Best Practices für Unternehmen

In diesem Leitfaden werden Best Practices vorgestellt, die Unternehmenskunden wie Sie beim Einstieg in Google Cloud unterstützen sollen. Der Leitfaden ist nicht als abschließende Liste von Empfehlungen zu betrachten. Er soll Unternehmensarchitekten und Technologie-Stakeholdern einen Überblick über den Umfang der Aktivitäten bieten, damit sie entsprechend planen können. In jedem Abschnitt werden wichtige Aktionen und weiterführende Links aufgeführt.

Bevor Sie diesen Leitfaden lesen, sollten Sie die Plattformübersicht durchgehen, um sich mit den Zusammenhängen der gesamten Google Cloud-Landschaft vertraut zu machen.

Organisatorische Einrichtung

Ressourcenhierarchie definieren

Google Cloud-Ressourcen sind hierarchisch organisiert. Mithilfe dieser Hierarchie können Sie die operative Struktur Ihrer Organisation in Google Cloud abbilden und die Zugriffssteuerung und Berechtigungen für Gruppen zugehöriger Ressourcen verwalten. Das folgende Diagramm zeigt eine Beispielhierarchie.

Umgekehrte Baumstruktur mit hierarchisch angeordneten Ressourcen

Der oberste Knoten der Hierarchie ist die Organisationsressource, die für eine Organisation, z. B. ein Unternehmen, steht. Über die Organisationsressource können Sie alle Ressourcen in der Hierarchie zentral einsehen und verwalten.

Auf der nächsten Hierarchieebene befinden sich Ordner. Mithilfe von Ordnern können Sie Anforderungen isolieren, die für verschiedene Abteilungen und Teams der Organisation gelten. Außerdem können Sie Ordner verwenden, um Produktionsressourcen und Entwicklungsressourcen voneinander zu trennen.

Am Ende der Hierarchie stehen Projekte. Projekte umfassen die Rechen-, Speicher- und Netzwerkressourcen, aus denen sich Ihre Anwendungen zusammensetzen. Ausführliche Informationen dazu finden Sie später in diesem Dokument.

Die Struktur, die Sie definieren, ist flexibel, sodass Sie auf neue Anforderungen reagieren können. Wenn Sie Google Cloud gerade erst eingeführt haben, können Sie die einfachste Struktur verwenden, die Ihren anfänglichen Anforderungen genügt. Ausführliche Informationen finden Sie im Überblick zu Resource Manager.

Organisationsknoten erstellen

Viele der von Google Cloud unterstützten Features erfordern einen Organisationsknoten. Sie können über Cloud Identity einen Organisationsknoten erstellen, der der Internetdomain Ihres Unternehmens zugeordnet ist, z. B. example.com. Bestehende Google Cloud-Projekte und Rechnungskonten können zu dem Organisationsknoten migriert werden. Weitere Informationen finden Sie unter Organisationen erstellen und verwalten.

Wenn Sie Hilfe bei der Einrichtung benötigen, können Sie den Abschnitt Einrichtungsassistent für Organisationen aufrufen.

Projektstruktur festlegen

Für die Verwendung von Google Cloud benötigen Sie ein Projekt. Alle Google Cloud-Ressourcen wie virtuelle Compute Engine-Maschinen und Cloud Storage-Buckets gehören zu einem einzelnen Projekt. Weitere Informationen zu Projekten finden Sie in der Plattformübersicht.

Sie bestimmen den Umfang Ihrer Projekte. Ein einzelnes Projekt kann mehrere separate Anwendungen umfassen und eine einzelne Anwendung kann umgekehrt mehrere Projekte enthalten. Die Ressourcen eines Projekts können auf mehrere Regionen und Standorte verteilt sein.

Die ideale Projektstruktur hängt von Ihren individuellen Anforderungen ab und kann sich mit der Zeit verändern. Beim Entwickeln der Projektstruktur sollten Sie festlegen, ob Ressourcen separat abgerechnet werden, wie viel Isolation erforderlich ist und wie die Teams organisiert sind, die die Ressourcen und Anwendungen verwalten.

Projekterstellung automatisieren

Die Automatisierung der Erstellung und Verwaltung Ihrer Google Cloud-Projekte und -Ressourcen bietet Ihnen Vorteile wie Konsistenz, Reproduzierbarkeit und Testbarkeit. Wenn Sie Ihre Konfiguration als Code behandeln, können Sie ihren Lebenszyklus zusammen mit den Softwareartefakten versionieren und verwalten. Die Automatisierung ermöglicht Ihnen, Best Practices wie konsistente Namenskonventionen und die Ressourcenkennzeichnung mit Labels umzusetzen. Wenn sich Ihre Anforderungen ändern, vereinfacht die Automatisierung außerdem die Refaktorierung Ihrer Projekte.

Für Google Cloud-Projekte können Sie Cloud Deployment Manager verwenden, das native Managementtool von Google Cloud. Mit Deployment Manager erstellen Sie eine Konfigurationsdatei, die eine Gruppe von Google Cloud-Ressourcen beschreibt, die Sie gemeinsam bereitstellen möchten. Sie können parametrisierte Vorlagen definieren, die als wiederverwendbare Bausteine fungieren. Deployment Manager kann auch Zugriffssteuerungsberechtigungen über Cloud IAM festlegen, sodass Ihre Entwickler während der Projekterstellung entsprechenden Zugriff erhalten.

Wenn Sie bereits Tools wie Terraform, Ansible oder Puppet einsetzen, können Sie auch diese verwenden. So können Sie bereits vorhandenes Know-how Ihrer Mitarbeiter nutzen.

Identitäts- und Zugriffsverwaltung

Google-Identitäten verwalten

Google Cloud nutzt Google-Konten zur Authentifizierung und Zugriffsverwaltung. Ihre Entwickler und andere technische Mitarbeiter benötigen ein Google-Konto, um auf Google Cloud zugreifen zu können. Wir empfehlen die Nutzung vollständig verwalteter Google-Konten, die über Cloud Identity dem Domainnamen Ihres Unternehmens zugeordnet sind. Entwickler können dann mit ihren Unternehmens-E-Mail-IDs auf Google Cloud zugreifen und Administratoren können die Konten über die Admin-Konsole einsehen und verwalten. In späteren Abschnitten dieses Dokuments wird beschrieben, wie Sie Ihre vorhandene Identitätsplattform in Cloud Identity einbinden.

Cloud Identity ist eine eigenständige Identity-as-a-Service-Lösung (IDaaS). Sie bietet Kunden der Cloud Platform Zugriff auf viele Identitätsverwaltungsfunktionen der G Suite, einer Reihe von Produktivitätsanwendungen von Google Cloud. Cloud Identity erfordert keine G Suite-Lizenz. Durch die Anmeldung bei Cloud Identity wird eine Verwaltungsebene über Google-Konten bereitgestellt, die dem Domainnamen Ihres Unternehmens zugeordnet sind. Über diese Verwaltungsebene können Sie den Zugriff auf Google-Dienste, einschließlich Google Cloud, für Ihre Mitarbeiter aktivieren oder deaktivieren. Außerdem wird durch die Anmeldung bei Cloud Identity ein Organisationsknoten für Ihre Domain erstellt, der die Verknüpfung von Unternehmensstruktur und -kontrollen mit Google Cloud-Ressourcen über die Ressourcenhierarchie erleichtert.

Weitere Informationen finden Sie unter Cloud Identity-Lösungen.

Identitätsanbieter mit Google Cloud verbinden.

Wenn Ihre Organisation einen lokalen oder externen Identitätsanbieter verwendet, können Sie Ihr Nutzerverzeichnis mit Cloud Identity synchronisieren. Dadurch können die Nutzer mit ihren Unternehmensanmeldedaten auf Google Cloud zugreifen. Ihre bestehende Identitätsplattform bleibt die "Source of Truth" und Sie können über Cloud Identity steuern, wie Ihre Mitarbeiter auf Google-Dienste zugreifen.

Nicht verwaltete Konten migrieren

Wenn Mitglieder Ihrer Domain ihre Unternehmens-E-Mail-Adressen verwendet haben, um ein persönliches Google-Konto zu erstellen, z. B. um sich bei einem Google-Dienst wie YouTube oder Blogger anzumelden, sollten Sie sich überlegen, diese Konten zu migrieren, sodass sie auch über Cloud Identity verwaltet werden können. Alternativ können Sie eine Änderung der verwendeten E-Mail-Adressen für diese Konten erzwingen.

Weitere Informationen zum Migrieren von Konten oder dazu, wie Sie das Umbenennen von Konten erzwingen, finden Sie unter Bestehende Nutzerkonten bewerten.

Ressourcenzugriff steuern

Sie müssen Ihre Entwickler und IT-Mitarbeiter zur Nutzung von Google Cloud-Ressourcen autorisieren. Mit Cloud Identity and Access Management (Cloud IAM) können Sie gezielt den Zugriff auf bestimmte Google Cloud-Ressourcen gewähren und unbefugte Zugriffe auf andere Ressourcen verhindern. Insbesondere können Sie in Cloud IAM festlegen, wer (Identität) welchen Zugriff (Rolle) auf welche Ressource hat.

Dabei nutzen Sie Rollen, statt Berechtigungen direkt zuzuweisen. Cloud IAM-Rollen sind Sammlungen von Berechtigungen. Die Rolle "BigQuery DataViewer" beispielsweise enthält Berechtigungen zum Auflisten, Lesen und Abfragen von BigQuery-Tabellen, jedoch nicht zum Erstellen neuer Tabellen oder zum Ändern vorhandener Daten. Cloud IAM bietet viele vordefinierte Rollen für häufige Anwendungsfälle. Sie können aber auch benutzerdefinierte Rollen erstellen.

Mit Cloud IAM können Sie das Sicherheitsprinzip der geringsten Berechtigung anwenden, um nur den notwendigen Zugriff auf Ihre Ressourcen zu gewähren. Cloud IAM ist ein grundlegendes Thema für Unternehmen. Weitere Informationen zur Identitäts- und Zugriffsverwaltung finden Sie in den folgenden Ressourcen:

Verantwortung mithilfe von Gruppen und Dienstkonten delegieren

Wir empfehlen, Nutzer mit denselben Verantwortungsbereichen in Gruppen zusammenzufassen und diesen Gruppen, statt den einzelnen Nutzern, Cloud IAM-Rollen zuzuweisen. Sie können z. B. eine Gruppe mit dem Namen "Data Scientists" erstellen und geeignete Rollen zuweisen, um die Interaktion mit BigQuery und Cloud Storage zu ermöglichen. Wenn Ihr Team durch einen neuen Data Scientist verstärkt wird, können Sie ihn einfach zur Gruppe hinzufügen, um ihm die festgelegten Berechtigungen zu erteilen. Gruppen können über die Admin-Konsole erstellt und verwaltet werden.

Wir empfehlen Unternehmenskunden, die folgenden sechs Gruppen zu erstellen:

Gruppe Funktion
gcp-organization-admins Organisationsadministratoren sind dafür verantwortlich, die Struktur der von der Organisation verwendeten Ressourcen zu organisieren.
gcp-network-admins Netzwerkadministratoren sind dafür verantwortlich, Netzwerke, Subnetze, Firewallregeln und Netzwerkgeräte wie Cloud-Router, Cloud-VPNs und Cloud-Load-Balancer zu erstellen.
gcp-security-admins Sicherheitsadministratoren sind dafür verantwortlich, Sicherheitsrichtlinien für die gesamte Organisation, einschließlich Zugriffsverwaltung und Organisationseinschränkungsrichtlinien, festzulegen und zu verwalten.
gcp-billing-admins Abrechnungsadministratoren sind dafür verantwortlich, Rechnungskonten einzurichten und deren Nutzung zu überwachen.
gcp-devops DevOps-Entwickler erstellen oder verwalten End-to-End-Pipelines, die die kontinuierliche Einbindung und Bereitstellung, Überwachung und Systembereitstellung unterstützen.
gcp-developers Entwickler sind dafür verantwortlich, Anwendungen zu entwerfen, codieren und testen.

Ein Dienstkonto ist eine spezielle Art von Google-Konto, das eine Google Cloud-Dienstidentität oder -anwendung darstellt, statt für einen einzelnen Nutzer zu stehen. Wie Nutzer und Gruppen können Dienstkonten IAM-Rollen zugewiesen werden, um Zugriff auf bestimmte Ressourcen zu gewähren. Zur Authentifizierung verwenden Dienstkonten einen Schlüssel anstelle eines Passworts. Google verwaltet und rotiert die Dienstkontoschlüssel für Code, der in Google Cloud ausgeführt wird. Wir empfehlen, Dienstkonten für Server-zu-Server-Interaktionen zu verwenden.

Organisationsrichtlinie definieren

Mit dem Organisationsrichtliniendienst können Sie die Cloudressourcen Ihrer Organisation zentral und programmatisch steuern. Cloud IAM konzentriert sich auf Identitäten und bietet die Möglichkeit, Nutzer und Gruppen anhand Berechtigungen dazu zu autorisieren, Aktionen für bestimmte Ressourcen auszuführen. Eine Organisationsrichtlinie konzentriert sich auf Ressourcen und bietet die Möglichkeit, Einschränkungen für bestimmte Ressourcen festzulegen, um zu bestimmen, wie sie konfiguriert und verwendet werden können. Sie können z. B. eine Einschränkung definieren, um zu verhindern, dass VM-Instanzen eine externe IP-Adresse zugewiesen wird.

Richtlinien für Ressourcen werden in der Ressourcenhierarchie eingerichtet. Alle Nachfolger einer Ressource übernehmen standardmäßig ihre Richtlinien. Sie können eine Gruppe von grundlegenden Einschränkungen festlegen, die für alle Elemente in der Hierarchie gelten, indem Sie dem Organisationsknoten der obersten Ebene eine Richtlinie hinzufügen. Anschließend können Sie benutzerdefinierte Organisationsrichtlinien für untergeordnete Knoten festlegen, die die übernommene Richtlinie überschreiben oder mit ihr zusammengeführt werden.

Weitere Informationen zum Festlegen von Richtlinien finden Sie unter Richtlinienentwurf für Unternehmenskunden.

Netzwerk und Sicherheit

Netzwerk mit VPC definieren

Mit VPCs und Subnetzen können Sie Ihr Netzwerk abbilden und verwandte Ressourcen gruppieren und isolieren. Virtual Private Cloud (VPC) ist eine virtuelle Version eines physischen Netzwerks. VPC-Netzwerke bieten skalierbare und flexible Netzwerke für Ihre Compute Engine-VM-Instanzen und für die Dienste, die VM-Instanzen nutzen, z. B. Google Kubernetes Engine (GKE), Dataproc und Dataflow.

VPC-Netzwerke sind globale Ressourcen. Eine einzelne VPC kann sich über mehrere Regionen erstrecken, ohne über das öffentliche Internet zu kommunizieren. Das bedeutet, dass Sie in einem einzigen Google Cloud-Projekt Ressourcen verknüpfen und verwalten können, die auf der ganzen Welt verteilt sind. Außerdem können Sie mehrere isolierte VPC-Netzwerke in einem einzigen Projekt erstellen.

VPC-Netzwerke legen keine eigenen IP-Adressbereiche fest. Stattdessen besteht jedes VPC-Netzwerk aus einer oder mehreren Partitionen, die als Subnetzwerke bezeichnet werden. In jedem Subnetz werden wiederum ein oder mehrere IP-Adressbereiche festgelegt. Subnetze sind regionale Ressourcen – jedes Subnetz ist explizit einer einzelnen Region zugeordnet.

Weitere Informationen finden Sie unter VPC-Netzwerk (Virtual Private Cloud) – Übersicht.

Traffic mit Firewallregeln verwalten

Für jedes VPC-Netzwerk wird eine verteilte virtuelle Firewall implementiert. Sie sollten Firewallregeln konfigurieren, die den ein- oder ausgehenden Traffic für die mit dem VPC-Netzwerk verbundenen Ressourcen zulassen oder zurückweisen, wobei zu den Ressourcen auch Compute Engine-VM-Instanzen und GKE-Cluster gehören. Firewallregeln werden auf der Ebene virtueller Netzwerke angewendet. Sie bieten deshalb unabhängig von dem Betriebssystem, das Ihre Instanzen nutzen, einen wirksamen Schutz und eine effektive Trafficsteuerung. Die Firewall ist zustandsorientiert. Das bedeutet, dass der Rücktraffic für zulässige Datenflüsse automatisch zugelassen wird.

Firewallregeln gelten immer nur für ein spezifisches VPC-Netzwerk. Sie können in den Regeln den gewünschten Traffictyp angeben, z. B. Ports und Protokolle, sowie die Quelle oder das Ziel des Traffics, einschließlich IP-Adressen, Subnetzen, Tags und Dienstkonten. Sie können beispielsweise eine Regel für eingehenden Traffic erstellen, damit jede VM-Instanz, die einem bestimmten Dienstkonto zugeordnet ist, TCP-Traffic aus einem bestimmten Quellsubnetz an Port 80 zulässt. Jede VPC enthält automatisch standardmäßige und implizierte Firewallregeln.

Wenn Ihre Anwendung in GKE gehostet wird, sollten Sie beim Verwalten des Netzwerktraffics und beim Konfigurieren von Firewallregeln weitere Aspekte beachten. Sie können beispielsweise eine Netzwerkrichtlinie erstellen, um die interne Kommunikation innerhalb des GKE-Clusters zu steuern. Sie können auch ein Service Mesh wie Istio verwenden, um die Kommunikation mit Ihrem Cluster weiter zu verwalten und zu sichern. Ausführliche Informationen finden Sie unter GKE-Netzwerkkonzepte.

Externen Zugriff beschränken

Wenn Sie eine Google Cloud-Ressource erstellen, die ein VPC-Netzwerk nutzt, wählen Sie ein Netzwerk und ein Subnetz aus, in dem die Ressource platziert werden soll. Der Ressource wird eine interne IP-Adresse aus einem der IP-Bereiche zugewiesen, die dem Subnetz zugeordnet sind. Ressourcen in einem VPC-Netzwerk können über interne IP-Adressen miteinander kommunizieren, solange die Firewallregeln dies zulassen.

Zur Kommunikation mit dem Internet müssen Ressourcen eine externe, öffentliche IP-Adresse haben oder Cloud NAT verwenden. Entsprechend benötigen Ressourcen eine externe IP-Adresse, um eine Verbindung zu Ressourcen außerhalb des VPC-Netzwerks herzustellen, sofern die Netzwerke nicht z. B. über ein VPN miteinander verbunden sind. Weitere Informationen finden Sie in der Dokumentation zu IP-Adressen.

Beschränken Sie den Internetzugriff auf wirklich erforderliche Ressourcen. Ressourcen, die nur eine private, interne IP-Adresse haben, können über den privaten Google-Zugriff weiterhin auf viele Google APIs und Google-Dienste zugreifen. Dieser private Zugriff ermöglicht Ressourcen die Interaktion mit wichtigen Google- und Google Cloud-Diensten, ohne die Isolation vom Internet aufzuheben.

Netzwerksteuerung zentralisieren

Sie können eine freigegebene VPC verwenden, um eine Verbindung zu einem gemeinsam genutzten VPC-Netzwerk herzustellen. Ressourcen in diesen Projekten können mithilfe von internen IP-Adressen sicher und effizient über Projektgrenzen hinweg miteinander kommunizieren. Freigegebene Netzwerkressourcen wie Subnetze, Routen und Firewalls können über ein zentrales Hostprojekt verwaltet werden. So können Sie konsistente Netzwerkrichtlinien für alle Projekte anwenden und durchsetzen.

Mit freigegebener VPC und IAM-Steuerelementen können Sie die Netzwerk- von der Projektverwaltung trennen. Diese Trennung hilft Ihnen, den Grundsatz der geringsten Berechtigung zu implementieren. Ein zentralisiertes Netzwerkteam kann beispielsweise das Netzwerk verwalten, ohne Berechtigungen für die beteiligten Projekte zu haben. Ebenso können die Projektadministratoren ihre Projektressourcen verwalten, ohne dazu berechtigt zu sein, Änderungen am freigegebenen Netzwerk vorzunehmen.

Unternehmensnetzwerk anbinden

Viele Unternehmen müssen die vorhandene lokale Infrastruktur mit ihren Google Cloud-Ressourcen verbinden. Zur Auswahl der besten Verbindungsoption sollten Sie Ihre Bandbreiten-, Latenz- und SLA-Anforderungen prüfen:

  • Wenn Sie hochverfügbare Unternehmensverbindungen mit niedriger Latenz benötigen, um Daten zuverlässig zwischen dem lokalen und VPC-Netzwerk zu übertragen, ohne die Internetverbindungen zu Google Cloud zu verwenden, sollten Sie Cloud Interconnect nutzen:

    • Dedicated Interconnect stellt eine direkte physische Verbindung zwischen Ihrem lokalen Netzwerk und dem Netzwerk von Google bereit.
    • Partner Interconnect stellt eine Verbindung zwischen Ihrem lokalen und dem Google Cloud-VPC-Netzwerk über einen unterstützten Dienstanbieter bereit.
  • Wenn Sie nicht auf die niedrige Latenz und hohe Verfügbarkeit von Cloud Interconnect angewiesen oder gerade erst in die Cloud gewechselt sind, können Sie mit Cloud VPN verschlüsselte IPsec-VPN-Tunnel zwischen Ihrem lokalen Netzwerk und der VPC einrichten. IPsec-VPN-Tunnel sind weniger aufwendig und kostengünstiger als direkte, private Verbindungen.

Anwendungen und Daten sichern

Google Cloud bietet robuste Sicherheitsfeatures für Infrastruktur und Dienste – vom physischen Schutz von Rechenzentren und kundenspezifischer Sicherheitshardware bis hin zu dedizierten Sicherheitsexperten. Die Sicherung Ihrer Google Cloud-Ressourcen ist jedoch eine Aufgabe, die in gemeinsamer Verantwortung gelöst werden muss. Sie müssen geeignete Maßnahmen dafür ergreifen, dass Ihre Anwendungen und Daten geschützt sind.

Neben Firewallregeln und VPC-Isolation können Sie die folgenden Tools einsetzen, um Ihre Anwendungen zu sichern und zu schützen:

  • Mit VPC Service Controls können Sie einen Sicherheitsbereich für Google Cloud-Ressourcen festlegen, um Daten in einer VPC einzuschränken und die Risiken einer unbefugten Datenweitergabe zu minimieren.
  • Ein globaler HTTP(S)-Load-Balancer für Google Cloud unterstützt Hochverfügbarkeit und Skalierung für Ihre Dienste im Internet.
  • Nutzen Sie Google Cloud Armor in Verbindung mit dem HTTP(S)-Load-Balancer, um DDoS-Attacken abzuwehren und externe IP-Adressen auf weiße und schwarze Listen zu setzen.
  • Mithilfe von Identity-Aware Proxy (IAP) können Sie den Anwendungszugriff steuern. Prüfen Sie hierfür die Nutzeridentität und den Kontext von Anfragen und bestimmen Sie, ob einem Nutzer Zugriff gewährt werden soll.

In Google Cloud werden Daten während der Übertragung und inaktive Daten per Verschlüsselung geschützt. Die Verschlüsselung inaktiver Daten erfolgt standardmäßig mit von Google verwalteten Verschlüsselungsschlüsseln. Für sensible Daten können Sie Ihre Schlüssel auch in Google Cloud verwalten. Wenn Sie mehr Kontrolle benötigen, können Sie eigene Verschlüsselungsschlüssel verwenden, die außerhalb von Google Cloud verwaltet werden. Da die Anwendung und Verwaltung eigener Schlüssel zusätzlichen Aufwand verursacht, empfehlen wir, diesen Ansatz nur für wirklich sensible Daten zu nutzen. Weitere Informationen finden Sie unter Verschlüsselung inaktiver Daten.

Logging, Monitoring und Vorgänge

Logging und Monitoring zentralisieren

Unternehmen führen in der Regel mehrere Anwendungen, Datenpipelines und weitere Prozesse aus, häufig auf unterschiedlichen Plattformen. Eine wichtige Aufgabe von Entwicklern und Betriebsteams besteht darin, die Integrität dieser Anwendungen und Prozesse zu gewährleisten. Dafür empfehlen wir den Einsatz von Cloud Logging und Cloud Monitoring, mit dem Sie Logging, Monitoring, Fehlerbehebung, Tracing, Profilerstellung und vieles mehr verwalten können.

Logs sind eine Hauptquelle für Diagnoseinformationen zum Zustand von Anwendungen und Prozessen. Mit Cloud Logging können Sie Logdaten und -ereignisse speichern, ansehen, suchen, analysieren und Benachrichtigungen dazu erhalten. Logging ist nativ in vielen Google Cloud-Diensten enthalten. Für Anwendungen, die auf VM-Instanzen in Compute Engine oder in Amazon Elastic Compute Cloud (EC2) gehostet werden, kann ein Logging-Agent installiert werden, um Logs automatisch an Cloud Logging weiterzuleiten. Cloud Logging stellt außerdem eine API bereit, mit der es möglich ist, aus jeder Quelle Logs zu schreiben, auch von lokal ausgeführten Anwendungen. Mit Logging können Sie Logs aus allen Ihren Anwendungen zusammenführen.

Neben der Auswertung von Logs müssen Sie normalerweise weitere Aspekte Ihrer Anwendungen und Systeme überwachen, um einen zuverlässigen Betrieb zu gewährleisten. Mit Cloud Monitoring können Sie sich einen Überblick über die Leistung, die Verfügbarkeit und den Gesamtzustand von Anwendungen und Infrastruktur verschaffen. Monitoring erfasst Ereignisse, Messwerte und Metadaten und stellt Informationen über Dashboards, Diagramme und Benachrichtigungen bereit. Der Dienst unterstützt Messwerte aus vielen Google Cloud- und Drittanbieterquellen. Außerdem können Sie mit Monitoring benutzerdefinierte Messwerte festlegen. Sie können z. B. Messwerte verwenden, um Benachrichtigungsrichtlinien einzurichten, sodass Betriebsteams über ungewöhnliches Verhalten oder ungewöhnliche Trends informiert werden. Monitoring bietet außerdem flexible Dashboards und umfangreiche Visualisierungstools, mit denen sich potenzielle Probleme rechtzeitig erkennen lassen.

Audit-Trail einrichten

Neben der Erfassung von Logs auf Anwendungs- und Prozessebene müssen Sie möglicherweise beobachten, wie Ihre Entwickler und IT-Teams mit Google Cloud-Ressourcen interagieren. Verwenden Sie Cloud-Audit-Logging, um in Ihren Google Cloud-Projekten Fragen wie "wer hat was, wann und wo erledigt" zu beantworten. Eine Liste der Google Cloud-Dienste, die Audit-Logs schreiben, finden Sie unter Google-Dienste mit Audit-Logs. Mit IAM-Steuerelementen können Sie einschränken, wer Audit-Logs aufrufen kann.

Cloud-Audit-Logging zeichnet verschiedene Arten von Aktivitäten auf. Logs zu Administratoraktivitäten enthalten Logeinträge für API-Aufrufe und andere Verwaltungsaktionen, mit denen die Konfiguration oder die Metadaten von Ressourcen geändert werden. Administratoraktivitätslogs sind immer aktiviert. In Audit-Logs für den Datenzugriff werden API-Aufrufe zum Erstellen, Ändern oder Lesen der von Nutzern bereitgestellten Daten aufgezeichnet. Da Audit-Logs für den Datenzugriff relativ groß sein können, sind sie standardmäßig deaktiviert. Sie können konfigurieren, für welche Google Cloud-Dienste Datenzugriffslogs erzeugt werden.

Ausführlichere Informationen zum Thema Auditing finden Sie unter Cloud-Audit-Logs.

Logs exportieren

Anwendungs- und Audit-Logs werden in Logging nur für einen begrenzten Zeitraum aufbewahrt. Möglicherweise müssen Sie Logs länger aufbewahren, um Complianceverpflichtungen zu erfüllen oder um später Verlaufsanalysen auszuführen.

Sie können Logs in Cloud Storage, BigQuery und Pub/Sub exportieren. Mithilfe von Filtern können Sie bestimmte Ressourcen in den Export einschließen oder davon ausschließen. So lassen sich beispielsweise alle Compute Engine-Logs exportieren, ohne die umfangreichen Logs von Cloud Load Balancing einzubeziehen.

Wohin Sie Ihre Logs exportieren, hängt vom jeweiligen Anwendungsfall ab. Viele Unternehmen exportieren an mehrere Ziele. Im Allgemeinen sollten Sie für die langfristige Aufbewahrung Cloud Storage verwenden, um Complianceverpflichtungen zu erfüllen. Wenn Sie Logs analysieren müssen, sollten Sie BigQuery einsetzen, da der Dienst SQL-Abfragen und ein großes Angebot von Drittanbietertools unterstützt.

Weitere Informationen zu Logging-Exporten finden Sie unter Entwurfsmuster zum Exportieren mit Stackdriver Logging.

DevOps nutzen und Site Reliability Engineering testen

Zum Verbessern der Flexibilität und zum Verkürzen der Einführungszeit für Ihre Anwendungen und Funktionen sollten Sie Datensilos zwischen Entwickler-, Betriebs-, Netzwerks- und Sicherheitsteams beseitigen. Dies erfordert eine Kultur der Zusammenarbeit, Prozesse und Tools, die zusammen als DevOps bezeichnet werden.

Google Cloud bietet eine Reihe von Diensten, die Sie bei der Einführung von DevOps-Praktiken unterstützen. Zu den Features gehören integrierte Quellcode-Repositories, Tools für Continuous Delivery, umfassende Monitoringfunktionen über Cloud Monitoring und Unterstützung für viele Open-Source-Tools. Weitere Informationen finden Sie auf der Google Cloud-Seite zu DevOps-Lösungen.

Site Reliability Engineering (SRE) besteht aus einer Reihe von Methoden, die eng mit DevOps zusammenhängen. Sie wurden vom SRE-Team entwickelt, das die Produktionsinfrastruktur von Google verwaltet. Die Einrichtung einer eigenen SRE-Funktion geht bei vielen Unternehmen wahrscheinlich über den Rahmen des Möglichen hinaus. Dennoch empfehlen wir, die SRE-Bücher zu lesen, um Methoden kennenzulernen, die Ihnen bei der Gestaltung Ihrer Betriebsstrategie helfen können.

Cloudarchitektur

Migration planen

Die Migration lokaler Anwendungen und Infrastrukturen in die Cloud erfordert eine sorgfältige Bewertung und Planung. Sie müssen die verschiedenen Migrationsstrategien, von Lift-and-Shift bis Transform-and-Move, für jede einzelne Anwendung evaluieren. Google Cloud bietet Tools zur Migration virtueller Maschinen, zur Übertragung von Daten und zur Modernisierung von Arbeitslasten. Weitere Informationen finden Sie im Migrationscenter.

Aufgrund rechtlicher, technischer oder finanzieller Einschränkungen kann es unmöglich oder gar nicht gewünscht sein, bestimmte Anwendungen in die öffentliche Cloud zu verschieben. In diesem Fall müssen Sie Arbeitslasten möglicherweise auf Ihre lokale und die Google Cloud-Infrastruktur verteilen und darin einbinden. Dieser Ansatz wird als Hybrid-Cloud bezeichnet. Weitere Informationen zu Hybridarbeitslasten finden Sie auf den Seiten Hybrid-Cloud verwalten und Hybrid- und Multi-Cloud-Muster und -Praktiken.

Verwaltete Dienste nutzen

Für den Umstieg in die Cloud ist es wichtig, die IT-Kosten zu senken und die Effizienz zu erhöhen, damit Sie sich auf Ihr Kerngeschäft konzentrieren können. Neben der Einführung von DevOps-Praktiken und dem verstärkten Einsatz von Automatisierungsfunktionen sollten Sie verwaltete Google Cloud-Dienste nutzen, um den operativen Aufwand und die Gesamtbetriebskosten (TCO) zu reduzieren.

Anstatt alle Komponenten eines Anwendungspakets unabhängig voneinander zu installieren, zu verwalten und zu betreiben, können Sie verwaltete Dienste einsetzen, um Teile Ihres Anwendungspakets als Dienste zu nutzen. Zum Beispiel können Sie eine von Cloud SQL bereitgestellte MySQL-Datenbank verwenden, statt eine MySQL-Datenbank auf einer VM-Instanz zu installieren und selbst zu verwalten. Die Verwaltung der zugrunde liegenden Infrastruktur wird dann von Google Cloud übernommen und Sicherungen, Updates und Replikationsvorgänge werden automatisch durchgeführt.

Wir empfehlen, das für jeden verwalteten Dienst bereitgestellte SLA durchzugehen.

Google Cloud bietet verwaltete Dienste und serverlose Optionen für viele gängige Anwendungskomponenten und Anwendungsfälle – von verwalteten Datenbanken bis hin zu Tools für die Verarbeitung von Big Data. Viele dieser verwalteten Dienste bieten Unterstützung für bewährte Open-Source-Frameworks und -Plattformen. Sie können also TCO-Vorteile erzielen, wenn Sie vorhandene Anwendungen, die diese Plattformen nutzen, per Lift-and-Shift in die Cloud verschieben.

Hochverfügbarkeit bereitstellen

Entwickeln Sie stabile Anwendungen, die Ausfälle oder unerwartete Lastspitzen problemlos überstehen, um eine möglichst hohe Betriebszeit für geschäftskritische Lösungen zu gewährleisten. Hochverfügbarkeit bezeichnet die Fähigkeit einer Anwendung, trotz Komponentenausfällen im System reaktions- und funktionsfähig zu bleiben. Hochverfügbare Architekturen beinhalten normalerweise die Verteilung von Rechenressourcen, Load-Balancing und die Replikation von Daten. Der Umfang Ihrer Hochverfügbarkeitsanforderungen kann je nach Anwendung variieren. Weitere Informationen zu Verfügbarkeitskonzepten finden Sie in der Dokumentation zu Geografie und Regionen.

Sie sollten zumindest Rechenressourcen wie Compute Engine-VM-Instanzen und GKE-Cluster auf die verfügbaren Zonen in einer Region verteilen, um die Auswirkungen eines Ausfalls einer bestimmten Zone zu begrenzen. Wenn Sie die Verfügbarkeit Ihrer Rechenressourcen zusätzlich verbessern möchten, können Sie sie auf mehrere geografisch verteilte Regionen verteilen, um einen potenziellen Ausfall einer gesamten Region abzumildern. Informationen zum Auswählen eines Standorts für Rechenressourcen finden Sie unter Best Practices für die Auswahl der Region in Compute Engine.

Google Cloud bietet verschiedene Varianten des Load-Balancings. Für die Freigabe von Anwendungen im Internet wird häufig der HTTP(S)-Load-Balancer verwendet. Dieser Load-Balancer bietet einen globalen Ausgleich durch die Verteilung der Last auf Regionen in unterschiedlichen Geografien. Wenn eine Zone oder Region nicht verfügbar ist, leitet der Load-Balancer den Traffic an eine Zone mit verfügbarer Kapazität weiter. Weitere Informationen finden Sie unter Optimierung der Anwendungskapazität mit globalem Load-Balancing.

Auch bei der Auswahl Ihres Datenspeichers sollten Sie auf die Verfügbarkeit achten. Einige Google Cloud-Datenspeicherdienste bieten die Möglichkeit, Daten zwischen Zonen in einer einzigen Region zu replizieren. Andere Dienste replizieren Daten automatisch über mehrere Regionen in einem geografischen Gebiet hinweg. Möglicherweise müssen dabei jedoch Abstriche bei der Latenz oder beim Konsistenzmodell gemacht werden. Die Wahl eines geeigneten Datenspeicherdiensts hängt von der Anwendung und den Verfügbarkeitsanforderungen ab.

Strategie zur Notfallwiederherstellung planen

Neben der Hochverfügbarkeit sollte Ihr Plan die Wahrung der Geschäftskontinuität für den Fall eines großflächigen Ausfalls oder einer Naturkatastrophe beinhalten. Als Notfallwiederherstellung wird die Fähigkeit eines Systems bezeichnet, nach seltenen, aber schwerwiegenden Vorfällen wieder in den Normalbetrieb zurückzukehren. Wenn Hochverfügbarkeitsvorkehrungen unwirksam oder nicht verfügbar sind, müssen Sie möglicherweise eine Notfallwiederherstellung einleiten.

Die Erstellung eines effektiven Notfallwiederherstellungsplans erfordert Vorbereitung und Tests. Wir empfehlen, dass Sie sich frühzeitig damit auseinandersetzen. Weitere Informationen finden Sie im Leitfaden zur Planung der Notfallwiederherstellung und zugehörigen Artikeln.

Ressourcen

Abrechnung und Verwaltung

Berechnung von Ressourcen

Google Cloud basiert auf einem Nutzungsmodell. Die anfallenden Kosten richten sich nach der Nutzung einer bestimmten Ressource oder eines bestimmten Produkts in einem bestimmten Abrechnungszeitraum. Die Nutzung wird dabei je nach Produkt unterschiedlich gemessen, zum Beispiel:

  • nach Zeit (wie viele Sekunden eine Maschine ausgeführt wurde)
  • als Volumen (wie viele Daten gespeichert werden)
  • als Anzahl der ausgeführten Vorgänge
  • als variable Kombination dieser Ansätze

Sie sollten sich darüber informieren, wie die Abrechnung für die Komponenten in Ihrem System funktioniert, damit Sie die Kosten genau kalkulieren können. Die Dokumentation jedes Produkts enthält detaillierte Preisinformationen. Viele Produkte bieten ein kostenlose Stufe, bei der für die Nutzung in einem bestimmten Rahmen keine Gebühren anfallen. Wenn Sie Ressourcen über das Angebot der kostenlosen Stufe hinaus nutzen möchten, müssen Sie die Abrechnung aktivieren.

Weitere Informationen zu Preisgestaltung, Neuerungen und Rabatten für Google Cloud finden Sie in der Preisübersicht.

Abrechnung und Berechtigungen einrichten

Alle Google Cloud-Ressourcen, einschließlich Compute Engine-VMs, Cloud Storage-Buckets und BigQuery-Datasets, müssen einem Google Cloud-Projekt zugeordnet werden. Damit Ressourcen über das Angebot der kostenlosen Stufe hinaus genutzt werden können, muss ein Projekt mit einem Rechnungskonto verknüpft sein. Die Beziehung zwischen Rechnungskonten und Projekten ist 1:n – ein Projekt kann jeweils nur einem Rechnungskonto zugeordnet werden, aber ein Rechnungskonto kann mit vielen Projekten verknüpft sein.

Mit einem Rechnungskonto können Sie festlegen, wer die Ressourcen in bestimmten Projekten bezahlt. Das Konto enthält ein Zahlungsmittel, das mit den Kosten belastet wird, z. B. eine Kreditkarte. Sie können Rechnungskonten auf Organisationsebene definieren, um Projekte unter dem Organisationsknoten mit den Rechnungskonten zu verknüpfen. Sie können in Ihrer Organisation mehrere Rechnungskonten für unterschiedliche Kostenstellen oder Abteilungen einrichten.

Cloud IAM bietet eine Reihe nützlicher Steuerelemente, mit denen Sie einschränken können, wie verschiedene Nutzer die Abrechnung verwalten und mit ihr interagieren können. Diese Steuerelemente helfen Ihnen, das Prinzip der geringsten Berechtigungen anzuwenden, und ermöglichen eine übersichtliche Rollentrennung. Sie können beispielsweise die Berechtigung zum Erstellen von Rechnungskonten von der Berechtigung zum Verknüpfen von Projekten mit einem bestimmten Rechnungskonto trennen.

Ausführliche Informationen zu Abrechnungskonzepten und zur Einrichtung finden Sie in der Checkliste zur Abrechnungseinrichtung.

Rechnung analysieren und exportieren

Nutzer mit den entsprechenden Berechtigungen können eine detaillierte Aufschlüsselung der Kosten, des Transaktionsverlaufs und weiterer Posten in der Cloud Console aufrufen. Die Informationen werden pro Rechnungskonto angezeigt. Die Console enthält außerdem interaktive Abrechnungsberichte, in denen Sie die Kosten nach Projekt, Produkt und Zeitraum filtern und aufschlüsseln können. Die Funktionen der Cloud Console sind für Kunden mit weniger komplizierten Google Cloud-Einstellungen in der Regel ausreichend.

Normalerweise benötigen Sie jedoch benutzerdefinierte Analysen und Berichte zu Ihren Cloudausgaben. Dafür müssen Sie den täglichen Export von Abrechnungskosten aktivieren. Sie können Dateiexporte konfigurieren, um eine CSV- oder JSON-Datei in einen Cloud Storage-Bucket zu exportieren. Ebenso können Sie den Export in ein BigQuery-Dataset einrichten. Dabei werden alle Labels exportiert, die auf Ressourcen angewendet wurden.

Wir empfehlen die Aktivierung von BigQuery-Exporten. Diese bieten Ihnen eine detailliertere Aufteilung der Kosten im Vergleich zum Dateiexport. Sobald die Rechnungsdaten in BigQuery gespeichert sind, können sie von Finanzteams mit Standard-SQL analysiert und mit Tools verwaltet werden, die in BigQuery enthalten sind.

Kapazitätsanforderungen kalkulieren

Google Cloud-Projekte sind an Kontingente geknüpft, die die Nutzung einer bestimmten Ressource oder API begrenzen. Der Zweck von Kontingenten besteht darin, die Google Cloud-Community vor unvorhergesehenen Auslastungsspitzen zu schützen. Mit Kontingenten wird zum Beispiel verhindert, dass eine kleine Anzahl von Kunden oder Projekten die Nutzung von CPU-Kernen in einer bestimmten Region oder Zone monopolisieren kann.

Sie sollten die Kapazitätsanforderungen Ihrer Projekte im Voraus planen, um unerwartete Einschränkungen bei der Ressourcennutzung zu vermeiden. Wenn die Kontingente nicht ausreichen, können Sie im Abschnitt Kontingente der Cloud Console Erhöhungen anfordern. Sollten Sie eine sehr große Kapazität benötigen, wenden Sie sich an Ihr Google Cloud-Vertriebsteam.

Kostenkontrollen implementieren

Wenn Clouddienste skaliert werden, steigen auch die Kosten. Google Cloud bietet mehrere Methoden, um die Ressourcennutzung zu begrenzen und entsprechende Parteien über relevante Abrechnungsereignisse zu benachrichtigen.

Sie können Budgets festlegen und Benachrichtigungen generieren lassen, wenn die Ausgaben bestimmte Schwellenwerte erreichen. Die Benachrichtigungen werden in Form von E-Mails erstellt und können optional Pub/Sub-Nachrichten für programmatische Benachrichtigungen generieren. Das Budget kann auf das gesamte Rechnungskonto oder auf ein einzelnes Projekt angewendet werden, das mit dem Rechnungskonto verknüpft ist. Sie können z. B. ein Budget erstellen, das Benachrichtigungen generiert, wenn die monatlichen Gesamtausgaben für ein Rechnungskonto 50, 80 und 100 Prozent des angegebenen Budgetbetrags erreichen. Die Ausgaben werden nicht durch die Budgets begrenzt – sie sind lediglich eine Funktion zum Generieren von Benachrichtigungen. Weitere Informationen finden Sie in der Cloud Billling-Dokumentation unter Budgetbenachrichtigungen festlegen. Weitere Best Practices, Designentscheidungen und Konfigurationsoptionen, die die Kostenverwaltung vereinfachen, finden Sie unter Checkliste zur Abrechnungseinrichtung.

Sie können außerdem Kontingente verwenden, um die Nutzung einer bestimmten Ressource zu begrenzen. Zum Beispiel können Sie über die BigQuery API ein maximales Kontingent für Abfragen pro Tag festlegen, um zu verhindern, dass in einem Projekt zu hohe Ausgaben für BigQuery getätigt werden.

Supportpakete erwerben

Google Cloud bietet verschiedene Möglichkeiten, um bei Problemen Unterstützung zu erhalten, von Community-Foren bis hin zu bezahlten Supportpaketen. Zum Schutz Ihrer geschäftskritischen Arbeitslasten empfehlen wir den Kauf eines Enterprise Supportpakets. Weitere Informationen finden Sie im Supportportal von Google Cloud.

Je nach erworbener Supportstufe kann die Möglichkeit, Support-Tickets zu erstellen, auf bestimmte Personen beschränkt sein. Wir empfehlen daher, dass Sie ein Support-Clearinghouse oder ein Team zum Sichten einrichten. Damit können Sie doppelte Tickets und Absprachefehler vermeiden und die Kommunikation mit dem Google Cloud-Support so verständlich wie möglich halten.

Unterstützung durch Experten

Die Google Cloud Professional Services Organization (PSO) bietet Beratungsdienste, um Sie bei der Nutzung von Google Cloud zu unterstützen. Sie können sich an PSO-Berater wenden, die fundiertes Fachwissen haben, um Ihr Team mit den bewährten Verfahren und Leitlinien für eine erfolgreiche Implementierung vertraut zu machen. Die Dienste werden in Form von Paketen angeboten und unterstützen Sie bei der Planung, Bereitstellung, Ausführung und Optimierung von Arbeitslasten.

Google Cloud bietet außerdem ein umfassendes Netzwerk aus Google Cloud-Partnern – von weltweit führenden Systemintegratoren bis hin zu Partnern mit Know-how in einem bestimmten Bereich, wie z. B. maschinelles Lernen. Unsere Partner haben mit Google Cloud bereits beachtliche Kundenerfolge erzielt und können Ihre Projekte beschleunigen und Geschäftsergebnisse verbessern. Wir empfehlen Unternehmenskunden, sich zur Unterstützung bei der Planung und Durchführung ihrer Google Cloud-Implementierung an unsere Partner zu wenden.

Kompetenzzentren aufbauen

Google investiert kontinuierlich in diese Produkte und stellt fortlaufend neue Funktionen bereit. Es kann sich als nützlich erweisen, die Informationen, Erfahrungswerte und Arbeitsabläufe Ihrer Organisation in einer internen Wissensdatenbank wie einem Wiki, einer Google Sites-Website oder einer Intranet-Website festzuhalten.

Außerdem empfiehlt es sich, Google Cloud-Experten und -Champions in Ihrer Organisation zu ernennen. Für diese Champions stehen eine Reihe von Schulungs- und Zertifizierungsoptionen zur Verfügung, mit denen sie ihr jeweiliges Fachwissen erweitern können. Teams können den Google Cloud-Blog abonnieren, um immer auf dem Laufenden zu bleiben und aktuelle Neuigkeiten, Ankündigungen und Kundenberichte zu erhalten.

Weitere Informationen