Esegui la migrazione a Google Cloud: pianifica e crea le tue basi

Questo documento ti aiuta a creare l'infrastruttura cloud di base per i tuoi carichi di lavoro. Può anche aiutarti a pianificare in che modo questa infrastruttura supporta le tue applicazioni. Questa pianificazione include la gestione delle identità, la struttura dell'organizzazione e del progetto e il networking.

Questo documento fa parte della seguente serie in più parti sulla migrazione a Google Cloud:

• Esegui la migrazione a Google Cloud: inizia
• Migrazione a Google Cloud: valutazione e individuazione dei carichi di lavoro
• Esegui la migrazione a Google Cloud: pianifica e crea le basi (questo documento)
• Migrazione a Google Cloud: trasferimento dei tuoi set di dati di grandi dimensioni
• Esegui la migrazione a Google Cloud: esegui il deployment dei tuoi carichi di lavoro
• Esegui la migrazione a Google Cloud: esegui la migrazione dai deployment manuali a quelli automatizzati e containerizzati
• Esegui la migrazione a Google Cloud: ottimizza il tuo ambiente
• Migrate to Google Cloud: Best practices for validating a migration plan
• Esegui la migrazione a Google Cloud: riduci al minimo i costi

Il seguente diagramma illustra il percorso del tuo viaggio di migrazione.

Questo documento è utile se stai pianificando una migrazione da un ambiente on-premise, da un ambiente di hosting privato, da un altro cloud provider aGoogle Cloudo se stai valutando l'opportunità di eseguire la migrazione e vuoi esplorare come potrebbe essere. Questo documento ti aiuta a comprendere i prodotti disponibili e le decisioni che prenderai per creare una base incentrata su un caso d'uso di migrazione.

Per le opzioni implementabili predefinite, vedi:

• Google Cloud Elenco di controllo per la configurazione
• Progetto della piattaforma aziendale

Per ulteriori indicazioni sulle best practice per la progettazione della base, vedi:

• Progettazione della zona di destinazione per la progettazione di una base in generale.
• Google Cloud Well-Architected Framework per indicazioni sulle best practice per la progettazione del sistema.

Quando pianifichi la migrazione a Google Cloud, devi comprendere una serie di argomenti e concetti relativi all'architettura cloud. Una base pianificata male può causare ritardi, confusione e tempi di inattività per la tua attività e può mettere a rischio il successo della migrazione al cloud. Questa guida fornisce una panoramica dei Google Cloud concetti di base e dei punti decisionali.

Ogni sezione di questo documento pone domande a cui devi rispondere per la tua organizzazione prima di creare le basi su Google Cloud. Queste domande non sono esaustive; hanno lo scopo di facilitare una conversazione tra i team di architettura e la leadership aziendale su ciò che è giusto per la tua organizzazione. I tuoi piani per infrastruttura, strumenti, sicurezza e gestione degli account sono unici per la tua attività e richiedono un'attenta valutazione. Una volta completato questo documento e risposto alle domande per la tua organizzazione, puoi iniziare la pianificazione formale dell'infrastruttura e dei servizi cloud che supportano la migrazione a Google Cloud.

Considerazioni per le aziende

Prendi in considerazione le seguenti domande per la tua organizzazione:

• Quali responsabilità IT potrebbero cambiare tra te e il tuo provider di infrastruttura quando passi a Google Cloud?
• Come puoi supportare o soddisfare le tue esigenze di conformità normativa, ad esempio HIPAA o GDPR, durante e dopo la migrazione aGoogle Cloud?
• Come puoi controllare dove vengono archiviati e trattati i tuoi dati in conformità ai requisiti di residenza dei dati?

Modello di responsabilità condivisa

Le responsabilità condivise tra te e Google Cloud potrebbero essere diverse da quelle a cui sei abituato e devi comprenderne le implicazioni per la tua attività. I processi che hai implementato in precedenza per provisionare, configurare e utilizzare le risorse potrebbero cambiare.

Consulta i Termini di servizio e il modello di sicurezza di Google per una panoramica del rapporto contrattuale tra la tua organizzazione e Google e delle implicazioni dell'utilizzo di un provider di cloud pubblico.

Conformità, sicurezza e privacy

Molte organizzazioni hanno requisiti di conformità relativi a standard, normative e certificazioni di settore e governativi. Molti carichi di lavoro aziendali sono soggetti a controlli normativi e possono richiedere attestazioni di conformità da parte tua e del tuo provider cloud. Se la tua attività è regolamentata ai sensi di HIPAA o HITECH, assicurati di comprendere le tue responsabilità e quali servizi Google Cloud sono regolamentati. Per informazioni su Google Cloud certificazioni e standard di conformità, consulta il Centro risorse per la conformità. Per saperne di più sulle normative specifiche per regione o settore, consulta Google Cloud e il Regolamento generale sulla protezione dei dati (GDPR).

Fiducia e sicurezza sono importanti per ogni organizzazione. Google Cloud implementa un modello di sicurezza condivisa per molti servizi.

I Google Cloud principi di affidabilità possono aiutarti a comprendere il nostro impegno a proteggere la privacy dei tuoi dati e di quelli dei tuoi clienti. Per ulteriori informazioni sull'approccio di progettazione di Google per la sicurezza e la privacy, leggi la panoramica sulla progettazione della sicurezza dell'infrastruttura Google.

Considerazioni sulla residenza dei dati

La geografia può anche essere un fattore importante per la conformità. Assicurati di comprendere i requisiti di residenza dei dati e implementare criteri per il deployment dei carichi di lavoro in nuove regioni per controllare dove vengono archiviati e trattati i tuoi dati. Scopri come utilizzare i vincoli di località delle risorse per contribuire a garantire che i tuoi carichi di lavoro possano essere implementati solo nelle regioni preapprovate. Quando scegli la destinazione di deployment per i tuoi workload, devi tenere conto della regionalità dei diversi Google Cloud servizi. Assicurati di comprendere i requisiti di conformità normativa e come implementare una strategia di governance che ti aiuti a garantire la conformità.

Gerarchia delle risorse

Prendi in considerazione le seguenti domande per la tua organizzazione:

• Come vengono mappate le tue strutture aziendali e organizzative esistenti su Google Cloud?
• Con quale frequenza prevedi modifiche alla gerarchia delle risorse?
• In che modo le quote di progetto influiscono sulla tua capacità di creare risorse nel cloud?
• Come puoi incorporare i tuoi deployment cloud esistenti con i tuoi carichi di lavoro di cui è stata eseguita la migrazione?
• Quali sono le best practice per la gestione di più team che lavorano contemporaneamente su più progetti Google Cloud ?

I tuoi attuali processi aziendali, linee di comunicazione e struttura dei report si riflettono nella progettazione della Google Cloud gerarchia delle risorse. La gerarchia delle risorse fornisce la struttura necessaria al tuo ambiente cloud, determina il modo in cui ti viene addebitato il consumo di risorse e stabilisce un modello di sicurezza per la concessione di ruoli e autorizzazioni. Devi capire come vengono implementati questi aspetti nella tua attività oggi e pianificare come eseguire la migrazione di questi processi a Google Cloud.

Informazioni sulle risorse Google Cloud

Le risorse sono i componenti fondamentali di tutti i servizi Google Cloud . La risorsa organizzazione è l'apice della gerarchia di risorse Google Cloud . Tutte le risorse appartenenti a un'organizzazione sono raggruppate nel nodo dell'organizzazione. Questa struttura fornisce visibilità e controllo centrali su ogni risorsa che appartiene a un'organizzazione.

Un'organizzazione può contenere una o più cartelle e ogni cartella può contenere uno o più progetti. Puoi utilizzare le cartelle per raggruppare i progetti correlati.

I Google Cloud progetti contengono risorse di servizio come macchine virtuali (VM) di Compute Engine, argomenti Pub/Sub, bucket Cloud Storage, endpoint Cloud VPN e altri servizi Google Cloud . Puoi creare risorse utilizzando la console Google Cloud , Cloud Shell o le API Cloud. Se prevedi modifiche frequenti al tuo ambiente, valuta l'adozione di un approccio Infrastructure as Code (IaC) per semplificare la gestione delle risorse.

Gestire i tuoi progetti Google Cloud

Per saperne di più sulla pianificazione e la gestione della gerarchia delle risorse di Google Cloud, consulta Decidere una gerarchia delle risorse per la landing zone Google Cloud . Se lavori già in Google Cloud e hai creato progetti indipendenti come test o prove di concetto, puoi eseguire la migrazione dei progetti Google Cloud esistenti nella tua organizzazione.

Identity and Access Management

Prendi in considerazione le seguenti domande per la tua organizzazione:

• Chi controllerà, amministrerà e verificherà l'accesso alle risorse di Google Cloud ?
• Come cambieranno le tue attuali norme di sicurezza e accesso quando passerai a Google Cloud?
• In che modo consentirai in modo sicuro ai tuoi utenti e alle tue app di interagire con i serviziGoogle Cloud ?

Identity and Access Management (IAM) consente di concedere l'accesso granulare alle risorse Google Cloud . Cloud Identity è un servizio separato ma correlato che può aiutarti a eseguire la migrazione e la gestione delle tue identità. A livello generale, capire come vuoi gestire l'accesso alle tue risorseGoogle Cloud costituisce la base per il provisioning, la configurazione e la manutenzione di IAM.

Informazioni sulle identità

Google Cloud utilizza identità per l'autenticazione e la gestione degli accessi. Per accedere a qualsiasi risorsaGoogle Cloud , un membro della tua organizzazione deve disporre di un'identità che Google Cloud possa comprendere. Cloud Identity è una piattaforma Identity as a Service (IDaaS) che consente di gestire centralmente utenti e gruppi che possono accedere alle risorse. Google CloudSe configuri gli utenti in Cloud Identity, puoi configurare il Single Sign-On (SSO) con migliaia di applicazioni Software as a Service (SaaS) di terze parti. Il modo in cui configuri Cloud Identity dipende da come gestisci le identità.

Per saperne di più sulle opzioni di provisioning delle identità per Google Cloud, consulta Decidere come eseguire l'onboarding delle identità su Google Cloud.

Informazioni sulla gestione degli accessi

Il modello per la gestione dell'accesso è costituito da quattro concetti fondamentali:

• Entità: può essere un account Google (per gli utenti finali), un service account (per i prodotti Google Cloud ), un gruppo Google o un account Google Workspace o Cloud Identity che può accedere a una risorsa. Le entità non possono eseguire alcuna azione per cui non sono autorizzate.
• Ruolo: Una raccolta di autorizzazioni.
• Autorizzazione: Determina quali operazioni sono consentite su una risorsa. Se concedi un ruolo a un'entità, concedi tutte le autorizzazioni incluse nel ruolo.
• Policy di autorizzazione IAM: Associa un insieme di entità a un ruolo. Quando vuoi definire quali entità hanno accesso a una risorsa, crei una policy e la colleghi alla risorsa.

La configurazione corretta e la gestione efficace di entità, ruoli e autorizzazioni costituiscono la spina dorsale del tuo approccio alla sicurezza in Google Cloud. La gestione degli accessi ti aiuta a proteggerti dall'uso improprio interno e dai tentativi esterni di accesso non autorizzato alle tue risorse.

Informazioni sull'accesso alle applicazioni

Oltre a utenti e gruppi, esiste un altro tipo di identità noto come service account. Un account di servizio è un'identità che i tuoi programmi e servizi possono utilizzare per autenticarsi e ottenere l'accesso alle risorse Google Cloud .

Gli account di servizio gestiti dall'utente includono gli account di servizio che crei e gestisci in modo esplicito utilizzando IAM e l'account di servizio predefinito di Compute Engine integrato in tutti i progetti Google Cloud . Gli agenti di servizio vengono creati automaticamente ed eseguono processi interni di Google per tuo conto.

Quando utilizzi gli account di servizio, è importante comprendere le credenziali predefinite dell'applicazione e seguire le best practice per gli account di servizio consigliate per evitare di esporre le risorse a rischi eccessivi. I rischi più comuni riguardano l'escalation dei privilegi o l'eliminazione accidentale di un account di servizio da cui dipende un'applicazione critica.

Segui le best practice

Per saperne di più sulle best practice per gestire l'identità e l'accesso in modo efficace, consulta Verificare esplicitamente ogni tentativo di accesso.

Fatturazione

Il modo in cui paghi le risorse che utilizzi è un aspetto importante da considerare per la tua attività e una parte fondamentale del tuo rapporto con Google Cloud. Google Cloud Puoi gestire la fatturazione nella consoleGoogle Cloud con Cloud Billing insieme al resto del tuo ambiente cloud.

I concetti di gerarchia delle risorse e fatturazione sono strettamente correlati, quindi è fondamentale che tu e gli stakeholder della tua attività li comprendiate.

Per saperne di più su best practice, strumenti e tecniche per monitorare e controllare i costi, consulta la pagina Ottimizzazione dei costi.

Connettività e reti

Per saperne di più sulla progettazione della rete su Google Cloud, consulta:

• Decidi la struttura di rete per la tua zona di destinazione Google Cloud .
• Implementa la Google Cloud progettazione della rete della zona di destinazione.

Se l'ambiente di origine si trova in un altro provider di servizi cloud, potresti doverlo connettere al tuo ambiente Google Cloud . Per ulteriori informazioni, consulta Modelli per la connessione di altri fornitori di servizi cloud con Google Cloud.

Quando esegui la migrazione di dati e workload di produzione a Google Cloud, ti consigliamo di valutare in che modo la disponibilità della soluzione di connettività può influire sulla riuscita della migrazione. Ad esempio, Cloud Interconnect fornisce SLA a livello di produzione se lo esegui il provisioning in base a topologie specifiche.

Quando esegui la migrazione dei dati dall'ambiente di origine all'ambiente Google Cloud , devi regolare l'unità massima di trasmissione (MTU) per tenere conto dell'overhead del protocollo. In questo modo, i dati vengono trasferiti in modo efficiente e accurato. Questo aggiustamento può anche contribuire a prevenire i ritardi causati dalla frammentazione dei dati e dai problemi di rendimento della rete. Ad esempio, se utilizzi Cloud VPN per connettere l'ambiente di origine all'ambiente Google Cloud , potresti dover configurare l'MTU su un valore inferiore per tenere conto dell'overhead del protocollo VPN in ogni unità di trasmissione.

Per aiutarti a evitare problemi di connettività durante la migrazione a Google Cloud, ti consigliamo di:

• Assicurati che i record DNS vengano risolti nell'ambiente di origine e nel tuo ambienteGoogle Cloud .
• Assicurati che le route di rete tra l'ambiente di origine e l'ambienteGoogle Cloud si propaghino correttamente tra gli ambienti.

Se devi eseguire il provisioning e utilizzare i tuoi indirizzi IPv4 pubblici nei tuoi VPC, consulta Bring your own IP address.

Informazioni sulle opzioni DNS

Cloud DNS può fungere da server DNS (Domain Name System) pubblico. Per saperne di più su come implementare Cloud DNS, consulta Best practice per Cloud DNS.

Se devi personalizzare il modo in cui Cloud DNS risponde alle query in base all'origine o alla destinazione, consulta la panoramica dei criteri DNS. Ad esempio, puoi configurare Cloud DNS per inoltrare le query ai tuoi server DNS esistenti oppure puoi ignorare le risposte DNS private in base al nome della query.

Un servizio separato ma simile, chiamato DNS interno, è incluso nel VPC. Anziché eseguire la migrazione e la configurazione manuale dei tuoi server DNS, puoi utilizzare il servizio DNS interno per la tua rete privata. Per ulteriori informazioni, consulta la panoramica del DNS interno.

Informazioni sul trasferimento dei dati

Il networking on-premise viene gestito e i prezzi vengono calcolati in modo fondamentalmente diverso rispetto al networking cloud. Quando gestisci il tuo data center o la tua struttura di collocamento, l'installazione di router, switch e cavi richiede una spesa in conto capitale fissa e iniziale. Nel cloud, ti viene addebitato il trasferimento dei dati anziché il costo fisso dell'installazione dell'hardware, più il costo continuo della manutenzione. Pianifica e gestisci con precisione i costi di trasferimento dei dati nel cloud comprendendo i costi di trasferimento dei dati.

Quando pianifichi la gestione del traffico, esistono tre modi in cui ti vengono addebitati i costi:

• Traffico in entrata: traffico di rete che entra nel tuo ambiente Google Cloud da località esterne. Queste posizioni possono provenire da internet pubblico, da posizioni on-premise o da altri ambienti cloud. Il traffico in entrata è gratuito per la maggior parte dei servizi su Google Cloud. Alcuni servizi che si occupano della gestione del traffico rivolto a internet, come Cloud Load Balancing, Cloud CDN e Google Cloud Armor, vengono addebitati in base alla quantità di traffico in entrata che gestiscono.
• Traffico in uscita: traffico di rete che esce dal tuo ambienteGoogle Cloud in qualsiasi modo. Gli addebiti per l'uscita si applicano a molti Google Cloud servizi, tra cui Compute Engine, Cloud Storage, Cloud SQL, e Cloud Interconnect.
• Traffico regionale e zonale: il traffico di rete che supera i confini regionali o zonali in Google Cloud può essere soggetto anche a costi per la larghezza di banda. Questi costi possono influire sul modo in cui scegli di progettare le tue app per il ripristino di emergenza e l'alta disponibilità. Analogamente ai costi di uscita, i costi del traffico tra regioni e zone si applicano a molti serviziGoogle Cloud e sono importanti da considerare quando si pianifica l'alta disponibilità e il ripristino di emergenza. Ad esempio, l'invio di traffico a una replica del database in un'altra zona è soggetto a costi per il traffico tra zone.

Automatizzare e controllare la configurazione di rete

In Google Cloud, il livello di rete fisico è virtualizzato e configuri e implementi la rete utilizzando Software Defined Networking (SDN). Per assicurarti che la tua rete sia configurata in modo coerente e ripetibile, devi capire come eseguire il deployment e il teardown automatici degli ambienti. Puoi utilizzare strumenti IaC, come Terraform.

Sicurezza

Il modo in cui gestisci e mantieni la sicurezza dei tuoi sistemi in Google Cloude gli strumenti che utilizzi sono diversi rispetto a quando gestisci un'infrastruttura on-premise. Il tuo approccio cambierà ed evolverà nel tempo per adattarsi a nuove minacce, nuovi prodotti e modelli di sicurezza migliorati.

Le responsabilità che condividi con Google potrebbero essere diverse da quelle del tuo attuale fornitore e comprendere queste modifiche è fondamentale per garantire la continua sicurezza e conformità dei tuoi workload. Una sicurezza e una conformità normativa solide e verificabili sono spesso interconnesse e iniziano con pratiche di gestione e supervisione solide, un'implementazione coerente delle Google Cloud best practice e un rilevamento e un monitoraggio attivo delle minacce.

Per ulteriori informazioni sulla progettazione di un ambiente sicuro su Google Cloud, vedi Decidere la sicurezza per la tua zona di destinazione Google Cloud .

Monitoraggio, avvisi e logging

Per ulteriori informazioni sulla configurazione di monitoraggio, avvisi e logging, vedi:

• Aggregare centralmente i log di controllo
• Consulta le best practice per proteggere l'accesso ai log sensibili

Governance

Prendi in considerazione le seguenti domande per la tua organizzazione:

• Come puoi assicurarti che i tuoi utenti supportino e soddisfino le loro esigenze di conformità e le allineino alle norme della tua attività?
• Quali strategie sono disponibili per gestire e organizzare Google Cloud utenti e risorse?

Una governance efficace è fondamentale per garantire l'affidabilità, la sicurezza e la manutenibilità dei tuoi asset in Google Cloud. Come in qualsiasi sistema, l'entropia aumenta naturalmente nel tempo e, se non controllata, può causare la proliferazione del cloud e altre sfide di manutenibilità. Senza una governance efficace, l'accumulo di queste sfide può influire sulla tua capacità di raggiungere gli obiettivi aziendali e ridurre i rischi. La pianificazione disciplinata e l'applicazione di standard relativi a convenzioni di denominazione, strategie di etichettatura, controlli di accesso, controlli dei costi e livelli di servizio sono un componente importante della tua strategia di migrazione al cloud. Più in generale, l'esercizio di sviluppo di una strategia di governance crea un allineamento tra le parti interessate e la leadership aziendale.

Supportare la conformità continua

Per favorire la conformità a livello di organizzazione delle tue risorseGoogle Cloud , valuta la possibilità di stabilire una strategia coerente di denominazione e raggruppamento delle risorse.Google Cloud fornisce diversi metodi per annotare e applicare i criteri alle risorse:

• I tag di sicurezza consentono di classificare le risorse per fornire approfondimenti sulla sicurezza da Security Command Center e per applicare criteri a gruppi di risorse.
• Le etichette possono monitorare la spesa per le risorse in fatturazione Cloud e fornire ulteriori approfondimenti in Cloud Logging.
• I tag per i firewall ti consentono di definire origini e destinazioni nelle policy firewall di rete globali e regionali.

Per saperne di più, consulta Risk and Compliance as Code.

Passaggi successivi

• Scopri come implementare una base sicura in Google Cloud.
• Continua la migrazione al cloud ed esplora il trasferimento dei dati a Google Cloud.
• Scopri quando trovare assistenza per le migrazioni.
• Per ulteriori architetture di riferimento, diagrammi e best practice, esplora il Cloud Architecture Center.

Collaboratori

Autori:

• Marco Ferrari | Cloud Solutions Architect
• Travis Webb | Solution Architect