Bonnes pratiques générales

Last reviewed 2025-01-23 UTC

Lorsque vous concevez et intégrez des identités cloud, la hiérarchie des ressources et les réseaux de zones de destination, tenez compte des recommandations de conception de la page Conception des zones de destination dans Google Cloud et des bonnes pratiques de sécurité Google Cloud traitées dans le plan de base de l'entreprise. Validez la conception sélectionnée par rapport aux documents suivants :

Tenez également compte des bonnes pratiques générales suivantes :

  • Lorsque vous choisissez une option de connectivité réseau hybride ou multicloud, tenez compte des exigences de l'entreprise et des applications, telles que les SLA, les performances, la sécurité, le coût, la fiabilité et la bande passante. Pour en savoir plus, consultez Choisir un produit de connectivité réseau et Modèles pour la connexion d'autres fournisseurs de services cloud avec Google Cloud.

  • Utilisez des VPC partagés sur Google Cloud au lieu de plusieurs VPC, le cas échéant et conformément aux exigences de conception de votre hiérarchie des ressources. Pour en savoir plus, consultez Choisir de créer ou non plusieurs réseaux VPC.

  • Suivez les bonnes pratiques de planification des comptes et des entreprises.

  • Le cas échéant, établissez une identité commune entre les environnements afin que les systèmes puissent s'authentifier de manière sécurisée dans les limites de l'environnement.

  • Pour exposer en toute sécurité les applications aux utilisateurs d'entreprise dans une configuration hybride et pour choisir l'approche la mieux adaptée à vos besoins, suivez la méthode recommandée pour intégrer Google Cloud à votre système de gestion des identités.

  • Lorsque vous concevez vos environnements sur site et cloud, pensez à l'adressage IPv6 dès le début et tenez compte des services qui le prennent en charge. Pour en savoir plus, consultez Présentation d'IPv6 sur Google Cloud. Cette section récapitule les services compatibles lors de la rédaction du blog.

  • Lorsque vous concevez, déployez et gérez vos règles de pare-feu VPC, vous pouvez :

  • Vous devez toujours concevoir la sécurité de votre cloud et de votre réseau en utilisant une approche de sécurité multicouche. Pour ce faire, tenez compte des couches de sécurité supplémentaires, comme les suivantes :

    Ces couches supplémentaires peuvent vous aider à filtrer, inspecter et surveiller un large éventail de menaces au niveau des couches réseau et application pour l'analyse et la prévention.

  • Afin de décider du cadre d'exécution de la résolution DNS dans une configuration hybride, nous vous conseillons de mettre en place deux systèmes DNS faisant autorité pour votre environnementGoogle Cloud privé et pour vos ressources sur site hébergées par des serveurs DNS existants dans votre environnement sur site. Pour en savoir plus, consultez Choisir où la résolution DNS est effectuée.

  • Dans la mesure du possible, exposez toujours les applications via des API à l'aide d'un équilibreur de charge ou d'une passerelle d'API. Nous vous recommandons d'envisager d'utiliser une plate-forme d'API comme Apigee. Apigee sert d'abstraction ou de façade pour vos API de service de backend, associées à des fonctionnalités de sécurité, une limitation du débit, des quotas et des analyses.

  • Une plate-forme d'API (passerelle ou proxy) et un équilibreur de charge d'application ne s'excluent pas mutuellement. Parfois, l'utilisation conjointe de passerelles d'API et d'équilibreurs de charge peut fournir une solution plus robuste et sécurisée pour gérer et distribuer le trafic d'API à grande échelle. L'utilisation des passerelles d'API Cloud Load Balancing vous permet d'effectuer les opérations suivantes :

  • Pour déterminer le produit Cloud Load Balancing à utiliser, vous devez d'abord déterminer le type de trafic que vos équilibreurs de charge doivent gérer. Pour en savoir plus, consultez la page Choisir un équilibreur de charge.

  • Lorsque vous utilisez Cloud Load Balancing, vous devez exploiter ses fonctionnalités d'optimisation de la capacité des applications, le cas échéant. Cela peut vous aider à résoudre certains problèmes de capacité qui peuvent survenir dans les applications distribuées à l'échelle mondiale.

  • Alors que Cloud VPN chiffre le trafic entre les environnements, avec Cloud Interconnect, vous devez utiliser MACsec ou un VPN haute disponibilité sur Cloud Interconnect pour chiffrer le trafic en transit au niveau de la connectivité. Pour en savoir plus, consultez la section Comment chiffrer le trafic sur Cloud Interconnect ?

  • Si vous avez besoin d'un volume de trafic plus important sur une connectivité hybride VPN que ce qu'un seul tunnel VPN peut prendre en charge, vous pouvez envisager d'utiliser l'option de routage VPN haute disponibilité actif/actif.

    • Pour les configurations hybrides ou multicloud à long terme avec des volumes de transfert de données sortantes élevés, envisagez d'utiliser Cloud Interconnect ou interconnexion cross-cloud. Ces options de connectivité permettent d'optimiser les performances de connectivité et peuvent réduire les frais de transfert de données sortantes pour le trafic qui remplit certaines conditions. Pour en savoir plus, consultez la section sur les tarifs de Cloud Interconnect.

  • Lorsque vous vous connectez à Google Cloud des ressources et que vous essayez de choisir entre Cloud Interconnect, l'appairage direct ou l'appairage opérateur, nous vous recommandons d'utiliser Cloud Interconnect, sauf si vous avez besoin d'accéder aux applications Google Workspace. Pour en savoir plus, comparez les caractéristiques de l'appairage direct avec Cloud Interconnect et de l'appairage opérateur avec Cloud Interconnect.

  • Prévoyez suffisamment d'espace d'adressage IP à partir de votre espace d'adressage IP RFC 1918 existant pour accueillir vos systèmes hébergés sur le cloud.

  • Si vous avez des restrictions techniques qui vous obligent à conserver votre plage d'adresses IP, vous pouvez :

    • Utiliser les mêmes adresses IP internes pour vos charges de travail sur site lors de leur migration vers Google Cloud, à l'aide de sous-réseaux hybrides.

    • Provisionner et utiliser vos propres adresses IPv4 publiques pour les ressourcesGoogle Cloud à l'aide de l'option BYOIP (Bring your own IP) de Google.

  • Si la conception de votre solution nécessite l'exposition d'une application basée surGoogle Cloudà l'Internet public, tenez compte des recommandations de conception abordées dans Mise en réseau pour la diffusion d'applications Web.

  • Le cas échéant, utilisez des points de terminaison Private Service Connect pour permettre aux charges de travail dans Google Cloud, sur site ou dans un autre environnement cloud avec connectivité hybride d'accéder de manière privée aux API Google ou aux services publiés, en utilisant des adresses IP internes de manière précise.

  • Lorsque vous utilisez Private Service Connect, vous devez contrôler les éléments suivants :

    • Personnes autorisées à déployer des ressources Private Service Connect.
    • Si des connexions peuvent être établies ou non entre les consommateurs et les producteurs.
    • Le trafic réseau autorisé à accéder à ces connexions.

    Pour en savoir plus, consultez Points de terminaison Private Service Connect.

  • Pour obtenir une configuration cloud robuste dans le contexte d'une architecture hybride et multicloud :

    • Évaluez de manière exhaustive les niveaux de fiabilité requis pour les différentes applications dans les environnements. Cela peut vous aider à atteindre vos objectifs de disponibilité et de résilience.
    • Comprendre les fonctionnalités de fiabilité et les principes de conception de votre fournisseur de services cloud. Pour en savoir plus, consultez Fiabilité de l'infrastructureGoogle Cloud .

  • La visibilité et la surveillance du réseau cloud sont essentielles pour maintenir des communications fiables. Network Intelligence Center fournit une console unique permettant de gérer la visibilité, la surveillance et le dépannage du réseau.

Précédent
Modèle de transfert
Suivant
Étapes suivantes