關於著陸區(Landing Zone) | Google Cloud

閱讀時間約 7 分鐘
💡 什麼是登陸區(Landing Zone)?這是一種模塊化與可擴展的配置,讓組織可以因應商業需求而動態使用Google Cloud。

著陸區(Landing Zone)

正如房屋需要牢固的地基以確保穩定性耐用性,組織在任何雲端環境中都需要登陸區以實現治理、安全性、效率、擴展性成本最佳化事實上登陸區又稱作cloud foundation,也可得知是開始利用雲端運算的一切基礎。

另一個舉例,可以將雲端中的登陸區(Landing Zone)可比喻為軍事概念中的非軍事區(DMZ, demilitarized zone)。當通過非軍事區時,您會受到嚴格的管制,邊界的管理,以確保安全性、法規遵循與治理,目前最有名的非軍事區可能為南韓和北韓的交界處

DMZ, North Korea

DMZ, North Korea

同理,在雲端世界的登陸區中,也會強制執行嚴格的控制與存取政策,以保護邊界內的敏感資料與運算資源,確保只有擁有權限的人員才能存取雲端的基礎設施。

我們為什麼在任何雲端中都需要登陸區?

雲端中登陸區為雲端部署提供了標準化與安全的基礎,確保一致性、擴展性與治理。它建立了在組織雲端環境中管理資源、安全控制與存取政策的框架。想像一間公司有多個團隊在雲端上進行不同的專案。如果沒有登陸區,每個團隊可能會獨立建立自己的基礎設施與安全措施。這可能會導致不一致、安全漏洞,以及管理資源上的困難。

沒有登陸區可能會發生哪些問題?

雲端是一種可從網際網路取得的服務,所以一切都是公開共享的。這意味著雲端無異於別人的資料中心,當我們想要遷移組織的運算資源或使用雲端技術帶來的便利時。我們會面臨各種挑戰,如缺乏集中化的治理、安全控制、一致性,以及最重要的網路管理等。這些問題可能導致營運效率不佳、安全風險增加以及法規遵循上的差距。

每個雲端供應商在我們正式開始雲端之旅前,都會建議先建立登陸區。 Google Cloud landing zone提供了建立雲端部署堅實基礎的全面性方法。

什麼是Google Cloud landing zone?

Google Cloud的登陸區可以幫助您的企業更安全地部署、使用和擴展 Google Cloud 服務。登陸區是動態的,並且可以隨著企業隨時間採用更多基於雲端的工作負載而進行擴展。

登陸區跨越多個領域並包含不同的元素[1],例如身分、資源管理、安全和網路…(identities, resource management, security, and networking…)。

下圖[2]示範 Google Cloud 中混合雲和內部部署連接的基礎設施即服務(IaaS)使用案例:

raw-image

要特別注意登陸區沒有單一或標準的實現方式。企業必須根據不同因素做出許多設計選擇,包括:

  • 您的行業
  • 您的組織結構和流程
  • 您的安全和合規要求
  • 您要遷移到Google Cloud的工作負載
  • 您現有的IT基礎設施和其他雲環境
  • 您的業務客戶的位置

不同的業務和技術需求會導致不同的登陸區設計。要為您的獨特情況開發最佳解決方案,與Google Cloud專家合作非常重要。他們可以協助評估選項並設計符合您業務目標的登陸區。

我該在什麼時候建立登陸區?

最佳實踐建議在 Google Cloud 上部署任何主要應用程式或工作負載之前建立登陸區。這是因為登陸區提供了幾個關鍵好處:

  • 首先,它提供了安全的基礎。
  • 其次,它建立了必要的網路基礎設施,以有效支持您的企業工作負載。
  • 最後,它為您提供了管理和在組織內部分配成本的基本工具。

這可以確保在遷移和部署應用程式和工作負載之前,治理、安全性、合規性和成本管理等關鍵要素已就緒。登陸區為您的雲端之旅奠定堅實的基礎。

GCP 登陸區的關鍵組成:

  • 組織層級架構(Organization Hierarchy) #一定要先建立Organization[3]
  • 身分識別與存取管理 (identity and access management, IAM)
  • 網路架構(Network Architecture)
  • 安全性與合規性(Security and Compliance)
  • 監控與記錄(Monitoring and Logging)

登陸區的專案步驟架構:

raw-image
  1. Cloud Identity使用者的來源與創建(從地端Active Directory同步或其他來源migrate進來)
  2. 設定IAM,進行GCP權限的控管與分配
  3. 設置Org Policies,全域規定組織的使用規範(例如說正式環境的VM永遠不能有外部ip…)
  4. 建立數位圍籬[4],建立邊界來保護您明確指定的服務資源和機敏資料
  5. 網路架構規劃(Shared VPC[5]為例,用一個專案去分享/控管整個GCP的網路規劃、防火牆規劃)
  6. 規劃進行災難復原(DR)、高可用(HA)等的資料中心
  7. VPN/interonnect,與企業地端內網相連,使GCP成為企業內網的延伸
  8. log的收集與管理,以符合合規性和易於管理
  9. 服務如何監控、監控標的選擇、告警水位的設定、告警時間顆粒的的設置
  10. 建立企業對內/對外的服務(application)專案
  11. 基於安全性,確保服務使用google private access[6]來進行存取GCP資源,CloudNAT[7]來出去外網(egress)
  12. 建立load balancer,搭配armor,實施平衡負載和管理對外的流量

如果你喜歡這篇文章歡迎幫我按愛心鼓勵一下喔!~閱讀愉快!~

延伸閱讀

相關連結

[1] https://cloud.google.com/architecture/landing-zones#elements

[2] https://cloud.google.com/architecture/landing-zones#elements:~:text=The%20example%20architecture%20in%20the%20preceding%20diagram%20shows%20a%20Google%20Cloud%20landing%20zone%20that%20includes%20the%20following%20Google%20Cloud%20services%20and%20features%3A

[3] https://cloud.google.com/architecture/landing-zones#elements:~:text=To%20deploy%20a%20landing%20zone%2C%20you%20must%20first%20create%20an%20organization%20resource%20and%20create%20a%20billing%20account%2C%20either%20online%20or%20invoiced

[4] https://cloud.google.com/vpc-service-controls/docs/overview

[5] https://cloud.google.com/vpc/docs/shared-vpc

[6] https://cloud.google.com/vpc/docs/private-google-access

[7] https://cloud.google.com/nat/docs/overview

18會員
41內容數
歡迎來到「Marcos的方格子」!目前在「Marcos談科技」撰寫在職涯上學習到的知識,在「Marcos談書」分享我在日常的閱讀和心得,歡迎您的到來!!
留言0
查看全部
發表第一個留言支持創作者!
Marcos的方格子 的其他內容
數位轉型是對組織運作方式的根本性重塑。 數位轉型使用各種不同的資訊技術並利用數據驅動來優化工作流程,達到對快速變動的市場更快、更智能、更即時的決策。最終,改變了客戶的期望並創造了新的商機。
宣告式管理是一種管理方法,其中您描述系統或資源的期望狀態,而不必關心實際如何達到該狀態。kubectl apply 命令在 Kubernetes 中實現了這種宣告式管理方式,以下是執行指令時的運作流程...
Kubernetes 是一個開源的容器管理平台,它可以幫助您自動化容器應用程式的部署、擴展和管理。在 Kubernetes 中,有兩種主要的管理方式:命令式和宣告式。
什麼是dynatrace? dynatrace在Gartner的分類是屬於APM(應用程式效能監控)的類別。
隨著應用程式底層架構的演變,監控工具也在不斷發展。第二代監控工具(Gen 2)逐漸顯露出其限制和不足,而第三代監控工具(Gen 3)已經在許多方面取得了突破性的進展。
應用程式效能監控(APM)的演變 Gen1-APM隨著JAVA興起日漸重要 應用程式效能監控市場的發展歷程可追溯至1990s末期,當時Wily Technology(後來被CA收購)和Precise Software處於領先地位。 第一代的應用程式效能管理(APM)解決方案因應Java的快速興
數位轉型是對組織運作方式的根本性重塑。 數位轉型使用各種不同的資訊技術並利用數據驅動來優化工作流程,達到對快速變動的市場更快、更智能、更即時的決策。最終,改變了客戶的期望並創造了新的商機。
宣告式管理是一種管理方法,其中您描述系統或資源的期望狀態,而不必關心實際如何達到該狀態。kubectl apply 命令在 Kubernetes 中實現了這種宣告式管理方式,以下是執行指令時的運作流程...
Kubernetes 是一個開源的容器管理平台,它可以幫助您自動化容器應用程式的部署、擴展和管理。在 Kubernetes 中,有兩種主要的管理方式:命令式和宣告式。
什麼是dynatrace? dynatrace在Gartner的分類是屬於APM(應用程式效能監控)的類別。
隨著應用程式底層架構的演變,監控工具也在不斷發展。第二代監控工具(Gen 2)逐漸顯露出其限制和不足,而第三代監控工具(Gen 3)已經在許多方面取得了突破性的進展。
應用程式效能監控(APM)的演變 Gen1-APM隨著JAVA興起日漸重要 應用程式效能監控市場的發展歷程可追溯至1990s末期,當時Wily Technology(後來被CA收購)和Precise Software處於領先地位。 第一代的應用程式效能管理(APM)解決方案因應Java的快速興
你可能也想看
Google News 追蹤
Thumbnail
這個秋,Chill 嗨嗨!穿搭美美去賞楓,裝備款款去露營⋯⋯你的秋天怎麼過?秋日 To Do List 等你分享! 秋季全站徵文,我們準備了五個創作主題,參賽還有機會獲得「火烤兩用鍋」,一起來看看如何參加吧~
Thumbnail
11/20日NVDA即將公布最新一期的財報, 今天Sell Side的分析師, 開始調高目標價, 市場的股價也開始反應, 未來一週NVDA將重新回到美股市場的焦點, 今天我們要分析NVDA Sell Side怎麼看待這次NVDA的財報預測, 以及實際上Buy Side的倉位及操作, 從
Thumbnail
Hi 大家好,我是Ethan😊 相近大家都知道保濕是皮膚保養中最基本,也是最重要的一步。無論是在畫室裡長時間對著畫布,還是在旅途中面對各種氣候變化,保持皮膚的水分平衡對我來說至關重要。保濕化妝水不僅能迅速為皮膚補水,還能提升後續保養品的吸收效率。 曾經,我的保養程序簡單到只包括清潔和隨意上乳液
Thumbnail
短短兩年再次升遷... 老實說,在老闆正式公布之前,有猜想過,但第一直覺是「不可能吧!」,現在的狀態跟4月Appraisal談的需要達到的目標還有一段距離,自己也覺得時機未到,拼圖還差一塊還沒完整的感覺。但至於到底為什麼呢?在升遷的時候,老闆也有特別提到
有的星星兒和我一樣,是說了長篇大論,反而說不出重點。 因此,造成旁人的一頭霧水。 基於這點來說,星爸星媽需要時間,協助星星兒說出重點。 那麼,該怎麼做? 星爸媽先以示範傾聽,以星星兒得到有出口 簡單說,有的星星兒是不知道怎麼停下來。 因此,先以一定的時間為傾聽,並在有限的時間內,做星星兒
Thumbnail
「我知道她癡迷於我,但這正好滿足我渴望被關注的慾望, 所以我任由她闖入我的生活、侵蝕我的人生。」 #推嗎我不知道 #影集 #馴鹿寶貝 #不專業分享 #觀後感
Thumbnail
這是一篇關於作者如何成為一名職涯諮詢師的心路歷程。作者希望透過作者的專業,幫助那些正在職涯低潮,想要尋找工作熱情或對未來職涯感到迷茫的年輕人,陪伴年輕人走一段路。
Thumbnail
💡 什麼是登陸區(Landing Zone)?這是一種模塊化與可擴展的配置,讓組織可以因應商業需要動態使用Google Cloud。
這幾天,見到小犬颱風的預測路徑圖,甚至,有影片標題,是明天發海警,我倒是淡定。 為什麼?因為,我是主兒女。 對我而言,做好防颱的措施,不就安全? 只是,自閉症者沒有危機意識,反而在颱風到台灣,照顧者一不注意,自閉症者就跑出去了。 其實,我之前的文章,有提到關於自閉症者如何度過颱風假的訓練部分
Thumbnail
在這裡伴您入眠的是金烈水道的浪濤聲、喚您起床的是慈堤的日出。 原本是打算構築給子女們每人一棟的園長,憑藉他多年設計裝潢經驗,打造出全新的三棟歐式建築。正因原本準備給自家用,所有的用料,機能設計,都有滿滿家的感覺! 想有個看海聽濤倚夕照、觀星望斗眺遠橋的安樂窩嗎?選擇許家莊園,不僅能提供您絕佳的住宿體
Thumbnail
雖然說2020是台灣podcast元年,但是因為podcast的入門相對於youtube容易,因此就算是到現在(2023年),還是有很多新節目不斷開設。不管如何,對我來說有想法,想要說出來,podcast就是一個很好的途徑,他也是一個練習自己表達的方式。
Thumbnail
去年十一月初,我當時狀況很不好,自己一個人待在家,我姊人遠在台北,但在電話中覺得我不太對勁,就打電話報警,請警察來看。警察後來打回去告訴我姊說我很配合,但是非常恍惚,應該不太適合一個人待在家裡。於是叫了救護車把我送去醫院,後來就辦了住院,隔天就入住了。我運氣不錯,當時因為防役規定,要隔離住宿,剛好
真的要說,訓練自閉症者理解代名詞,是因為思維模式的不同。 不過,這要務必相信自閉症者能理解的事實。 在自閉症者從〝我〞來理解,比較容易見到另外兩個代名詞的關係 要是用普通人的〝肯納,你叫什麼名字?〞,自閉症者為了感知世界,而出現〝仿説〞的情況,甚至,答非所問。 因此,要協助自閉症者理解代名詞,務必先
Thumbnail
這個秋,Chill 嗨嗨!穿搭美美去賞楓,裝備款款去露營⋯⋯你的秋天怎麼過?秋日 To Do List 等你分享! 秋季全站徵文,我們準備了五個創作主題,參賽還有機會獲得「火烤兩用鍋」,一起來看看如何參加吧~
Thumbnail
11/20日NVDA即將公布最新一期的財報, 今天Sell Side的分析師, 開始調高目標價, 市場的股價也開始反應, 未來一週NVDA將重新回到美股市場的焦點, 今天我們要分析NVDA Sell Side怎麼看待這次NVDA的財報預測, 以及實際上Buy Side的倉位及操作, 從
Thumbnail
Hi 大家好,我是Ethan😊 相近大家都知道保濕是皮膚保養中最基本,也是最重要的一步。無論是在畫室裡長時間對著畫布,還是在旅途中面對各種氣候變化,保持皮膚的水分平衡對我來說至關重要。保濕化妝水不僅能迅速為皮膚補水,還能提升後續保養品的吸收效率。 曾經,我的保養程序簡單到只包括清潔和隨意上乳液
Thumbnail
短短兩年再次升遷... 老實說,在老闆正式公布之前,有猜想過,但第一直覺是「不可能吧!」,現在的狀態跟4月Appraisal談的需要達到的目標還有一段距離,自己也覺得時機未到,拼圖還差一塊還沒完整的感覺。但至於到底為什麼呢?在升遷的時候,老闆也有特別提到
有的星星兒和我一樣,是說了長篇大論,反而說不出重點。 因此,造成旁人的一頭霧水。 基於這點來說,星爸星媽需要時間,協助星星兒說出重點。 那麼,該怎麼做? 星爸媽先以示範傾聽,以星星兒得到有出口 簡單說,有的星星兒是不知道怎麼停下來。 因此,先以一定的時間為傾聽,並在有限的時間內,做星星兒
Thumbnail
「我知道她癡迷於我,但這正好滿足我渴望被關注的慾望, 所以我任由她闖入我的生活、侵蝕我的人生。」 #推嗎我不知道 #影集 #馴鹿寶貝 #不專業分享 #觀後感
Thumbnail
這是一篇關於作者如何成為一名職涯諮詢師的心路歷程。作者希望透過作者的專業,幫助那些正在職涯低潮,想要尋找工作熱情或對未來職涯感到迷茫的年輕人,陪伴年輕人走一段路。
Thumbnail
💡 什麼是登陸區(Landing Zone)?這是一種模塊化與可擴展的配置,讓組織可以因應商業需要動態使用Google Cloud。
這幾天,見到小犬颱風的預測路徑圖,甚至,有影片標題,是明天發海警,我倒是淡定。 為什麼?因為,我是主兒女。 對我而言,做好防颱的措施,不就安全? 只是,自閉症者沒有危機意識,反而在颱風到台灣,照顧者一不注意,自閉症者就跑出去了。 其實,我之前的文章,有提到關於自閉症者如何度過颱風假的訓練部分
Thumbnail
在這裡伴您入眠的是金烈水道的浪濤聲、喚您起床的是慈堤的日出。 原本是打算構築給子女們每人一棟的園長,憑藉他多年設計裝潢經驗,打造出全新的三棟歐式建築。正因原本準備給自家用,所有的用料,機能設計,都有滿滿家的感覺! 想有個看海聽濤倚夕照、觀星望斗眺遠橋的安樂窩嗎?選擇許家莊園,不僅能提供您絕佳的住宿體
Thumbnail
雖然說2020是台灣podcast元年,但是因為podcast的入門相對於youtube容易,因此就算是到現在(2023年),還是有很多新節目不斷開設。不管如何,對我來說有想法,想要說出來,podcast就是一個很好的途徑,他也是一個練習自己表達的方式。
Thumbnail
去年十一月初,我當時狀況很不好,自己一個人待在家,我姊人遠在台北,但在電話中覺得我不太對勁,就打電話報警,請警察來看。警察後來打回去告訴我姊說我很配合,但是非常恍惚,應該不太適合一個人待在家裡。於是叫了救護車把我送去醫院,後來就辦了住院,隔天就入住了。我運氣不錯,當時因為防役規定,要隔離住宿,剛好
真的要說,訓練自閉症者理解代名詞,是因為思維模式的不同。 不過,這要務必相信自閉症者能理解的事實。 在自閉症者從〝我〞來理解,比較容易見到另外兩個代名詞的關係 要是用普通人的〝肯納,你叫什麼名字?〞,自閉症者為了感知世界,而出現〝仿説〞的情況,甚至,答非所問。 因此,要協助自閉症者理解代名詞,務必先