En este documento, se destacan las consideraciones de diseño principales que desempeñan un papel fundamental en la configuración de tu arquitectura híbrida y de múltiples nubes general. Analiza y evalúa de forma integral estas consideraciones en toda la arquitectura de tu solución, abarcando todas las cargas de trabajo, no solo las específicas.
Refactorizar
En una migración de refactorización, debes modificar tus cargas de trabajo para aprovechar las capacidades de la nube y no solo para que funcionen en el entorno nuevo. Puedes mejorar cada carga de trabajo para el rendimiento, las funciones, el costo y la experiencia del usuario. Como se destaca en Refactor: move and improve, algunos casos de refactorización te permiten modificar las cargas de trabajo antes de migrarlas a la nube. Este enfoque de refactorización ofrece los siguientes beneficios, en especial si tu objetivo es compilar una arquitectura híbrida como una arquitectura objetivo a largo plazo:
- Puedes mejorar el proceso de implementación.
- Puedes ayudar a acelerar la cadencia de actualización y acortar los ciclos de respuesta invirtiendo en la infraestructura y herramientas de integración continua/implementación continua (CI/CD).
- Puedes usar la refactorización como base para compilar y administrar una arquitectura híbrida con portabilidad de aplicaciones.
Para que funcione bien, este enfoque suele requerir ciertas inversiones en infraestructura y herramientas locales. Por ejemplo, configurar un registro de Container Registry local y aprovisionar clústeres de Kubernetes para crear contenedores para aplicaciones. La edición Enterprise de Google Kubernetes Engine (GKE) puede ser útil en este enfoque para entornos híbridos. En la siguiente sección, se incluye más información sobre GKE Enterprise. También puedes consultar la arquitectura de referencia del entorno híbrido de GKE Enterprise para obtener más detalles.
Portabilidad de la carga de trabajo
Con las arquitecturas híbridas y de varias nubes, es posible que desees poder cambiar las cargas de trabajo entre los entornos de computación que alojan tus datos. Para facilitar el movimiento fluido de las cargas de trabajo entre entornos, considera los siguientes factores:
- Puedes mover una aplicación de un entorno de procesamiento a otro sin modificar significativamente la aplicación ni su modelo operativo:
- La implementación y la administración de la aplicación son coherentes en todos los entornos de computación.
- La visibilidad, la configuración y la seguridad son coherentes en todos los entornos de procesamiento.
- La capacidad de hacer que una carga de trabajo sea portátil no debe generar un conflicto con el hecho de que la carga de trabajo sea centrada en la nube.
Automatización de la infraestructura
La automatización de la infraestructura es fundamental para la portabilidad en arquitecturas híbridas y de múltiples nubes. Un enfoque común para automatizar la creación de infraestructura es a través de la infraestructura como código (IaC). La IaC implica administrar tu infraestructura en archivos en lugar de configurar recursos manualmente (como una VM, un grupo de seguridad o un balanceador de cargas) en una interfaz de usuario. Terraform es una herramienta de IaC popular para definir recursos de infraestructura en un archivo. Terraform también te permite automatizar la creación de esos recursos en entornos heterogéneos.
Para obtener más información sobre las funciones principales de Terraform que pueden ayudarte a automatizar el aprovisionamiento y la administración de recursos de Google Cloud , consulta Planos y módulos de Terraform para Google Cloud.
Puedes usar herramientas de administración de configuración, como Ansible, Puppet o Chef para establecer un proceso común de implementación y configuración. Otra alternativa es usar una herramienta de creación de imágenes como Packer para crear imágenes de VM para diferentes plataformas. Con un solo archivo de configuración compartido, puedes usar Packer y Cloud Build para crear una imagen de VM que se pueda usar en Compute Engine. Por último, puedes usar soluciones como Prometheus y Grafana para garantizar la supervisión coherente en los entornos.
En función de estas herramientas, puedes combinar una cadena de herramientas común como se ilustra en el siguiente diagrama lógico. Esta cadena de herramientas común abstrae las diferencias entre los entornos de computación. También te permite unificar el aprovisionamiento, la implementación, la administración y la supervisión.
Aunque una cadena de herramientas común puede ayudarte a lograr la portabilidad, esta presenta varias de las siguientes deficiencias:
- Usar VMs como base común puede dificultar la implementación de aplicaciones verdaderamente centradas en la nube. Además, usar solo VMs puede impedir que uses servicios administrados en la nube. Es posible que pierdas oportunidades para reducir la sobrecarga administrativa.
- El desarrollo y mantenimiento de una cadena de herramientas común generan gastos de sobrecarga y operativos.
- A medida que se expande la cadena de herramientas, puede desarrollar complejidades únicas adaptadas a las necesidades específicas de tu empresa. Esta mayor complejidad puede contribuir a un aumento de los costos de entrenamiento.
Antes de decidir desarrollar herramientas y automatización, explora los servicios administrados que ofrece tu proveedor de servicios en la nube. Cuando tu proveedor ofrece servicios administrados que admiten el mismo caso de uso, puedes abstraer parte de su complejidad. De esta manera, puedes enfocarte en la carga de trabajo y la arquitectura de la aplicación en lugar de la infraestructura subyacente.
Por ejemplo, puedes usar el modelo de recursos de Kubernetes para automatizar la creación de clústeres de Kubernetes con un enfoque de configuración declarativa. Puedes usar Deployment Manager Convert para convertir tus configuraciones y plantillas de Deployment Manager a otros formatos de configuración declarativa que admite Google Cloud (como Terraform y el modelo de recursos de Kubernetes) para que sean portátiles cuando los publiques.
También puedes considerar la opción de automatizar la creación de proyectos y la creación de recursos dentro de esos proyectos. Esta automatización puede ayudarte a adoptar un enfoque de infraestructura como código para el aprovisionamiento de proyectos.
Contenedores y Kubernetes
El uso de capacidades administradas en la nube ayuda a reducir la complejidad de crear y mantener una cadena de herramientas personalizada para lograr la automatización y la portabilidad de la carga de trabajo. Sin embargo, usar solo VMs como base común dificulta la implementación de aplicaciones verdaderamente centradas en la nube. Una solución es usar contenedores y Kubernetes.
Los contenedores ayudan a que el software se ejecute de manera confiable cuando lo mueves de un entorno a otro. Debido a que los contenedores desacoplan las aplicaciones de la infraestructura del host subyacente, facilitan la implementación en entornos de procesamiento, como los híbridos y de múltiples nubes.
Kubernetes se encarga de la organización, la implementación, el escalamiento y la administración de tus aplicaciones en contenedores. Es de código abierto y se rige por la Cloud Native Computing Foundation. El uso de Kubernetes proporciona los servicios que forman la base de una aplicación que prioriza la nube. Debido a que puedes instalar y ejecutar Kubernetes en muchos entornos de computación, también puedes usarlo para establecer una capa de entorno de ejecución común en los entornos de computación:
- Kubernetes proporciona los mismos servicios y las API en una nube o en un entorno de computación privado. Además, el nivel de abstracción es mucho mayor que cuando se trabaja con VM, lo que generalmente se traduce en un menor trabajo de base y una mayor productividad de los desarrolladores.
- A diferencia de una cadena de herramientas personalizadas, Kubernetes se utiliza ampliamente para el desarrollo y la administración de aplicaciones, por lo que puedes aprovechar la experiencia, la documentación y el soporte de terceros existentes.
- Kubernetes admite todas las implementaciones de contenedores que cumplen con los siguientes requisitos:
- Admite la interfaz de entorno de ejecución del contenedor (CRI) de Kubernetes.
- Se adoptan en la industria para la aplicación
- No están vinculados a ningún proveedor específico.
Cuando una carga de trabajo se ejecuta en Google Cloud, puedes evitar el esfuerzo de instalar y operar Kubernetes usando una plataforma administrada de Kubernetes, como Google Kubernetes Engine (GKE). Esto puede ayudar al personal de operaciones a cambiar su enfoque de la creación y el mantenimiento de la infraestructura a la creación y el mantenimiento de las aplicaciones.
También puedes usar Autopilot, un modo de operación de GKE que administra la configuración de tu clúster, incluidos los nodos, el escalamiento, la seguridad y otros parámetros de configuración ya establecidos. Cuando uses GKE Autopilot, ten en cuenta tus requisitos de escalamiento y sus límites de escalamiento.
Técnicamente, puedes instalar y ejecutar Kubernetes en muchos entornos de computación para establecer una capa de entorno de ejecución común. Sin embargo, en la práctica, compilar y operar una arquitectura de este tipo puede generar complejidad. La arquitectura se vuelve aún más compleja cuando se requiere un control de seguridad a nivel del contenedor (malla de servicios).
Para simplificar la administración de implementaciones de varios clústeres, puedes usar GKE Enterprise para ejecutar aplicaciones modernas en cualquier lugar a gran escala. GKE incluye potentes componentes administrados de código abierto para proteger las cargas de trabajo, aplicar políticas de cumplimiento y proporcionar una observabilidad y solución de problemas de red profundas.
Como se ilustra en el siguiente diagrama, usar GKE Enterprise significa que puedes operar aplicaciones de varios clústeres como flotas.
GKE Enterprise ayuda con las siguientes opciones de diseño para admitir arquitecturas híbridas y de múltiples nubes:
Diseñar y compilar experiencias similares a las de la nube a nivel local o soluciones unificadas para la transición de aplicaciones al entorno híbrido de GKE Enterprise Para obtener más información, consulta la arquitectura de referencia del entorno híbrido de GKE Enterprise.
Diseña y crea una solución para resolver la complejidad de las múltiples nubes con una postura coherente de administración, operaciones y seguridad con GKE Multi-Cloud. Para obtener más información, consulta la documentación de GKE Multi-Cloud.
GKE Enterprise también proporciona agrupaciones lógicas de entornos similares con seguridad, configuración y administración de servicios coherentes. Por ejemplo, GKE Enterprise potencia la arquitectura distribuida de confianza cero. En una arquitectura distribuida de confianza cero, los servicios que se implementan de forma local o en otro entorno de nube pueden comunicarse entre entornos a través de comunicaciones seguras de servicio a servicio con mTLS de extremo a extremo.
Consideraciones sobre la portabilidad de la carga de trabajo
Kubernetes y GKE Enterprise proporcionan una capa de abstracción para las cargas de trabajo que puede ocultar las numerosas complejidades y diferencias entre los entornos de computación. En la siguiente lista, se describen algunas de esas abstracciones:
- Una aplicación puede ser portátil para un entorno diferente con cambios mínimos, pero eso no implica que se desempeñará de la misma manera en ambos entornos.
- Las diferencias en la infraestructura de computación subyacente, las capacidades de seguridad de la infraestructura o la infraestructura de redes, junto con la proximidad a los servicios dependientes, pueden dar lugar a un rendimiento sustancialmente diferente.
- Mover una carga de trabajo entre los entornos de computación también puede requerir mover datos.
- Los diferentes entornos pueden tener diferentes servicios e instalaciones de almacenamiento y administración de datos.
- El comportamiento y el rendimiento de los balanceadores de cargas aprovisionados con Kubernetes o GKE Enterprise pueden diferir entre los entornos.
Transferencia de datos
Dado que puede ser complejo mover, compartir y acceder a los datos a gran escala entre los entornos de procesamiento, las empresas a nivel empresarial pueden dudar en crear una arquitectura híbrida o de varias nubes. Esta duda puede aumentar si ya almacenan la mayor parte de sus datos de forma local o en una nube.
Sin embargo, las diversas opciones de movimiento de datos que ofrece Google Cloudproporcionan a las empresas un conjunto integral de soluciones para ayudarlas a mover, integrar y transformar sus datos. Estas opciones ayudan a las empresas a almacenar, compartir y acceder a los datos en diferentes entornos de una manera que satisfaga sus casos de uso específicos. En última instancia, esa capacidad facilita que los encargados de tomar decisiones comerciales y tecnológicas adopten arquitecturas híbridas y de múltiples nubes.
El movimiento de datos es un factor importante que se debe tener en cuenta en la planificación de la estrategia y la arquitectura híbrida y de múltiples nubes. Tu equipo debe identificar los diferentes casos de uso de tu empresa y los datos que los respaldan. También debes tener en cuenta el tipo de almacenamiento, la capacidad, la accesibilidad y las opciones de movimiento.
Si una empresa tiene una clasificación de datos para industrias reguladas, esa clasificación puede ayudar a identificar las ubicaciones de almacenamiento y las restricciones de movimiento de datos entre regiones para ciertas clases de datos. Para obtener más información, consulta Sensitive Data Protection. Sensitive Data Protection es un servicio completamente administrado diseñado para ayudarte a descubrir, clasificar y proteger tus recursos de datos.
Para explorar el proceso, desde la planificación de una transferencia de datos hasta el uso de prácticas recomendadas para implementar un plan, consulta Migración a Google Cloud: Transfiere tus conjuntos de datos grandes.
Seguridad
A medida que las organizaciones adoptan arquitecturas híbridas y de varias nubes, su superficie de ataque puede aumentar según la forma en que sus sistemas y datos se distribuyen en diferentes entornos. En combinación con el panorama de amenazas en constante evolución, el aumento de las superficies de ataque puede generar un mayor riesgo de acceso no autorizado, pérdida de datos y otros incidentes de seguridad. Ten en cuenta la seguridad cuando planifiques e implementes estrategias híbridas o de múltiples nubes.
Para obtener más información, consulta Administración de la superficie de ataque para Google Cloud.
Cuando se diseña una arquitectura híbrida, no siempre es técnicamente factible o viable extender los enfoques de seguridad locales a la nube. Sin embargo, muchas de las capacidades de seguridad de redes de los dispositivos de hardware son funciones centradas en la nube y operan de forma distribuida. Para obtener más información sobre las capacidades de seguridad de red centradas en la nube de Google Cloud, consulta Seguridad de red en la nube.
Las arquitecturas híbridas y de múltiples nubes pueden generar desafíos de seguridad adicionales, como la coherencia y la observabilidad. Cada proveedor de servicios en la nube pública tiene su propio enfoque de seguridad, que incluye diferentes modelos, prácticas recomendadas, capacidades de seguridad de infraestructura y aplicaciones, obligaciones de cumplimiento y hasta los nombres de los servicios de seguridad. Estas incoherencias pueden aumentar el riesgo de seguridad. Además, el modelo de responsabilidad compartida de cada proveedor de servicios en la nube puede ser diferente. Es fundamental identificar y comprender la demarcación exacta de responsabilidades en una arquitectura de múltiples nubes.
La observabilidad es clave para obtener estadísticas y métricas de los diferentes entornos. En una arquitectura de varias nubes, cada nube suele proporcionar herramientas para supervisar la postura de seguridad y los errores de configuración. Sin embargo, el uso de estas herramientas genera una visibilidad aislada, lo que impide crear inteligencia sobre amenazas avanzada en todo el entorno. Como resultado, el equipo de seguridad debe cambiar entre herramientas y paneles para mantener la nube segura. Sin una visibilidad integral de la seguridad de extremo a extremo para los entornos híbridos y de múltiples nubes, es difícil priorizar y mitigar las vulnerabilidades.
Para obtener la visibilidad y la postura completas de todos tus entornos, prioriza tus vulnerabilidades y mitiga las que identifiques. Te recomendamos un modelo de visibilidad centralizado. Un modelo de visibilidad centralizado evita la necesidad de correlación manual entre diferentes herramientas y paneles de diferentes plataformas. Para obtener más información, consulta Patrones de registro y supervisión de nubes híbridas y múltiples.
Como parte de tu planificación para mitigar los riesgos de seguridad y, también, implementar cargas de trabajo enGoogle Cloud, y para ayudarte a planificar y diseñar tu solución en la nube para cumplir con tus objetivos de seguridad y cumplimiento de normas, explora el Google Cloud centro de prácticas recomendadas de seguridad y el plano de bases empresariales.
Los objetivos de cumplimiento pueden variar, ya que están influenciados por las reglamentaciones específicas de la industria y los diferentes requisitos reglamentarios de las distintas regiones y países. Para obtener más información, consulta el Google Cloud Centro de recursos de cumplimiento. Estos son algunos de los principales enfoques recomendados para diseñar arquitecturas híbridas y de múltiples nubes seguras:
Desarrollar una estrategia y una arquitectura de seguridad en la nube unificadas y personalizadas Las estrategias de seguridad híbrida y de múltiples nubes deben adaptarse a las necesidades y los objetivos específicos de tu organización.
Es fundamental comprender la arquitectura y el entorno objetivo antes de implementar los controles de seguridad, ya que cada entorno puede usar diferentes funciones, configuraciones y servicios.
Considera una arquitectura de seguridad unificada en entornos híbridos y de múltiples nubes.
Estandarizar el diseño y las implementaciones de la nube, en especial el diseño y las capacidades de seguridad Esto puede mejorar la eficiencia y habilitar la administración y las herramientas unificadas.
Usar varios controles de seguridad
Por lo general, ningún control de seguridad único puede abordar de manera adecuada todos los requisitos de protección de seguridad. Por lo tanto, las organizaciones deben usar una combinación de controles de seguridad en un enfoque de defensa en capas, también conocido como defensa en profundidad.
Supervisa y mejora continuamente las posturas de seguridad: Tu organización debe supervisar sus diferentes entornos en busca de amenazas y vulnerabilidades de seguridad. También debe intentar mejorar continuamente su postura de seguridad.
Considera usar la administración de la postura de seguridad en la nube (CSPM) para identificar y corregir errores de configuración de seguridad y amenazas de ciberseguridad. La CSPM también proporciona evaluaciones de vulnerabilidades en entornos híbridos y de múltiples nubes.
Security Command Center es una solución integrada de seguridad y administración de riesgos para Google Cloudque ayuda a identificar parámetros de configuración incorrectos, vulnerabilidades y mucho más. Security Health Analytics es una herramienta administrada de análisis de evaluación de vulnerabilidades. Es una función de Security Command Center que identifica los riesgos y las vulnerabilidades de seguridad en tu entorno deGoogle Cloud y proporciona recomendaciones para solucionarlos.
Mandiant Attack Surface Management para Google Cloud permite que tu organización vea mejor los activos de su entorno de nube híbrida o multinube. Descubre automáticamente los recursos de varios proveedores de servicios en la nube, DNS y la superficie de ataque externa extendida para que tu empresa comprenda mejor su ecosistema. Usa esta información para priorizar la corrección de las vulnerabilidades y exposiciones que representan el mayor riesgo.
- Solución de administración de información y eventos de seguridad (SIEM) en la nube: Ayuda a recopilar y analizar registros de seguridad de entornos híbridos y de varias nubes para detectar amenazas y responder a ellas. El SIEM de Google Security Operations de Google Cloud ayuda a proporcionar información de seguridad y administración de eventos recopilando, analizando, detectando e investigando todos tus datos de seguridad en un solo lugar.