關於著陸區(Landing Zone) | Google Cloud

閱讀時間約 7 分鐘
💡 什麼是登陸區(Landing Zone)?這是一種模塊化與可擴展的配置,讓組織可以因應商業需求而動態使用Google Cloud。

著陸區(Landing Zone)

正如房屋需要牢固的地基以確保穩定性耐用性,組織在任何雲端環境中都需要登陸區以實現治理、安全性、效率、擴展性成本最佳化事實上登陸區又稱作cloud foundation,也可得知是開始利用雲端運算的一切基礎。

另一個舉例,可以將雲端中的登陸區(Landing Zone)可比喻為軍事概念中的非軍事區(DMZ, demilitarized zone)。當通過非軍事區時,您會受到嚴格的管制,邊界的管理,以確保安全性、法規遵循與治理,目前最有名的非軍事區可能為南韓和北韓的交界處

DMZ, North Korea

DMZ, North Korea

同理,在雲端世界的登陸區中,也會強制執行嚴格的控制與存取政策,以保護邊界內的敏感資料與運算資源,確保只有擁有權限的人員才能存取雲端的基礎設施。

我們為什麼在任何雲端中都需要登陸區?

雲端中登陸區為雲端部署提供了標準化與安全的基礎,確保一致性、擴展性與治理。它建立了在組織雲端環境中管理資源、安全控制與存取政策的框架。想像一間公司有多個團隊在雲端上進行不同的專案。如果沒有登陸區,每個團隊可能會獨立建立自己的基礎設施與安全措施。這可能會導致不一致、安全漏洞,以及管理資源上的困難。

沒有登陸區可能會發生哪些問題?

雲端是一種可從網際網路取得的服務,所以一切都是公開共享的。這意味著雲端無異於別人的資料中心,當我們想要遷移組織的運算資源或使用雲端技術帶來的便利時。我們會面臨各種挑戰,如缺乏集中化的治理、安全控制、一致性,以及最重要的網路管理等。這些問題可能導致營運效率不佳、安全風險增加以及法規遵循上的差距。

每個雲端供應商在我們正式開始雲端之旅前,都會建議先建立登陸區。 Google Cloud landing zone提供了建立雲端部署堅實基礎的全面性方法。

什麼是Google Cloud landing zone?

Google Cloud的登陸區可以幫助您的企業更安全地部署、使用和擴展 Google Cloud 服務。登陸區是動態的,並且可以隨著企業隨時間採用更多基於雲端的工作負載而進行擴展。

登陸區跨越多個領域並包含不同的元素[1],例如身分、資源管理、安全和網路…(identities, resource management, security, and networking…)。

下圖[2]示範 Google Cloud 中混合雲和內部部署連接的基礎設施即服務(IaaS)使用案例:

raw-image

要特別注意登陸區沒有單一或標準的實現方式。企業必須根據不同因素做出許多設計選擇,包括:

  • 您的行業
  • 您的組織結構和流程
  • 您的安全和合規要求
  • 您要遷移到Google Cloud的工作負載
  • 您現有的IT基礎設施和其他雲環境
  • 您的業務客戶的位置

不同的業務和技術需求會導致不同的登陸區設計。要為您的獨特情況開發最佳解決方案,與Google Cloud專家合作非常重要。他們可以協助評估選項並設計符合您業務目標的登陸區。

我該在什麼時候建立登陸區?

最佳實踐建議在 Google Cloud 上部署任何主要應用程式或工作負載之前建立登陸區。這是因為登陸區提供了幾個關鍵好處:

  • 首先,它提供了安全的基礎。
  • 其次,它建立了必要的網路基礎設施,以有效支持您的企業工作負載。
  • 最後,它為您提供了管理和在組織內部分配成本的基本工具。

這可以確保在遷移和部署應用程式和工作負載之前,治理、安全性、合規性和成本管理等關鍵要素已就緒。登陸區為您的雲端之旅奠定堅實的基礎。

GCP 登陸區的關鍵組成:

  • 組織層級架構(Organization Hierarchy) #一定要先建立Organization[3]
  • 身分識別與存取管理 (identity and access management, IAM)
  • 網路架構(Network Architecture)
  • 安全性與合規性(Security and Compliance)
  • 監控與記錄(Monitoring and Logging)

登陸區的專案步驟架構:

raw-image
  1. Cloud Identity使用者的來源與創建(從地端Active Directory同步或其他來源migrate進來)
  2. 設定IAM,進行GCP權限的控管與分配
  3. 設置Org Policies,全域規定組織的使用規範(例如說正式環境的VM永遠不能有外部ip…)
  4. 建立數位圍籬[4],建立邊界來保護您明確指定的服務資源和機敏資料
  5. 網路架構規劃(Shared VPC[5]為例,用一個專案去分享/控管整個GCP的網路規劃、防火牆規劃)
  6. 規劃進行災難復原(DR)、高可用(HA)等的資料中心
  7. VPN/interonnect,與企業地端內網相連,使GCP成為企業內網的延伸
  8. log的收集與管理,以符合合規性和易於管理
  9. 服務如何監控、監控標的選擇、告警水位的設定、告警時間顆粒的的設置
  10. 建立企業對內/對外的服務(application)專案
  11. 基於安全性,確保服務使用google private access[6]來進行存取GCP資源,CloudNAT[7]來出去外網(egress)
  12. 建立load balancer,搭配armor,實施平衡負載和管理對外的流量

如果你喜歡這篇文章歡迎幫我按愛心鼓勵一下喔!~閱讀愉快!~

延伸閱讀

相關連結

[1] https://cloud.google.com/architecture/landing-zones#elements

[2] https://cloud.google.com/architecture/landing-zones#elements:~:text=The%20example%20architecture%20in%20the%20preceding%20diagram%20shows%20a%20Google%20Cloud%20landing%20zone%20that%20includes%20the%20following%20Google%20Cloud%20services%20and%20features%3A

[3] https://cloud.google.com/architecture/landing-zones#elements:~:text=To%20deploy%20a%20landing%20zone%2C%20you%20must%20first%20create%20an%20organization%20resource%20and%20create%20a%20billing%20account%2C%20either%20online%20or%20invoiced

[4] https://cloud.google.com/vpc-service-controls/docs/overview

[5] https://cloud.google.com/vpc/docs/shared-vpc

[6] https://cloud.google.com/vpc/docs/private-google-access

[7] https://cloud.google.com/nat/docs/overview

17會員
34內容數
歡迎來到「Marcos的方格子」!目前在「Marcos談科技」撰寫在職涯上學習到的知識,在「Marcos談書」分享我在日常的閱讀和心得,歡迎您的到來!!
留言0
查看全部
發表第一個留言支持創作者!