Esegui la migrazione a Google Cloud: crea la tua base

Questo documento ti aiuta a creare l'infrastruttura cloud di base per i tuoi carichi di lavoro. Può anche aiutarti a pianificare in che modo questa infrastruttura supporta le tue applicazioni. La pianificazione include gestione delle identità, organizzazione e struttura di progetti e networking.

Questo documento fa parte della seguente serie in più parti sulla migrazione a Google Cloud:

• Eseguire la migrazione a Google Cloud: iniziare
• Eseguire la migrazione a Google Cloud: valutare e individuare i carichi di lavoro
• Esegui la migrazione a Google Cloud: crea la tua base (questo documento)
• Eseguire la migrazione a Google Cloud: trasferire set di dati di grandi dimensioni
• Eseguire la migrazione a Google Cloud: eseguire il deployment dei carichi di lavoro
• Eseguire la migrazione a Google Cloud: dai deployment manuali a quelli automatizzati e containerizzati
• Eseguire la migrazione a Google Cloud: ottimizzare l'ambiente
• Eseguire la migrazione a Google Cloud: best practice per la convalida di un piano di migrazione
• Eseguire la migrazione a Google Cloud: ridurre al minimo i costi

Il seguente diagramma illustra il percorso del tuo percorso di migrazione.

Questo documento è utile se stai pianificando una migrazione da un ambiente on-premise, da un ambiente di hosting privato, da un altro cloud provider a Google Cloud o se stai valutando l'opportunità di eseguire la migrazione e vuoi scoprire come potrebbe essere. Questo documento ti aiuta a comprendere i prodotti disponibili e le decisioni che prenderai per costruire una base incentrata su un caso d'uso della migrazione.

Per le opzioni di implementazione predefinite, consulta:

• Elenco di controllo per la configurazione di Google Cloud
• Progetto di base aziendale

Per ulteriori indicazioni sulle best practice per la progettazione degli elementi di base, consulta:

• progettazione delle zone di destinazione per progettare una base in modo ampio.
• Framework dell'architettura per una guida alle best practice sulla progettazione di sistemi.

Quando pianifichi la migrazione a Google Cloud, devi comprendere una serie di argomenti e concetti relativi all'architettura cloud. Una base mal pianificata può causare ritardi, confusione e tempi di inattività e mettere a rischio il successo della tua migrazione al cloud. Questa guida fornisce una panoramica dei concetti di base di Google Cloud e dei punti decisionali.

Ogni sezione di questo documento pone domande a cui devi porre e a cui devi rispondere per la tua organizzazione prima di creare le basi su Google Cloud. Queste domande non sono esaustive; hanno lo scopo di facilitare una conversazione tra i team di architettura e la dirigenza aziendale su ciò che è giusto per la tua organizzazione. I tuoi piani per l'infrastruttura, gli strumenti, la sicurezza e la gestione degli account sono specifici per la tua attività e richiedono una valutazione approfondita. Una volta completato questo documento e risposto alle domande per la tua organizzazione, sei pronto per iniziare la pianificazione formale dell'infrastruttura cloud e dei servizi che supportano la migrazione a Google Cloud.

Considerazioni aziendali

Prendi in considerazione le seguenti domande per la tua organizzazione:

• Quali responsabilità IT potrebbero cambiare tra te e il provider dell'infrastruttura durante il passaggio a Google Cloud?
• Come puoi supportare o soddisfare le tue esigenze di conformità normativa, ad esempio HIPAA o GDPR, durante e dopo la migrazione a Google Cloud?
• Come puoi controllare dove vengono archiviati ed elaborati i tuoi dati in base ai tuoi requisiti di residenza dei dati?

Modello di responsabilità condivisa

Le responsabilità condivise tra te e Google Cloud potrebbero essere diverse da quelle a cui sei abituato, ed è necessario comprenderne le implicazioni per la tua attività. I processi implementati in precedenza per eseguire il provisioning, la configurazione e il consumo delle risorse potrebbero cambiare.

Consulta i Termini di servizio e il modello di sicurezza di Google per una panoramica del rapporto contrattuale tra la tua organizzazione e Google e le implicazioni dell'utilizzo di un cloud provider pubblico.

Conformità, sicurezza e privacy

Molte organizzazioni hanno requisiti di conformità relativi a standard, normative e certificazioni di settore e governativo. Molti carichi di lavoro aziendali sono soggetti a controlli normativi e possono richiedere attestazioni di conformità da parte tua e del tuo cloud provider. Se la tua attività è regolamentata da HIPAA o HITECH, assicurati di comprendere le tue responsabilità e quali servizi Google Cloud sono regolamentati. Per informazioni sulle certificazioni e sugli standard di conformità di Google Cloud, consulta il Centro risorse per la conformità. Per saperne di più sulle normative specifiche per regione o settore, consulta Google Cloud e il Regolamento generale sulla protezione dei dati (GDPR).

Fiducia e sicurezza sono importanti per ogni organizzazione. Google Cloud implementa un modello di sicurezza condivisa per molti servizi.

I principi di fiducia di Google Cloud possono aiutarti a comprendere il nostro impegno a proteggere la privacy dei tuoi dati e di quelli dei tuoi clienti. Per ulteriori informazioni sull'approccio alla progettazione di Google per la sicurezza e la privacy, leggi la panoramica sulla progettazione della sicurezza dell'infrastruttura Google.

Considerazioni sulla residenza dei dati

Anche l'area geografica può essere un aspetto importante ai fini della conformità. Assicurati di comprendere i requisiti di residenza dei dati e di implementare i criteri per il deployment dei carichi di lavoro in nuove regioni al fine di controllare dove vengono archiviati ed elaborati i tuoi dati. Scopri come utilizzare i limiti di località delle risorse per garantire che il deployment dei carichi di lavoro possa essere eseguito solo nelle regioni preapprovate. Quando scegli la destinazione del deployment per i tuoi carichi di lavoro, devi tenere conto della regionale dei diversi servizi Google Cloud. Assicurati di comprendere i requisiti di conformità normativa e di implementare una strategia di governance che ti aiuti a garantire la conformità.

Gerarchia delle risorse

Prendi in considerazione le seguenti domande per la tua organizzazione:

• Come vengono mappate le strutture aziendali e organizzative esistenti a Google Cloud?
• Con quale frequenza prevedi modifiche alla gerarchia delle risorse?
• In che modo le quote per i progetti influiscono sulla capacità di creare risorse nel cloud?
• Come puoi incorporare i deployment cloud esistenti con i carichi di lavoro di cui è stata eseguita la migrazione?
• Quali sono le best practice per gestire più team che lavorano contemporaneamente su più progetti Google Cloud?

I tuoi processi aziendali, linee di comunicazione e struttura di reporting attuali si riflettono nella progettazione della tua gerarchia delle risorse di Google Cloud. La gerarchia delle risorse fornisce la struttura necessaria al tuo ambiente cloud, determina le modalità di fatturazione per il consumo delle risorse e stabilisce un modello di sicurezza per la concessione di ruoli e autorizzazioni. Devi comprendere in che modo questi aspetti sono implementati oggi nella tua azienda e pianificare come migrare questi processi in Google Cloud.

Informazioni sulle risorse Google Cloud

Le risorse sono i componenti fondamentali di tutti i servizi Google Cloud. La risorsa organizzazione è l'apice della gerarchia delle risorse Google Cloud. Tutte le risorse che appartengono a un'organizzazione sono raggruppate sotto il nodo organizzazione. Questa struttura fornisce visibilità e controllo centralizzati su ogni risorsa appartenente a un'organizzazione.

Un'organizzazione può contenere una o più cartelle e ciascuna cartella può contenere uno o più progetti. Puoi usare le cartelle per raggruppare i progetti correlati.

I progetti Google Cloud contengono risorse di servizio come macchine virtuali (VM) di Compute Engine, argomenti Pub/Sub, bucket Cloud Storage, endpoint Cloud VPN e altri servizi Google Cloud. Puoi creare risorse utilizzando la console Google Cloud, Cloud Shell o le API Cloud. Se prevedi modifiche frequenti al tuo ambiente, valuta l'adozione di un approccio Infrastructure as a Code (IaC) per semplificare la gestione delle risorse.

Gestisci i tuoi progetti Google Cloud

Per ulteriori informazioni sulla pianificazione e la gestione della gerarchia delle risorse Google Cloud, consulta Decidere una gerarchia delle risorse per la zona di destinazione di Google Cloud. Se lavori già in Google Cloud e hai creato progetti indipendenti come test o proof of concept, puoi eseguire la migrazione dei progetti Google Cloud esistenti nella tua organizzazione.

Identity and Access Management

Prendi in considerazione le seguenti domande per la tua organizzazione:

• Chi controllerà, amministrerà e controllerà l'accesso alle risorse di Google Cloud?
• Come cambieranno i criteri di sicurezza e accesso esistenti con il passaggio a Google Cloud?
• Come consentirai in modo sicuro ai tuoi utenti e alle tue app di interagire con i servizi Google Cloud?

Identity and Access Management (IAM) consente di concedere un accesso granulare alle risorse di Google Cloud. Cloud Identity è un servizio separato ma correlato che può aiutarti a eseguire la migrazione e a gestire le tue identità. A livello generale, capire come vuoi gestire l'accesso alle tue risorse Google Cloud è la base per il provisioning, la configurazione e la manutenzione di IAM.

Comprendere le identità

Google Cloud utilizza le identities per l'autenticazione e la gestione degli accessi. Per accedere a qualsiasi risorsa Google Cloud, un membro della tua organizzazione deve avere un'identità che Google Cloud possa comprendere. Cloud Identity è una piattaforma Identity as a Service (IDaaS) che consente di gestire centralmente utenti e gruppi che possono accedere alle risorse di Google Cloud. Configurando i tuoi utenti in Cloud Identity, puoi configurare il Single Sign-On (SSO) con migliaia di applicazioni SaaS (Software as a Service) di terze parti. Il modo in cui configuri Cloud Identity dipende da come gestisci attualmente le identità.

Per ulteriori informazioni sulle opzioni di provisioning delle identità per Google Cloud, consulta Decidere come eseguire l'onboarding delle identità in Google Cloud.

Informazioni sulla gestione degli accessi

Il modello per la gestione dell'accesso si compone di quattro concetti fondamentali:

• Entità: può essere un Account Google (per gli utenti finali), un account di servizio (per i prodotti Google Cloud), un gruppo Google oppure un account Google Workspace o Cloud Identity che può accedere a una risorsa. Le entità non possono eseguire azioni non consentite.
• Ruolo: una raccolta di autorizzazioni.
• Autorizzazione: determina quali operazioni sono consentite su una risorsa. Se concedi un ruolo a un'entità, concedi tutte le autorizzazioni incluse nel ruolo.
• Criterio di autorizzazione IAM: associa un insieme di entità a un ruolo. Quando vuoi definire quali entità hanno accesso a una risorsa, puoi creare un criterio e collegarlo alla risorsa.

Una corretta configurazione e una gestione efficace di entità, ruoli e autorizzazioni costituiscono la spina dorsale della tua strategia di sicurezza in Google Cloud. La gestione degli accessi contribuisce a proteggerti dall'uso improprio interno e da tentativi esterni di accessi non autorizzati alle tue risorse.

Informazioni sull'accesso alle applicazioni

Oltre agli utenti e ai gruppi, esiste un altro tipo di identità noto come account di servizio. Un account di servizio è un'identità che programmi e servizi possono utilizzare per autenticarsi e ottenere l'accesso alle risorse Google Cloud.

Gli account di servizio gestiti dall'utente includono account di servizio che crei e gestisci esplicitamente tramite IAM e l'account di servizio predefinito di Compute Engine integrato in tutti i progetti Google Cloud. Gli agenti di servizio vengono creati automaticamente ed eseguono processi interni di Google per tuo conto.

Quando utilizzi gli account di servizio, è importante comprendere le credenziali predefinite dell'applicazione e seguire le nostre best practice consigliate per gli account di servizio per evitare di esporre le risorse a rischi indebito. I rischi più comuni riguardano l'escalation dei privilegi o l'eliminazione accidentale di un account di servizio su cui si basa un'applicazione critica.

Segui le best practice

Per saperne di più sulle best practice per gestire in modo efficace identità e accesso, consulta Gestire identità e accesso.

Fatturazione

Il modo in cui paghi per le risorse Google Cloud che utilizzi è una considerazione importante per la tua attività e una parte importante del tuo rapporto con Google Cloud. Puoi gestire la fatturazione nella console Google Cloud con la fatturazione Cloud, insieme al resto del tuo ambiente cloud.

I concetti di gerarchia delle risorse e billing sono strettamente correlati, perciò è fondamentale che tu e gli stakeholder aziendali comprendano questi concetti.

Per ulteriori informazioni su best practice, strumenti e tecniche per monitorare e controllare i costi, consulta Monitorare e controllare i costi.

Connettività e networking

Per saperne di più sulla progettazione della tua rete su Google Cloud, consulta:

• Decidi la progettazione della rete per la tua zona di destinazione di Google Cloud.
• Implementa la progettazione della rete della zona di destinazione di Google Cloud.

Se il tuo ambiente di origine si trova in un altro provider di servizi cloud, potrebbe essere necessario connetterlo al tuo ambiente Google Cloud. Per ulteriori informazioni, consulta Pattern per connettere altri provider di servizi cloud a Google Cloud.

Quando esegui la migrazione dei dati di produzione e dei carichi di lavoro a Google Cloud, ti consigliamo di valutare in che modo la disponibilità della soluzione di connettività può influire sul successo della migrazione. Ad esempio, Cloud Interconnect fornisce supporto per lo SLA (accordo sul livello del servizio) a livello di produzione se esegui il provisioning in base a topologie specifiche.

Quando esegui la migrazione dei dati dall'ambiente di origine all'ambiente Google Cloud, devi regolare l'unità massima di trasmissione (MTU) per tenere conto dell'overhead del protocollo. In questo modo possiamo assicurarti che i dati vengano trasferiti in modo efficiente e accurato. Questo aggiustamento può anche evitare ritardi causati dalla frammentazione dei dati e da problemi di prestazioni della rete. Ad esempio, se utilizzi Cloud VPN per connettere il tuo ambiente di origine all'ambiente Google Cloud, potresti dover configurare la MTU su un valore inferiore per gestire l'overhead del protocollo VPN in ogni unità di trasmissione.

Per evitare problemi di connettività durante la migrazione a Google Cloud, ti consigliamo di:

• Assicurati che i record DNS siano risolti nell'ambiente di origine e nel tuo ambiente Google Cloud.
• Assicurati che le route di rete tra l'ambiente di origine e il tuo ambiente Google Cloud si propaghino correttamente tra gli ambienti.

Se devi eseguire il provisioning e utilizzare i tuoi indirizzi IPv4 pubblici nei VPC, vedi Introduzione del tuo indirizzo IP.

Comprendere le opzioni DNS

Cloud DNS può fungere da server DNS (Public Domain Name System). Per ulteriori informazioni su come implementare Cloud DNS, consulta le best practice di Cloud DNS.

Se hai bisogno di personalizzare il modo in cui Cloud DNS risponde alle query in base all'origine o alla destinazione, consulta la panoramica dei criteri DNS. Ad esempio, puoi configurare Cloud DNS in modo che inoltri le query ai server DNS esistenti oppure puoi eseguire l'override delle risposte DNS private in base al nome della query.

Un servizio separato ma simile, chiamato DNS interno, è incluso nel VPC. Anziché eseguire manualmente la migrazione e la configurazione dei tuoi server DNS, puoi utilizzare il servizio DNS interno per la tua rete privata. Per ulteriori informazioni, consulta la Panoramica del DNS interno.

Informazioni sul trasferimento di dati

Il networking on-premise viene gestito e ha prezzi fondamentalmente diversi rispetto al networking cloud. Quando gestisci il tuo data center o la tua struttura di colocation, l'installazione di router, switch e cavi richiede una spesa in conto capitale fisso e iniziale. Nel cloud, ti viene addebitato il costo del trasferimento di dati anziché il costo fisso di installazione dell'hardware più il costo continuo della manutenzione. Pianifica e gestisci i costi del trasferimento di dati in modo accurato nel cloud comprendendo i costi di trasferimento di dati.

Quando pianifichi la gestione del traffico, esistono tre modalità di addebito:

• Traffico in entrata: traffico di rete che entra nel tuo ambiente Google Cloud da località esterne. Queste località possono provenire dalla rete internet pubblica, da località on-premise o da altri ambienti cloud. Ingress è gratuito per la maggior parte dei servizi su Google Cloud. Alcuni servizi che si occupano della gestione del traffico per internet, ad esempio Cloud Load Balancing, Cloud CDN e Google Cloud Armor, vengono addebitati in base al traffico in entrata che gestiscono.
• Traffico in uscita: traffico di rete che esce in qualsiasi modo dall'ambiente Google Cloud. I costi per il traffico in uscita si applicano a molti servizi di Google Cloud, tra cui Compute Engine, Cloud Storage, Cloud SQL e Cloud Interconnect.
• Traffico a livello di regione e zona: anche il traffico di rete che supera i confini regionali o di una zona in Google Cloud può essere soggetto ad addebiti per la larghezza di banda. Questi addebiti possono influire sul modo in cui scegli di progettare le tue app per il ripristino di emergenza e l'alta disponibilità. Analogamente a quanto accade per il traffico in uscita, gli addebiti per il traffico tra regioni e zone si applicano a molti servizi Google Cloud e sono importanti da considerare quando si pianifica l'alta disponibilità e il ripristino di emergenza. Ad esempio, l'invio di traffico a una replica del database in un'altra zona è soggetto

Automatizza e controlla la configurazione della rete

In Google Cloud, il livello della rete fisica è virtualizzato e tu esegui il deployment e la configurazione della tua rete utilizzando il networking software-defined (SDN). Per garantire che la tua rete sia configurata in modo coerente e ripetibile, devi capire come eseguire il deployment e l'eliminazione automatica dei tuoi ambienti. Puoi utilizzare strumenti IaC, come Terraform.

Sicurezza

Il modo in cui gestisci e mantieni la sicurezza dei tuoi sistemi in Google Cloud e gli strumenti che utilizzi sono diversi rispetto a quando gestisci un'infrastruttura on-premise. Il tuo approccio cambierà e si evolverà nel tempo per adattarsi alle nuove minacce, ai nuovi prodotti e ai modelli di sicurezza migliorati.

Le responsabilità che condividi con Google potrebbero essere diverse da quelle del tuo attuale provider. Comprendere questi cambiamenti è fondamentale per garantire la sicurezza e la conformità dei tuoi carichi di lavoro senza interruzioni. La sicurezza e la conformità normativa, solide e verificabili, sono spesso correlate e iniziano con solide prassi di gestione e supervisione, implementazione coerente delle best practice di Google Cloud e rilevamento e monitoraggio attivi delle minacce.

Per saperne di più sulla progettazione di un ambiente sicuro su Google Cloud, vedi Decidere la sicurezza per la zona di destinazione di Google Cloud.

Monitoraggio, avvisi e logging

Per ulteriori informazioni sulla configurazione del monitoraggio, degli avvisi e del logging, consulta:

• Configura monitoraggio, avvisi e logging
• Audit log aggregati centralmente
• Esamina le best practice per proteggere l'accesso ai log sensibili

Governance

Prendi in considerazione le seguenti domande per la tua organizzazione:

• Come puoi assicurarti che i tuoi utenti supportino e soddisfino le loro esigenze di conformità e li allineano alle norme aziendali?
• Quali strategie sono disponibili per gestire e organizzare gli utenti e le risorse di Google Cloud?

Una governance efficace è fondamentale per garantire l'affidabilità, la sicurezza e la manutenibilità dei tuoi asset in Google Cloud. Come in qualsiasi sistema, l'entropia aumenta naturalmente nel tempo e, se non selezionata, può portare alla dispersione nel cloud e ad altre sfide della manutenibilità. Senza una governance efficace, l'accumulo di queste sfide può influire sulla tua capacità di raggiungere i tuoi scopi commerciali e ridurre i rischi. La pianificazione e l'applicazione disciplinati di standard relativi a convenzioni di denominazione, strategie di etichettatura, controlli dell'accesso, controlli dei costi e livelli di servizio sono un componente importante della strategia di migrazione al cloud. In termini più generali, lo sviluppo di una strategia di governance crea un allineamento tra stakeholder e dirigenti.

Supporto della conformità continua

Per supportare la conformità delle risorse Google Cloud a livello di organizzazione, valuta la possibilità di definire una strategia di denominazione e raggruppamento coerente delle risorse. Google Cloud offre diversi metodi per annotare e applicare criteri sulle risorse:

• I contrassegni di sicurezza consentono di classificare le risorse per fornire insight sulla sicurezza da Security Command Center e per applicare criteri su gruppi di risorse.
• Le etichette possono monitorare la spesa delle risorse nel fatturazione Cloud e fornire insight aggiuntivi in Cloud Logging.
• I tag per firewall consentono di definire origini e destinazioni nei criteri firewall di rete globali e criteri firewall di rete a livello di regione.

Per ulteriori informazioni, consulta Rischio e conformità come codice.

Passaggi successivi

• Scopri come implementare una base sicura in Google Cloud.
• Continua la migrazione al cloud e scopri come trasferire i dati su Google Cloud.
• Scopri come trovare assistenza per le migrazioni.
• Esplora le architetture di riferimento, i diagrammi e le best practice su Google Cloud. Visita il nostro Cloud Architecture Center.