關於著陸區(Landing Zone) | Google Cloud

閱讀時間約 7 分鐘
💡 什麼是登陸區(Landing Zone)?這是一種模塊化與可擴展的配置,讓組織可以因應商業需求而動態使用Google Cloud。

著陸區(Landing Zone)

正如房屋需要牢固的地基以確保穩定性耐用性,組織在任何雲端環境中都需要登陸區以實現治理、安全性、效率、擴展性成本最佳化事實上登陸區又稱作cloud foundation,也可得知是開始利用雲端運算的一切基礎。

另一個舉例,可以將雲端中的登陸區(Landing Zone)可比喻為軍事概念中的非軍事區(DMZ, demilitarized zone)。當通過非軍事區時,您會受到嚴格的管制,邊界的管理,以確保安全性、法規遵循與治理,目前最有名的非軍事區可能為南韓和北韓的交界處

DMZ, North Korea

DMZ, North Korea

同理,在雲端世界的登陸區中,也會強制執行嚴格的控制與存取政策,以保護邊界內的敏感資料與運算資源,確保只有擁有權限的人員才能存取雲端的基礎設施。

我們為什麼在任何雲端中都需要登陸區?

雲端中登陸區為雲端部署提供了標準化與安全的基礎,確保一致性、擴展性與治理。它建立了在組織雲端環境中管理資源、安全控制與存取政策的框架。想像一間公司有多個團隊在雲端上進行不同的專案。如果沒有登陸區,每個團隊可能會獨立建立自己的基礎設施與安全措施。這可能會導致不一致、安全漏洞,以及管理資源上的困難。

沒有登陸區可能會發生哪些問題?

雲端是一種可從網際網路取得的服務,所以一切都是公開共享的。這意味著雲端無異於別人的資料中心,當我們想要遷移組織的運算資源或使用雲端技術帶來的便利時。我們會面臨各種挑戰,如缺乏集中化的治理、安全控制、一致性,以及最重要的網路管理等。這些問題可能導致營運效率不佳、安全風險增加以及法規遵循上的差距。

每個雲端供應商在我們正式開始雲端之旅前,都會建議先建立登陸區。 Google Cloud landing zone提供了建立雲端部署堅實基礎的全面性方法。

什麼是Google Cloud landing zone?

Google Cloud的登陸區可以幫助您的企業更安全地部署、使用和擴展 Google Cloud 服務。登陸區是動態的,並且可以隨著企業隨時間採用更多基於雲端的工作負載而進行擴展。

登陸區跨越多個領域並包含不同的元素[1],例如身分、資源管理、安全和網路…(identities, resource management, security, and networking…)。

下圖[2]示範 Google Cloud 中混合雲和內部部署連接的基礎設施即服務(IaaS)使用案例:

raw-image

要特別注意登陸區沒有單一或標準的實現方式。企業必須根據不同因素做出許多設計選擇,包括:

  • 您的行業
  • 您的組織結構和流程
  • 您的安全和合規要求
  • 您要遷移到Google Cloud的工作負載
  • 您現有的IT基礎設施和其他雲環境
  • 您的業務客戶的位置

不同的業務和技術需求會導致不同的登陸區設計。要為您的獨特情況開發最佳解決方案,與Google Cloud專家合作非常重要。他們可以協助評估選項並設計符合您業務目標的登陸區。

我該在什麼時候建立登陸區?

最佳實踐建議在 Google Cloud 上部署任何主要應用程式或工作負載之前建立登陸區。這是因為登陸區提供了幾個關鍵好處:

  • 首先,它提供了安全的基礎。
  • 其次,它建立了必要的網路基礎設施,以有效支持您的企業工作負載。
  • 最後,它為您提供了管理和在組織內部分配成本的基本工具。

這可以確保在遷移和部署應用程式和工作負載之前,治理、安全性、合規性和成本管理等關鍵要素已就緒。登陸區為您的雲端之旅奠定堅實的基礎。

GCP 登陸區的關鍵組成:

  • 組織層級架構(Organization Hierarchy) #一定要先建立Organization[3]
  • 身分識別與存取管理 (identity and access management, IAM)
  • 網路架構(Network Architecture)
  • 安全性與合規性(Security and Compliance)
  • 監控與記錄(Monitoring and Logging)

登陸區的專案步驟架構:

raw-image
  1. Cloud Identity使用者的來源與創建(從地端Active Directory同步或其他來源migrate進來)
  2. 設定IAM,進行GCP權限的控管與分配
  3. 設置Org Policies,全域規定組織的使用規範(例如說正式環境的VM永遠不能有外部ip…)
  4. 建立數位圍籬[4],建立邊界來保護您明確指定的服務資源和機敏資料
  5. 網路架構規劃(Shared VPC[5]為例,用一個專案去分享/控管整個GCP的網路規劃、防火牆規劃)
  6. 規劃進行災難復原(DR)、高可用(HA)等的資料中心
  7. VPN/interonnect,與企業地端內網相連,使GCP成為企業內網的延伸
  8. log的收集與管理,以符合合規性和易於管理
  9. 服務如何監控、監控標的選擇、告警水位的設定、告警時間顆粒的的設置
  10. 建立企業對內/對外的服務(application)專案
  11. 基於安全性,確保服務使用google private access[6]來進行存取GCP資源,CloudNAT[7]來出去外網(egress)
  12. 建立load balancer,搭配armor,實施平衡負載和管理對外的流量

如果你喜歡這篇文章歡迎幫我按愛心鼓勵一下喔!~閱讀愉快!~

延伸閱讀

相關連結

[1] https://cloud.google.com/architecture/landing-zones#elements

[2] https://cloud.google.com/architecture/landing-zones#elements:~:text=The%20example%20architecture%20in%20the%20preceding%20diagram%20shows%20a%20Google%20Cloud%20landing%20zone%20that%20includes%20the%20following%20Google%20Cloud%20services%20and%20features%3A

[3] https://cloud.google.com/architecture/landing-zones#elements:~:text=To%20deploy%20a%20landing%20zone%2C%20you%20must%20first%20create%20an%20organization%20resource%20and%20create%20a%20billing%20account%2C%20either%20online%20or%20invoiced

[4] https://cloud.google.com/vpc-service-controls/docs/overview

[5] https://cloud.google.com/vpc/docs/shared-vpc

[6] https://cloud.google.com/vpc/docs/private-google-access

[7] https://cloud.google.com/nat/docs/overview

18會員
41內容數
歡迎來到「Marcos的方格子」!目前在「Marcos談科技」撰寫在職涯上學習到的知識,在「Marcos談書」分享我在日常的閱讀和心得,歡迎您的到來!!
留言0
查看全部
發表第一個留言支持創作者!
Marcos的方格子 的其他內容
數位轉型是對組織運作方式的根本性重塑。 數位轉型使用各種不同的資訊技術並利用數據驅動來優化工作流程,達到對快速變動的市場更快、更智能、更即時的決策。最終,改變了客戶的期望並創造了新的商機。
宣告式管理是一種管理方法,其中您描述系統或資源的期望狀態,而不必關心實際如何達到該狀態。kubectl apply 命令在 Kubernetes 中實現了這種宣告式管理方式,以下是執行指令時的運作流程...
Kubernetes 是一個開源的容器管理平台,它可以幫助您自動化容器應用程式的部署、擴展和管理。在 Kubernetes 中,有兩種主要的管理方式:命令式和宣告式。
什麼是dynatrace? dynatrace在Gartner的分類是屬於APM(應用程式效能監控)的類別。
隨著應用程式底層架構的演變,監控工具也在不斷發展。第二代監控工具(Gen 2)逐漸顯露出其限制和不足,而第三代監控工具(Gen 3)已經在許多方面取得了突破性的進展。
應用程式效能監控(APM)的演變 Gen1-APM隨著JAVA興起日漸重要 應用程式效能監控市場的發展歷程可追溯至1990s末期,當時Wily Technology(後來被CA收購)和Precise Software處於領先地位。 第一代的應用程式效能管理(APM)解決方案因應Java的快速興
數位轉型是對組織運作方式的根本性重塑。 數位轉型使用各種不同的資訊技術並利用數據驅動來優化工作流程,達到對快速變動的市場更快、更智能、更即時的決策。最終,改變了客戶的期望並創造了新的商機。
宣告式管理是一種管理方法,其中您描述系統或資源的期望狀態,而不必關心實際如何達到該狀態。kubectl apply 命令在 Kubernetes 中實現了這種宣告式管理方式,以下是執行指令時的運作流程...
Kubernetes 是一個開源的容器管理平台,它可以幫助您自動化容器應用程式的部署、擴展和管理。在 Kubernetes 中,有兩種主要的管理方式:命令式和宣告式。
什麼是dynatrace? dynatrace在Gartner的分類是屬於APM(應用程式效能監控)的類別。
隨著應用程式底層架構的演變,監控工具也在不斷發展。第二代監控工具(Gen 2)逐漸顯露出其限制和不足,而第三代監控工具(Gen 3)已經在許多方面取得了突破性的進展。
應用程式效能監控(APM)的演變 Gen1-APM隨著JAVA興起日漸重要 應用程式效能監控市場的發展歷程可追溯至1990s末期,當時Wily Technology(後來被CA收購)和Precise Software處於領先地位。 第一代的應用程式效能管理(APM)解決方案因應Java的快速興
你可能也想看
Google News 追蹤
Thumbnail
接下來第二部分我們持續討論美國總統大選如何佈局, 以及選前一週到年底的操作策略建議 分析兩位候選人政策利多/ 利空的板塊和股票
Thumbnail
🤔為什麼團長的能力是死亡筆記本? 🤔為什麼像是死亡筆記本呢? 🤨作者巧思-讓妮翁死亡合理的幾個伏筆
這幾天,見到小犬颱風的預測路徑圖,甚至,有影片標題,是明天發海警,我倒是淡定。 為什麼?因為,我是主兒女。 對我而言,做好防颱的措施,不就安全? 只是,自閉症者沒有危機意識,反而在颱風到台灣,照顧者一不注意,自閉症者就跑出去了。 其實,我之前的文章,有提到關於自閉症者如何度過颱風假的訓練部分
Thumbnail
在這裡伴您入眠的是金烈水道的浪濤聲、喚您起床的是慈堤的日出。 原本是打算構築給子女們每人一棟的園長,憑藉他多年設計裝潢經驗,打造出全新的三棟歐式建築。正因原本準備給自家用,所有的用料,機能設計,都有滿滿家的感覺! 想有個看海聽濤倚夕照、觀星望斗眺遠橋的安樂窩嗎?選擇許家莊園,不僅能提供您絕佳的住宿體
Thumbnail
雖然說2020是台灣podcast元年,但是因為podcast的入門相對於youtube容易,因此就算是到現在(2023年),還是有很多新節目不斷開設。不管如何,對我來說有想法,想要說出來,podcast就是一個很好的途徑,他也是一個練習自己表達的方式。
Thumbnail
去年十一月初,我當時狀況很不好,自己一個人待在家,我姊人遠在台北,但在電話中覺得我不太對勁,就打電話報警,請警察來看。警察後來打回去告訴我姊說我很配合,但是非常恍惚,應該不太適合一個人待在家裡。於是叫了救護車把我送去醫院,後來就辦了住院,隔天就入住了。我運氣不錯,當時因為防役規定,要隔離住宿,剛好
真的要說,訓練自閉症者理解代名詞,是因為思維模式的不同。 不過,這要務必相信自閉症者能理解的事實。 在自閉症者從〝我〞來理解,比較容易見到另外兩個代名詞的關係 要是用普通人的〝肯納,你叫什麼名字?〞,自閉症者為了感知世界,而出現〝仿説〞的情況,甚至,答非所問。 因此,要協助自閉症者理解代名詞,務必先
相信在自閉症者完全不知道說,我又沒有做任何事,也沒有說到刺激的話,怎麼會生氣了? 例如,你明明每天吃得這麼少,怎麼體型都沒有變? 其實,這是自閉症者感受不到別人的聽到這話立場同理心導致。 其重要前提,是先建立〝說者無心,聽者有意〞的認知。 畢竟,對自閉症者而言,反而不知道,什麼詞句被什麼人聽到,有所
Thumbnail
講起著衫嘅話,我最近發生咗一件咁樣嘅事……
Thumbnail
乘載夢想或寄託思念,接前續後、跌宕昇湧的悲與戀,大海廣闊的意象總能給一則故事帶來更深邃的浪漫。或許你以為這只是一部典型的日式喜劇動畫──確實如此,倘若你也是個浸身在一成不變的生活裡、時常於現實的溝壑邊緣遠眺夢想之海的人魚,那麼這部應該能帶你一嘗海水的味道。
Thumbnail
今日關鍵字是「軒端」 在日本建築當中,「軒」很常見,也有兩種唸法,意思不同
Thumbnail
每當離開旅館,甚至旅程結束,第一件事往往想到的總是「回到現實」,但是有些旅館的住宿、設計理念,是否在自己居住的地方也可以營造?旅行過後,究竟我想過一個怎樣的生活、想有怎樣的住宿?是不是因為「生活太難」就只有埋怨和等運到?能不能先從小事做起?
Thumbnail
接下來第二部分我們持續討論美國總統大選如何佈局, 以及選前一週到年底的操作策略建議 分析兩位候選人政策利多/ 利空的板塊和股票
Thumbnail
🤔為什麼團長的能力是死亡筆記本? 🤔為什麼像是死亡筆記本呢? 🤨作者巧思-讓妮翁死亡合理的幾個伏筆
這幾天,見到小犬颱風的預測路徑圖,甚至,有影片標題,是明天發海警,我倒是淡定。 為什麼?因為,我是主兒女。 對我而言,做好防颱的措施,不就安全? 只是,自閉症者沒有危機意識,反而在颱風到台灣,照顧者一不注意,自閉症者就跑出去了。 其實,我之前的文章,有提到關於自閉症者如何度過颱風假的訓練部分
Thumbnail
在這裡伴您入眠的是金烈水道的浪濤聲、喚您起床的是慈堤的日出。 原本是打算構築給子女們每人一棟的園長,憑藉他多年設計裝潢經驗,打造出全新的三棟歐式建築。正因原本準備給自家用,所有的用料,機能設計,都有滿滿家的感覺! 想有個看海聽濤倚夕照、觀星望斗眺遠橋的安樂窩嗎?選擇許家莊園,不僅能提供您絕佳的住宿體
Thumbnail
雖然說2020是台灣podcast元年,但是因為podcast的入門相對於youtube容易,因此就算是到現在(2023年),還是有很多新節目不斷開設。不管如何,對我來說有想法,想要說出來,podcast就是一個很好的途徑,他也是一個練習自己表達的方式。
Thumbnail
去年十一月初,我當時狀況很不好,自己一個人待在家,我姊人遠在台北,但在電話中覺得我不太對勁,就打電話報警,請警察來看。警察後來打回去告訴我姊說我很配合,但是非常恍惚,應該不太適合一個人待在家裡。於是叫了救護車把我送去醫院,後來就辦了住院,隔天就入住了。我運氣不錯,當時因為防役規定,要隔離住宿,剛好
真的要說,訓練自閉症者理解代名詞,是因為思維模式的不同。 不過,這要務必相信自閉症者能理解的事實。 在自閉症者從〝我〞來理解,比較容易見到另外兩個代名詞的關係 要是用普通人的〝肯納,你叫什麼名字?〞,自閉症者為了感知世界,而出現〝仿説〞的情況,甚至,答非所問。 因此,要協助自閉症者理解代名詞,務必先
相信在自閉症者完全不知道說,我又沒有做任何事,也沒有說到刺激的話,怎麼會生氣了? 例如,你明明每天吃得這麼少,怎麼體型都沒有變? 其實,這是自閉症者感受不到別人的聽到這話立場同理心導致。 其重要前提,是先建立〝說者無心,聽者有意〞的認知。 畢竟,對自閉症者而言,反而不知道,什麼詞句被什麼人聽到,有所
Thumbnail
講起著衫嘅話,我最近發生咗一件咁樣嘅事……
Thumbnail
乘載夢想或寄託思念,接前續後、跌宕昇湧的悲與戀,大海廣闊的意象總能給一則故事帶來更深邃的浪漫。或許你以為這只是一部典型的日式喜劇動畫──確實如此,倘若你也是個浸身在一成不變的生活裡、時常於現實的溝壑邊緣遠眺夢想之海的人魚,那麼這部應該能帶你一嘗海水的味道。
Thumbnail
今日關鍵字是「軒端」 在日本建築當中,「軒」很常見,也有兩種唸法,意思不同
Thumbnail
每當離開旅館,甚至旅程結束,第一件事往往想到的總是「回到現實」,但是有些旅館的住宿、設計理念,是否在自己居住的地方也可以營造?旅行過後,究竟我想過一個怎樣的生活、想有怎樣的住宿?是不是因為「生活太難」就只有埋怨和等運到?能不能先從小事做起?