery gespeichert sind, können sie von Finanzteams mit Standard-SQL analysiert und mit Tools verwaltet werden, die in BigQuery enthalten sind.

Kapazitätsanforderungen kalkulieren

GCP-Projekte sind an Kontingente geknüpft, die die Nutzung einer bestimmten Ressource oder API begrenzen. Der Zweck von Kontingenten besteht darin, die Google Cloud Platform-Community vor unvorhergesehenen Auslastungsspitzen zu schützen. Mit Kontingenten wird zum Beispiel verhindert, dass eine kleine Anzahl von Kunden oder Projekten die Nutzung von CPU-Kernen in einer bestimmten Region oder Zone monopolisieren kann.

Sie sollten die Kapazitätsanforderungen Ihrer Projekte im Voraus planen, um unerwartete Einschränkungen bei der Ressourcennutzung zu vermeiden. Wenn die Kontingente nicht ausreichen, können Sie im Abschnitt Kontingente der GCP Console Erhöhungen anfordern. Sollten Sie eine sehr große Kapazität benötigen, wenden Sie sich an Ihr GCP-Vertriebsteam.

Kostenkontrollen implementieren

Wenn Clouddienste skaliert werden, steigen auch die Kosten. Die GCP bietet mehrere Methoden, um die Ressourcennutzung zu begrenzen und interessierte Parteien über relevante Abrechnungsereignisse zu benachrichtigen.

Sie können Budgets festlegen und Benachrichtigungen generieren lassen, wenn die Ausgaben bestimmte Schwellenwerte erreichen. Die Benachrichtigungen werden in Form von E-Mails erstellt und können optional Cloud Pub/Sub-Nachrichten für programmatische Benachrichtigungen generieren. Das Budget kann auf das gesamte Rechnungskonto oder auf ein einzelnes Projekt angewendet werden, das mit dem Rechnungskonto verknüpft ist. Sie können z. B. ein Budget erstellen, das Benachrichtigungen generiert, wenn die monatlichen Gesamtausgaben für ein Rechnungskonto 50, 80 und 100 Prozent des angegebenen Budgetbetrags erreichen. Die Ausgaben werden nicht durch die Budgets begrenzt – sie sind lediglich eine Funktion zum Generieren von Benachrichtigungen. Weitere Informationen finden Sie in der Cloud Billling-Dokumentation unter Budgetbenachrichtigungen festlegen. Weitere Best Practices, Designentscheidungen und Konfigurationsoptionen, die die Kostenverwaltung vereinfachen, finden Sie unter Checkliste zur Abrechnungseinrichtung.

Sie können außerdem Kontingente verwenden, um die Nutzung einer bestimmten Ressource zu begrenzen. Zum Beispiel können Sie über die BigQuery API ein maximales Kontingent für Abfragen pro Tag festlegen, um zu verhindern, dass in einem Projekt zu hohe Ausgaben für BigQuery getätigt werden.

Supportpakete erwerben

Sie haben in der GCP verschiedene Möglichkeiten, um bei Problemen Unterstützung zu erhalten, von Community-Foren bis zu bezahlten Supportpaketen. Zum Schutz Ihrer geschäftskritischen Arbeitslasten empfehlen wir den Kauf eines Enterprise Support-Pakets. Weitere Informationen finden Sie im Supportportal der Google Cloud Platform.

Je nach erworbener Supportstufe kann die Möglichkeit, Support-Tickets zu erstellen, auf bestimmte Personen beschränkt sein. Wir empfehlen daher, dass Sie ein Support-Clearinghouse oder ein Team zum Sichten einrichten. Damit können Sie doppelte Tickets und Absprachefehler vermeiden und die Kommunikation mit dem Google Cloud-Support so verständlich wie möglich halten.

Unterstützung von Experten

Die Google Cloud Professional Services Organization (Cloud PSO) bietet Beratungsdienste, um Sie bei der Nutzung der GCP zu unterstützen. Sie können sich an PSO-Berater wenden, die über fundiertes Fachwissen verfügen, um Ihr Team mit den bewährten Verfahren und Leitlinien für eine erfolgreiche Implementierung vertraut zu machen. Die Dienste werden in Form von Paketen angeboten und unterstützen Sie bei der Planung, Bereitstellung, Ausführung und Optimierung von Arbeitslasten.

Die GCP bietet außerdem ein umfassendes Netzwerk aus Google Cloud-Partnern, von weltweit führenden Systemintegratoren bis zu Partnern, die über spezialisiertes Know-how verfügen, z. B. im Bereich maschinelles Lernen. Unsere Partner haben mit der GCP bereits beachtliche Kundenerfolge erzielt und können Ihre Projekte beschleunigen und Geschäftsergebnisse verbessern. Wir empfehlen Unternehmenskunden, sich zur Unterstützung bei der Planung und Durchführung ihrer GCP-Implementierung an unsere Partner zu wenden.

Kompetenzzentren aufbauen

Google investiert kontinuierlich in diese Produkte und stellt fortlaufend neue Funktionen bereit. Es kann sich als nützlich erweisen, die Informationen, Erfahrungswerte und Arbeitsabläufe Ihrer Organisation in einer internen Wissensdatenbank wie einem Wiki, einer Google Sites-Website oder einer Intranet-Website festzuhalten.

Außerdem empfiehlt es sich, GCP-Experten und -Champions in Ihrer Organisation zu ernennen. Für diese Champions stehen eine Reihe von Schulungs- und Zertifizierungsoptionen zur Verfügung, mit denen sie ihr jeweiliges Fachwissen erweitern können. Teams können den Google Cloud-Blog abonnieren, um immer auf dem Laufenden zu bleiben und aktuelle Neuigkeiten, Ankündigungen und Kundenberichte zu erhalten.

Weitere Informationen

Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit:

Feedback geben zu...