Questo documento fornisce una panoramica su come progettare le landing zone inGoogle Cloud. Una landing zone, chiamata anche cloud foundation, è una configurazione modulare e scalabile che consente alle organizzazioni di adottare Google Cloud per le proprie esigenze aziendali. Una landing zone è spesso un prerequisito per il deployment dei carichi di lavoro aziendali in un ambiente cloud.
Una landing zone non è una zona o una risorsa di zona.
Questo documento è rivolto ad architetti di soluzioni, professionisti tecnici e stakeholder esecutivi che vogliono una panoramica di quanto segue:
- Elementi tipici delle zone di atterraggio in Google Cloud
- Dove trovare informazioni dettagliate sulla progettazione della landing zone
- Come eseguire il deployment di una landing zone per la tua azienda, incluse le opzioni per eseguire il deployment di soluzioni predefinite
Questo documento fa parte di una serie che ti aiuta a capire come progettare e creare una landing zone. Gli altri documenti di questa serie ti aiutano a prendere le decisioni di alto livello che devi prendere quando progetti la landing zone della tua organizzazione. In questa serie imparerai a:
- Progettazione della zona di destinazione in Google Cloud (questo documento)
- Decidere come eseguire l'onboarding delle identità in Google Cloud
- Decidi la gerarchia delle risorse per la tua Google Cloud zona di destinazione
- Decidere la struttura di rete per la tua Google Cloud zona di destinazione
- Decidere la sicurezza per la tua zona di destinazione Google Cloud
Questa serie non tratta in modo specifico i requisiti di conformità di settori regolamentati come i servizi finanziari o l'assistenza sanitaria.
Che cos'è una Google Cloud landing zone?
Le landing zone aiutano la tua azienda a eseguire il deployment, utilizzare e scalare i servizi in modo più sicuro. Google CloudLe landing zone sono dinamiche e crescono man mano che la tua azienda adotta più carichi di lavoro basati sul cloud nel tempo.
Per eseguire il deployment di una landing zone, devi prima creare una risorsa organizzazione e creare un account di fatturazione, online o fatturato.
Una zona di destinazione si estende su più aree e include diversi elementi, come identità, gestione delle risorse, sicurezza e networking. Molti altri elementi possono far parte di una zona di destinazione, come descritto in Elementi di una zona di destinazione.
Il seguente diagramma mostra un'implementazione di esempio di una landing zone. Mostra un caso d'uso di Infrastructure as a Service (IaaS) con connettività cloud ibrido e on-premise in Google Cloud:
L'architettura di esempio nel diagramma precedente mostra una Google Cloud landing zone che include i seguenti servizi e funzionalità Google Cloud :
Resource Manager definisce una gerarchia delle risorse con policy dell'organizzazione.
Un account Cloud Identity si sincronizza con un provider di identità on-premise e con Identity and Access Management (IAM), fornendo un accesso granulare alle risorse Google Cloud .
Un deployment di rete che include quanto segue:
- Una rete VPC condiviso per ogni ambiente (produzione, sviluppo e test) connette le risorse di più progetti alla rete VPC.
- Le regole firewall VPC (Virtual Private Cloud) controllano la connettività da e verso i carichi di lavoro nelle reti VPC condiviso.
- Un gateway Cloud NAT consente connessioni in uscita a internet dalle risorse in queste reti senza indirizzi IP esterni.
- Cloud Interconnect connette applicazioni e utenti on-premise. Puoi scegliere tra diverse opzioni di Cloud Interconnect, tra cui Dedicated Interconnect o Partner Interconnect.
- Cross-Cloud Interconnect (o Cloud VPN) si connette ad altri provider di servizi cloud.
- Una zona privata Cloud DNS ospita i record DNS per i tuoi deployment in Google Cloud.
Sono configurati più progetti di servizio per utilizzare le reti VPC condivisa. Questi progetti di servizio ospitano le risorse dell'applicazione.
Google Cloud Observability include Cloud Monitoring per il monitoraggio e Cloud Logging per la registrazione. Cloud Audit Logs, registrazione delle regole firewall e log di flusso VPC contribuiscono a garantire che tutti i dati necessari vengano registrati e siano disponibili per l'analisi.
Un perimetro dei Controlli di servizio VPC include il VPC condiviso e l'ambiente on-premise. Un perimetro di sicurezza isola il servizio e le risorse, il che contribuisce a ridurre il rischio di esfiltrazione di dati dai servizi Google Cloud supportati.
Il diagramma riportato sopra è solo un esempio, perché non esiste un'implementazione singola o standard di una landing zone. La tua attività deve fare molte scelte di progettazione, a seconda di diversi fattori, tra cui:
- Il tuo settore
- La tua struttura organizzativa e i tuoi processi
- I tuoi requisiti di sicurezza e conformità
- I workload che vuoi spostare in Google Cloud
- La tua infrastruttura IT esistente e altri ambienti cloud
- La sede della tua attività e dei tuoi clienti
Quando creare una zona di destinazione
Ti consigliamo di creare una landing zone prima di eseguire il deployment del tuo primo workload aziendale su Google Cloud, perché una landing zone fornisce quanto segue:
- Una base progettata per essere sicura
- La rete per i carichi di lavoro aziendali
- Gli strumenti necessari per gestire la distribuzione dei costi interni
Tuttavia, poiché una landing zone è modulare, la prima iterazione di una landing zone spesso non è la versione finale. Pertanto, ti consigliamo di progettare una landing zone pensando alla scalabilità e alla crescita. Ad esempio, se il tuo primo carico di lavoro non richiede l'accesso alle risorse di rete on-premise, puoi creare la connettività al tuo ambiente on-premise in un secondo momento.
A seconda della tua organizzazione e del tipo di workload che prevedi di eseguire su Google Cloud, alcuni workload potrebbero avere requisiti molto diversi. Ad esempio, alcuni workload potrebbero avere requisiti di scalabilità o conformità unici. In questi casi, potresti aver bisogno di più di una landing zone per la tua organizzazione: una per ospitare la maggior parte dei carichi di lavoro e una separata per ospitare i carichi di lavoro unici. Puoi condividere alcuni elementi come identità, fatturazione e la risorsa organizzazione tra le tue landing zone. Tuttavia, altri elementi, come la configurazione di rete, i meccanismi di deployment e i criteri a livello di cartella, potrebbero variare.
Elementi di una zona di destinazione
Una landing zone richiede di progettare i seguenti elementi principali su Google Cloud:
Oltre a questi elementi principali, la tua attività potrebbe avere requisiti aggiuntivi. La tabella seguente descrive questi elementi e indica dove puoi trovare maggiori informazioni al riguardo.
| Elemento della zona di destinazione | Descrizione |
|---|---|
| Monitoraggio e logging |
Progetta una strategia di monitoraggio e logging che contribuisca a garantire che tutti i dati pertinenti vengano registrati e che tu disponga di dashboard che visualizzano i dati e di avvisi che ti informano di eventuali eccezioni azionabili.
Per saperne di più, consulta la documentazione di Google Cloud Observability. |
| Backup e ripristino di emergenza |
Progetta una strategia per i backup e il ripristino di emergenza.
Per ulteriori informazioni, consulta: |
| Conformità |
Segui i framework di conformità pertinenti per la tua
organizzazione. Per ulteriori informazioni, consulta il Centro risorse per la conformità. |
| Efficienza e controllo dei costi |
Funzionalità di progettazione per monitorare e ottimizzare i costi dei workload nella tua landing zone.
Per ulteriori informazioni, consulta: |
| Gestione delle API | Progetta una soluzione scalabile per le API che sviluppi. Per saperne di più, consulta Gestione delle API Apigee. |
| Gestione dei cluster |
Progetta cluster Google Kubernetes Engine (GKE) che seguano le best practice per creare servizi scalabili, resilienti e osservabili. Per ulteriori informazioni, consulta le seguenti risorse: |
Best practice per la progettazione e l'implementazione di una landing zone
La progettazione e il deployment di una zona di destinazione richiedono una pianificazione. Devi avere il team giusto per eseguire le attività e utilizzare una procedura di gestione dei progetti. Ti consigliamo inoltre di seguire le best practice tecniche descritte in questa serie.
Creare un team
Riunisci un team che includa persone con diverse funzioni tecniche in tutta l'organizzazione. Il team deve includere persone in grado di creare tutti gli elementi della zona di destinazione, tra cui sicurezza, identità, reti e operazioni. Identifica un professionista del cloud che comprenda Google Cloud per guidare il team. Il tuo team deve includere membri che gestiscono il progetto e monitorano i risultati e membri che collaborano con i proprietari di applicazioni o attività.
Assicurati che tutti gli stakeholder siano coinvolti fin dalle prime fasi del processo. I tuoi stakeholder devono raggiungere una comprensione comune dell'ambito del processo e prendere decisioni di alto livello all'avvio del progetto.
Applica la gestione dei progetti al deployment della landing zone
La progettazione e l'implementazione della tua landing zone possono richiedere diverse settimane, quindi la gestione del progetto è essenziale. Assicurati che gli obiettivi del progetto siano definiti chiaramente e comunicati a tutti gli stakeholder e che tutte le parti ricevano aggiornamenti su eventuali modifiche al progetto. Definisci checkpoint regolari e concorda le tappe fondamentali con tempistiche realistiche che tengano conto dei processi operativi e dei ritardi imprevisti.
Per allinearti al meglio ai requisiti aziendali, pianifica il deployment della landing zone iniziale in base ai casi d'uso che vuoi eseguire il deployment per primi inGoogle Cloud. Ti consigliamo di eseguire il deployment innanzitutto dei carichi di lavoro che possono essere eseguiti più facilmente su Google Cloud, ad esempio applicazioni web multilivello con scalabilità orizzontale. Questi carichi di lavoro potrebbero essere nuovi o esistenti. Per valutare i workload esistenti in termini di idoneità alla migrazione, consulta Migrazione a Google Cloud: Guida introduttiva.
Poiché le landing zone sono modulari, concentra la progettazione iniziale sugli elementi necessari per eseguire la migrazione dei tuoi primi carichi di lavoro e pianifica di aggiungere altri elementi in un secondo momento.
Seguire le best practice tecniche
Valuta la possibilità di utilizzare Infrastructure as Code (IaC), ad esempio, Terraform. IaC ti aiuta a rendere l'implementazione ripetibile e modulare. Una pipeline CI/CD che esegue il deployment delle modifiche all'infrastruttura cloud utilizzando GitOps ti aiuta a garantire il rispetto delle linee guida interne e a implementare i controlli giusti.
Quando progetti la tua landing zone, assicurati che tu e il tuo team prendiate in considerazione le best practice tecniche. Per ulteriori informazioni sulle decisioni da prendere nella landing zone, consulta le altre guide di questa serie.
Oltre a questa serie, la seguente tabella descrive framework, guide e progetti base che possono aiutarti a seguire le best practice, a seconda dei tuoi casi d'uso.
| Documentazione correlata | Descrizione |
|---|---|
| Google Cloud Configurazione | Un flusso guidato di alto livello per aiutarti a configurare Google Cloud per carichi di lavoro aziendali scalabili e pronti per la produzione. |
| Blueprint di base per l'impresa | Un punto di vista soggettivo sulle Google Cloud best practice di sicurezza, rivolto a CISO, professionisti della sicurezza, responsabili dei rischi o responsabili della conformità. |
| Google Cloud Well-Architected Framework | Suggerimenti e best practice per aiutare architetti, sviluppatori, amministratori e altri professionisti del cloud a progettare e gestire una topologia cloud sicura, efficiente, resiliente, ad alte prestazioni ed economica. |
| Progetti di Terraform | Un elenco di progetti e moduli inclusi nei moduli Terraform e che puoi utilizzare per creare risorse perGoogle Cloud. |
Identificare le risorse per implementare la tua zona di destinazione
Google Cloud offre le seguenti opzioni per aiutarti a configurare la landing zone:
- Progetta e implementa una landing zone personalizzata in base ai tuoi requisiti con Google Cloud partner o Google Cloud servizi professionali.
- Esegui l'onboarding di un carico di lavoro con il Google Cloud programma di onboarding dei clienti.
- Esegui il deployment di una zona di destinazione generica con la guida alla configurazione nella Google Cloud console.
- Esegui il deployment di una landing zone altamente prescrittiva utilizzando la base di esempio di Terraform.
Tutte queste offerte hanno approcci progettati specificamente per soddisfare le esigenze di diversi settori e dimensioni aziendali in tutto il mondo. Per aiutarti a fare la scelta migliore per il tuo caso d'uso, ti consigliamo di collaborare con il tuo Google Cloud team dell'account per effettuare la selezione e contribuire a garantire la riuscita del progetto.
Passaggi successivi
- Decidi come eseguire l'onboarding delle identità in Google Cloud (documento successivo di questa serie).
- Decidi la gerarchia delle risorse per la tua Google Cloud zona di destinazione.
- Decidi la struttura di rete per la tua zona di destinazione. Google Cloud
- Decidi la sicurezza per la tua Google Cloud zona di destinazione.