Esegui la migrazione a Google Cloud: crea la tua base

Questo documento ti aiuta a creare l'infrastruttura cloud di base per il tuo carichi di lavoro con scale out impegnativi. Può anche aiutarti a pianificare in che modo questa infrastruttura supporta i tuoi diverse applicazioni. Questa pianificazione include la gestione delle identità, l'organizzazione struttura del progetto e networking.

Questo documento fa parte della seguente serie in più parti sulla migrazione a Google Cloud:

• Eseguire la migrazione a Google Cloud: iniziare
• Eseguire la migrazione a Google Cloud: valutare e individuare i carichi di lavoro
• Esegui la migrazione a Google Cloud: crea la tua base (questo documento)
• Eseguire la migrazione a Google Cloud: trasferire set di dati di grandi dimensioni
• Eseguire la migrazione a Google Cloud: eseguire il deployment dei carichi di lavoro
• Eseguire la migrazione a Google Cloud: dai deployment manuali a quelli automatizzati e containerizzati
• Eseguire la migrazione a Google Cloud: ottimizzare l'ambiente
• Eseguire la migrazione a Google Cloud: best practice per la convalida di un piano di migrazione
• Eseguire la migrazione a Google Cloud: ridurre al minimo i costi

Il seguente diagramma illustra il percorso del tuo percorso di migrazione.

Questo documento è utile se stai pianificando una migrazione da un ambiente on-premise da un ambiente di hosting privato, da un altro cloud provider in Google Cloud o se stai valutando l'opportunità e vuoi vedere come potrebbe essere. Questo documento ti aiuta a comprendere sui prodotti disponibili e sulle decisioni che prenderai per costruire una base caso d'uso sulla migrazione.

Per le opzioni di implementazione predefinite, consulta:

• Elenco di controllo per la configurazione di Google Cloud
• Progetto di base aziendale

Per ulteriori indicazioni sulle best practice per la progettazione degli elementi di base, consulta:

• Design della zona di destinazione per progettare una base in modo ampio.
• Framework dell'architettura per ottenere indicazioni sulle best practice sulla progettazione del sistema.

Quando pianifichi la migrazione a Google Cloud, devi a comprendere una serie di argomenti e concetti relativi all'architettura cloud. R una base pianificata male può causare ritardi, confusione e tempi di inattività, oltre a mettere a rischio il successo della tua migrazione al cloud. Questa guida fornisce una panoramica dei concetti di base di Google Cloud e i punti decisionali.

Ogni sezione di questo documento contiene domande che devi porre e rispondere per la tua organizzazione prima di creare le basi in Google Cloud. Queste domande non sono esaustive; si intendono per facilitare la conversazione tra i team di architettura e le aziende dei responsabili su ciò che è giusto per la tua organizzazione. I tuoi piani per infrastruttura, strumenti, sicurezza e gestione dell'account sono attività e necessitano di una valutazione approfondita. Quando hai finito questo documento e rispondi le domande per la tua organizzazione, sei pronto a iniziare la pianificazione formale della tua infrastruttura cloud e dei servizi che supportano la migrazione in Google Cloud.

Considerazioni aziendali

Prendi in considerazione le seguenti domande per la tua organizzazione:

• Quali responsabilità IT potrebbero cambiare tra te e il tuo di infrastruttura gestita quando si passa a Google Cloud?
• Come puoi supportare o soddisfare le tue esigenze di conformità normativa, ad esempio HIPAA o GDPR—durante e dopo la migrazione in Google Cloud?
• Come puoi controllare dove vengono archiviati ed elaborati i tuoi dati in conformità con i tuoi requisiti di residenza dei dati?

Modello di responsabilità condivisa

Le responsabilità condivise tra te e Google Cloud potrebbero diverse da quelle a cui sei abituato ed è necessario comprenderne implicazioni per la tua attività. I processi implementati in precedenza il provisioning, la configurazione e il consumo delle risorse potrebbero cambiare.

Esamina il Termini di servizio e ai Modello di sicurezza di Google per una panoramica del rapporto contrattuale tra la tua organizzazione e Google e le implicazioni dell'utilizzo di un cloud provider pubblico.

Conformità, sicurezza e privacy

Molte organizzazioni hanno requisiti di conformità in materia di settore e pubblica amministrazione standard, normative e certificazioni. Molti carichi di lavoro aziendali sono soggetti a controlli normativi e possono richiedere attestazioni di conformità da parte a te e al tuo cloud provider. Se la tua attività è regolamentata HIPAA o HITECH, assicurati di comprendere le tue responsabilità e quali servizi Google Cloud sono regolamentati. Per informazioni sulle certificazioni e sugli standard di conformità di Google Cloud, vedi il Centro risorse per la conformità. Per ulteriori informazioni su normative specifiche per regione o settore, consulta Google Cloud e il Regolamento generale sulla protezione dei dati (GDPR).

Fiducia e sicurezza sono importanti per ogni organizzazione. Google Cloud implementa una un modello di sicurezza condiviso per molti servizi.

La Principi di fiducia di Google Cloud Può aiutarti a comprendere il nostro impegno a proteggere la privacy dei tuoi dati. e il tipo di utente e i dati di Google Cloud. Per maggiori informazioni informazioni sull'approccio alla progettazione di Google per la sicurezza e la privacy, leggi le Panoramica sulla progettazione della sicurezza dell'infrastruttura Google.

Considerazioni sulla residenza dei dati

Anche l'area geografica può essere un aspetto importante ai fini della conformità. Accertati che comprendi i requisiti di residenza dei dati e implementa criteri per il deployment di carichi di lavoro in nuove regioni controllare dove vengono archiviati ed elaborati i tuoi dati. Comprendi come utilizzare vincoli di località delle risorse per garantire che il deployment dei carichi di lavoro possa essere eseguito solo nelle regioni preapprovate. Devi tenere conto regionale dei diversi servizi Google Cloud nella scelta della destinazione del deployment per i carichi di lavoro. Assicurati di a comprendere i requisiti di conformità normativa e come implementare una strategia di governance che ti aiuta a garantire la conformità.

Gerarchia delle risorse

Prendi in considerazione le seguenti domande per la tua organizzazione:

• Come vengono mappate le strutture aziendali e organizzative esistenti in Google Cloud?
• Con quale frequenza prevedi modifiche alla gerarchia delle risorse?
• In che modo le quote per i progetti influiscono sulla capacità di creare risorse nel cloud?
• Come puoi incorporare i tuoi deployment cloud esistenti con per i carichi di lavoro migrati?
• Quali sono le best practice per gestire più team che lavorano su più progetti Google Cloud?

I tuoi attuali processi aziendali, linee di comunicazione e report della tua struttura si riflette nella progettazione gerarchia delle risorse. La gerarchia delle risorse fornisce la struttura necessaria al tuo cloud dell'ambiente, determina il modo in cui ti viene fatturato il consumo delle risorse e stabilisce un modello di sicurezza per concedere ruoli e autorizzazioni. Devi capire come questi facet sono implementati oggi nella tua attività e pianificare come per eseguire la migrazione di questi processi in Google Cloud.

Informazioni sulle risorse Google Cloud

Le risorse sono i componenti fondamentali di tutte servizi Google Cloud. La Risorsa dell'organizzazione è l'apice della gerarchia delle risorse Google Cloud. Tutte le risorse che appartengono a un'organizzazione sono raggruppati sotto il nodo organizzazione. Questo strutturale offre visibilità e controllo centralizzati su ogni risorsa appartiene a un'organizzazione.

Un'organizzazione può contenere uno o più cartelle, e ciascuna cartella può contenere uno o più progetti. Puoi utilizzare le cartelle per raggruppare e progetti correlati.

Progetti Google Cloud contengono risorse di servizio come Compute Engine di macchine virtuali (VM), Pub/Sub argomenti, Cloud Storage bucket Cloud VPN endpoint e altri servizi Google Cloud. Puoi creare di risorse utilizzando la console Google Cloud, Cloud Shell o su quelle di livello inferiore. Se prevedi modifiche frequenti al tuo ambiente, valuta l'adozione di una l'approccio Infrastructure as a Code (IaC) per semplificare la gestione delle risorse.

Gestisci i tuoi progetti Google Cloud

Per ulteriori informazioni sulla pianificazione e la gestione del tuo Google Cloud la gerarchia delle risorse, consulta Decidi una gerarchia delle risorse per la tua zona di destinazione di Google Cloud. Se lavori già in Google Cloud e hai creato progetti indipendenti come test le proof of concept, puoi eseguire la migrazione dei progetti Google Cloud esistenti nella tua organizzazione.

Identity and Access Management

Prendi in considerazione le seguenti domande per la tua organizzazione:

• Chi controllerà, amministrerà e controllerà l'accesso a di Google Cloud?
• Come cambieranno i criteri di sicurezza e accesso esistenti con il trasferimento a Google Cloud?
• In che modo consentirai in modo sicuro di interagire con i tuoi utenti e le tue app servizi Google Cloud?

Identity and Access Management (IAM) consente di concedere un accesso granulare alle risorse Google Cloud. Cloud Identity è un servizio separato ma correlato che può aiutarti a eseguire la migrazione le identità di altro tipo. A livello generale, capire come vuoi gestire l'accesso ai tuoi Le risorse di Google Cloud costituiscono la base per il provisioning, configurare e mantenere IAM.

Comprendere le identità

Google Cloud utilizza identità per l'autenticazione e la gestione degli accessi. Per accedere a qualsiasi risorse Google Cloud, un membro della tua organizzazione deve avere un'identità che Google Cloud sia in grado di comprendere. Cloud Identity è una piattaforma Identity as a Service (IDaaS) che consente puoi gestire centralmente utenti e gruppi che possono accedere a Google Cloud Google Cloud. Configurando i tuoi utenti in Cloud Identity, puoi configurare Single Sign-On (SSO) con migliaia di applicazioni SaaS (Software as a Service) di terze parti. Il modo in cui configuri Cloud Identity dipende da come lo gestisci attualmente le identità di altro tipo.

Per ulteriori informazioni sulle opzioni di provisioning delle identità per per Google Cloud, consulta Decidere come eseguire l'onboarding delle identità in Google Cloud.

Informazioni sulla gestione degli accessi

Il modello per la gestione degli accessi si fonda su quattro concetti fondamentali:

• Entità: può essere un Account Google (per gli utenti finali), un account di servizio (per i prodotti Google Cloud), Gruppo Google, o un account Google Workspace o Cloud Identity che per accedere a una risorsa. Le entità non possono eseguire azioni diverse per i quali è consentita l'esecuzione.
• Ruolo: Una raccolta di autorizzazioni.
• Autorizzazione: Determina quali operazioni sono consentite su una risorsa. Quando concedi un ruolo a un'entità, concedi tutte le autorizzazioni incluse nel ruolo.
• Criterio di autorizzazione IAM: Associa un insieme di entità a un ruolo. Quando vuoi definire quali hanno accesso a una risorsa, tu crei un criterio e lo colleghi la risorsa.

Configurazione corretta e gestione efficace di entità, ruoli e autorizzazioni è la spina dorsale della tua security posture in Google Cloud. La gestione degli accessi contribuisce a proteggerti dall'uso improprio interno e a proteggerti da tentativi esterni di accesso non autorizzato alle risorse.

Informazioni sull'accesso alle applicazioni

Oltre agli utenti e ai gruppi, esiste un altro tipo di identità noto come account di servizio. Un account di servizio è un'identità che i tuoi programmi e servizi possono utilizzare per l'autenticazione e l'accesso alle risorse Google Cloud.

Account di servizio gestiti dall'utente Includere gli account di servizio che crei e gestisci in modo esplicito utilizzando IAM e l'account di servizio predefinito di Compute Engine è integrato in tutti i progetti Google Cloud. Agenti di servizio vengono creati automaticamente ed eseguono processi interni di Google per tuo conto.

Quando si utilizzano gli account di servizio, è importante capire credenziali predefinite dell'applicazione, e segui le nostre raccomandazioni best practice per gli account di servizio per evitare di esporre le risorse a rischi indebito. I rischi più comuni riguardano l'escalation dei privilegi o l'eliminazione accidentale di un account di servizio dell'applicazione.

Segui le best practice

Per ulteriori informazioni sulle best practice per la gestione delle per un accesso efficace, consulta Gestire identità e accesso.

Fatturazione

Il modo in cui paghi per le risorse Google Cloud che utilizzi è una per la tua attività e una parte importante del tuo una relazione con Google Cloud. Puoi gestire la fatturazione nel console Google Cloud con Fatturazione Cloud al resto del tuo ambiente cloud.

I concetti di base gerarchia delle risorse e fatturazione sono strettamente correlate, per cui è fondamentale che tu e gli stakeholder della tua azienda a capire questi concetti.

Per ulteriori informazioni su best practice, strumenti e tecniche che monitorare e controllare i costi, consultare Monitoraggio e controllo dei costi.

Connettività e networking

Per saperne di più sulla progettazione della tua rete su Google Cloud, consulta:

• Decidi la progettazione della rete per la tua zona di destinazione di Google Cloud.
• Implementa la progettazione della rete della zona di destinazione di Google Cloud.

Se il tuo ambiente di origine si trova in un altro provider di servizi cloud, per connetterlo al tuo ambiente Google Cloud. Per maggiori informazioni le informazioni, vedi Pattern per connettere altri provider di servizi cloud a Google Cloud.

Quando esegui la migrazione dei dati di produzione e dei carichi di lavoro su Google Cloud, ti consigliamo di come la disponibilità della soluzione di connettività possa influire il successo della tua migrazione. Ad esempio: Cloud Interconnect fornisce supporto per lo SLA (accordo sul livello del servizio) a livello di produzione se esegui il provisioning in base a topologie specifiche.

Quando esegui la migrazione dei dati dall'ambiente di origine al tuo nell'ambiente Google Cloud, devi regolare il valore massimo dell'unità di trasmissione (MTU) per tenere conto dell'overhead del protocollo. Ciò aiuta garantire che i dati vengano trasferiti in modo efficiente e accurato. Questo aggiustamento può anche aiutare a evitare ritardi causati dalla frammentazione dei dati e dalla rete o problemi di prestazioni. Ad esempio, se utilizzi Cloud VPN connettere l'ambiente di origine all'ambiente Google Cloud, potresti dover configurare l'MTU su un valore inferiore per adattarsi alla VPN all'overhead del protocollo ogni unità di trasmissione.

Per aiutarti a evitare problemi di connettività durante la migrazione a Google Cloud, ti consigliamo di:

• Assicurati che i record DNS siano risolti nell'ambiente di origine e nella tua nell'ambiente Google Cloud.
• Assicurati che le route di rete tra l'ambiente di origine e la tua La corretta propagazione dell'ambiente Google Cloud ambienti cloud-native.

Se devi eseguire il provisioning e utilizzare i tuoi indirizzi IPv4 pubblici per i VPC, consulta Utilizza il tuo indirizzo IP.

Comprendere le opzioni DNS

Cloud DNS può fungere da server DNS (Public Domain Name System). Per ulteriori informazioni su come implementare Cloud DNS, consulta Best practice per Cloud DNS.

Se hai bisogno di personalizzare il modo in cui Cloud DNS risponde alle query in base alle sorgente o destinazione, consulta Panoramica dei criteri DNS. Ad esempio, puoi configurare Cloud DNS in modo che inoltri le query alle query Server DNS oppure puoi eseguire l'override delle risposte DNS private in base al nome della query.

Un servizio separato ma simile, chiamato DNS interno, è incluso nel VPC. Invece di eseguire la migrazione manuale configurare i tuoi server DNS, puoi utilizzare il servizio DNS interno per in una rete privata. Per ulteriori informazioni, vedi Panoramica del DNS interno.

Informazioni sul trasferimento di dati

Il networking on-premise viene gestito e ha prezzi fondamentalmente diversi rispetto al cloud. Quando gestisci il tuo data center o la tua colocation di rete, l'installazione di router, switch e cavi richiede un piano spesa in conto capitale. Nel cloud, ti viene addebitato il trasferimento dei dati anziché il costo fisso di installazione dell'hardware più i costi continui di manutenzione. Pianifica e gestisci i costi del trasferimento di dati in modo accurato nel cloud grazie alla comprensione costi del trasferimento di dati.

Quando pianifichi la gestione del traffico, esistono tre modalità di addebito:

• Traffico in entrata: il traffico di rete che entra nei dell'ambiente Google Cloud da località esterne. Questi possono provenire dalla rete internet pubblica, da luoghi on-premise o da altri ambienti cloud. Ingress è gratuito per la maggior parte dei servizi su in Google Cloud. Alcuni servizi per la connessione a internet la gestione del traffico, ad esempio Cloud Load Balancing, Cloud CDN e Google Cloud Armor i costi si basano sul traffico in entrata che gestiscono.
• Traffico in uscita: traffico di rete che esce ambiente Google Cloud in alcun modo. I costi per il traffico in uscita si applicano molti servizi Google Cloud, tra cui Compute Engine, Cloud Storage Cloud SQL e Cloud Interconnect.
• Traffico a livello di regione e zona: traffico di rete che attraversa regioni o zone i confini di zona in Google Cloud possono essere soggetti a per larghezza di banda. Questi addebiti possono influire sulla scelta della progettazione per il ripristino di emergenza e l'alta disponibilità. Simile al traffico in uscita i costi del traffico tra regioni e zone diverse si applicano servizi Google Cloud e sono importanti da considerare quando si pianifica l'alta disponibilità e il ripristino di emergenza. Ad esempio, l'invio di traffico a un la replica del database in un'altra zona è soggetta a addebiti per il traffico tra zone diverse

Automatizza e controlla la configurazione della rete

In Google Cloud, il livello della rete fisica è virtualizzato e esegui il deployment e la configurazione della tua rete Networking software-defined (SDN). Per assicurarti che che la rete sia configurata in modo coerente e ripetibile, è necessario comprendere come eseguire il deployment e rimuovere gli ambienti in modo automatico. Puoi usare IaC strumenti come Terraform.

Sicurezza

Il modo in cui gestisci e mantieni la sicurezza dei tuoi sistemi in Google Cloud e gli strumenti che usi sono diversi rispetto a per la gestione di un'infrastruttura on-premise. Il tuo approccio cambierà e si evolverà nel tempo per adattarsi a nuove minacce, nuovi prodotti e modelli di sicurezza migliorati.

Le responsabilità che condividi con Google potrebbero essere diverse dalle responsabilità del tuo attuale fornitore e la comprensione di questi cambiamenti indispensabili per garantire la sicurezza e la conformità dei carichi di lavoro. La sicurezza solida e verificabile e la conformità normativa sono spesso correlate e iniziare con prassi di gestione e supervisione efficaci, un'implementazione coerente delle best practice di Google Cloud, del rilevamento attivo delle minacce e il monitoraggio.

Per saperne di più sulla progettazione di un ambiente sicuro su Google Cloud, consulta Stabilisci la sicurezza per la tua zona di destinazione di Google Cloud.

Monitoraggio, avvisi e logging

Per ulteriori informazioni sulla configurazione del monitoraggio, degli avvisi e del logging, consulta:

• Configura monitoraggio, avvisi e logging
• Audit log aggregati centralmente
• Esamina le best practice per proteggere l'accesso ai log sensibili

Governance

Prendi in considerazione le seguenti domande per la tua organizzazione:

• Come puoi assicurarti che gli utenti supportino e soddisfino le loro esigenze di conformità in linea con le norme della tua attività?
• Quali strategie sono disponibili per gestire e organizzare Utenti e risorse di Google Cloud?

Una governance efficace è fondamentale per contribuire a garantire affidabilità, e la manutenibilità dei tuoi asset in Google Cloud. Come in qualsiasi sistema, l'entropia aumenta naturalmente nel tempo e, se non selezionata, può all'espansione nel cloud e ad altre sfide della manutenibilità. Senza governance, l'accumulo di queste sfide può influire sulla tua capacità a raggiungere gli scopi commerciali e a ridurre i rischi. Pianificazione consapevole e applicazione degli standard in materia di convenzioni di denominazione, strategie di etichettatura, accesso controlli dei costi, livelli di servizio e una componente importante della tua di migrazione al cloud. Più in generale, lo sviluppo di una governance strategia crea allineamento tra stakeholder e leadership aziendale.

Supporto della conformità continua

Per supportare la conformità a livello di organizzazione dei tuoi a tutte le risorse Google Cloud, valuta la possibilità di stabilire risorsa strategia di denominazione e raggruppamento. Google Cloud offre diversi metodi per annotare e applicazione dei criteri sulle risorse:

• Contrassegni di sicurezza ti consentono di classificare le risorse per fornire insight sulla sicurezza Security Command Center e applicare criteri su gruppi di risorse.
• Etichette monitorare la spesa in risorse nella fatturazione Cloud e offrire e insight in Cloud Logging.
• Tag per firewall di definire origini e destinazioni nei criteri del firewall di rete globale i criteri firewall di rete regionali.

Per ulteriori informazioni, vedi Rischi e conformità come codice.

Passaggi successivi

• Scopri come implementare una base sicura in Google Cloud.
• Continua la migrazione al cloud ed esplora trasferire i dati in Google Cloud.
• Scopri come trovare assistenza per le migrazioni.
• Esplora le architetture di riferimento, i diagrammi e le best practice su Google Cloud. Dai un'occhiata al nostro Centro architetture cloud.