Questo documento ti aiuta a creare l'infrastruttura cloud di base per il tuo carichi di lavoro con scale out impegnativi. Può anche aiutarti a pianificare in che modo questa infrastruttura supporta le tue applicazioni. Questa pianificazione include la gestione delle identità, l'organizzazione struttura del progetto e networking.
Questo documento fa parte della seguente serie in più parti sulla migrazione a Google Cloud:
- Eseguire la migrazione a Google Cloud: inizia
- Esegui la migrazione a Google Cloud: valuta e scopri i tuoi carichi di lavoro
- Esegui la migrazione a Google Cloud: pianifica e crea le basi (questo documento)
- Eseguire la migrazione a Google Cloud: trasferire i set di dati di grandi dimensioni
- Eseguire la migrazione a Google Cloud: eseguire il deployment dei carichi di lavoro
- Eseguire la migrazione a Google Cloud: dai deployment manuali a quelli automatizzati e containerizzati
- Eseguire la migrazione a Google Cloud: ottimizzare l'ambiente
- Eseguire la migrazione a Google Cloud: best practice per la convalida di un piano di migrazione
- Eseguire la migrazione a Google Cloud: ridurre al minimo i costi
Il seguente diagramma illustra il percorso del tuo percorso di migrazione.
Questo documento è utile se stai pianificando una migrazione da un ambiente on-premise, da un ambiente di hosting privato o da un altro provider cloud a Google Cloud oppure se stai valutando la possibilità di eseguire la migrazione e vuoi capire come potrebbe essere. Questo documento ti aiuta a comprendere i prodotti disponibili e le decisioni che dovrai prendere per creare una base incentrata su un caso d'uso di migrazione.
Per le opzioni di implementazione predefinite, consulta:
Per ulteriori best practice sulla progettazione della base, consulta:
- Design della zona di destinazione per progettare una base in modo ampio.
- Architecture Framework per indicazioni sulle best practice per la progettazione del sistema.
Quando pianifichi la migrazione a Google Cloud, devi a comprendere una serie di argomenti e concetti relativi all'architettura cloud. R una base pianificata male può causare ritardi, confusione e tempi di inattività, oltre a mettere a rischio il successo della migrazione al cloud. Questa guida fornisce una panoramica dei concetti di base di Google Cloud e i punti decisionali.
Ogni sezione di questo documento contiene domande che devi porre e rispondere per la tua organizzazione prima di creare le basi in Google Cloud. Queste domande non sono esaustive; si intendono per facilitare la conversazione tra i team di architettura e le aziende dei responsabili su ciò che è giusto per la tua organizzazione. I tuoi piani per l'infrastruttura, gli strumenti, la sicurezza e la gestione dell'account sono unici per la tua attività e richiedono un'attenta considerazione. Quando hai finito questo documento e rispondi le domande per la tua organizzazione, sei pronto a iniziare la pianificazione formale della tua infrastruttura cloud e dei servizi che supportano la migrazione in Google Cloud.
Considerazioni aziendali
Prendi in considerazione le seguenti domande per la tua organizzazione:
- Quali responsabilità IT potrebbero cambiare tra te e il tuo fornitore di infrastrutture quando passi a Google Cloud?
- Come puoi supportare o soddisfare le tue esigenze di conformità alle normative, ad esempio HIPAA o GDPR, durante e dopo la migrazione a Google Cloud?
- Come puoi controllare dove vengono archiviati e trattati i tuoi dati in base ai requisiti di residenza dei dati?
Modello di responsabilità condivisa
Le responsabilità condivise tra te e Google Cloud potrebbero diverse da quelle a cui sei abituato ed è necessario comprenderne implicazioni per la tua attività. Le procedure che hai implementato in precedenza per eseguire il provisioning, configurare e consumare risorse potrebbero cambiare.
Esamina i Termini di servizio e il modello di sicurezza di Google per una panoramica del rapporto contrattuale tra la tua organizzazione e Google, nonché delle implicazioni dell'utilizzo di un fornitore di cloud pubblico.
Conformità, sicurezza e privacy
Molte organizzazioni hanno requisiti di conformità in materia di settore e pubblica amministrazione standard, normative e certificazioni. Molti carichi di lavoro aziendali sono soggetti a controlli normativi e possono richiedere attestazioni di conformità da parte a te e al tuo cloud provider. Se la tua attività è regolamentata ai sensi di HIPAA o HITECH, assicurati di comprendere le tue responsabilità e quali servizi Google Cloud sono regolamentati. Per informazioni sulle certificazioni e sugli standard di conformità di Google Cloud, consulta il Centro risorse per la conformità. Per ulteriori informazioni sulle normative specifiche per regione o settore, consulta Google Cloud e il Regolamento generale sulla protezione dei dati (GDPR).
Fiducia e sicurezza sono importanti per ogni organizzazione. Google Cloud implementa uno un modello di sicurezza condiviso per molti servizi.
La Principi di fiducia di Google Cloud Può aiutarti a comprendere il nostro impegno a proteggere la privacy dei tuoi dati. e il tipo di utente e i dati di Google Cloud. Per ulteriori informazioni sull'approccio di progettazione di Google per la sicurezza e la privacy, leggi la panoramica sulla progettazione della sicurezza per l'infrastruttura Google.
Considerazioni sulla residenza dei dati
Anche la geografia può essere un fattore importante per la conformità. Assicurati di comprendere i requisiti di residenza dei dati e di implementare criteri per il deployment dei carichi di lavoro in nuove regioni per controllare dove vengono archiviati ed elaborati i tuoi dati. Scopri come utilizzare le limitazioni relative alla località delle risorse per assicurarti che i carichi di lavoro possano essere implementati solo in regioni preapprovate. Devi tenere conto regionale dei diversi servizi Google Cloud nella scelta della destinazione del deployment per i carichi di lavoro. Assicurati di a comprendere i requisiti di conformità normativa e come implementare una strategia di governance che ti aiuta a garantire la conformità.
Gerarchia delle risorse
Valuta le seguenti domande per la tua organizzazione:
- Come vengono mappate le tue strutture aziendali e organizzative esistenti su Google Cloud?
- Con quale frequenza prevedi modifiche alla gerarchia delle risorse?
- In che modo le quote per i progetti influiscono sulla capacità di creare risorse nel cloud?
- Come puoi incorporare i tuoi deployment cloud esistenti con i carichi di lavoro sottoposti a migrazione?
- Quali sono le best practice per gestire più team che lavorano su più progetti Google Cloud?
I tuoi attuali processi aziendali, le linee di comunicazione e la struttura dei report si riflettono nel design della gerarchia delle risorse di Google Cloud. La gerarchia delle risorse fornisce la struttura necessaria al tuo cloud dell'ambiente, determina il modo in cui ti viene fatturato il consumo delle risorse e stabilisce un modello di sicurezza per concedere ruoli e autorizzazioni. Devi comprendere come queste sfaccettature sono implementate nella tua attività al momento e pianificare come eseguire la migrazione di questi processi in Google Cloud.
Informazioni sulle risorse Google Cloud
Le risorse sono i componenti fondamentali di tutti i servizi Google Cloud. La risorsa organizzazione è il vertice della gerarchia delle risorse Google Cloud. Tutte le risorse che appartengono a un'organizzazione sono raggruppati sotto il nodo organizzazione. Questo strutturale offre visibilità e controllo centralizzati su ogni risorsa appartiene a un'organizzazione.
Un'organizzazione può contenere uno o più cartelle, e ciascuna cartella può contenere uno o più progetti. Puoi utilizzare le cartelle per raggruppare e progetti correlati.
Progetti Google Cloud contengono risorse di servizio come Compute Engine di macchine virtuali (VM), Pub/Sub argomenti, Cloud Storage bucket Cloud VPN endpoint e altri servizi Google Cloud. Puoi creare di risorse utilizzando la console Google Cloud, Cloud Shell o su quelle di livello inferiore. Se prevedi modifiche frequenti al tuo ambiente, valuta la possibilità di adottare un approccio Infrastructure as a Code (IaC) per semplificare la gestione delle risorse.
Gestire i progetti Google Cloud
Per ulteriori informazioni sulla pianificazione e la gestione del tuo Google Cloud la gerarchia delle risorse, consulta Decidi una gerarchia delle risorse per la tua zona di destinazione di Google Cloud. Se lavori già in Google Cloud e hai creato progetti indipendenti come test le proof of concept, puoi eseguire la migrazione dei progetti Google Cloud esistenti nella tua organizzazione.
Identity and Access Management
Valuta le seguenti domande per la tua organizzazione:
- Chi controllerà, amministrerà e controllerà l'accesso a di Google Cloud?
- In che modo i tuoi criteri di sicurezza e accesso esistenti cambieranno quando passerai a Google Cloud?
- In che modo consentirai in modo sicuro di interagire con i tuoi utenti e le tue app servizi Google Cloud?
Identity and Access Management (IAM) consente di concedere un accesso granulare alle risorse Google Cloud. Cloud Identity è un servizio separato ma correlato che può aiutarti a eseguire la migrazione le identità di altro tipo. A un livello generale, comprendere come vuoi gestire l'accesso alle tue risorse Google Cloud costituisce la base per il provisioning, la configurazione e la manutenzione di IAM.
Comprendere le identità
Google Cloud utilizza identità per l'autenticazione e la gestione dell'accesso. Per accedere a qualsiasi risorse Google Cloud, un membro della tua organizzazione deve avere un'identità che Google Cloud sia in grado di comprendere. Cloud Identity è una piattaforma Identity as a Service (IDaaS) che consente puoi gestire centralmente utenti e gruppi che possono accedere a Google Cloud Google Cloud. Configurando i tuoi utenti in Cloud Identity, puoi configurare Single Sign-On (SSO) con migliaia di applicazioni SaaS (Software as a Service) di terze parti. Il modo in cui configuri Cloud Identity dipende dal modo in cui gestisci le identità.
Per ulteriori informazioni sulle opzioni di provisioning delle identità per Google Cloud, consulta Decidere come eseguire l'onboarding delle identità in Google Cloud.
Informazioni sulla gestione degli accessi
Il modello per la gestione dell'accesso è costituito da quattro concetti fondamentali:
- Entità: può essere un Account Google (per gli utenti finali), un account di servizio (per i prodotti Google Cloud), Gruppo Google, o un account Google Workspace o Cloud Identity che per accedere a una risorsa. Le entità principali non possono eseguire azioni che non sono autorizzate a svolgere.
- Ruolo: una raccolta di autorizzazioni.
- Autorizzazione: determina quali operazioni sono consentite su una risorsa. Quando concedi un ruolo a un'entità, concedi tutte le autorizzazioni incluse nel ruolo.
- Criterio di autorizzazione IAM: Associa un insieme di entità a un ruolo. Quando vuoi definire quali hanno accesso a una risorsa, tu crei un criterio e lo colleghi la risorsa.
La configurazione corretta e la gestione efficace di entità, ruoli e autorizzazioni costituiscono la spina dorsale della tua strategia di sicurezza in Google Cloud. La gestione dell'accesso ti aiuta a proteggerti da usi impropri interni e da tentativi esterni di accesso non autorizzato alle tue risorse.
Informazioni sull'accesso alle applicazioni
Oltre agli utenti e ai gruppi, esiste un altro tipo di identità noto come account di servizio. Un account di servizio è un'identità che i tuoi programmi e servizi possono utilizzare per autenticarsi e ottenere l'accesso alle risorse Google Cloud.
Gli account di servizio gestiti dall'utente includono gli account di servizio creati e gestiti esplicitamente utilizzando IAM e l'account di servizio predefinito di Compute Engine integrato in tutti i progetti Google Cloud. Gli agenti di servizio vengono creati automaticamente ed eseguono i processi interni di Google per tuo conto.
Quando utilizzi gli account di servizio, è importante comprendere le credenziali predefinite dell'applicazione e seguire le nostre best practice consigliate per gli account di servizio per evitare di esporre le tue risorse a rischi ingiustificati. I rischi più comuni riguardano la scalata dei privilegi o l'eliminazione accidentale di un account di servizio su cui si basa un'applicazione critica.
Segui le best practice
Per ulteriori informazioni sulle best practice per la gestione delle per un accesso efficace, consulta Gestire identità e accesso.
Fatturazione
Il modo in cui paghi per le risorse Google Cloud che utilizzi è una per la tua attività e una parte importante del tuo una relazione con Google Cloud. Puoi gestire la fatturazione nella console Google Cloud con Fatturazione Cloud, insieme al resto del tuo ambiente cloud.
I concetti di gerarchia delle risorse e fatturazione sono strettamente correlati, pertanto è fondamentale che tu e gli stakeholder della tua attività li comprendiate.
Per ulteriori informazioni su best practice, strumenti e tecniche che monitorare e controllare i costi, consultare Ottimizzazione dei costi.
Connettività e reti
Per saperne di più sulla progettazione della tua rete su Google Cloud, consulta:
- Decidi la progettazione della rete per la tua zona di destinazione di Google Cloud.
- Implementa il design di rete della tua zona di destinazione Google Cloud.
Se il tuo ambiente di origine si trova in un altro provider di servizi cloud, per connetterlo al tuo ambiente Google Cloud. Per maggiori informazioni le informazioni, vedi Pattern per connettere altri provider di servizi cloud a Google Cloud.
Quando esegui la migrazione dei dati di produzione e dei carichi di lavoro su Google Cloud, ti consigliamo di come la disponibilità della soluzione di connettività possa influire il successo della tua migrazione. Ad esempio: Cloud Interconnect fornisce supporto per lo SLA (accordo sul livello del servizio) a livello di produzione se esegui il provisioning in base a topologie specifiche.
Quando esegui la migrazione dei dati dall'ambiente di origine al tuo nell'ambiente Google Cloud, devi regolare il valore massimo unità di trasmissione (MTU) per tenere conto dell'overhead del protocollo. Ciò aiuta garantire che i dati vengano trasferiti in modo efficiente e accurato. Questo aggiustamento può anche aiutare a evitare ritardi causati dalla frammentazione dei dati e dalla rete o problemi di prestazioni. Ad esempio, se utilizzi Cloud VPN per collegare l'ambiente di origine all'ambiente Google Cloud, potresti dover configurare l'MTU su un valore inferiore per supportare il sovraccarico del protocollo VPN in ogni unità di trasmissione.
Per aiutarti a evitare problemi di connettività durante la migrazione a Google Cloud, ti consigliamo di:
- Assicurati che i record DNS siano risolti nell'ambiente di origine e nella tua nell'ambiente Google Cloud.
- Assicurati che le route di rete tra l'ambiente di origine e il tuo ambiente Google Cloud si propaghino correttamente tra gli ambienti.
Se devi eseguire il provisioning e utilizzare i tuoi indirizzi IPv4 pubblici nelle tue VPC, consulta Porta il tuo indirizzo IP.
Informazioni sulle opzioni DNS
Cloud DNS può fungere da server DNS (Domain Name System) pubblico. Per ulteriori informazioni su come implementare Cloud DNS, consulta Best practice per Cloud DNS.
Se devi personalizzare la modalità di risposta di Cloud DNS alle query in base alla loro origine o destinazione, consulta la panoramica dei criteri DNS. Ad esempio, puoi configurare Cloud DNS in modo che inoltri le query alle query Server DNS oppure puoi eseguire l'override delle risposte DNS private in base al nome della query.
Un servizio separato, ma simile, chiamato DNS interno, è incluso nel tuo VPC. Invece di eseguire la migrazione manuale configurare i tuoi server DNS, puoi utilizzare il servizio DNS interno per in una rete privata. Per ulteriori informazioni, consulta la Panoramica del DNS interno.
Informazioni sul trasferimento dei dati
La gestione e la determinazione del prezzo delle reti on-premise sono diverse in modo sostanziale rispetto alle reti cloud. Quando gestisci un data center o una struttura di collocamento, l'installazione di router, switch e cablaggio richiede una spesa in conto capitale fissa e anticipata. Nel cloud, ti viene addebitato il trasferimento dei dati anziché il costo fisso di installazione dell'hardware più i costi continui di manutenzione. Pianifica e gestisci con precisione i costi di trasferimento dei dati nel cloud conoscendoli.
Quando pianifichi la gestione del traffico, esistono tre modi per ricevere addebiti:
- Traffico in entrata: il traffico di rete che entra nei dell'ambiente Google Cloud da località esterne. Questi possono provenire dalla rete internet pubblica, da luoghi on-premise o da altri ambienti cloud. Ingress è gratuito per la maggior parte dei servizi su Google Cloud. Alcuni servizi per la connessione a internet la gestione del traffico, ad esempio Cloud Load Balancing, Cloud CDN e Google Cloud Armor i costi si basano sul traffico in entrata che gestiscono.
- Traffico in uscita: il traffico di rete che esce dall'ambiente Google Cloud in qualsiasi modo. I costi per il traffico in uscita si applicano molti servizi Google Cloud, tra cui Compute Engine, Cloud Storage Cloud SQL e Cloud Interconnect.
- Traffico regionale e zonale: il traffico di rete che attraversa i confini regionali o zonali in Google Cloud può essere soggetto anche a costi di larghezza di banda. Questi addebiti possono influire sul modo in cui scegli di progettare le tue applicazioni per il ripristino di emergenza e l'alta disponibilità. Analogamente agli addebiti in uscita, gli addebiti per il traffico tra regioni e tra zone si applicano a molti servizi Google Cloud e sono importanti da considerare durante la pianificazione dell'alta disponibilità e del ripristino di emergenza. Ad esempio, l'invio di traffico a una replica del database in un'altra zona è soggetto a costi per il traffico tra zone.
Automatizza e controlla la configurazione della rete
In Google Cloud, il livello della rete fisica è virtualizzato e esegui il deployment e la configurazione della tua rete Networking software-defined (SDN). Per assicurarti che che la rete sia configurata in modo coerente e ripetibile, è necessario comprendere come eseguire il deployment e rimuovere gli ambienti in modo automatico. Puoi utilizzare strumenti IaC, come Terraform.
Sicurezza
Il modo in cui gestisci e mantieni la sicurezza dei tuoi sistemi in Google Cloud e gli strumenti che usi sono diversi rispetto a per la gestione di un'infrastruttura on-premise. Il tuo approccio cambierà ed evolverà nel tempo per adattarsi a nuove minacce, nuovi prodotti e modelli di sicurezza migliorati.
Le responsabilità che condividi con Google potrebbero essere diverse da quelle del tuo fornitore attuale e comprendere queste modifiche è fondamentale per garantire la sicurezza e la conformità continua dei tuoi carichi di lavoro. La sicurezza e la conformità normativa solide e verificabili sono spesso intrecciate e devono iniziare con pratiche di gestione e supervisione efficaci, implementazione coerente delle best practice di Google Cloud e monitoraggio e rilevamento attivo delle minacce.
Per ulteriori informazioni sulla progettazione di un ambiente sicuro su Google Cloud, consulta Decidere la sicurezza per la tua zona di destinazione Google Cloud.
Monitoraggio, avvisi e logging
Per ulteriori informazioni sulla configurazione del monitoraggio, degli avvisi e del logging, consulta:
- Configurare il monitoraggio, gli avvisi e il logging
- Aggregare centralmente i log di controllo
- Esamina le best practice per proteggere l'accesso ai log sensibili
Governance
Valuta le seguenti domande per la tua organizzazione:
- Come puoi assicurarti che gli utenti supportino e soddisfino le loro esigenze di conformità in linea con le norme della tua attività?
- Quali strategie sono disponibili per gestire e organizzare Utenti e risorse di Google Cloud?
Una governance efficace è fondamentale per contribuire a garantire l'affidabilità, la sicurezza e la manutenibilità delle risorse in Google Cloud. Come in qualsiasi sistema, l'entropia aumenta naturalmente nel tempo e, se non selezionata, può all'espansione nel cloud e ad altre sfide della manutenibilità. Senza governance, l'accumulo di queste sfide può influire sulla capacità a raggiungere gli scopi commerciali e a ridurre i rischi. La pianificazione e l'applicazione disciplinate di standard relativi a convenzioni di denominazione, strategie di etichettatura, controlli di accesso, controlli dei costi e livelli di servizio sono un componente importante della strategia di migrazione al cloud. Più in generale, lo sviluppo di una governance strategia crea allineamento tra stakeholder e leadership aziendale.
Supporto della conformità continua
Per contribuire a supportare la conformità delle risorse Google Cloud a livello di organizzazione, ti consigliamo di stabilire una strategia di denominazione e raggruppamento delle risorse coerente. Google Cloud offre diversi metodi per annotare e applicazione dei criteri sulle risorse:
- Contrassegni di sicurezza ti consentono di classificare le risorse per fornire insight sulla sicurezza Security Command Center e applicare criteri su gruppi di risorse.
- Le Etichette possono monitorare la spesa per le risorse in Fatturazione Cloud e fornire approfondimenti aggiuntivi in Cloud Logging.
- I tag per i firewall ti consentono di definire origini e destinazioni nei criteri firewall di rete globali e regionali.
Per ulteriori informazioni, consulta Risk and Compliance as Code.
Passaggi successivi
- Scopri come implementare una base sicura in Google Cloud.
- Continua la migrazione al cloud ed esplora trasferire i dati in Google Cloud.
- Scopri quando richiedere assistenza per le migrazioni.
- Per altre architetture di riferimento, diagrammi e best practice, esplora il Centro architetture cloud.
Collaboratori
Autori:
- Marco Ferrari | Cloud Solutions Architect
- Travis Webb | Solution Architect