遷移至 Google Cloud：規劃及建立基礎

本文可協助您為工作負載建立基本的雲端基礎架構。此外，您也可以規劃基礎架構如何支援應用程式。規劃範圍包括身分管理、機構與專案結構，以及網路設定。

本文是下列多部分系列文章之一，探討如何遷移至Google Cloud：

• 遷移至 Google Cloud：開始使用
• 遷移至 Google Cloud：評估及探索工作負載
• 遷移至 Google Cloud：規劃及奠定基礎 (本文)
• 遷移至 Google Cloud：移動大型資料集
• 遷移至 Google Cloud：部署工作負載
• 遷移至 Google Cloud：從手動部署作業遷移至自動化容器化部署作業
• 遷移至 Google Cloud：最佳化環境
• 遷移至 Google Cloud：驗證遷移計畫的最佳做法
• 遷移至 Google Cloud：盡量降低成本

以下是遷移流程圖。

如果您打算從內部部署環境、私人代管環境或其他雲端服務供應商遷移至Google Cloud，或是正在評估遷移的可能性，並想瞭解遷移的預期情況，本文都可助您一臂之力。本文將協助您瞭解可用的產品，以及在建構以遷移用途為主的基礎時，需要做出的決策。

如需預先建構的實作選項，請參閱：

• Google Cloud 設定檢查清單
• 企業基礎藍圖

如需設計基礎的更多最佳做法指引，請參閱：

• 登陸區設計： 設計廣泛的基礎。
• Google Cloud Well-Architected Framework：提供系統設計最佳做法的指引。

規劃遷移至 Google Cloud時，您需要瞭解與雲端架構相關的一系列主題和概念。如果基礎架構規劃不當，可能會導致業務延遲、混亂和停機，並危及雲端遷移的成功。本指南提供基礎概念和決策點的總覽。 Google Cloud

這份文件的每個部分都會提出問題，您必須先為貴機構組織提出並回答這些問題，才能在Google Cloud上建立基礎。這些問題並非詳盡無遺，而是旨在協助架構團隊和業務領導階層討論貴機構的合適做法。基礎架構、工具、安全性及帳戶管理方面的計畫，會因您的業務而異，因此需要深入考量。完成這份文件並回答貴機構的問題後，您就可以開始正式規劃雲端基礎架構和服務，以支援遷移至Google Cloud。

企業考量

請思考貴機構的下列問題：

• 改用 Google Cloud後，您和基礎架構供應商之間可能會有哪些 IT 責任異動？
• 在遷移至Google Cloud的期間和之後，如何支援或滿足法規遵循需求 (例如《健康保險流通與責任法案》或《GDPR》)？
• 如何根據資料落地規定，控管資料的儲存和處理位置？

共同責任模式

您與 Google Cloud 共同負擔的責任可能與您習慣的責任不同，因此您需要瞭解這些責任對貴商家有何影響。您先前實作的資源佈建、設定和使用程序可能會有所變更。

請參閱服務條款和 Google 安全性模型，瞭解貴機構與 Google 之間的合約關係，以及使用公有雲供應商的影響。

法規遵循、安全性與隱私權

許多機構都必須遵守產業和政府標準、法規與認證的相關法規遵循規定。許多企業工作負載都受到法規審查，您和雲端服務供應商可能需要提供法規遵循認證。如果您的商家受《健康保險流通與責任法案》或《健康資訊科技經濟和臨床健康法案》規範，請務必瞭解您的責任，以及哪些服務受規範。 Google Cloud 如要瞭解認證和法規遵循標準，請參閱法規遵循資源中心。 Google Cloud 如要進一步瞭解特定區域或產業的法規，請參閱Google Cloud 和一般資料保護規則 (GDPR)。

信任和安全性對每個機構都非常重要。 Google Cloud 為許多服務採用共用安全模型。

請參閱Google Cloud 信任原則，瞭解我們對保護您和您客戶資料隱私權的承諾。如要進一步瞭解 Google 的安全與隱私權設計方法，請參閱 Google 基礎架構安全性設計總覽。

資料落地注意事項

地理位置也是法規遵循的重要考量。請務必瞭解資料落地規定，並實施相關政策，將工作負載部署到新區域，控管資料的儲存和處理位置。瞭解如何使用資源位置限制，確保工作負載只能部署在預先核准的區域。為工作負載選擇部署目標時，請務必考量不同服務的區域性 Google Cloud 。請務必瞭解法規遵循規定，以及如何實作有助於確保法規遵循的控管策略。

資源階層

請思考貴機構的下列問題：

• 現有的業務和機構架構如何對應到Google Cloud？
• 您預期資源階層結構的變更頻率為何？
• 專案配額會如何影響您在雲端中建立資源的能力？
• 如何將現有雲端部署作業與遷移的工作負載整合？
• 如何以最佳做法管理多個團隊，同時處理多個 Google Cloud 專案？

您目前的業務程序、通訊管道和報表結構，都會反映在 Google Cloud 資源階層的設計中。資源階層架構可為雲端環境提供必要結構、決定資源用量計費方式，並建立授予角色和權限的安全防護模型。您需要瞭解目前貴商家如何實作這些層面，並規劃如何將這些程序遷移至 Google Cloud。

瞭解 Google Cloud 資源

資源是構成所有Google Cloud 服務的基本元件。機構資源是 Google Cloud 資源階層的頂端。隸屬於機構的所有資源會以機構節點分組。如此即可對屬於機構的所有資源提供集中式的瀏覽權限和控制。

機構可包含一或多個資料夾，每個資料夾可包含一或多個專案。您可以利用資料夾將相關專案分門別類。

Google Cloud 專案包含服務資源，例如 Compute Engine 虛擬機器 (VM)、Pub/Sub 主題、Cloud Storage 值區、Cloud VPN 端點和其他 Google Cloud 服務。您可以使用 Google Cloud 控制台、Cloud Shell 或 Cloud API 建立資源。如果您預期環境會經常變更，請考慮採用基礎架構即程式碼 (IaC) 方法，簡化資源管理作業。

管理 Google Cloud 專案

如要進一步瞭解如何規劃及管理 Google Cloud資源階層，請參閱「為 Google Cloud 登陸區決定資源階層」。如果您已在 Google Cloud 中工作，並建立獨立專案做為測試或概念驗證，可以將現有 Google Cloud 專案遷移至機構。

Identity and Access Management

請思考貴機構的下列問題：

• 誰會控管、管理及稽核Google Cloud 資源的存取權？
• 遷移至 Google Cloud後，現有的安全性和存取權政策會有什麼變化？
• 您要如何安全地讓使用者和應用程式與Google Cloud 服務互動？

Identity and Access Management (IAM) 可讓您授予資源的精細存取權。 Google Cloud Cloud Identity 是一項獨立但相關的服務，可協助您遷移及管理身分。從高層次來看，瞭解如何管理Google Cloud 資源的存取權，是您佈建、設定及維護 IAM 的基礎。

瞭解身分

Google Cloud 使用身分進行驗證及存取權管理。如要存取任何Google Cloud 資源，貴機構的成員必須擁有 Google Cloud 可辨識的身分。Cloud Identity 是一項「身分認證即服務」(IDaaS) 平台，可讓您集中管理可存取 Google Cloud資源的使用者和群組。在 Cloud Identity 中設定使用者後，您就能透過數千個第三方軟體即服務 (SaaS) 應用程式設定單一登入 (SSO)。設定 Cloud Identity 的方式取決於您管理身分的方式。

如要進一步瞭解Google Cloud的身分佈建選項，請參閱「決定如何將身分加入 Google Cloud」。

瞭解存取權管理

存取權管理模式包含四個核心概念：

• 主體：可以是 Google 帳戶 (用於使用者)、服務帳戶 (用於產品 Google Cloud )、Google 群組，或是能存取資源的 Google Workspace 或 Cloud Identity 帳戶。主體無法執行任何未獲授權的動作。
• 角色： 權限集合。
• 權限：決定能對資源執行哪些作業。將角色授予主體後，就會授予該角色包含的所有權限。
• IAM 允許政策：將一組主體繫結至角色。如要定義哪些主體有權存取資源，請建立政策並附加至資源。

妥善設定及有效管理主體、角色和權限，是 Google Cloud安全狀態的基礎。存取權管理有助於防範內部濫用行為，並防止外部人士未經授權存取您的資源。

瞭解應用程式存取權

除了使用者和群組，還有另一種身分，稱為服務帳戶。服務帳戶是程式和服務可使用的身分，用於驗證及存取 Google Cloud 資源。

使用者管理的服務帳戶包括您使用 IAM 明確建立及管理的服務帳戶，以及所有 Google Cloud 專案內建的 Compute Engine 預設服務帳戶。服務代理程式會自動建立，並代您執行內部 Google 處理程序。

使用服務帳戶時，請務必瞭解應用程式預設憑證，並遵循服務帳戶最佳做法，以免資源暴露於不當風險中。最常見的風險包括權限提升，或是意外刪除重要應用程式所依賴的服務帳戶。

奉行最佳做法

如要進一步瞭解如何有效管理身分和存取權的最佳做法，請參閱「明確驗證每次存取嘗試」。

帳單

如何支付 Google Cloud 所用資源的費用是貴商家的一項重要考量，也是與 Google Cloud建立關係的重要環節。您可以在Google Cloud 控制台中，透過「Cloud Billing」管理帳單，以及其他雲端環境。

資源階層和帳單的概念密切相關，因此您和業務利害關係人必須瞭解這些概念。

如要進一步瞭解有助於追蹤及控管費用的最佳做法、工具和技術，請參閱「費用最佳化」。

連線與網路

如要進一步瞭解如何在 Google Cloud上設計網路，請參閱：

• 決定 Google Cloud 登陸區的網路設計。
• 實作 Google Cloud 登陸區網路設計。

如果來源環境位於其他雲端服務供應商，您可能需要將來源環境與 Google Cloud 環境連結。詳情請參閱連接其他雲端服務供應商與 GCP 的模式 Google Cloud。

將實際工作環境的資料和工作負載遷移至 Google Cloud時，建議您考量連線解決方案的可用性，這可能會影響遷移作業的成功與否。舉例來說，如果您按照特定拓樸佈建 Cloud Interconnect，即可享有正式版等級的服務水準協議。

將資料從來源環境遷移至Google Cloud 環境時，應調整最大傳輸單元 (MTU)，將通訊協定額外負擔納入考量。這麼做有助於確保資料傳輸的效率和準確度。這項調整也有助於避免資料片段化和網路效能問題導致延遲。舉例來說，如果您使用 Cloud VPN 將來源環境連線至 Google Cloud 環境，可能需要將 MTU 設為較低的值，以因應每個傳輸單元中的 VPN 協定額外負擔。

為避免在遷移至Google Cloud時發生連線問題，建議您採取下列做法：

• 確認 DNS 記錄可在來源環境和Google Cloud 環境中解析。
• 確認來源環境與Google Cloud 環境之間的網路路徑，在各個環境中正確傳播。

如要在 VPC 中佈建及使用自己的公開 IPv4 位址，請參閱「自備 IP 位址」。

瞭解 DNS 選項

Cloud DNS 可做為您的公用網域名稱系統 (DNS) 伺服器。如要進一步瞭解如何實作 Cloud DNS，請參閱 Cloud DNS 最佳做法。

如要根據查詢的來源或目的地，自訂 Cloud DNS 回應查詢的方式，請參閱 DNS 政策簡介。 舉例來說，您可以設定 Cloud DNS 將查詢轉送至現有的 DNS 伺服器，也可以根據查詢名稱覆寫私人 DNS 回應。

虛擬私有雲會隨附一項類似的獨立服務，稱為內部 DNS。您可以為私有網路使用內部 DNS 服務，不必手動遷移及設定自己的 DNS 伺服器。詳情請參閱內部 DNS 總覽。

瞭解資料移轉

內部部署網路的管理和計費方式與雲端網路有根本上的差異。管理自有資料中心或主機代管服務供應商時，安裝路由器、交換器和纜線需要預先支付固定資本支出。在雲端中，您只需支付資料移轉費用，不必負擔安裝硬體的固定費用，以及持續的維護費用。瞭解資料傳輸費用，在雲端準確規劃及管理資料傳輸費用。

規劃流量管理時，有三種計費方式：

• 輸入流量：從外部位置進入您Google Cloud 環境的網路流量。這些位置可以是公開網際網路、內部部署位置或其他雲端環境。在Google Cloud上，大多數服務的輸入流量均為免費。處理面向網際網路流量管理的部分服務 (例如 Cloud Load Balancing、Cloud CDN 和 Google Cloud Armor)，會根據處理的輸入流量計費。
• 輸出流量：以任何方式離開Google Cloud 環境的網路流量。許多 Google Cloud 服務都會產生輸出費用，包括 Compute Engine、Cloud Storage、Cloud SQL 和 Cloud Interconnect。
• 區域和可用區流量：在 Google Cloud 中跨越區域或可用區界線的網路流量，也可能需要支付頻寬費用。這些費用可能會影響您選擇如何設計應用程式，以因應災難復原和高可用性。與輸出流量費用類似，跨區域和跨可用區流量費用適用於許多Google Cloud 服務，因此規劃高可用性和災難復原時，請務必考量這項費用。舉例來說，將流量傳送至其他可用區的資料庫副本，會產生跨可用區流量費用

自動化及控管網路設定

在 Google Cloud中，實體網路層會虛擬化，您可以使用軟體定義網路 (SDN) 部署及設定網路。如要確保網路設定方式一致且可重複，您必須瞭解如何自動部署及終止環境。您可以使用 IaC 工具，例如 Terraform。

安全性

在Google Cloud中管理及維護系統安全的方式和使用的工具，與管理內部部署基礎架構時不同。隨著新威脅、新產品和改良的安全模型出現，您的做法也會隨時間改變和演進。

您與 Google 分擔的責任可能與目前供應商的責任不同，瞭解這些變更對於確保工作負載的持續安全和合規性至關重要。可驗證的強大安全防護和法規遵循通常密不可分，且都從完善的管理和監督做法、持續實作最佳做法，以及主動偵測和監控威脅開始。 Google Cloud

如要進一步瞭解如何在 Google Cloud設計安全環境，請參閱決定 Google Cloud 登陸區的安全性機制。

監控、快訊與記錄功能

如要進一步瞭解如何設定監控、快訊和記錄功能，請參閱：

• 集中匯總稽核記錄
• 請參閱保護機密記錄存取權的最佳做法

管理

請思考貴機構的下列問題：

• 如何確保使用者支援並滿足法規遵循需求，同時符合貴機構的業務政策？
• 有哪些策略可供您維護及整理Google Cloud 使用者和資源？

有效管理是確保 Google Cloud中資產的可靠性、安全性及可維護性的關鍵。與任何系統一樣，熵值會隨著時間自然增加，若未加以控管，可能會導致雲端蔓延和其他維護性問題。如果沒有有效的管理機制，這些挑戰累積下來，可能會影響您達成業務目標和降低風險的能力。嚴格規劃並落實命名慣例、標籤策略、存取控制、成本控制和服務等級等標準，是雲端遷移策略的重要環節。更廣泛地來說，制定管理策略的過程可讓業務相關管理階層和業務領導人達成共識。

支援持續確保法規遵循

為協助支援整個機構的Google Cloud 資源法規遵循，建議您建立一致的資源命名和分組策略。Google Cloud 提供多種方法，可為資源加上註解並強制執行政策：

• 安全標記可讓您分類資源，以便從 Security Command Center 取得安全洞察，並對資源群組強制執行政策。
• 標籤可追蹤 Cloud Billing 中的資源支出，並在 Cloud Logging 中提供額外洞察資料。
• 防火牆標記可讓您在全域網路防火牆政策和區域網路防火牆政策中定義來源和目標。

詳情請參閱「風險控管與法規遵循程式碼」。

後續步驟

• 瞭解如何在 Google Cloud中導入安全基礎。
• 繼續進行雲端遷移，並瞭解如何將資料轉移至 Google Cloud。
• 瞭解何時應尋求遷移作業的相關協助。
• 如需更多參考架構、圖表和最佳做法，請瀏覽 Cloud 架構中心。

貢獻者

作者：

• Marco Ferrari | 雲端解決方案架構師
• Travis Webb | 解決方案架構師