Allgemeine Best Practices

Berücksichtigen Sie beim Entwerfen und Onboarding von Cloud-Identitäten, Ressourcenhierarchie und Landing-Zone-Netzwerken die Designempfehlungen in Landing-Zone-Design in Google Cloud und die Google Cloud Best Practices für die Sicherheit, die im Blueprint für Unternehmensgrundlagen behandelt werden. Vergleichen Sie Ihr ausgewähltes Design mit den folgenden Dokumenten:

• Best Practices und Referenzarchitekturen für das VPC-Design
• Ressourcenhierarchie für Ihre Google Cloud Landing-Zone festlegen
• Google Cloud Well-Architected Framework: Sicherheit, Datenschutz und Compliance

Beachten Sie außerdem die folgenden allgemeinen Best Practices:

• Berücksichtigen Sie bei der Auswahl einer Option für die Hybrid- oder Multi-Cloud-Netzwerkverbindung Geschäfts- und Anwendungsanforderungen wie SLAs, Leistung, Sicherheit, Kosten, Zuverlässigkeit und Bandbreite. Weitere Informationen finden Sie unter Network Connectivity-Produkt auswählen und Muster zum Verbinden anderer Cloud-Dienstanbieter mit Google Cloud.

• Verwenden Sie freigegebene VPCs auf Google Cloud anstelle von mehreren VPCs, wenn dies angemessen ist und Ihren Anforderungen an das Design der Ressourcenhierarchie entspricht. Weitere Informationen finden Sie unter Entscheiden, ob mehrere VPC-Netzwerke erstellt werden sollen.

• Befolgen Sie die Best Practices für die Planung von Konten und Organisationen.

• Richten Sie gegebenenfalls eine gemeinsame Identität zwischen Umgebungen ein, damit sich Systeme über Umgebungsgrenzen hinweg sicher authentifizieren können.

• Wenn Sie Anwendungen in einer Hybridkonfiguration sicher für Unternehmensnutzer bereitstellen und den Ansatz auswählen möchten, der am besten zu Ihren Anforderungen passt, sollten Sie die empfohlenen Methoden zum Integrieren von Google Cloud in Ihr Identitätsverwaltungssystem verwenden.

  • Weitere Informationen finden Sie unter Muster zum Authentifizieren von Belegschaftsnutzern in einer Hybridumgebung.

• Berücksichtigen Sie bei der Gestaltung Ihrer On-Premise- und Cloud-Umgebungen frühzeitig die IPv6-Adressierung und berücksichtigen Sie, welche Dienste sie unterstützen. Weitere Informationen finden Sie unter Einführung in IPv6 auf Google Cloud. Darin werden die Dienste zusammengefasst, die zum Zeitpunkt des Blogbeitrags unterstützt wurden.

• Beim Entwerfen, Bereitstellen und Verwalten Ihrer VPC-Firewallregeln haben Sie folgende Möglichkeiten:

  • Verwenden Sie die Filterung nach Dienstkonten anstelle der Filterung nach Netzwerktags, wenn Sie strikte Kontrolle darüber benötigen, wie Firewallregeln auf VMs angewendet werden.
  • Verwenden Sie Firewallrichtlinien, wenn Sie mehrere Firewallregeln gruppieren, damit Sie sie alle gleichzeitig aktualisieren können. Sie können die Richtlinie auch hierarchisch gestalten. Details und Spezifikationen zu hierarchischen Firewallrichtlinien finden Sie unter Hierarchische Firewallrichtlinien.
  • Verwenden Sie Geostandortobjekte in Firewallrichtlinien, wenn Sie externen IPv4- und externen IPv6-Traffic anhand bestimmter geografischer Standorte oder Regionen filtern müssen.
  • Verwenden Sie Threat Intelligence für Firewallregeln , wenn Sie Ihr Netzwerk sichern müssen, indem Sie Traffic basierend auf Threat Intelligence-Daten wie bekannten schädlichen IP-Adressen oder öffentlichen Cloud-IP-Adressbereichen zulassen oder blockieren. Sie können beispielsweise Traffic aus bestimmten öffentlichen Cloud-IP-Adressbereichen zulassen, wenn Ihre Dienste nur mit dieser öffentlichen Cloud kommunizieren müssen. Weitere Informationen finden Sie unter Best Practices für Firewallregeln.

• Sie sollten Ihre Cloud- und Netzwerksicherheit immer mit einem mehrschichtigen Sicherheitsansatz entwerfen und zusätzliche Sicherheitsebenen wie die folgenden berücksichtigen:

  • Google Cloud Armor
  • Cloud Intrusion Detection System
  • Cloud Next Generation Firewall – IPS
  • Threat Intelligence für Firewallrichtlinien-Regeln

  Mit diesen zusätzlichen Ebenen können Sie eine Vielzahl von Bedrohungen auf Netzwerk- und Anwendungsebene filtern, prüfen und überwachen, um sie zu analysieren und zu verhindern.

• Bei der Entscheidung, wo die DNS-Auflösung in einer hybriden Einrichtung erfolgen soll, empfehlen wir, zwei autoritative DNS-Systeme für Ihre privateGoogle Cloud -Umgebung und für Ihre lokalen Ressourcen zu verwenden, die von vorhandenen DNS-Servern in Ihrer lokalen Umgebung gehostet werden. Weitere Informationen finden Sie unter Ort der DNS-Auflösung auswählen.

• Geben Sie Anwendungen nach Möglichkeit immer über APIs mit einem API-Gateway oder Load-Balancer frei. Wir empfehlen Ihnen, eine API-Plattform wie Apigee in Betracht zu ziehen. Apigee fungiert als Abstraktion oder Fassade für Ihre Backend-Dienst-APIs in Kombination mit Sicherheitsfunktionen, Ratenbegrenzung, Kontingenten und Analysen.

• Eine API-Plattform (Gateway oder Proxy) und ein Application Load Balancer schließen sich nicht gegenseitig aus. Manchmal ist die gemeinsame Verwendung von API-Gateways und Load Balancern eine robustere und sicherere Lösung für die Verwaltung und Verteilung von API-Traffic in großem Maßstab. Mit Cloud Load Balancing API-Gateways können Sie Folgendes erreichen:

  • Mit Apigee und Cloud CDN können Sie leistungsstarke APIs bereitstellen, um:

    • Latenz reduzieren
    • APIs global hosten

    • Verfügbarkeit für Traffic-Spitzen erhöhen

      Weitere Informationen finden Sie auf YouTube unter Leistungsstarke APIs mit Apigee und Cloud CDN bereitstellen.

  • Implementieren Sie die erweiterte Traffic-Verwaltung.

  • Verwenden Sie Cloud Armor als DDoS-Schutz, WAF und Netzwerksicherheitsdienst zum Schutz Ihrer APIs.

  • Effizientes Load-Balancing über mehrere Gateways hinweg auf mehreren Regionen. Weitere Informationen finden Sie unter APIs sichern und multiregionalen Failover mit PSC und Apigee implementieren.

• Um zu bestimmen, welches Cloud Load Balancing-Produkt verwendet werden soll, müssen Sie erst einmal festlegen, welche Art von Traffic Ihre Load-Balancer verarbeiten müssen. Weitere Informationen finden Sie unter Load-Balancer auswählen.

• Wenn Cloud Load Balancing verwendet wird, sollten Sie gegebenenfalls die Funktionen zur Optimierung der Anwendungskapazität nutzen. Auf diese Weise können Sie einige der Kapazitätsprobleme bewältigen, die bei global verteilten Anwendungen auftreten können.

  • Ausführliche Informationen zur Latenz finden Sie unter Anwendungslatenz durch Load-Balancing optimieren.

• Cloud VPN verschlüsselt Traffic zwischen Umgebungen. Bei Cloud Interconnect müssen Sie entweder MACsec oder HA VPN über Cloud Interconnect verwenden, um Traffic während der Übertragung auf der Verbindungsebene zu verschlüsseln. Weitere Informationen finden Sie unter Wie kann ich Traffic über Cloud Interconnect verschlüsseln?

  • Sie können auch die Verschlüsselung der Dienstschicht mit TLS in Betracht ziehen. Weitere Informationen finden Sie unter Entscheiden, wie Compliance-Anforderungen für die Verschlüsselung bei der Übertragung erfüllt werden sollen.

• Wenn Sie mehr Traffic über eine VPN-Hybridverbindung benötigen, als ein einzelner VPN-Tunnel unterstützen kann, können Sie die Option Aktiv/Aktiv-HA VPN-Routing in Betracht ziehen.

  • Für langfristige Hybrid- oder Multi-Cloud-Einrichtungen mit hohem ausgehenden Datenübertragungsvolumen sollten Sie Cloud Interconnect oder Cross-Cloud Interconnect in Betracht ziehen. Mit diesen Verbindungsoptionen können Sie die Verbindungsleistung optimieren und die Kosten für die ausgehende Datenübertragung von Traffic senken, der bestimmte Bedingungen erfüllt. Weitere Informationen finden Sie unter Cloud Interconnect-Preise.

• Wenn Sie eine Verbindung zu Google Cloud Ressourcen herstellen und zwischen Cloud Interconnect, Direct Peering oder Carrier Peering wählen möchten, empfehlen wir die Verwendung von Cloud Interconnect, sofern Sie nicht auf Google Workspace-Anwendungen zugreifen müssen. Weitere Informationen finden Sie unter Direct Peering mit Cloud Interconnect und Carrier Peering mit Cloud Interconnect.

• Reservieren Sie von Ihrem bestehenden IP-Adressbereich nach RFC 1918 einen ausreichend großen Adressbereich für alle in der Cloud gehosteten Systeme.

• Wenn Sie aus technischen Gründen Ihren IP-Adressbereich beibehalten müssen, haben Sie folgende Möglichkeiten:

  • Verwenden Sie dieselben internen IP-Adressen für Ihre lokalen Arbeitslasten, während Sie sie mit Hybrid-Subnetzen zu Google Cloudmigrieren.

  • Sie können Ihre eigenen öffentlichen IPv4-Adressen fürGoogle Cloud -Ressourcen bereitstellen und verwenden, indem Sie Bring your own IP (BYOIP) für Google nutzen.

• Wenn für die Lösung eineGoogle Cloud-basierte Anwendung für das öffentliche Internet freigegeben werden muss, sollten Sie die Designempfehlungen unter Netzwerk für die Internetbereitstellung von Anwendungen berücksichtigen.

• Verwenden Sie gegebenenfalls Private Service Connect-Endpunkte, um Arbeitslasten in Google Cloud, lokal oder in einer anderen Cloud-Umgebung mit Hybridkonnektivität den privaten Zugriff auf Google APIs oder veröffentlichte Dienste über interne IP-Adressen zu ermöglichen.

• Wenn Sie Private Service Connect verwenden, müssen Sie Folgendes steuern:

  • Wer Private Service Connect-Ressourcen bereitstellen kann.
  • Ob Verbindungen zwischen Nutzern und Erstellern hergestellt werden können.
  • Welcher Netzwerkverkehr auf diese Verbindungen zugreifen darf.

  Weitere Informationen finden Sie unter Private Service Connect-Sicherheit.

• So erreichen Sie eine robuste Cloud-Einrichtung im Kontext von Hybrid- und Multi-Cloud-Architekturen:

  • Führen Sie eine umfassende Bewertung der erforderlichen Zuverlässigkeitsstufen der verschiedenen Anwendungen in den verschiedenen Umgebungen durch. So können Sie Ihre Ziele für Verfügbarkeit und Ausfallsicherheit erreichen.
  • Zuverlässigkeitsfunktionen und Designprinzipien Ihres Cloud-Anbieters verstehen. Weitere Informationen finden Sie unter Google Cloud Infrastrukturzuverlässigkeit.

• Cloud-Netzwerktransparenz und ‑monitoring sind unerlässlich, um eine zuverlässige Kommunikation aufrechtzuerhalten. Network Intelligence Center bietet eine zentrale Konsole zum Verwalten der Sichtbarkeit, des Monitorings und der Fehlerbehebung des Netzwerks.