Esegui la migrazione a Google Cloud: pianifica e crea le tue basi

Questo documento ti aiuta a creare l'infrastruttura cloud di base per i tuoi carichi di lavoro. Può anche aiutarti a pianificare in che modo questa infrastruttura supporta le tue applicazioni. Questa pianificazione include la gestione delle identità, la struttura dell'organizzazione e del progetto e la rete.

Questo documento fa parte della seguente serie in più parti sulla migrazione a Google Cloud

• Migrazione a Google Cloud: guida introduttiva
• Migrazione a Google Cloud: valutazione e individuazione dei carichi di lavoro
• Migrazione a Google Cloud: pianificazione e creazione delle basi (questo documento)
• Migrazione a Google Cloud: trasferimento dei set di dati di grandi dimensioni
• Migrazione a Google Cloud: deployment dei carichi di lavoro
• Migrazione a Google Cloud: migrazione dai deployment manuali ai deployment containerizzati e automatizzati
• Migrazione a Google Cloud: ottimizzazione dell'ambiente
• Migrazione a Google Cloud: best practice per la convalida di un piano di migrazione
• Migrazione a Google Cloud: riduzione dei costi

Il seguente diagramma illustra il percorso del tuo viaggio di migrazione.

Questo documento è utile se stai pianificando una migrazione da un ambiente on-premise, da un ambiente di hosting privato, da un altro cloud provider a Google Cloud, o se stai valutando l'opportunità di eseguire la migrazione e vuoi esplorare come potrebbe essere. Questo documento ti aiuta a comprendere i prodotti disponibili e le decisioni che prenderai per creare una base incentrata su un caso d'uso di migrazione.

Per le opzioni implementabili predefinite, consulta:

• Google Cloud Elenco di controllo della configurazione
• Progetto di base aziendale

Per ulteriori indicazioni sulle best practice per la progettazione della base, consulta:

• Progettazione della landing zone per la progettazione di una base in generale.
• Google Cloud Well-Architected Framework per indicazioni sulle best practice per la progettazione del sistema.

Quando pianifichi la migrazione a Google Cloud, devi comprendere una serie di argomenti e concetti relativi all'architettura cloud. Una base pianificata in modo errato può causare ritardi, confusione e tempi di inattività per la tua attività e può mettere a rischio il successo della migrazione al cloud. Questa guida fornisce una panoramica dei Google Cloud concetti di base e dei punti decisionali.

Ogni sezione di questo documento pone domande che devi porre e rispondere per la tua organizzazione prima di creare la base su Google Cloud. Queste domande non sono esaustive; hanno lo scopo di facilitare una conversazione tra i team di architettura e la leadership aziendale su ciò che è giusto per la tua organizzazione. I tuoi piani per l'infrastruttura, gli strumenti, la sicurezza e la gestione degli account sono unici per la tua attività e richiedono un'attenta considerazione. Al termine di questo documento e dopo aver risposto alle domande per la tua organizzazione, sei pronto per iniziare la pianificazione formale dell'infrastruttura cloud e dei servizi che supportano la migrazione aGoogle Cloud.

Considerazioni aziendali

Considera le seguenti domande per la tua organizzazione:

• Quali responsabilità IT potrebbero cambiare tra te e il tuo provider di infrastrutture quando esegui la migrazione a Google Cloud?
• Come puoi supportare o soddisfare le tue esigenze di conformità legale, ad esempio, HIPAA o GDPR, durante e dopo la migrazione aGoogle Cloud?
• Come puoi controllare dove i tuoi dati vengono archiviati ed elaborati in conformità con i requisiti di residenza dei dati?

Modello di responsabilità condivisa

Le responsabilità condivise tra te e Google Cloud potrebbero essere diverse da quelle a cui sei abituato e devi comprenderne le implicazioni per la tua attività. I processi che hai implementato in precedenza per il provisioning, la configurazione e l'utilizzo delle risorse potrebbero cambiare.

Consulta i Termini di servizio e il modello di sicurezza di Google per una panoramica del rapporto contrattuale tra la tua organizzazione e Google e delle implicazioni dell'utilizzo di un provider cloud pubblico.

Conformità, sicurezza e privacy

Molte organizzazioni hanno requisiti di conformità relativi a standard, normative e certificazioni di settore e governativi. Molti carichi di lavoro aziendali sono soggetti a controlli normativi e possono richiedere attestazioni di conformità da parte tua e del tuo cloud provider. Se la tua attività è regolamentata ai sensi di HIPAA o HITECH, assicurati di comprendere le tue responsabilità e quali Google Cloud servizi sono regolamentati. Per informazioni su Google Cloud certificazioni e standard di conformità, consulta il Centro risorse per la conformità. Per ulteriori informazioni sulle normative specifiche per regione o settore, consulta Google Cloud e il Regolamento generale sulla protezione dei dati (GDPR).

La fiducia e la sicurezza sono importanti per ogni organizzazione. Google Cloud implementa un modello di sicurezza condivisa per molti servizi.

I Google Cloud principi di fiducia possono aiutarti a comprendere il nostro impegno verso la protezione della privacy dei tuoi dati e dei dati dei tuoi clienti. Per ulteriori informazioni sull'approccio di progettazione di Google per la sicurezza e la privacy, consulta la panoramica sulla progettazione della sicurezza dell'infrastruttura Google.

Per ulteriori informazioni sull'implementazione di una base sicura su Google Cloud, consulta Google Cloud la piattaforma sicura minima praticabile.

Considerazioni sulla residenza dei dati

La geografia può anche essere una considerazione importante per la conformità. Assicurati di comprendere i requisiti di residenza dei dati e di implementare policy per il deployment dei carichi di lavoro in nuove regioni per controllare dove i dati vengono archiviati ed elaborati. Scopri come utilizzare i vincoli di località delle risorse per assicurarti che i carichi di lavoro possano essere sottoposti a deployment solo nelle regioni preapprovate. Quando scegli la destinazione di deployment per i carichi di lavoro, devi tenere conto della regionalità dei diversi Google Cloud servizi. Assicurati di comprendere i requisiti di conformità legale e come implementare una strategia di governance che ti aiuti a garantire la conformità.

Gerarchia delle risorse

Considera le seguenti domande per la tua organizzazione:

• In che modo le strutture aziendali e organizzative esistenti vengono mappate a Google Cloud?
• Con quale frequenza prevedi modifiche alla gerarchia delle risorse?
• In che modo le quote di progetto influiscono sulla tua capacità di creare risorse nel cloud?
• Come puoi incorporare i deployment cloud esistenti con i carichi di lavoro di cui hai eseguito la migrazione?
• Quali sono le best practice per la gestione di più team che lavorano contemporaneamente su più Google Cloud progetti?

I processi aziendali, le linee di comunicazione e la struttura di reporting attuali si riflettono nella progettazione della gerarchia delle risorse. Google Cloud La gerarchia delle risorse fornisce la struttura necessaria all'ambiente cloud, determina il modo in cui ti viene addebitato il consumo di risorse e stabilisce un modello di sicurezza per la concessione di ruoli e autorizzazioni. Devi comprendere come questi aspetti vengono implementati nella tua attività oggi e pianificare come migrare questi processi a Google Cloud.

Informazioni sulle risorse Google Cloud

Le risorse sono i componenti fondamentali di tutti i Google Cloud servizi di. La risorsa Organizzazione è l'apice della Google Cloud gerarchia delle risorse. Tutte le risorse appartenenti a un'organizzazione sono raggruppate sotto il nodo dell'organizzazione. Questa struttura fornisce visibilità e controllo centralizzati su ogni risorsa appartenente a un'organizzazione.

Un'organizzazione può contenere una o più cartelle, e ogni cartella può contenere uno o più progetti. Puoi utilizzare le cartelle per raggruppare i progetti correlati.

Google Cloud I progetti contengono risorse di servizio come le macchine virtuali (VM) Compute Engine, gli argomenti Pub/Sub, i bucket Cloud Storage, gli endpoint Cloud VPN e altri Google Cloud servizi. Puoi creare risorse utilizzando la Google Cloud console, Cloud Shell o le API Cloud. Se prevedi modifiche frequenti al tuo ambiente, valuta la possibilità di adottare un approccio di infrastruttura come codice (IaC) per semplificare la gestione delle risorse.

Gestire i Google Cloud progetti

Per ulteriori informazioni sulla pianificazione e la gestione della Google Cloud gerarchia delle risorse, consulta la pagina relativa alla scelta di una gerarchia delle risorse per la Google Cloud landing zone. Se stai già lavorando in Google Cloud e hai creato progetti indipendenti come test o prove di fattibilità, puoi eseguire la migrazione dei progetti esistenti Google Cloud nella tua organizzazione.

Identity and Access Management

Considera le seguenti domande per la tua organizzazione:

• Chi controllerà, amministrerà ed eseguirà l'audit dell'accesso alle Google Cloud risorse?
• In che modo cambieranno le policy di sicurezza e di accesso esistenti quando esegui la migrazione a Google Cloud?
• In che modo consentirai in modo sicuro agli utenti e alle app di interagire con Google Cloud i servizi?

Identity and Access Management (IAM) ti consente di concedere l'accesso granulare alle Google Cloud risorse. Cloud Identity è un servizio separato ma correlato che può aiutarti a eseguire la migrazione e gestire le identità. A livello generale, la comprensione di come vuoi gestire l'accesso alle tue Google Cloud risorse costituisce la base per il provisioning, la configurazione e la manutenzione di IAM.

Informazioni sulle identità

Google Cloud utilizza le identità per l'autenticazione e la gestione degli accessi. Per accedere a qualsiasi Google Cloud risorsa, un membro della tua organizzazione deve avere un'identità che Google Cloud possa comprendere. Cloud Identity è una piattaforma Identity as a Service (IDaaS) che consente la gestione centralizzata di utenti e gruppi che possono accedere Google Cloud alle risorse. Configurando gli utenti in Cloud Identity, puoi configurare il Single Sign-On (SSO) con migliaia di applicazioni Software as a Service (SaaS) di terze parti. La modalità di configurazione di Cloud Identity dipende da come gestisci le identità.

Per ulteriori informazioni sulle opzioni di provisioning delle identità per Google Cloud, consulta la pagina relativa alla scelta della modalità di onboarding delle identità in Google Cloud .

Informazioni sulla gestione degli accessi

Il modello per la gestione degli accessi è costituito da quattro concetti fondamentali:

• Entità: può essere un Account Google (per gli utenti finali), un account di servizio (per Google Cloud i prodotti), un Gruppo Google, o un account Google Workspace o Cloud Identity che può accedere a una risorsa. Le entità non possono eseguire alcuna azione per cui non sono autorizzate.
• Ruolo: Una raccolta di autorizzazioni.
• Autorizzazione: determina quali operazioni sono consentite su una risorsa. Se concedi un ruolo a un'entità, concedi tutte le autorizzazioni incluse nel ruolo.
• Policy di autorizzazione IAM: associa un insieme di entità a un ruolo. Quando vuoi definire quali entità hanno accesso a una risorsa, crei una policy e la colleghi alla risorsa.

La configurazione corretta e la gestione efficace di entità, ruoli e autorizzazioni costituiscono la spina dorsale della tua strategia di sicurezza in Google Cloud. La gestione degli accessi ti aiuta a proteggerti da un uso improprio interno e da tentativi esterni di accesso non autorizzato alle tue risorse.

Informazioni sull'accesso alle applicazioni

Oltre a utenti e gruppi, esiste un altro tipo di identità noto come account di servizio. Un account di servizio è un'identità che i tuoi programmi e servizi possono utilizzare per autenticarsi e ottenere l'accesso alle Google Cloud risorse.

I service account gestiti dall'utente includono i service account creati e gestiti esplicitamente utilizzando IAM e il account di servizio predefinito di Compute Engine integrato in tutti i Google Cloud progetti. Gli agenti di servizio vengono creati automaticamente ed eseguono processi interni di Google per tuo conto.

Quando utilizzi i service account, è importante comprendere le credenziali predefinite dell'applicazione, e seguire le best practice consigliate per i service account per evitare di esporre le risorse a rischi eccessivi. I rischi più comuni riguardano l'escalation dei privilegi o l'eliminazione accidentale di un account di servizio da cui dipende un'applicazione critica.

Segui le best practice

Per ulteriori informazioni sulle best practice per gestire in modo efficace l'identità e l'accesso, consulta la pagina relativa alla verifica esplicita di ogni tentativo di accesso.

Fatturazione

La modalità di pagamento delle risorse che utilizzi è una considerazione importante per la tua attività e una parte importante del tuo rapporto con. Google Cloud Google CloudPuoi gestire la fatturazione nella Google Cloud console con fatturazione Cloud insieme al resto del tuo ambiente cloud.

I concetti di gerarchia delle risorse e fatturazione sono strettamente correlati, quindi è fondamentale che tu e gli stakeholder aziendali comprendiate questi concetti.

Per ulteriori informazioni sulle best practice, sugli strumenti e sulle tecniche che ti aiutano a monitorare e controllare i costi, consulta la pagina relativa all' ottimizzazione dei costi.

Connettività e reti

Per ulteriori informazioni sulla progettazione della rete su Google Cloud, consulta:

• Scelta della progettazione della rete per la Google Cloud landing zone.
• Implementazione della progettazione della rete della landing zone. Google Cloud

Se l'ambiente di origine si trova in un altro provider di servizi cloud, potrebbe essere necessario connetterlo al tuo Google Cloud ambiente. Per ulteriori informazioni, consulta la pagina relativa ai pattern per la connessione di altri cloud provider con Google Cloud.

Quando esegui la migrazione dei dati e dei carichi di lavoro di produzione a Google Cloud, ti consigliamo di valutare in che modo la disponibilità della soluzione di connettività può influire sul successo della migrazione. Ad esempio, Cloud Interconnect fornisce un SLA a livello di produzione se esegui il provisioning in base a topologie specifiche.

Quando esegui la migrazione dei dati dall'ambiente di origine al tuo Google Cloud ambiente, devi modificare l'unità massima di trasmissione (MTU) per tenere conto dell'overhead del protocollo. In questo modo, i dati vengono trasferiti in modo efficiente e accurato. Questa modifica può anche contribuire a prevenire i ritardi causati dalla frammentazione dei dati e dai problemi di prestazioni della rete. Ad esempio, se utilizzi Cloud VPN per connettere l'ambiente di origine al tuo Google Cloud ambiente, potrebbe essere necessario configurare l'MTU con un valore inferiore per tenere conto dell'overhead del protocollo VPN in ogni unità di trasmissione.

Per evitare problemi di connettività durante la migrazione a Google Cloud, ti consigliamo di:

• Assicurarti che i record DNS vengano risolti nell'ambiente di origine e nel tuo Google Cloud ambiente.
• Assicurarti che le route di rete tra l'ambiente di origine e il tuo Google Cloud ambiente vengano propagate correttamente tra gli ambienti.

Se devi eseguire il provisioning e utilizzare i tuoi indirizzi IPv4 pubblici nelle reti VPC, consulta la pagina relativa all' utilizzo del tuo indirizzo IP.

Informazioni sulle opzioni DNS

Cloud DNS può fungere da server DNS (Domain Name System) del tuo dominio pubblico. Per ulteriori informazioni su come implementare Cloud DNS, consulta le best practice di Cloud DNS.

Se devi personalizzare il modo in cui Cloud DNS risponde alle query in base all'origine o alla destinazione, consulta la panoramica delle policy DNS. Ad esempio, puoi configurare Cloud DNS per inoltrare le query ai server DNS esistenti oppure puoi sostituire le risposte DNS private in base al nome della query.

Un servizio separato ma simile, chiamato DNS interno, è incluso nella rete VPC. Anziché eseguire manualmente la migrazione e la configurazione dei tuoi server DNS, puoi utilizzare il servizio DNS interno per la tua rete privata. Per ulteriori informazioni, consulta la panoramica del DNS interno.

Informazioni sul trasferimento dei dati

La rete on-premise viene gestita e prezzata in modo fondamentalmente diverso rispetto alla rete cloud. Quando gestisci il tuo data center o la tua struttura di colocation, l'installazione di router, switch e cablaggi richiede una spesa in conto capitale fissa e iniziale. Nel cloud, ti viene addebitato il trasferimento dei dati anziché il costo fisso dell'installazione dell'hardware, oltre al costo continuo della manutenzione. Pianifica e gestisci con precisione i costi di trasferimento dei dati nel cloud comprendendo i costi di trasferimento dei dati.

Quando pianifichi la gestione del traffico, ti vengono addebitati tre modi:

• Traffico in entrata: traffico di rete che entra nel tuo Google Cloud ambiente da località esterne. Queste località possono provenire dalla rete internet pubblica, da località on-premise o da altri ambienti cloud. Il traffico in entrata è senza costi per la maggior parte dei servizi su Google Cloud. Alcuni servizi che gestiscono il traffico internet, come Cloud Load Balancing, Cloud CDN, e Google Cloud Armor vengono addebitati in base alla quantità di traffico in entrata gestito.
• Traffico in uscita: traffico di rete che esce dal tuo Google Cloud ambiente in qualsiasi modo. I costi per i dati in uscita si applicano a molti Google Cloud servizi, tra cui Compute Engine, Cloud Storage, Cloud SQL, e Cloud Interconnect.
• Traffico regionale e di zona: il traffico di rete che attraversa i limiti regionali o di zona in Google Cloud può anche essere soggetto a costi per la larghezza di banda. Questi costi possono influire sulla scelta di progettare le app per il ripristino di emergenza e l'alta affidabilità. Analogamente ai costi per i dati in uscita, i costi per il traffico tra regioni e tra zone si applicano a molti Google Cloud servizi e sono importanti da considerare quando si pianifica l'alta affidabilità e ripristino di emergenza. Ad esempio, l'invio di traffico a una replica del database in un'altra zona è soggetto a costi per il traffico tra zone.

Automatizzare e controllare la configurazione della rete

In Google Cloud, il livello di rete fisico è virtualizzato e la rete viene sottoposta a deployment e configurazione utilizzando il networking software-defined (SDN). Per assicurarti che la rete sia configurata in modo coerente e ripetibile, devi comprendere come eseguire automaticamente il deployment e l'eliminazione degli ambienti. Puoi utilizzare strumenti IaC, come Terraform.

Sicurezza

La modalità di gestione e manutenzione della sicurezza dei sistemi in Google Cloude gli strumenti che utilizzi sono diversi rispetto a quando gestisci un'infrastruttura on-premise. Il tuo approccio cambierà ed evolverà nel tempo per adattarsi a nuove minacce, nuovi prodotti e modelli di sicurezza migliorati.

Le responsabilità che condividi con Google potrebbero essere diverse da quelle del tuo provider attuale e la comprensione di queste modifiche è fondamentale per garantire la sicurezza e la conformità continue dei tuoi carichi di lavoro. Una sicurezza e una conformità legale solide e verificabili sono spesso interconnesse e iniziano con solide pratiche di gestione e supervisione, un'implementazione coerente delle Google Cloud best practice e il rilevamento e il monitoraggio attivi delle minacce.

Per ulteriori informazioni sulla progettazione di un ambiente sicuro su Google Cloud, consulta la pagina relativa alla scelta della sicurezza per la landing zone Google Cloud .

Monitoraggio, avvisi e logging

Per ulteriori informazioni sulla configurazione di monitoraggio, avvisi e logging, consulta:

• Aggregazione centralizzata dei log di controllo
• Consulta le best practice per proteggere l'accesso ai log sensibili

Governance

Considera le seguenti domande per la tua organizzazione:

• Come puoi assicurarti che i tuoi utenti supportino e soddisfino le loro esigenze di conformità e le allineino alle tue policy aziendali?
• Quali strategie sono disponibili per mantenere e organizzare i tuoi Google Cloud utenti e risorse?

Una governance efficace è fondamentale per garantire l'affidabilità, la sicurezza, e la manutenibilità degli asset in Google Cloud. Come in qualsiasi sistema, l'entropia aumenta naturalmente nel tempo e, se non viene controllata, può comportare la proliferazione del cloud e altre difficoltà di manutenibilità. Senza una governance efficace, l'accumulo di queste difficoltà può influire sulla tua capacità di raggiungere gli obiettivi aziendali e di ridurre i rischi. La pianificazione e l'applicazione disciplinate degli standard relativi alle convenzioni di denominazione, alle strategie di etichettatura, ai controlli di accesso, ai controlli dei costi e ai livelli di servizio sono un componente importante della tua strategia di migrazione al cloud. Più in generale, l'esercizio di sviluppo di una strategia di governance crea un allineamento tra gli stakeholder e la leadership aziendale.

Supportare la conformità continua

Per supportare la conformità a livello di organizzazione delle Google Cloud risorse, valuta la possibilità di stabilire una strategia coerente di denominazione e raggruppamento delle risorse. Google Cloud fornisce diversi metodi per annotare e applicare le policy alle risorse:

• I contrassegni di sicurezza consentono di classificare le risorse per fornire informazioni sulla sicurezza da Security Command Center, e per applicare le policy ai gruppi di risorse.
• Le etichette possono monitorare la spesa per le risorse nella fatturazione Cloud e fornire ulteriori informazioni in Cloud Logging.
• I tag per i firewall consentono di definire le origini e le destinazioni nelle policy del firewall di rete globali e regionali.

Per ulteriori informazioni, consulta la pagina relativa al rischio e alla conformità come codice. Risk and compliance as code.

Passaggi successivi

• Scopri come implementare una base sicura in Google Cloud.
• Continua la migrazione al cloud ed esplora il trasferimento dei dati a Google Cloud.
• Scopri quando trovare assistenza per le migrazioni.
• Per ulteriori architetture di riferimento, diagrammi e best practice, esplora il Cloud Architecture Center.

Collaboratori

Autori:

• Marco Ferrari | Cloud Solutions Architect
• Travis Webb | Solution Architect