本文件將概略說明如何在Google Cloud中設計到達區。目標區 (也稱為雲端基礎架構) 是模組化且可擴充的設定,可讓機構根據業務需求採用 Google Cloud 。在雲端環境中部署企業工作負載時,通常需要先建立登錄區。
本文件適用於想瞭解下列內容的解決方案架構師、技術實務人員和執行長利益相關者:
- Google Cloud中到達目標區的常見元素
- 如何查看到達網頁設計的詳細資訊
- 如何為貴企業部署到達區,包括部署預建解決方案的選項
本文件是一系列文章的一部分,可協助您瞭解如何設計及建構到達網頁。本系列的其他文件可協助您瞭解設計機構的目標區時,需要做出的高階決策。本系列文章將說明以下內容:
- Google Cloud (即本文件) 中的登陸區設計
- 決定如何將身分資訊導入 Google Cloud
- 決定 Google Cloud 登陸區的資源階層
- 決定 Google Cloud 登陸區的網路設計
- 決定 Google Cloud 登陸區的安全性
本系列文章並未特別說明金融服務或醫療照護等管制產業的遵循規定。
什麼是 Google Cloud 到達網頁?
企業可透過登陸區,更安全地部署、使用及擴充 Google Cloud服務。隨著企業逐漸採用更多雲端工作負載,您可以動態調整及擴充目的地。
如要部署到達區,您必須先建立組織資源,並建立帳單帳戶 (線上或帳單)。
登陸區涵蓋多個領域,並包含身分、資源管理、安全性和網路等不同元素。如「到達區的元素」一節所述,許多其他元素也可納入到達區。
下圖為示範網域實作方式。這張圖顯示了基礎架構式服務 (IaaS) 用途,其中包含混合式雲端和地端部署的連線: Google Cloud
上圖中的架構範例顯示一個 Google Cloud到達區,其中包含下列 Google Cloud 服務和功能:
Cloud Identity 帳戶會與內部部署的身分識別提供者和身分與存取權管理 (IAM) 進行同步處理,提供 Google Cloud 資源的精細存取權。
網路部署作業包含下列項目:
- 每個環境 (正式環境、開發環境和測試環境) 的共用虛擬私有雲網路,會將多個專案的資源連結至虛擬私有雲網路。
- 虛擬私有雲 (VPC) 防火牆規則可控管 共用虛擬私有雲網路中工作負載的連線。
- Cloud NAT 閘道可讓這些網路中的資源建立連結至網際網路的傳出連線,而不需要外部 IP 位址。
- Cloud Interconnect 可連線至內部部署應用程式和使用者。(您可以選擇不同的 Cloud Interconnect 選項,包括專屬互連網路或合作夥伴互連網路)。
- Cloud VPN 會連結至其他雲端服務供應商。
- Cloud DNS 私人區域會代管 Google Cloud中部署作業的 DNS 記錄。
Google Cloud Observability 包含用於監控的 Cloud Monitoring 和用於記錄的 Cloud Logging。Cloud 稽核記錄、防火牆規則記錄功能和虛擬私有雲流程記錄可確保所有必要資料都已記錄,並可供分析。
VPC Service Controls 範圍包含共用虛擬私有雲和內部環境。安全範圍會將服務和資源隔離,有助於降低從支援的 Google Cloud 服務竊取資料的風險。
上述圖表僅為範例,因為沒有單一或標準的到達區實作方式。您的商家必須根據各種因素做出許多設計選擇,包括:
- 所屬產業
- 您的組織架構和程序
- 您的安全性和法規遵循需求
- 您要遷移至哪些工作負載 Google Cloud
- 現有的 IT 基礎架構和其他雲端環境
- 商家和客戶所在地
建構到達可用區的時機
建議您在 Google Cloud上部署第一個企業工作負載之前,先建立登錄區,因為登錄區可提供下列功能:
- 安全設計基礎
- 企業工作負載的網路
- 管理內部費用分配所需的工具
不過,由於登陸區是模組化結構,因此您第一次嘗試建立登陸區時,通常不會是最終版本。因此,建議您在設計到達網頁時,考量到擴充性和成長性。舉例來說,如果第一個工作負載不需要存取內部部署網路資源,您可以稍後建立內部部署環境的連線。
視貴機構和您打算在Google Cloud上執行的工作負載類型而定,部分工作負載可能會有截然不同的需求。舉例來說,部分工作負載可能有獨特的可擴充性或法規遵循要求。在這種情況下,貴機構可能需要多個目標區:一個目標區用於代管大部分工作負載,另一個目標區則用於代管專屬工作負載。您可以將身分、帳單和機構資源等元素共用於各個目標區。不過,其他元素 (例如網路設定、部署機制和資料夾層級政策) 可能會有所不同。
到達可用區的元素
您必須在Google Cloud上設計以下核心元素,才能建立到達區:
除了這些核心元素之外,您的商家可能還有其他規定。下表說明這些元素,以及您可以從何處取得相關資訊。
| 登陸區元素 | 說明 |
|---|---|
| 監控與記錄 |
設計監控和記錄策略,確保所有相關資料都會記錄,並提供可視覺化呈現資料的資訊主頁,以及可通知您任何可採取動作的例外狀況的快訊。 詳情請參閱 Google Cloud Observability 說明文件 |
| 備份與災難復原 |
設計備份和災難復原策略。 詳情請參閱下列資源: |
| 法規遵循 |
遵循與貴機構相關的法規遵循框架。 如需更多資訊,請造訪法規遵循資源中心。 |
| 成本效益和控管 |
設計功能,監控及最佳化登陸區中工作負載的成本。 詳情請參閱下列資源: |
| API 管理 | 為您開發的 API 設計可擴充的解決方案。詳情請參閱 Apigee API 管理。 |
| 叢集管理 |
設計遵循最佳做法的 Google Kubernetes Engine (GKE) 叢集,以便建構可擴充、具備復原能力且可觀察的服務。 如要瞭解詳情,請參考下列資源: |
設計及部署到達區的最佳做法
設計和部署到達可用區需要事先規劃。您必須擁有適當的團隊來執行這些工作,並使用專案管理程序。此外,我們也建議您遵循本系列文章中所述的技術最佳做法。
建立團隊
組成團隊,成員來自組織內的多個技術職能。團隊成員必須具備建構所有登陸區元素的專業技能,包括安全性、身分、網路和營運。找出瞭解 Google Cloud 的雲端從業人員來帶領團隊。您的團隊應包括管理專案和追蹤成就的成員,以及與應用程式或業務擁有者合作的成員。
請務必在程序初期就邀請所有利害關係人參與。利益相關者必須對程序範圍達成共識,並在專案啟動時做出高層決策。
將專案管理套用至目標區部署作業
設計及部署到達區可能需要數週的時間,因此專案管理至關重要。請務必明確定義專案目標,並向所有相關人員說明,確保所有相關人員都能收到任何專案變更的最新消息。定義定期檢查點,並就里程碑達成共識,並設定切合實際的時程,考量作業流程和意外延誤的可能性。
為盡可能符合業務需求,請根據您想優先在Google Cloud中部署的用途,規劃初始到達區部署作業。建議您先部署最容易在 Google Cloud上執行的工作負載,例如橫向調整的多層網頁應用程式。這些工作負載可能是新的工作負載,也可能是現有的工作負載。如要評估現有工作負載的遷移完備性,請參閱「遷移至 Google Cloud:入門指南」。
由於目標區是模組化設計,因此請以遷移第一個工作負載所需的元素為中心,並規劃日後新增其他元素。
遵循技術最佳做法
建議您使用基礎架構即程式碼 (IaC),例如 Terraform。IaC 可協助您讓部署作業可重複執行且模組化。使用 GitOps 建立可部署雲端基礎架構變更的 CI/CD 管道,有助於確保您遵循內部規範,並設置正確的控管機制。
設計到達區時,請務必確保您和團隊會考量技術最佳做法。如要進一步瞭解在目標區域中做出的決策,請參閱本系列的其他指南。
除了本系列文章外,下表也說明瞭可協助您遵循最佳做法的架構、指南和藍圖,具體取決於您的用途。
| 相關說明文件 | 說明 |
|---|---|
| Google Cloud 設定 | 提供高階引導流程,協助您設定 Google Cloud 可用於實際工作環境的可擴充企業級工作負載。 |
| Enterprise 基礎架構藍圖 | 針對 Google Cloud 安全性最佳做法提出個人觀點,適用對象為資訊安全長、安全性從業人員、風險管理人員或法規遵循人員。 |
| Google Cloud Well-Architected Framework | 提供最佳做法和建議,協助架構師、開發人員、管理員和其他雲端專家設計及操作安全、有效率、有彈性、高效能且具成本效益的雲端拓樸。 |
| Terraform 藍圖 | 清單內含的藍圖和模組已封裝為 Terraform 模組,可用於為Google Cloud建立資源。 |
找出有助於導入目標網域的資源
Google Cloud 提供下列選項,協助您設定到達網頁:
- 請與Google Cloud合作夥伴或 Google Cloud專業服務合作,設計並部署符合您需求的專屬到達網頁。
- 透過 Google Cloud客戶新手上路計畫,將工作負載導入 Google Cloud。
- 按照控制台的設定指南,部署一般登陸區。 Google Cloud
- 使用 Terraform 範例基礎,部署與安全基礎藍圖相符的登陸區。
所有這些產品都採用專門針對全球不同產業和企業規模需求而設計的做法。為協助您根據用途做出最佳選擇,建議您與Google Cloud 帳戶團隊合作,共同確保專案順利進行。
後續步驟
- 決定如何將身分資訊導入 Google Cloud (本系列的下一篇文件)。
- 決定 Google Cloud 登陸區的資源階層結構。
- 決定 Google Cloud 登陸區的網路設計。
- 決定 Google Cloud 登陸區的安全性。