本文將概略說明如何在Google Cloud中設計登陸區。登陸區也稱為雲端基礎,是可擴充的模組化設定,機構可根據業務需求採用 Google Cloud 。如要在雲端環境中部署企業工作負載,通常必須先建立登陸區。
本文適用於解決方案架構師、技術人員和主管級利害關係人,提供下列項目的總覽:
- Google Cloud中登陸區的常見元素
- 如何查看有關登陸區設計的詳細資訊
- 如何為企業部署登陸區,包括部署預建解決方案的選項
這份文件是系列文章之一,可協助您瞭解如何設計及建構登陸區。本系列的其他文件可協助您做出高階決策,設計機構的登陸區。本系列課程涵蓋下列主題:
- Google Cloud 中的登陸區設計(本文件)
- 決定如何將身分識別導入 Google Cloud
- 決定 Google Cloud 登陸區的資源階層結構
- 決定 Google Cloud 登陸區的網路設計
- 決定 Google Cloud 登陸區的安全性
本系列文章並未具體說明金融服務或醫療照護等管制產業的法規遵循規定。
什麼是 Google Cloud 登陸區?
登陸區可協助企業更安全地部署、使用及擴充 Google Cloud服務。隨著企業採用更多雲端工作負載,登陸區會動態成長。
如要部署登陸區,您必須先建立機構資源,並建立帳單帳戶 (線上或月結)。
登陸區涵蓋多個領域,包含身分、資源管理、安全性及網路等不同元素。如「到達網頁的元素」一文所述,許多其他元素也可能屬於到達網頁。
下圖顯示登陸區的範例實作方式。這個範例顯示基礎架構即服務 (IaaS) 的使用案例,其中包含混合式雲端和地端連線,如 Google Cloud:
上圖中的範例架構顯示包含下列 Google Cloud 服務和功能的 Google Cloud登陸區:
Cloud Identity 帳戶會與地端身分識別供應商和身分與存取權管理 (IAM) 同步,提供資源的精細存取權。 Google Cloud
網路部署作業,包括:
- 每個環境 (正式環境、開發環境和測試環境) 的共用虛擬私有雲網路,可將多個專案的資源連線至虛擬私有雲網路。
- 虛擬私有雲 (VPC) 防火牆規則可控管共用 VPC 網路中工作負載的連線。
- Cloud NAT 閘道可讓這些網路中的資源建立連至網際網路的傳出連線,而不必使用外部 IP 位址。
- Cloud Interconnect 可連結內部部署應用程式和使用者。(您可以選擇不同的 Cloud Interconnect 選項,包括專屬互連網路或合作夥伴互連網路)。
- Cross-Cloud Interconnect (或 Cloud VPN) 會連線至其他雲端服務供應商。
- Cloud DNS 私人區域會代管 Google Cloud中部署作業的 DNS 記錄。
多個服務專案已設定為使用共用虛擬私有雲網路。這些服務專案會代管應用程式資源。
Google Cloud Observability 包含用於監控的 Cloud Monitoring,以及用於記錄的 Cloud Logging。Cloud 稽核記錄、防火牆規則記錄和虛擬私有雲流量記錄可確保記錄所有必要資料,並用於分析。
VPC Service Controls 範圍包含 Shared VPC 和地端環境。安全範圍會隔離服務和資源,有助於降低支援 Google Cloud 服務的資料竊取風險。
上圖僅為範例,因為登陸區沒有單一或標準的實作方式。您的商家必須根據不同因素做出許多設計選擇,包括:
- 您的產業
- 貴機構的架構和程序
- 您的安全性和法規遵循需求
- 要移至 Google Cloud的工作負載
- 現有的 IT 基礎架構和其他雲端環境
- 商家和顧客的所在位置
建構到達可用區的時機
建議您先建構登陸區,再於 Google Cloud部署第一個企業工作負載,因為登陸區可提供下列功能:
- 安全設計基礎
- 企業工作負載適用的網路
- 管理內部成本分配所需的工具
不過,由於登陸區是模組化設計,因此登陸區的第一個疊代版本通常不是最終版本。因此,建議您設計登陸區時,將擴充性和成長納入考量。舉例來說,如果第一個工作負載不需要存取地端網路資源,您可以稍後再建立與地端環境的連線。
視貴機構和您打算在Google Cloud上執行的工作負載類型而定,部分工作負載可能會有截然不同的需求。舉例來說,部分工作負載可能會有獨特的延展性或法規遵循需求。在這些情況下,貴機構可能需要多個登陸區:一個登陸區用於代管大部分工作負載,另一個登陸區則用於代管特殊工作負載。您可以在登陸區之間共用身分、帳單和機構資源等元素。不過,網路設定、部署機制和資料夾層級政策等其他元素可能會有所不同。
登陸區的元素
登陸區需要您設計下列核心元素:Google Cloud
除了這些核心要素,您的商家可能還有其他需求。下表說明這些元素,以及可找到相關資訊的位置。
| 登陸區元素 | 說明 |
|---|---|
| 監控與記錄 |
設計監控和記錄策略,確保記錄所有相關資料,並提供可將資料視覺化的資訊主頁,以及在發生任何可採取行動的例外狀況時通知您的快訊。 詳情請參閱 Google Cloud Observability 說明文件 |
| 備份與災難復原 |
設計備份和災難復原策略。
詳情請參閱下列文章: |
| 法規遵循 |
遵循貴機構適用的法規遵循架構。 如需更多資訊,請前往法規遵循資源中心。 |
| 成本效益和控管 |
設計相關功能,監控及最佳化登陸區工作負載的成本。 詳情請參閱下列文章: |
| API 管理 | 為您開發的 API 設計可擴充的解決方案。詳情請參閱「Apigee API 管理」。 |
| 叢集管理 |
設計 Google Kubernetes Engine (GKE) 叢集時,請遵循最佳做法,建構可擴充、具備復原能力且可觀察的服務。 如要瞭解詳情,請參考下列資源: |
設計及部署到達區域的最佳做法
設計及部署到達可用區需要規劃。您必須擁有適當的團隊來執行工作,並使用專案管理流程。此外,我們也建議您遵循本系列影片中說明的技術最佳做法。
組建團隊
召集團隊成員,包括來自機構內多個技術職能的人員。團隊成員必須能夠建構所有登陸區元素,包括安全性、身分、網路和作業。指派一位瞭解 Google Cloud 的雲端從業人員擔任團隊領導人。團隊成員應包括專案管理員、成就追蹤者,以及與應用程式或商家擁有者合作的成員。
請確保所有利害關係人都在程序初期參與其中。專案啟動時,利害關係人必須對流程範圍達成共識,並做出高層決策。
將專案管理套用至登陸區部署作業
設計及部署登陸區可能需要數週時間,因此專案管理至關重要。確保專案目標明確定義並傳達給所有利害關係人,且所有各方都能收到專案變更的最新消息。定義定期檢查點,並根據作業流程和意外延遲情況,商定實際可行的里程碑時程。
為盡量符合業務需求,請根據您要在Google Cloud中優先部署的應用實例,規劃初始登陸區部署作業。建議您先部署最容易在 Google Cloud上執行的工作負載,例如水平擴展的多層級網路應用程式。這些工作負載可能是新的,也可能是現有的。如要評估現有工作負載是否適合遷移,請參閱「遷移到 Google Cloud:入門指南」。
由於登陸區是模組化設計,因此初始設計應以遷移第一個工作負載所需的元素為中心,並規劃稍後新增其他元素。
遵循技術最佳做法
建議使用基礎架構即程式碼 (IaC),例如 Terraform。IaC 可協助您重複部署及模組化。使用 GitOps 部署雲端基礎架構變更的 CI/CD 管道,有助於確保您遵循內部規範,並採取適當的控管措施。
設計登陸區時,請確保您和團隊考量技術最佳做法。如要進一步瞭解登陸區的決策,請參閱本系列的其他指南。
除了本系列文章,下表也列出架構、指南和藍圖,可協助您根據用途採用最佳做法。
| 相關說明文件 | 說明 |
|---|---|
| Google Cloud 設定 | 高階導覽流程,協助您設定可擴充且能直接投入實作環境的企業工作負載。 Google Cloud |
| 企業基礎藍圖 | 針對資安長、資安從業人員、風險管理人員或法規遵循人員,提供有關安全最佳做法的觀點。 Google Cloud |
| Google Cloud Well-Architected Framework | 為架構師、開發人員、管理員和其他雲端從業人員提供實用建議與最佳做法,協助設計及操作安全、高效能、有彈性且具成本效益的雲端拓撲。 |
| Terraform 藍圖 | 以 Terraform 模組形式封裝的藍圖和模組清單,可用於建立Google Cloud的資源。 |
找出有助於導入登陸區的資源
Google Cloud 提供下列選項,協助您設定登陸區:
- 與Google Cloud合作夥伴或 Google Cloud 專業服務攜手,設計及部署符合您需求的登陸區。
- 透過Google Cloud客戶新手上路計畫,導入工作負載。
- 按照設定指南,在 Google Cloud 控制台中部署一般登陸區。
- 使用 Terraform 範例基礎部署高度主觀的登陸區。
這些服務都採用專門方法,可滿足全球不同產業和企業規模的需求。為協助您根據用途做出最佳選擇,建議您與Google Cloud 帳戶團隊合作,確保專案順利進行。
後續步驟
- 決定如何將身分識別導入 Google Cloud (本系列課程的下一份文件)。
- 決定 Google Cloud 登陸區的資源階層結構。
- 決定 Google Cloud 登陸區的網路設計。
- 決定 Google Cloud 登陸區的安全性機制。