Bermigrasi ke Google Cloud: Merencanakan dan membangun fondasi Anda

Last reviewed 2024-07-31 UTC

Dokumen ini membantu Anda membuat infrastruktur cloud dasar untuk workload Anda. Hal ini juga dapat membantu Anda merencanakan bagaimana infrastruktur mendukung aplikasi Anda. Perencanaan ini mencakup pengelolaan identitas, organisasi dan struktur proyek, serta jaringan.

Dokumen ini adalah bagian dari rangkaian multi-bagian berikut tentang migrasi ke Google Cloud:

Diagram berikut menggambarkan jalur perjalanan migrasi Anda.

Jalur migrasi dengan empat fase.

Dokumen ini berguna ketika Anda merencanakan migrasi dari lingkungan lokal, dari lingkungan hosting pribadi, dari penyedia cloud lain ke Google Cloud, atau jika Anda mengevaluasi peluang untuk bermigrasi dan ingin mempelajari seperti apa tampilannya. Dokumen ini membantu Anda memahami ketersediaan produk dan keputusan yang akan Anda buat sebagai dasar yang berfokus pada kasus penggunaan migrasi.

Untuk opsi yang sebelumnya dapat diterapkan, lihat:

Untuk panduan praktik terbaik tambahan dalam mendesain fondasi Anda, lihat:

Saat merencanakan migrasi ke Google Cloud, Anda perlu memahami array topik dan konsep yang terkait dengan arsitektur cloud. Fondasi yang tidak direncanakan dapat menyebabkan penundaan, kebingungan, dan periode nonaktif terhadap bisnis Anda, serta berbahaya untuk keberhasilan migrasi cloud Anda. Panduan ini memberikan ringkasan konsep dasar dan titik keputusan Google Cloud.

Setiap bagian dari dokumen ini mengajukan pertanyaan yang perlu Anda ajukan dan jawab untuk organisasi Anda sebelum membangun fondasi pada Google Cloud. Pertanyaan-pertanyaan ini tidak lengkap; dimaksudkan untuk memfasilitasi percakapan antara tim arsitektur dan pimpinan bisnis mengenai hal yang tepat untuk organisasi Anda. Rencana Anda untuk infrastruktur, alat, keamanan, dan pengelolaan akun bersifat unik untuk bisnis Anda dan perlu pertimbangan mendalam. Setelah menyelesaikan dokumennya dan menjawab pertanyaan untuk organisasi, Anda siap untuk memulai perencanaan formal untuk infrastruktur dan layanan cloud yang mendukung migrasi ke Google Cloud.

Pertimbangan perusahaan

Pertimbangkan pertanyaan berikut untuk organisasi Anda:

  • Perubahan yang mungkin terjadi antara tanggung jawab IT Anda dan penyedia infrastruktur saat beralih ke Google Cloud?
  • Bagaimana cara Anda mendukung atau memenuhi kebutuhan kepatuhan terhadap peraturan—misalnya, HIPAA atau GDPR—selama dan setelah migrasi ke Google Cloud?
  • Bagaimana cara mengontrol lokasi penyimpanan dan pemrosesan data Anda sesuai dengan persyaratan residensi data Anda?

Model tanggung jawab bersama

Tanggung jawab bersama antara Anda dan Google Cloud mungkin berbeda dari yang biasa Anda lakukan, dan Anda perlu memahami implikasinya untuk bisnis Anda. Proses yang sebelumnya Anda implementasikan untuk menyediakan, mengonfigurasi, dan menggunakan resource mungkin berubah.

Tinjau Persyaratan Layanan dan model keamanan Google untuk melihat ringkasan hubungan kontrak antara organisasi Anda dan Google, serta implikasi penggunaan penyedia cloud publik.

Kepatuhan, keamanan, dan privasi

Banyak organisasi memiliki persyaratan kepatuhan seputar standar industri dan pemerintah, peraturan, serta sertifikasi. Banyak workload perusahaan tunduk pada pengawasan peraturan, dan memerlukan pengesahan kepatuhan oleh Anda dan penyedia cloud Anda. Jika bisnis Anda diatur dalam HIPAA atau HITECH, pastikan Anda memahami tanggung jawab Anda dan layanan Google Cloud mana yang diatur. Untuk informasi mengenai sertifikasi dan standar kepatuhan Google Cloud, lihat Pusat referensi kepatuhan. Untuk informasi selengkapnya mengenai peraturan per wilayah atau spesifik per sektor, lihat Google Cloud dan General Data Protection Regulation (GDPR).

Kepercayaan dan keamanan penting untuk setiap organisasi. Google Cloud menerapkan model keamanan bersama untuk banyak layanan.

Prinsip kepercayaan Google Cloud dapat membantu Anda memahami komitmen kami untuk melindungi privasi data Anda dan data pelanggan Anda. Untuk informasi selengkapnya tentang pendekatan desain Google untuk keamanan dan privasi, baca Ringkasan desain keamanan infrastruktur Google.

Pertimbangan residensi data

Geografi juga dapat menjadi pertimbangan penting untuk kepatuhan. Pastikan Anda memahami persyaratan residensi data Anda dan menerapkan kebijakan untuk men-deploy workload ke region baru guna mengontrol tempat data Anda disimpan dan diproses. Pahami cara menggunakan batasan lokasi resource untuk membantu memastikan beban kerja Anda hanya dapat di-deploy di region yang telah disetujui sebelumnya. Anda perlu memperhitungkan regionalitas berbagai layanan Google Cloud saat memilih target deployment untuk workload Anda. Pastikan Anda memahami persyaratan kepatuhan terhadap peraturan dan cara penerapan strategi tata kelola yang membantu Anda memastikan kepatuhan.

Hierarki resource

Pertimbangkan pertanyaan berikut untuk organisasi Anda:

  • Bagaimana struktur bisnis dan organisasi Anda dipetakan ke Google Cloud?
  • Seberapa sering Anda mengharapkan perubahan pada hierarki resource?
  • Bagaimana pengaruh kuota project terhadap kemampuan Anda untuk membuat resource di cloud?
  • Bagaimana Anda dapat menggabungkan deployment cloud yang sudah ada dengan workload yang dimigrasikan?
  • Apa saja praktik terbaik untuk mengelola beberapa tim yang bekerja bersamaan pada beberapa project Google Cloud?

Proses bisnis, jalur komunikasi, dan struktur pelaporan Anda saat ini tercermin dalam desain hierarki resource Google Cloud Anda. Hierarki resource menyediakan struktur yang diperlukan untuk lingkungan cloud Anda, menentukan cara penagihan atas penggunaan resource, dan menetapkan model keamanan untuk memberikan peran dan izin. Anda perlu memahami cara faset ini diterapkan dalam bisnis Anda saat ini, dan merencanakan cara memigrasikan proses ke Google Cloud.

Memahami resource Google Cloud

Resource adalah komponen dasar yang membentuk semua layanan Google Cloud. Resource organisasi adalah puncak hierarki resource Google Cloud. Semua resource yang menjadi milik organisasi dikelompokkan dalam node organisasi. Struktur ini memberikan visibilitas dan kontrol terpusat atas setiap resource yang milik organisasi.

Organisasi dapat menampung satu atau beberapa folder, dan setiap folder dapat berisi satu atau beberapa project. Anda dapat menggunakan folder untuk mengelompokkan proyek terkait.

Project Google Cloud berisi resource layanan seperti virtual machine (VM) Compute Engine, topik Pub/Sub, bucket Cloud Storage, endpoint Cloud VPN, dan layanan Google Cloud lainnya. Anda dapat membuat resource menggunakan Konsol Google Cloud, Cloud Shell, atau Cloud API. Jika Anda mengharapkan perubahan yang sering terjadi pada lingkungan, pertimbangkan untuk menggunakan pendekatan infrastruktur sebagai kode/infrastucture as Code (IaC) untuk menyederhanakan pengelolaan resource.

Mengelola project Google Cloud Anda

Untuk informasi selengkapnya mengenai perencanaan dan pengelolaan hierarki resource Google Cloud, lihat Menentukan hierarki resource untuk zona landing Google Cloud Anda. Jika sudah menggunakan Google Cloud dan telah membuat project independen sebagai pengujian atau bukti konsep, Anda dapat memigrasikan project Google Cloud yang ada ke organisasi.

Identity and Access Management

Pertimbangkan pertanyaan berikut untuk organisasi Anda:

  • Siapa yang akan mengontrol, mengelola, dan mengaudit akses ke resource Google Cloud?
  • Bagaimana kebijakan keamanan dan akses yang sudah ada akan berubah saat Anda beralih ke Google Cloud?
  • Bagaimana cara memungkinkan pengguna dan aplikasi untuk berinteraksi dengan layanan Google Cloud dengan aman?

Identity and Access Management (IAM) dapat digunakan untuk memberikan akses terperinci ke resource Google Cloud. Cloud Identity adalah layanan terpisah, tetapi terkait, yang dapat membantu Anda memigrasikan dan mengelola identitas Anda. Pada dasarnya, memahami pengelolaan akses ke resource Google Cloud merupakan dasar bagi Anda untuk menyediakan, mengonfigurasi, dan mengelola IAM.

Memahami identitas

Google Cloud menggunakan identitas untuk autentikasi dan pengelolaan akses. Untuk mengakses resource Google Cloud, anggota organisasi Anda harus memiliki identitas yang dapat dipahami oleh Google Cloud. Cloud Identity adalah platform Identity as a Service (IDaaS) yang dapat Anda gunakan untuk mengelola pengguna dan grup yang dapat mengakses resource Google Cloud secara terpusat. Dengan menyiapkan pengguna di Cloud Identity, Anda dapat menyiapkan single sign-on (SSO) dengan ribuan aplikasi software as a service (SaaS) pihak ketiga. Cara menyiapkan Cloud Identity bergantung pada cara Anda mengelola identitas.

Untuk informasi selengkapnya mengenai opsi penyediaan identitas untuk Google Cloud, baca bagian Menentukan cara mengaktivasi identitas ke Google Cloud.

Memahami pengelolaan akses

Model untuk mengelola akses terdiri dari empat konsep inti:

  • Akun Utama: Dapat berupa Akun Google (untuk pengguna akhir), akun layanan (untuk produk Google Cloud), Grup Google, atau akun Google Workspace atau Cloud Identity yang dapat mengakses resource. AKun utama tidak dapat melakukan tindakan apa pun yang tidak diizinkan untuk mereka lakukan.
  • Peran: Kumpulan izin.
  • Izin: Menentukan operasi yang diizinkan pada resource. Saat memberikan peran kepada akun utama, Anda memberikan semua izin yang dimiliki peran tersebut.
  • IAM allow policy: Mengikat kumpulan akun utama ke sebuah peran. Jika ingin menentukan akun utama mana yang memiliki akses ke resource, Anda perlu membuat kebijakan dan melampirkannya ke resource.

Persiapan yang tepat dan pengelolaan akun utama, peran, dan izin yang efektif menjadi tulang punggung postur keamanan Anda di Google Cloud. Pengelolaan akses membantu Anda terlindung dari penyalahgunaan internal, dan membantu melindungi Anda dari upaya eksternal mengakses resource Anda yang tidak sah.

Memahami akses aplikasi

Selain pengguna dan grup, ada jenis identitas lain yang disebut akun layanan. Akun layanan adalah identitas yang dapat digunakan program dan layanan Anda untuk mengautentikasi dan mendapat akses ke resource Google Cloud.

Akun layanan yang dikelola pengguna mencakup akun layanan yang Anda buat dan kelola secara eksplisit menggunakan IAM, dan akun layanan default Compute Engine yang disertakan di seluruh project Google Cloud. Agen layanan dibuat secara otomatis dan menjalankan proses internal Google untuk Anda.

Saat menggunakan akun layanan, penting untuk memahami kredensial default aplikasi, dan mengikuti praktik terbaik untuk akun layanan rekomendasi kami untuk menghindari sumber daya Anda terpapar risiko yang tidak semestinya. Risiko yang paling umum terkait dengan eskalasi hak istimewa atau penghapusan akun layanan secara tidak sengaja yang diandalkan oleh aplikasi penting.

Mengikuti praktik terbaik

Untuk informasi selengkapnya mengenai praktik terbaik dalam mengelola identitas dan akses secara efektif, lihat Mengelola identitas dan akses.

Penagihan

Cara Anda membayar resource Google Cloud yang Anda gunakan merupakan pertimbangan penting untuk bisnis Anda, dan merupakan bagian penting dari hubungan Anda dengan Google Cloud. Anda dapat mengelola penagihan di konsol Google Cloud dengan Cloud Billing bersama dengan lingkungan cloud Anda lainnya.

Konsep hierarki resource dan penagihan berkaitan erat, jadi sangat penting bagi Anda dan pemangku kepentingan bisnis untuk memahami konsep-konsep ini.

Untuk informasi selengkapnya tentang praktik terbaik, alat, dan teknik untuk membantu Anda melacak dan mengontrol biaya, lihat Pengoptimalan biaya.

Konektivitas dan jaringan

Untuk informasi selengkapnya mengenai cara mendesain jaringan di Google Cloud, lihat:

Jika lingkungan sumber berada di penyedia layanan cloud lain, Mungkin perlu Anda hubungkan dengan lingkungan Google Cloud. Untuk informasi selengkapnya, lihat Pola untuk menghubungkan penyedia layanan cloud lain dengan Google Cloud.

Saat memigrasikan data produksi dan workload ke Google Cloud, sebaiknya pertimbangkan pengaruh ketersediaan solusi konektivitas terhadap keberhasilan migrasi Anda. Misalnya, Cloud Interconnect menyediakan SLA tingkat produksi jika Anda menyediakannya sesuai dengan topologi tertentu.

Saat memigrasikan data dari lingkungan sumber ke lingkungan Google Cloud, Anda harus menyesuaikan unit transmisi maksimum/maximum transmission unit (MTU) untuk mempertimbangkan overhead protokol. Tindakan ini membantu memastikan bahwa data ditransfer secara efisien dan akurat. Penyesuaian ini juga dapat membantu dalam mencegah penundaan yang disebabkan oleh masalah fragmentasi data dan performa jaringan. Misalnya, jika menggunakan Cloud VPN untuk menghubungkan lingkungan sumber ke lingkungan Google Cloud, Anda mungkin perlu mengonfigurasi MTU ke nilai yang lebih rendah untuk mengakomodasi overhead protokol VPN di setiap transmisi unit.

Untuk membantu Anda terhindar dari masalah konektivitas selama migrasi ke Google Cloud, sebaiknya:

  • Pastikan data DNS diselesaikan di seluruh lingkungan sumber dan lingkungan Google Cloud Anda.
  • Pastikan rute jaringan antara lingkungan sumber dan lingkungan Google Cloud Anda tersebar dengan benar di seluruh lingkungan.

Jika Anda perlu menyediakan dan menggunakan alamat IPv4 publik Anda sendiri di VPC, lihat Membawa alamat IP Anda sendiri.

Memahami opsi DNS

Cloud DNS dapat berfungsi sebagai server sistem nama domain/domain name system (DNS) publik. Untuk informasi selengkapnya mengenai cara menerapkan Cloud DNS, lihat Praktik terbaik Cloud DNS.

Jika Anda perlu menyesuaikan cara Cloud DNS merespons kueri sesuai sumber atau tujuannya, lihat ringkasan kebijakan DNS. Misalnya, Anda dapat mengonfigurasi Cloud DNS untuk meneruskan kueri ke server DNS yang ada, atau Anda dapat mengganti respons DNS pribadi berdasarkan nama kueri.

Layanan terpisah namun serupa, yang disebut DNS internal, disertakan dalam VPC Anda. Daripada memigrasikan dan mengonfigurasi server DNS secara manual, layanan DNS internal dapat digunakan untuk jaringan pribadi. Untuk mengetahui informasi selengkapnya, lihat Ringkasan DNS internal.

Memahami transfer data

Jaringan lokal dikelola dan diberi harga dengan cara mendasar yang berbeda dengan jaringan cloud. Saat mengelola pusat data atau fasilitas kolokasi Anda sendiri, menginstal router, tombol, dan pemasangan kabel memerlukan pengeluaran modal yang tetap. Di cloud, Anda akan dikenai biaya untuk transfer data, bukan untuk penginstalan hardware, ditambah biaya pemeliharaan berkelanjutan. Rencanakan dan kelola biaya transfer data secara akurat di cloud dengan memahami biaya transfer data.

Saat merencanakan pengelolaan traffic, ada tiga cara penagihan:

  • Traffic masuk: Traffic jaringan yang memasuki lingkungan Google Cloud Anda dari lokasi luar. Lokasi ini bisa saja berasal dari internet publik, lokasi lokal, atau lingkungan cloud lainnya. Ingress tersedia gratis untuk sebagian besar layanan di Google Cloud. Beberapa layanan yang menangani pengelolaan traffic yang terhubung ke internet, seperti Cloud Load Balancing, Cloud CDN, dan Google Cloud Armor biayanya dikenakan berdasarkan jumlah traffic masuk yang ditangani.
  • Traffic keluar: Traffic jaringan yang keluar dari lingkungan Google Cloud Anda dengan cara apa pun. Biaya traffic keluar berlaku untuk banyak layanan Google Cloud, termasuk Compute Engine, Cloud Storage, Cloud SQL, dan Cloud Interconnect ini.
  • Traffic regional dan zona: Traffic jaringan yang melintasi batas regional atau zona di Google Cloud juga dapat dikenai biaya bandwidth. Biaya ini dapat memengaruhi cara Anda memilih desain aplikasi untuk pemulihan dari bencana/disaster recovery dan ketersediaan tinggi. Serupa dengan biaya keluar, biaya traffic lintas regional dan lintas zona berlaku untuk banyak layanan Google Cloud dan penting untuk dipertimbangkan saat merencanakan ketersediaan tinggi dan pemulihan dari bencana/disaster recovery. Misalnya, mengirimkan traffic ke replika database di zona lain akan dikenai biaya traffic lintas zona

Mengotomatiskan dan mengontrol penyiapan jaringan Anda

Di Google Cloud, lapisan jaringan fisik divirtualisasikan, lalu Anda men-deploy dan mengonfigurasi jaringan menggunakan software-defined networking (SDN). Untuk memastikan jaringan dikonfigurasi secara konsisten dan dapat diulang, Anda perlu memahami cara men-deploy dan menghancurkan lingkungan secara otomatis. Anda dapat menggunakan alat IaC, seperti Terraform.

Keamanan

Cara Anda mengelola dan memelihara keamanan sistem di Google Cloud, dan alat yang digunakan, berbeda dengan saat mengelola infrastruktur lokal. Pendekatan Anda akan berubah dan berkembang dari waktu ke waktu untuk beradaptasi dengan ancaman baru, produk baru, dan model keamanan yang lebih baik.

Tanggung jawab yang Anda bagikan dengan Google mungkin berbeda dengan tanggung jawab penyedia Anda saat ini, dan memahami perubahan ini sangat penting untuk memastikan keamanan dan kepatuhan workload Anda secara berkelanjutan. Kepatuhan terhadap peraturan dan keamanan yang kuat dan dapat diverifikasi sering kali berkaitan, dan dimulai dengan praktik pengelolaan dan pengawasan yang kuat, implementasi praktik terbaik Google Cloud yang konsisten, serta deteksi dan pemantauan ancaman aktif.

Untuk mengetahui selengkapnya mengenai cara mendesain lingkungan yang aman di Google Cloud, lihat Menentukan keamanan untuk zona landing Google Cloud Anda.

Pemantauan, pemberitahuan, dan logging

Untuk informasi selengkapnya mengenai cara mempersiapkan pemantauan, pemberitahuan, dan logging, lihat:

Tata kelola

Pertimbangkan pertanyaan berikut untuk organisasi Anda:

  • Bagaimana cara memastikan bahwa pengguna mendukung dan memenuhi kebutuhan kepatuhan mereka, serta menyelaraskannya dengan kebijakan bisnis Anda?
  • Strategi apa yang tersedia untuk memelihara dan mengatur pengguna dan resource Google Cloud?

Tata kelola efektif sangat penting untuk membantu memastikan keandalan, keamanan, dan pemeliharaan aset Anda di Google Cloud. Seperti dalam sistem apa pun, entropi secara alami meningkat seiring waktu dan tidak terkendali, hal ini dapat menyebabkan cloud sprawl dan tantangan pemeliharaan lainnya. Tanpa tata kelola yang efektif, akumulasi tantangan ini dapat memengaruhi kemampuan Anda untuk mencapai tujuan bisnis dan mengurangi risiko. Perencanaan dan penerapan standar yang disiplin seputar konvensi penamaan, strategi pelabelan, kontrol akses, kontrol biaya, dan tingkat layanan merupakan komponen penting dari strategi migrasi cloud Anda. Secara luas, pelaksanaan pengembangan strategi tata kelola menciptakan keselarasan di antara pemangku kepentingan dan kepemimpinan bisnis.

Mendukung kepatuhan berkelanjutan

Untuk membantu mendukung kepatuhan resource Google Cloud di seluruh organisasi, pertimbangkan untuk membuat strategi penamaan dan pengelompokan resource yang konsisten. Google Cloud menyediakan beberapa metode untuk membuat anotasi dan memberlakukan kebijakan pada resource:

  • Tanda keamanan memungkinkan Anda mengklasifikasikan resource untuk memberikan insight keamanan dari Security Command Center dan menerapkan kebijakan pada grup resource.
  • Label dapat melacak pengeluaran resource Anda di Penagihan Cloud dan memberikan insight tambahan di Cloud Logging.
  • Tag untuk firewall memungkinkan Anda menentukan sumber dan target dalam kebijakan firewall jaringan global dan kebijakan firewall jaringan regional.

Untuk mengetahui selengkapnya, lihat Risiko dan kepatuhan sebagai kode.

Langkah berikutnya

Kontributor

Penulis: