Best practice generali

Durante la progettazione e l'onboarding di identità cloud, gerarchia delle risorse e destinazione reti di zone, considera i suggerimenti di progettazione Progettazione delle zone di destinazione in Google Cloud e le best practice per la sicurezza di Google Cloud trattate progetto di base delle fondazioni aziendali. Convalida il progetto selezionato in base ai seguenti documenti:

• Best practice e architetture di riferimento per la progettazione di VPC
• Progetta la tua infrastruttura di rete
• Framework dell'architettura Google Cloud: sicurezza, privacy e conformità

Prendi in considerazione anche le seguenti best practice generali:

• Quando si sceglie un'opzione di connettività di rete ibrida o multi-cloud, considerare i requisiti aziendali e dell'applicazione, come SLA, prestazioni sicurezza, costi, affidabilità e larghezza di banda. Per ulteriori informazioni, vedi Scegliere un prodotto per la connettività di rete e Pattern per connettere altri provider di servizi cloud a Google Cloud.

• Utilizza VPC condivisi su Google Cloud anziché più VPC quando appropriati e in linea con i tuoi progettazione della gerarchia delle risorse i tuoi requisiti. Per ulteriori informazioni, vedi Decidere se creare più reti VPC.

• Segui le best practice per per la pianificazione di account e organizzazioni.

• Ove applicabile, Ristabilire un'identità comune tra gli ambienti in modo che i sistemi possano eseguire l'autenticazione sicura confini ambientali.

• Per esporre in sicurezza le applicazioni agli utenti aziendali in una configurazione ibrida, e per scegliere l'approccio più adatto alle tue esigenze, devi segui i metodi consigliati per integrare Google Cloud con il tuo sistema di gestione delle identità.

  • Inoltre, vedi Pattern per l'autenticazione degli utenti della forza lavoro in un ambiente ibrido.

• Quando progetti i tuoi ambienti on-premise e cloud, prendi in considerazione IPv6 gestire da subito e prendere in considerazione i servizi che la supportano. Per maggiori informazioni le informazioni, vedi Introduzione a IPv6 su Google Cloud. Riassume i servizi supportati quando è stato scritto il blog.

• Durante la progettazione, il deployment e la gestione delle regole firewall VPC, puoi:

  • Utilizza le funzionalità di il filtro basato sull'account di servizio rispetto a quello basato su tag di rete se hai bisogno di un controllo rigoroso su come vengono applicate le regole firewall alle VM.
  • Utilizza le funzionalità di criteri firewall quando raggruppi diverse regole firewall, in modo da poterle aggiornare tutte contemporaneamente. Puoi anche rendere il criterio gerarchicamente. Per gerarchiche le specifiche e i dettagli dei criteri firewall, consulta Criteri firewall gerarchici.
  • Utilizza le funzionalità di oggetti di geolocalizzazione nel criterio firewall quando devi filtrare IPv4 esterni ed esterni Traffico IPv6 basato su località o regioni geografiche specifiche.
  • Utilizza le funzionalità di Intelligence sulle minacce per le regole dei criteri firewall se devi proteggere la tua rete consentendo o bloccando il traffico sui dati di Threat Intelligence, come gli indirizzi IP dannosi in base a intervalli di indirizzi IP del cloud pubblico. Ad esempio, puoi consentire proveniente da intervalli specifici di indirizzi IP del cloud pubblico, se i tuoi servizi solo con il cloud pubblico. Per ulteriori informazioni, vedi Best practice per le regole firewall.

• Dovresti sempre progettare la sicurezza del cloud e della rete utilizzando un l'approccio multilivello alla sicurezza, considerando altri livelli di sicurezza, ad esempio:

  • Google Cloud Armor
  • Sistema di rilevamento delle intrusioni nel cloud
  • IPS Cloud di nuova generazione per il firewall
  • Intelligence sulle minacce per le regole dei criteri firewall

  Questi livelli aggiuntivi possono aiutarti a filtrare, ispezionare e monitorare un'ampia varietà di minacce nei livelli di rete e di applicazione ai fini dell'analisi e della prevenzione.

• Quando si decide dove eseguire la risoluzione DNS in un ambiente ibrido ti consigliamo di utilizzare due sistemi DNS autorevoli per i tuoi server dell'ambiente Google Cloud e per le tue risorse on-premise ospitati da server DNS esistenti nell'ambiente on-premise. Per maggiori informazioni le informazioni vedi, Scegli dove eseguire la risoluzione DNS.

• Se possibile, esponi sempre le applicazioni tramite API utilizzando un'API un gateway VPN ad alta disponibilità o un bilanciatore del carico. Ti consigliamo di prendere in considerazione un'API come Apigee. Apigee funge da astrazione o facciata per le API dei tuoi servizio di backend, combinate con le funzionalità di sicurezza, limitazioni, quote e analisi.

• Una piattaforma API (gateway o proxy) e Bilanciatore del carico delle applicazioni non si escludono a vicenda. A volte, l'uso sia di gateway API che di carichi possono fornire una soluzione più solida e sicura per per gestire e distribuire il traffico delle API su larga scala. Utilizzo Gateway API Cloud Load Balancing ti consente di:

  • Fornisci API ad alte prestazioni con Apigee e Cloud CDN, per:

    • Riduci la latenza
    • Ospita le API in tutto il mondo

    • Aumenta la disponibilità nei periodi di picco del traffico

      Per saperne di più, guarda Delivering high-performance APIs with Apigee and Cloud CDN su YouTube.

  • Implementa una gestione avanzata del traffico.

  • Utilizzare Google Cloud Armor per la protezione dagli attacchi DDoS, WAF e la sicurezza di rete per proteggere le API.

  • Gestisci un bilanciamento del carico efficiente tra gateway in più regioni. Per ulteriori informazioni, guarda Protezione delle API ed implementazione del failover multiregionale con PSC e Apigee.

• Per determinare quale prodotto di Cloud Load Balancing utilizzare, devi prima determinare il tipo di traffico che i bilanciatori del carico devono gestire. Per maggiori informazioni le informazioni, vedi Scegli un bilanciatore del carico.

• Quando utilizzi Cloud Load Balancing, devi usare i suoi delle funzionalità di ottimizzazione della capacità dell'applicazione ove applicabile. Questo può aiutarti a gestire parte della capacità le sfide che si possono presentare nelle applicazioni distribuite a livello globale.

  • Per un approfondimento sulla latenza, consulta: Ottimizza la latenza delle applicazioni con il bilanciamento del carico.

• Mentre Cloud VPN cripta il traffico tra gli ambienti, Cloud Interconnect richiede l'uso di MACsec VPN ad alta disponibilità su Cloud Interconnect criptare il traffico in transito a livello di connettività. Per ulteriori informazioni, vedi Come faccio a criptare il mio traffico su Cloud Interconnect?

  • Puoi anche prendere in considerazione la crittografia a livello di servizio tramite TLS. Per ulteriori informazioni, vedi Decidi come soddisfare i requisiti di conformità per la crittografia dei dati in transito.

• Se hai bisogno di più volume di traffico su una connettività ibrida VPN rispetto a una un singolo tunnel VPN supporta, puoi valutare l'uso routing VPN ad alta disponibilità attivo/attivo .

  • Per configurazioni ibride o multi-cloud a lungo termine con un elevato traffico in uscita volumi di trasferimento dati, prendi in considerazione Cloud Interconnect Cross-Cloud Interconnect. Queste opzioni di connettività consentono ottimizzare le prestazioni di connettività e ridurre i dati in uscita addebiti per il trasferimento di traffico che soddisfa determinate condizioni. Per maggiori informazioni le informazioni, vedi Prezzi di Cloud Interconnect.

• Quando la connessione a Google Cloud e cercando di scegliere tra Cloud Interconnect il peering diretto, o peering con operatori, consigliamo di utilizzare Cloud Interconnect, a meno che tu non abbia bisogno di accedere a Google Workspace diverse applicazioni. Per ulteriori informazioni, puoi confrontare le caratteristiche Peering diretto con Cloud Interconnect e Peering con operatori con Cloud Interconnect.

• Consenti spazio sufficiente per gli indirizzi IP dall'indirizzo IP RFC 1918 esistente lo spazio di archiviazione ideale per ospitare i tuoi sistemi ospitati nel cloud.

• Se esistono restrizioni tecniche che richiedono di conservare la proprietà intellettuale di indirizzi IP, puoi:

  • Utilizza gli stessi indirizzi IP interni per i tuoi ambienti on-premise durante la migrazione a Google Cloud, subnet ibride.

  • Esegui il provisioning e utilizza i tuoi indirizzi IPv4 pubblici per alle risorse Google Cloud Bring Your Own IP (BYOIP) a Google.

• Se la progettazione della tua soluzione richiede l'esposizione di un basata su Google Cloud alla rete internet pubblica, considera di progettazione dei progetti discussi in Networking per la distribuzione delle applicazioni per internet.

• Ove applicabile, utilizza Endpoint Private Service Connect per consentire i carichi di lavoro in Google Cloud, on-premise o in un altro cloud con connettività ibrida, per accedere privatamente alle API di Google e i servizi pubblicati, usando gli indirizzi IP interni in modo granulare.

• Quando utilizzi Private Service Connect, devi controllare seguenti:

  • Chi può eseguire il deployment delle risorse Private Service Connect.
  • Indica se è possibile stabilire connessioni tra consumatori e producer.
  • Il traffico di rete autorizzato ad accedere a queste connessioni.

  Per ulteriori informazioni, vedi Sicurezza Private Service Connect.

• Per ottenere una configurazione del cloud solida nel contesto di ambienti ibridi e multi-cloud dell'architettura:

  • Eseguire una valutazione completa dei livelli richiesti di l'affidabilità delle diverse applicazioni nei vari ambienti. In questo modo può aiutarti a raggiungere i tuoi obiettivi in termini di disponibilità e resilienza.
  • Comprendere le funzionalità di affidabilità e principi di progettazione del tuo cloud provider. Per ulteriori informazioni, vedi Affidabilità dell'infrastruttura Google Cloud.

• La visibilità e il monitoraggio della rete cloud sono essenziali per mantenere comunicazioni affidabili. Centro Network Intelligence Center offre un'unica console per la gestione della visibilità, del monitoraggio risoluzione dei problemi.