Dokumen ini menyoroti pertimbangan desain inti yang berperan penting dalam membentuk keseluruhan arsitektur hybrid dan multicloud Anda. Analisis dan nilai pertimbangan ini secara holistik di seluruh arsitektur solusi Anda, yang mencakup semua workload, bukan hanya workload tertentu.
Pemfaktoran ulang
Dalam migrasi pemfaktoran ulang, Anda mengubah workload untuk memanfaatkan kemampuan cloud, bukan hanya untuk membuatnya berfungsi di lingkungan baru. Anda dapat meningkatkan setiap workload untuk meningkatkan performa, fitur, biaya, dan pengalaman pengguna. Seperti yang ditandai dalam Refactor: move andimprove, beberapa skenario pemfaktoran ulang memungkinkan Anda mengubah beban kerja sebelum memigrasikannya ke cloud. Pendekatan pemfaktoran ulang ini memberikan manfaat berikut, terutama jika sasaran Anda adalah membangun arsitektur hibrid sebagai arsitektur bertarget jangka panjang:
- Anda dapat meningkatkan proses deployment.
- Anda dapat membantu mempercepat ritme rilis dan mempersingkat siklus masukan dengan menerapkan infrastruktur dan alat continuous integration/continuous deployment (CI/CD).
- Anda dapat menggunakan pemfaktoran ulang sebagai dasar untuk mem-build dan mengelola arsitektur hybrid dengan portabilitas aplikasi.
Agar berfungsi dengan baik, pendekatan ini biasanya memerlukan investasi tertentu pada infrastruktur dan alat lokal. Misalnya, menyiapkan Container Registry lokal dan menyediakan cluster Kubernetes untuk menyimpan aplikasi ke dalam container. Edisi Google Kubernetes Engine (GKE) Enterprise dapat berguna dalam pendekatan ini untuk lingkungan hybrid. Informasi selengkapnya tentang GKE Enterprise dibahas di bagian berikut. Anda juga dapat melihat arsitektur referensi lingkungan hybrid GKE Enterprise untuk mengetahui detail selengkapnya.
Portabilitas workload
Dengan arsitektur hybrid dan multicloud, Anda mungkin ingin dapat mengalihkan beban kerja di antara lingkungan komputasi yang menghosting data Anda. Untuk membantu memungkinkan pergerakan workload yang lancar antar-lingkungan, pertimbangkan faktor berikut:
- Anda dapat memindahkan aplikasi dari satu lingkungan komputasi ke lingkungan komputasi lainnya tanpa mengubah aplikasi dan model operasionalnya secara signifikan:
- Deployment dan pengelolaan aplikasi konsisten di seluruh lingkungan komputasi.
- Visibilitas, konfigurasi, dan keamanan konsisten di seluruh lingkungan komputasi.
- Kemampuan untuk membuat workload portabel tidak boleh bertentangan dengan beban kerja yang menjadi cloud-first.
Otomatisasi infrastruktur
Otomatisasi infrastruktur sangat penting untuk portabilitas dalam arsitektur hybrid dan multicloud. Salah satu pendekatan umum untuk mengotomatiskan pembuatan infrastruktur adalah melalui Infrastructure as Code (IaC). IaC melibatkan pengelolaan infrastruktur Anda dalam file, bukan mengonfigurasi resource secara manual—seperti VM, grup keamanan, atau load balancer—di antarmuka pengguna. Terraform adalah alat IaC populer untuk menentukan resource infrastruktur dalam file. Terraform juga memungkinkan Anda mengotomatiskan pembuatan resource tersebut di lingkungan yang heterogen.
Untuk mengetahui informasi selengkapnya tentang fungsi inti Terraform yang dapat membantu Anda mengotomatiskan penyediaan dan pengelolaan resource Google Cloud, baca blueprint dan modul Terraform untuk Google Cloud.
Anda dapat menggunakan alat manajemen konfigurasi seperti Ansible, Puppet, atau Chef untuk menetapkan proses deployment dan konfigurasi yang umum. Atau, Anda dapat menggunakan alat pembuat gambar seperti Packer untuk membuat image VM pada berbagai platform. Dengan menggunakan satu file konfigurasi bersama, Anda dapat menggunakan Packer dan Cloud Build untuk membuat image VM yang akan digunakan di Compute Engine. Terakhir, Anda dapat menggunakan solusi seperti Prometheus dan Grafana untuk membantu memastikan pemantauan yang konsisten di seluruh lingkungan.
Berdasarkan alat ini, Anda dapat menyusun rantai alat umum seperti yang diilustrasikan dalam diagram logis berikut. Rantai alat umum ini menghilangkan perbedaan di antara lingkungan komputasi. Alat ini juga memungkinkan Anda menyatukan penyediaan, deployment, pengelolaan, dan pemantauan.
Meskipun rantai alat umum dapat membantu Anda mencapai portabilitas, rantai alat ini memiliki beberapa kekurangan berikut:
- Menggunakan VM sebagai dasar umum dapat mempersulit penerapan aplikasi cloud-first yang sebenarnya. Selain itu, Anda mungkin tidak dapat menggunakan layanan terkelola cloud dengan menggunakan VM. Anda mungkin kehilangan peluang untuk mengurangi beban administratif.
- Membuat dan memelihara rantai alat umum menimbulkan overhead dan biaya operasional.
- Seiring berkembangnya rantai alat, rangkaian alat ini dapat mengembangkan kompleksitas unik yang disesuaikan dengan kebutuhan spesifik perusahaan Anda. Peningkatan kompleksitas ini dapat menyebabkan kenaikan biaya pelatihan.
Sebelum memutuskan untuk mengembangkan alat dan otomatisasi, pelajari layanan terkelola yang ditawarkan penyedia cloud Anda. Jika penyedia Anda menawarkan layanan terkelola yang mendukung kasus penggunaan yang sama, Anda dapat menghilangkan sebagian kompleksitasnya. Dengan hal tersebut, Anda dapat berfokus pada workload dan arsitektur aplikasi, bukan infrastruktur yang mendasarinya.
Misalnya, Anda dapat menggunakan Model Resource Kubernetes untuk mengotomatiskan pembuatan cluster Kubernetes menggunakan pendekatan konfigurasi deklaratif. Anda dapat menggunakan Konversi Deployment Manager untuk mengonversi konfigurasi dan template Deployment Manager menjadi format konfigurasi deklaratif lain yang didukung Google Cloud (seperti Terraform dan Model Resource Kubernetes) sehingga dapat digunakan saat dipublikasikan.
Anda juga dapat mempertimbangkan untuk mengotomatiskan pembuatan project dan pembuatan resource dalam project tersebut. Otomatisasi ini dapat membantu Anda mengadopsi pendekatan infrastruktur sebagai kode untuk penyediaan project.
Container dan Kubernetes
Penggunaan kemampuan yang dikelola cloud membantu mengurangi kompleksitas pembuatan dan pemeliharaan rantai alat kustom untuk mencapai otomatisasi dan portabilitas workload. Namun, hanya menggunakan VM sebagai dasar umum akan mempersulit penerapan aplikasi yang benar-benar cloud-first. Salah satu solusinya adalah dengan menggunakan container dan Kubernetes.
Container membantu software Anda berjalan dengan andal saat Anda memindahkannya dari satu lingkungan ke lingkungan lainnya. Karena container memisahkan aplikasi dari infrastruktur host yang mendasarinya, container tersebut memfasilitasi deployment di seluruh lingkungan komputasi, seperti hybrid dan multicloud.
Kubernetes menangani orkestrasi, deployment, penskalaan, dan pengelolaan aplikasi dalam container. Software ini open source dan diatur oleh Cloud Native Computing Foundation. Penggunaan Kubernetes akan menyediakan layanan yang membentuk fondasi aplikasi cloud-first. Karena Anda dapat menginstal dan menjalankan Kubernetes di banyak lingkungan komputasi, Anda juga dapat menggunakannya untuk membuat lapisan runtime umum di seluruh lingkungan komputasi:
- Kubernetes menyediakan layanan dan API yang sama di lingkungan komputasi pribadi atau cloud. Selain itu, tingkat abstraksi jauh lebih tinggi daripada saat menggunakan VM, yang umumnya menghasilkan lebih sedikit pekerjaan dasar yang diperlukan dan peningkatan produktivitas developer.
- Tidak seperti rantai alat kustom, Kubernetes diadopsi secara luas untuk pengembangan dan pengelolaan aplikasi, sehingga Anda dapat memanfaatkan keahlian, dokumentasi, dan dukungan pihak ketiga yang sudah ada.
- Kubernetes mendukung semua implementasi container yang:
- Mendukung Container Runtime Interface (CRI) Kubernetes
- Diadopsi di industri untuk penerapan
- Tidak terikat dengan vendor tertentu
Saat workload berjalan di Google Cloud, Anda tidak perlu lagi menginstal dan mengoperasikan Kubernetes menggunakan platform Kubernetes terkelola seperti Google Kubernetes Engine (GKE). Dengan begitu, staf operasi dapat mengalihkan fokus mereka dari membangun dan memelihara infrastruktur ke pembuatan dan pemeliharaan aplikasi.
Anda juga dapat menggunakan Autopilot, yaitu mode operasi GKE yang mengelola konfigurasi cluster, termasuk node, penskalaan, keamanan, dan setelan lainnya yang telah dikonfigurasi sebelumnya. Saat menggunakan Autopilot GKE, pertimbangkan persyaratan penskalaan dan batas penskalaan.
Secara teknis, Anda dapat menginstal dan menjalankan Kubernetes di banyak lingkungan komputasi untuk membuat lapisan runtime umum. Namun, dalam praktiknya, membangun dan mengoperasikan arsitektur tersebut dapat menciptakan kompleksitas. Arsitekturnya menjadi makin kompleks saat Anda memerlukan kontrol keamanan tingkat container (service mesh).
Untuk menyederhanakan pengelolaan deployment multi-cluster, Anda dapat menggunakan GKE Enterprise untuk menjalankan aplikasi modern di mana saja dalam skala besar. GKE menyertakan komponen open source yang terkelola dan andal untuk mengamankan workload, menerapkan kebijakan kepatuhan, serta menyediakan kemampuan observasi dan pemecahan masalah jaringan yang mendalam.
Seperti yang terlihat dalam diagram berikut, dengan menggunakan GKE Enterprise, Anda dapat mengoperasikan aplikasi multi-cluster sebagai fleet.
GKE Enterprise membantu opsi desain berikut untuk mendukung arsitektur hybrid dan multicloud:
Rancang dan bangun pengalaman seperti cloud di infrastruktur lokal atau solusi terpadu untuk mentransisikan aplikasi ke lingkungan hybrid GKE Enterprise. Untuk mengetahui informasi selengkapnya, lihat arsitektur referensi lingkungan hybrid GKE Enterprise.
Rancang dan bangun solusi untuk mengatasi kompleksitas multicloud dengan tata kelola, operasi, dan postur keamanan yang konsisten dengan GKE Multi-Cloud. Untuk mengetahui informasi selengkapnya, lihat dokumentasi GKE Multi-Cloud.
GKE Enterprise juga menyediakan pengelompokan lingkungan serupa yang logis dengan keamanan, konfigurasi, dan pengelolaan layanan yang konsisten. Misalnya, GKE Enterprise mendukung arsitektur terdistribusi zero-trust. Dalam arsitektur terdistribusi zero-trust, layanan yang di-deploy di lokasi atau di lingkungan cloud lain dapat berkomunikasi di seluruh lingkungan melalui komunikasi layanan-ke-layanan mTLS yang aman secara menyeluruh.
Pertimbangan portabilitas workload
Kubernetes dan GKE Enterprise menyediakan lapisan abstraksi untuk workload yang dapat menyembunyikan berbagai seluk-beluk dan perbedaan di antara lingkungan komputasi. Daftar berikut menjelaskan beberapa abstraksi tersebut:
- Aplikasi mungkin portabel untuk lingkungan yang berbeda dengan
perubahan yang minimal, tetapi itu tidak berarti bahwa aplikasi berperforma
baik di kedua lingkungan.
- Perbedaan dalam komputasi dasar, kemampuan keamanan infrastruktur, atau infrastruktur jaringan, beserta kedekatannya dengan layanan dependen, dapat menyebabkan performa yang jauh berbeda.
- Memindahkan workload antar-lingkungan komputasi mungkin juga mengharuskan Anda
untuk memindahkan data.
- Lingkungan yang berbeda dapat memiliki layanan dan fasilitas penyimpanan data serta pengelolaan yang berbeda.
- Perilaku dan performa load balancer yang disediakan dengan Kubernetes atau GKE Enterprise mungkin berbeda di setiap lingkungan.
Perpindahan data
Karena memindahkan, berbagi, dan mengakses data dalam skala besar antar lingkungan komputasi agak rumit, perusahaan tingkat perusahaan mungkin ragu untuk membangun arsitektur hybrid atau multicloud. Keraguan ini mungkin meningkat jika mereka sudah menyimpan sebagian besar datanya di infrastruktur lokal atau di satu cloud.
Namun, berbagai opsi perpindahan data yang ditawarkan oleh Google Cloud, memberi perusahaan serangkaian solusi komprehensif untuk membantu memindahkan, mengintegrasikan, dan mentransformasi data mereka. Opsi ini membantu perusahaan menyimpan, membagikan, dan mengakses data di berbagai lingkungan dengan cara yang sesuai dengan kasus penggunaan tertentu. Kemampuan tersebut pada akhirnya mempermudah pembuat keputusan bisnis dan teknologi untuk mengadopsi arsitektur hybrid dan multicloud.
Perpindahan data menjadi pertimbangan penting untuk strategi serta perencanaan arsitektur hybrid dan multicloud. Tim Anda perlu mengidentifikasi berbagai kasus penggunaan bisnis dan data yang mendukungnya. Anda juga harus mempertimbangkan opsi jenis penyimpanan, kapasitas, aksesibilitas, dan pergerakan.
Jika suatu perusahaan memiliki klasifikasi data untuk industri teregulasi, klasifikasi tersebut dapat membantu mengidentifikasi lokasi penyimpanan dan batasan perpindahan data lintas region untuk kelas data tertentu. Untuk mengetahui informasi selengkapnya, lihat Sensitive Data Protection. Sensitive Data Protection adalah layanan terkelola sepenuhnya yang didesain untuk membantu Anda menemukan, mengklasifikasikan, dan melindungi aset data Anda.
Untuk mempelajari prosesnya, mulai dari merencanakan transfer data hingga menggunakan praktik terbaik dalam menerapkan rencana, lihat Migrasi ke Google Cloud: Mentransfer set data besar.
Keamanan
Saat organisasi mengadopsi arsitektur hybrid dan multicloud, permukaan serangan mereka dapat meningkat, bergantung pada cara distribusi sistem dan data mereka di berbagai lingkungan. Dikombinasikan dengan lanskap ancaman yang terus berkembang, peningkatan permukaan serangan dapat menyebabkan peningkatan risiko akses tidak sah, kehilangan data, dan insiden keamanan lainnya. Pertimbangkan keamanan dengan cermat saat merencanakan dan mengimplementasikan strategi hybrid atau multicloud.
Untuk mengetahui informasi selengkapnya, lihat Attack Surface Management untuk Google Cloud.
Saat merancang untuk arsitektur hybrid, memperluas pendekatan keamanan lokal ke cloud tidak selalu memungkinkan secara teknis atau layak. Namun, banyak kemampuan keamanan jaringan peralatan hardware yang merupakan fitur cloud-first dan beroperasi secara terdistribusi. Untuk mengetahui informasi selengkapnya tentang kemampuan keamanan jaringan cloud-first dari Google Cloud, lihat Keamanan jaringan cloud.
Arsitektur hybrid dan multicloud dapat memunculkan tantangan keamanan tambahan, seperti konsistensi dan kemampuan observasi. Setiap penyedia cloud publik memiliki pendekatan keamanannya sendiri, termasuk berbagai model, praktik terbaik, kemampuan keamanan aplikasi dan infrastruktur, kewajiban kepatuhan, dan bahkan nama-nama layanan keamanan. Inkonsistensi ini dapat meningkatkan risiko keamanan. Selain itu, model tanggung jawab bersama untuk setiap penyedia cloud juga dapat berbeda. Penting untuk mengidentifikasi dan memahami demarkasi tanggung jawab yang tepat dalam arsitektur multicloud.
Kemampuan observasi adalah kunci untuk mendapatkan insight dan metrik dari berbagai lingkungan. Dalam arsitektur multicloud, setiap cloud biasanya menyediakan alat untuk memantau postur keamanan dan kesalahan konfigurasi. Namun, penggunaan alat ini menghasilkan visibilitas yang terpisah-pisah, yang mencegah pembuatan kecerdasan ancaman lanjutan di seluruh lingkungan. Akibatnya, tim keamanan harus beralih antara alat dan dasbor untuk menjaga keamanan cloud. Tanpa visibilitas keamanan end-to-end yang menyeluruh untuk lingkungan hybrid dan multicloud, sulit untuk memprioritaskan dan memitigasi kerentanan.
Untuk mendapatkan visibilitas dan postur penuh dari semua lingkungan Anda, prioritaskan kerentanan, dan kurangi kerentanan yang Anda identifikasi. Sebaiknya gunakan model visibilitas terpusat. Model visibilitas terpusat menghindari kebutuhan akan korelasi manual antara berbagai alat dan dasbor dari platform yang berbeda. Untuk mengetahui informasi selengkapnya, lihat Pola pemantauan dan logging hybrid dan multicloud.
Sebagai bagian dari perencanaan Anda untuk memitigasi risiko keamanan dan men-deploy workload di Google Cloud, serta untuk membantu Anda merencanakan dan mendesain solusi cloud guna memenuhi tujuan keamanan dan kepatuhan, pelajari pusat praktik terbaik keamanan Google Cloud dan blueprint fondasi perusahaan.
Tujuan kepatuhan dapat bervariasi, karena dipengaruhi oleh peraturan spesifik per industri dan berbagai persyaratan peraturan di berbagai wilayah dan negara. Untuk mengetahui informasi selengkapnya, lihat pusat referensi kepatuhan Google Cloud. Berikut adalah beberapa pendekatan utama yang direkomendasikan untuk merancang arsitektur hybrid dan multicloud yang aman:
Mengembangkan strategi dan arsitektur keamanan cloud terpadu yang disesuaikan. Strategi keamanan hybrid dan multicloud harus disesuaikan dengan kebutuhan dan tujuan spesifik organisasi Anda.
Sangat penting untuk memahami arsitektur dan lingkungan yang ditargetkan sebelum mengimplementasikan kontrol keamanan, karena setiap lingkungan dapat menggunakan fitur, konfigurasi, dan layanan yang berbeda.
Pertimbangkan arsitektur keamanan terpadu di seluruh lingkungan hybrid dan multicloud.
Menstandarkan desain dan deployment cloud, terutama desain dan kemampuan keamanan. Tindakan ini dapat meningkatkan efisiensi serta memungkinkan tata kelola dan alat yang terpadu.
Gunakan beberapa kontrol keamanan.
Biasanya, tidak ada satu kontrol keamanan yang dapat cukup memenuhi semua persyaratan perlindungan keamanan. Oleh karena itu, organisasi harus menggunakan kombinasi kontrol keamanan dalam pendekatan pertahanan berlapis, yang juga dikenal sebagai defense in depth.
Pantau dan terus tingkatkan postur keamanan: Organisasi Anda harus memantau berbagai lingkungannya untuk mengetahui ancaman dan kerentanan keamanan. Aplikasi ini juga harus terus berupaya meningkatkan postur keamanannya.
Pertimbangkan untuk menggunakan pengelolaan postur keamanan cloud (CSPM) untuk mengidentifikasi dan memperbaiki kesalahan konfigurasi keamanan dan ancaman pengamanan cyber. CSPM juga menyediakan penilaian kerentanan di seluruh lingkungan hybrid dan multicloud.
Security Command Center adalah solusi keamanan dan pengelolaan risiko bawaan untuk Google Cloud yang membantu mengidentifikasi kesalahan konfigurasi serta kerentanan dan lainnya. Security Health Analytics adalah alat pemindaian penilaian kerentanan yang terkelola. Fitur ini adalah fitur Security Command Center yang mengidentifikasi risiko dan kerentanan keamanan di lingkungan Google Cloud Anda serta memberikan rekomendasi untuk mengatasinya.
Mandiant Attack Surface Management untuk Google Cloud memungkinkan organisasi Anda melihat aset lingkungan multicloud atau hybrid cloud dengan lebih baik. Alat ini otomatis menemukan aset dari beberapa penyedia cloud, DNS, dan permukaan serangan eksternal yang diperluas untuk memberi perusahaan Anda pemahaman yang lebih mendalam tentang ekosistemnya. Gunakan informasi ini untuk memprioritaskan perbaikan pada kerentanan dan eksposur yang memiliki risiko paling besar.
- Solusi informasi keamanan dan manajemen peristiwa (SIEM) cloud: Membantu mengumpulkan dan menganalisis log keamanan dari lingkungan hybrid dan multicloud untuk mendeteksi dan merespons ancaman. Google Security Operations SIEM dari Google Cloud membantu menyediakan Informasi keamanan dan pengelolaan peristiwa dengan mengumpulkan, menganalisis, mendeteksi, dan menyelidiki semua data keamanan Anda di satu tempat.