במסמך הזה מפורטת סקירה כללית על תכנון אזורי נחיתה ב-Google Cloud. אזור נחיתה, שנקרא גם תשתית ענן, הוא הגדרה מודולרית וניתנת להרחבה שמאפשרת לארגונים לאמץ את Google Cloud בהתאם לצרכים העסקיים שלהם. אזור נחיתה הוא לרוב דרישה מוקדמת לפריסת עומסי עבודה ארגוניים בסביבת ענן.
אזור נחיתה הוא לא תחום או משאבים של תחום.
המסמך הזה מיועד לאדריכלי פתרונות, למפתחים ולבעלי עניין ברמת ההנהלה שרוצים לקבל סקירה כללית של הנושאים הבאים:
- רכיבים אופייניים של אזורי נחיתה ב- Google Cloud
- איפה אפשר למצוא מידע מפורט על עיצוב אזור נחיתה
- איך פורסים אזור נחיתה לארגון, כולל אפשרויות לפריסת פתרונות מוכנים מראש
המסמך הזה הוא חלק מסדרה שעוזרת לכם להבין איך לתכנן ולבנות אזור נחיתה. מסמכים אחרים בסדרה הזו עוזרים לכם לקבל את ההחלטות החשובות שצריך לקבל כשמעצבים את אזור הנחיתה של הארגון. בסדרה הזו תלמדו על הנושאים הבאים:
- עיצוב אזור הנחיתה ב Google Cloud (במסמך הזה)
- איך להוסיף זהויות ל- Google Cloud
- בחירת היררכיית המשאבים ל Google Cloud אזור הנחיתה
- בחירת עיצוב הרשת ל Google Cloud אזור הנחיתה
- בחירת אבטחה ל Google Cloud אזור הנחיתה
הסדרה הזו לא מתייחסת באופן ספציפי לדרישות התאימות של תעשיות מפוקחות כמו שירותים פיננסיים או שירותי בריאות.
מהו Google Cloud אזור נחיתה?
אזורי נחיתה עוזרים לארגון שלכם לפרוס, להשתמש בשירותים ולהרחיב אותם בצורה מאובטחת יותר. Google Cloud אזורי הנחיתה הם דינמיים ומתרחבים ככל שהארגון מאמץ יותר עומסי עבודה מבוססי-ענן לאורך זמן.
כדי לפרוס אזור נחיתה, קודם צריך ליצור משאב ארגון וליצור חשבון לחיוב, אונליין או באמצעות חשבונית.
אזור נחיתה משתרע על פני כמה תחומים וכולל רכיבים שונים, כמו זהויות, ניהול משאבים, אבטחה ורשתות. רכיבים רבים אחרים יכולים להיות חלק מאזור נחיתה, כפי שמתואר במאמר רכיבים של אזור נחיתה.
בתרשים הבא מוצגת הטמעה לדוגמה של אזור נחיתה. הוא כולל תרחיש לדוגמה של תשתית כשירות (IaaS) עם קישוריות של ענן היברידי ושל שרתים מקומיים ב Google Cloud:
ארכיטקטורת הדוגמה בתרשים הקודם מציגה אזור נחיתה Google Cloudשכולל את התכונות והשירותים הבאים Google Cloud :
מנהל המשאבים מגדיר היררכיית משאבים עם מדיניות ארגונית.
חשבון Cloud Identity מסתנכרן עם ספק זהויות מקומי ועם ניהול זהויות והרשאות גישה (IAM), ומספק גישה פרטנית למשאבים ב- Google Cloud .
פריסת רשת שכוללת את הרכיבים הבאים:
- רשת VPC משותפת לכל סביבה (ייצור, פיתוח ובדיקה) מחברת משאבים מכמה פרויקטים לרשת ה-VPC.
- כללי חומת אש של ענן וירטואלי פרטי (VPC) שולטים בקישוריות אל עומסי עבודה וממנה ברשתות VPC משותף.
- שער Cloud NAT מאפשר חיבורים יוצאים לאינטרנט ממשאבים ברשתות האלה ללא כתובות IP חיצוניות.
- Cloud Interconnect מחבר בין אפליקציות ומשתמשים מקומיים. (אפשר לבחור בין אפשרויות שונות של Cloud Interconnect, כולל Dedicated Interconnect או Partner Interconnect).
- Cross-Cloud Interconnect (או Cloud VPN) מתחבר לספקים אחרים של שירותי ענן.
- אזור פרטי ב-Cloud DNS מארח רשומות DNS עבור הפריסות שלכם ב- Google Cloud.
כמה פרויקטים של שירותים מוגדרים לשימוש ברשתות VPC משותף. בפרויקטים האלה של השירותים מתארחים משאבי האפליקציה.
Google Cloud Observability כולל את Cloud Monitoring למעקב ואת Cloud Logging לרישום ביומן. יומני ביקורת של Cloud, ניהול כללי חומת אש ויומנים לתיעוד מידע על תעבורת ה-IP של ענן וירטואלי פרטי (VPC) עוזרים לוודא שכל הנתונים הדרושים מתועדים וזמינים לניתוח.
מתחם היקפי של VPC Service Controls מבודד את השירותים והמשאבים, וכך עוזר לצמצם את הסיכון ליציאת נתונים לשירותים מחוץ למתחם. Google Cloudתעבורת נתונים מסביבות היברידיות מוגדרת עם גישה פרטית מורשית כדי לתקשר עם שירותים בתוך ה-perimeter.
התרשים שלמעלה הוא רק דוגמה, כי אין הטמעה יחידה או סטנדרטית של אזור נחיתה. העסק שלכם צריך לקבל החלטות עיצוביות רבות, בהתאם לגורמים שונים, כולל:
- התחום שלכם
- המבנה הארגוני והתהליכים שלכם
- דרישות האבטחה והתאימות שלכם
- עומסי העבודה שרוצים להעביר אל Google Cloud
- תשתית ה-IT הקיימת שלכם וסביבות ענן אחרות
- המיקום של העסק והלקוחות
מתי כדאי לבנות אזור נחיתה
מומלץ לבנות אזור נחיתה לפני שפורסים את עומס העבודה הראשון של הארגון ב- Google Cloud, כי אזור נחיתה מספק את הדברים הבאים:
- תשתית שנועדה להיות מאובטחת
- הרשת לעומסי עבודה ארגוניים
- הכלים שנדרשים לכם כדי לנהל את חלוקת העלויות הפנימית
עם זאת, מכיוון שאזור הנחיתה הוא מודולרי, האיטרציה הראשונה של אזור הנחיתה לרוב לא תהיה הגרסה הסופית. לכן, מומלץ לתכנן אזור נחיתה עם אפשרויות הרחבה וצמיחה. לדוגמה, אם העומס הראשון שלכם לא דורש גישה למשאבי רשת מקומיים, תוכלו ליצור קישוריות לסביבה המקומית בשלב מאוחר יותר.
בהתאם לארגון ולסוגי עומסי העבודה שאתם מתכננים להריץ ב-Google Cloud, יכול להיות שלחלק מעומסי העבודה יהיו דרישות שונות מאוד. לדוגמה, יכול להיות שלחלק מעומסי העבודה יש דרישות ייחודיות לגבי יכולת ההתאמה או התאימות. במקרים כאלה, יכול להיות שתצטרכו יותר מאזור נחיתה אחד לארגון: אזור נחיתה אחד לאירוח רוב עומסי העבודה, ואזור נחיתה נפרד לאירוח עומסי העבודה הייחודיים. אתם יכולים לשתף בין אזורי הנחיתה חלק מהרכיבים, כמו זהויות, חיוב ומשאב הארגון. עם זאת, יכול להיות שיהיו הבדלים ברכיבים אחרים, כמו הגדרת הרשת, מנגנוני הפריסה ומדיניות ברמת התיקייה.
רכיבים של אזור נחיתה
כדי להגדיר אזור נחיתה, צריך לעצב את הרכיבים המרכזיים הבאים ב-Google Cloud:
בנוסף לרכיבי הליבה האלה, יכול להיות שהעסק שלכם יצטרך לעמוד בדרישות נוספות. בטבלה הבאה מפורטים הרכיבים האלה ומצוין איפה אפשר למצוא מידע נוסף עליהם.
| רכיב אזור נחיתה | תיאור |
|---|---|
| מעקב ורישום ביומן |
כדאי לתכנן אסטרטגיה של מעקב ורישום ביומן שתעזור לכם לוודא שכל הנתונים הרלוונטיים מתועדים, ושיהיו לכם לוחות בקרה שבהם הנתונים מוצגים בצורה ויזואלית והתראות שיודיעו לכם על חריגים שדורשים פעולה.
מידע נוסף זמין במסמכי העזר של Google Cloud Observability |
| גיבוי ותוכנית התאוששות מאסון (DR) |
תכנון אסטרטגיה לגיבויים ולהתאוששות מאסון.
מידע נוסף זמין במאמרים הבאים: |
| תאימות |
להקפיד על מסגרות התאימות שרלוונטיות לארגון שלכם. מידע נוסף זמין במרכז המשאבים בנושא תאימות. |
| עלות-תועלת ושליטה |
יכולות תכנון למעקב אחרי העלויות של עומסי העבודה באזור הנחיתה ולאופטימיזציה שלהן.
מידע נוסף זמין במאמרים הבאים: |
| ניהול API | עיצוב פתרון ניתן להרחבה לממשקי API שאתם מפתחים. מידע נוסף זמין במאמר Apigee API Management. |
| ניהול אשכולות |
תכנון אשכולות Google Kubernetes Engine (GKE) בהתאם לשיטות המומלצות לבניית שירותים ניתנים להרחבה, עמידים וניתנים לצפייה. למידע נוסף, קראו את המאמרים הבאים: |
שיטות מומלצות לתכנון ולפריסה של אזור נחיתה
תכנון הוא חלק חשוב בעיצוב ובהטמעה של אזור נחיתה. צריך להרכיב את הצוות המתאים לביצוע המשימות ולהשתמש בתהליך לניהול פרויקטים. מומלץ גם לפעול לפי השיטות המומלצות הטכניות שמתוארות בסדרה הזו.
הרכבת צוות
כדאי להקים צוות שכולל אנשים ממגוון תפקידים טכניים בארגון. הצוות צריך לכלול אנשים שיכולים לבנות את כל הרכיבים של אזור הנחיתה, כולל אבטחה, זהות, רשתות ותפעול. לזהות Google Cloud איש מקצוע בתחום הענן שמבין את התהליך ויוביל את הצוות. הצוות צריך לכלול חברים שמנהלים את הפרויקט ועוקבים אחרי ההישגים, וחברים שמשתפים פעולה עם בעלי האפליקציה או העסק.
חשוב לוודא שכל בעלי העניין מעורבים בשלב מוקדם בתהליך. בעלי העניין צריכים להגיע להבנה משותפת לגבי היקף התהליך ולקבל החלטות ברמה גבוהה כשהפרויקט מתחיל.
איך מיישמים ניהול פרויקטים על פריסת אזור הנחיתה
תכנון ופריסה של אזור הנחיתה יכולים להימשך כמה שבועות, ולכן ניהול הפרויקט הוא חיוני. חשוב להגדיר בבירור את יעדי הפרויקט ולעדכן את כל בעלי העניין בכל שינוי שמתבצע בפרויקט. הגדירו נקודות ביקורת קבועות והסכימו על אבני דרך עם לוחות זמנים ריאליים שמתחשבים בתהליכים תפעוליים ובעיכובים לא צפויים.
כדי להתאים בצורה הטובה ביותר לדרישות העסקיות, כדאי לתכנן את הפריסה הראשונית של אזור הנחיתה בהתאם לתרחישי השימוש שרוצים לפרוס קודם ב-Google Cloud. אנחנו ממליצים קודם לפרוס עומסי עבודה שאפשר להריץ בקלות רבה ב- Google Cloud, כמו אפליקציות אינטרנט רב-שכבתיות עם שינוי קנה מידה אופקי. יכול להיות שמדובר בעומסי עבודה חדשים או קיימים. כדי להעריך את עומסי העבודה הקיימים מבחינת מוכנות להעברה, אפשר לעיין במאמר העברה אל Google Cloud: תחילת העבודה.
אזורי הנחיתה הם מודולריים, ולכן מומלץ להתמקד בתכנון הראשוני ברכיבים שנדרשים להעברת עומסי העבודה הראשונים, ולתכנן להוסיף רכיבים אחרים בהמשך.
עבודה לפי שיטות מומלצות טכניות
מומלץ להשתמש בתשתית כקוד (IaC), למשל באמצעות Terraform. השימוש ב-IaC מאפשר לכם לבצע פריסה שניתנת לשחזור ומודולרית. צינור עיבוד נתונים של CI/CD שפורס שינויים בתשתית הענן באמצעות GitOps עוזר לכם לוודא שאתם פועלים בהתאם להנחיות הפנימיות ומיישמים את אמצעי הבקרה הנכונים.
כשמעצבים את אזור הנחיתה, חשוב לוודא שאתם והצוות שלכם לוקחים בחשבון שיטות מומלצות טכניות. למידע נוסף על ההחלטות שצריך לקבל באזור הנחיתה, אפשר לעיין במדריכים האחרים בסדרה הזו.
בנוסף לסדרה הזו, בטבלה הבאה מתוארות מסגרות, מדריכים ותוכניות שיכולים לעזור לכם לפעול לפי שיטות מומלצות, בהתאם לתרחישי השימוש שלכם.
| מסמכים קשורים | תיאור |
|---|---|
| Google Cloud הגדרה | תהליך מפורט שיעזור לכם להגדיר את Google Cloud עומסי העבודה (workloads) הארגוניים כך שיהיו ניתנים להתאמה ומוכנים לייצור. |
| Enterprise foundation blueprint | הצגה של שיטות מומלצות לאבטחה Google Cloud , שמיועדות למנהלי אבטחת מידע, למומחי אבטחה, למנהלי סיכונים או לאחראים על תאימות. |
| Google Cloud Well-Architected Framework | המלצות ושיטות מומלצות שיעזרו לאדריכלים, למפתחים, לאדמינים ולגורמים אחרים בתחום הענן לתכנן ולהפעיל טופולוגיה מאובטחת, יעילה, עמידה, בעלת ביצועים גבוהים וחסכונית בענן. |
| תוכניות של Terraform | רשימה של תוכניות ומודולים שביחד יוצרים חבילת מודולים של Terraform, ואפשר להשתמש בהם כדי ליצור משאבים ב-Google Cloud. |
זיהוי משאבים שיעזרו לכם להטמיע את אזור הנחיתה
Google Cloud מציע את האפשרויות הבאות שיעזרו לכם להגדיר את אזור הנחיתה:
- עיצוב ופריסה של אזור נחיתה בהתאמה אישית לדרישות שלכם באמצעות Google Cloudשותפים או Google Cloud שירותים מקצועיים.
- הצטרפות לתוכנית Google CloudCustomer Onboarding כדי להוסיף עומס עבודה.
- פורסים אזור נחיתה כללי באמצעות מדריך ההגדרה במסוף Google Cloud .
- פריסה של אזור נחיתה עם הגדרות קבועות מראש באמצעות הדוגמה של Terraform foundation.
כל המוצרים האלה כוללים גישות שנועדו במיוחד לענות על הצרכים של תעשיות שונות ועסקים בגדלים שונים ברחבי העולם. כדי לעזור לכם לבחור את האפשרות הכי טובה לתרחיש השימוש שלכם, מומלץ לעבוד עםGoogle Cloud צוות ניהול החשבון כדי לבחור את האפשרות המתאימה ולוודא שהפרויקט יצליח.
המאמרים הבאים
- איך להוסיף זהויות ל- Google Cloud (המסמך הבא בסדרה).
- בחירת היררכיה של משאבים ל Google Cloud אזור הנחיתה.
- בחירת עיצוב הרשת ל Google Cloud אזור הנחיתה.
- בחירת אבטחה ל Google Cloud אזור הנחיתה.