Cuando diseñas una red híbrida y de múltiples nubes, varios factores influyen en tus elecciones de arquitectura. Cuando analices tu diseño de redes híbridas y de múltiples nubes, ten en cuenta las siguientes consideraciones de diseño. Para crear una arquitectura coherente, evalúa estas consideraciones de forma colectiva, no de forma aislada.
Conectividad híbrida y de múltiples nubes
La conectividad híbrida y de múltiples nubes se refiere a las conexiones de comunicación que vinculan el entorno local, Google Cloudy otros entornos de nube. Elegir el método de conectividad adecuado es fundamental para el éxito de las arquitecturas híbridas y de múltiples nubes, ya que estas conexiones transportan todo el tráfico entre entornos. Cualquier problema de rendimiento de la red, como el ancho de banda, la latencia, la pérdida de paquetes o la fluctuación, puede afectar directamente el rendimiento de las aplicaciones y los servicios empresariales.
Para la conectividad entre un entorno local y Google Cloudo otras nubes, Google Cloud ofrece variasopciones de conectividad para elegir, incluidas las siguientes:
Conectividad basada en Internet con direcciones IP públicas:
Transfiere datos entre Google Cloud y un entorno local o de otra nube a través de Internet. Esta opción usa las direcciones IP externas públicas de una instancia, idealmente con encriptación en tránsito de la capa de aplicación.
Conectividad segura a través de las APIs con encriptación de seguridad de la capa de transporte (TLS) a través de la Internet pública. Esta opción requiere que la aplicación o las APIs de destino sean accesibles de forma pública desde Internet y que la aplicación realice la encriptación en tránsito.
Conectividad segura privada a través de la Internet pública a través de puertas de enlace de VPN con Cloud VPN o administradas por el cliente. Esta opción incluye el uso de un dispositivo virtual de red (NVA), incluidas las soluciones de red de área extensa definida por software (SD-WAN) de Google Cloud socios. Estas soluciones están disponibles en Google Cloud Marketplace.
Se ofrece conectividad privada a través de un transporte privado mediante Cloud Interconnect (interconexión dedicada o interconexión de socio) que ofrece una experiencia más determinista rendimiento y tiene un ANS. Si se requiere encriptación en tránsito en la capa de conectividad de red, puedes usar VPN con alta disponibilidad en Cloud Interconnect o MACsec para Cloud Interconnect.
Cross-Cloud Interconnect proporciona a las empresas que usan entornos de múltiples nubes la capacidad de habilitar la conectividad privada y segura en todas las nubes (entreGoogle Cloud y los proveedores de servicios en la nube compatibles en determinadas ubicaciones). Esta opción tiene un rendimiento de velocidad de línea con opciones de alta disponibilidad del 99.9% y el 99.99%, lo que, en última instancia, ayuda a reducir el costo total de propiedad (TCO) sin la complejidad ni el costo de administrar la infraestructura. Además, si se requiere encriptación en tránsito en la capa de conectividad de red para mayor seguridad, Cross‑Cloud Interconnect admite MACsec para la encriptación de Cloud Interconnect.
Considera usar Network Connectivity Center cuando se ajuste a la arquitectura de tu solución en la nube caso de uso. Network Connectivity Center es un framework de orquestación que proporciona conectividad de red entre los recursos de radio, como las nubes privadas virtuales (VPC), los dispositivos de router o las conexiones híbridas que están conectadas a un recurso de administración central llamado concentrador. Un concentrador de Network Connectivity Center admite radios de VPC o radios híbridos. Para obtener más información, consulta Intercambio de rutas con conectividad de VPC. Además, para facilitar el intercambio de rutas con la instancia de Cloud Router, Network Connectivity Center habilita la integración de dispositivos virtuales de red de terceros. Esa integración incluye routers SD-WAN de terceros que son compatibles con Google Cloud socios de Network Connectivity Center.
Con la variedad de opciones de conectividad híbrida y de múltiples nubes disponibles, seleccionar la más adecuada requiere una evaluación exhaustiva de tus requisitos comerciales y técnicos. Estos requisitos incluyen los siguientes factores:
- Rendimiento de la red
- Seguridad
- Costo
- Confiabilidad y ANS
- Escalabilidad
Para obtener más información sobre cómo seleccionar una opción de conectividad para Google Cloud, consulta Elige un producto de Conectividad de red. Para obtener orientación sobre cómo seleccionar una opción de conectividad de red que satisfaga las necesidades de tu arquitectura de múltiples nubes, consulta Patrones para conectar otros proveedores de servicios en la nube con Google Cloud.
Google Cloud proyectos y VPCs
Puedes usar los patrones de arquitectura de redes que se analizan en esta guía con uno o varios proyectos, según se admita. Un proyecto en Google Cloud contiene servicios y cargas de trabajo relacionados que tienen un solo dominio administrativo. Los proyectos son la base de los siguientes procesos:
- Creación, habilitación y uso de servicios Google Cloud
- Administra las APIs de servicios
- Habilita la facturación
- Cómo agregar y quitar colaboradores
- Administra permisos
Un proyecto puede contener una o más redes de VPC. Tu organización o la estructura de las aplicaciones que usas en un proyecto deben determinar si usarás un solo proyecto o varios. Tu organización o la estructura de las aplicaciones también deben determinar cómo usar las VPC. Para obtener más información, consulta Elige una jerarquía de recursos para tu Google Cloud zona de destino.
Los siguientes factores pueden influir en tu decisión de usar una sola VPC, varias VPC o una VPC compartida con uno o varios proyectos:
- Jerarquías de recursos organizacionales
- Tráfico de red, comunicación y requisitos de dominio administrativo entre cargas de trabajo
- Requisitos de seguridad.
- Los requisitos de seguridad pueden requerir la inspección del firewall de capa 7 por parte de NVA de terceros ubicados en la ruta entre ciertas redes o aplicaciones.
- Administración de recursos.
- Las empresas que usan un modelo administrativo en el que el equipo de operaciones de red administra los recursos de redes pueden requerir la separación de cargas de trabajo a nivel del equipo.
Decisiones sobre el uso de la VPC
- El uso de VPC compartidas en varios proyectos Google Cloud evita la necesidad de mantener muchas VPC individuales por carga de trabajo o por equipo.
- El uso de VPC compartidas permite la administración centralizada de las redes de VPC host, incluidos los siguientes factores técnicos:
- Configuración de intercambio de tráfico
- Configuración de subred
- Configuración de Cloud Firewall
- Configuración de permisos
A veces, es posible que necesites usar más de una VPC (o VPCs compartidas) para cumplir con los requisitos de escalamiento sin exceder los límites de recursos para una sola VPC.
Para obtener más información, consulta Decide si crear o no varias redes de VPC.
Resolución de DNS
En una arquitectura híbrida y de múltiples nubes, es fundamental que el sistema de nombres de dominio (DNS) se extienda y se integre entre los entornos en los que se permite la comunicación. Esta acción ayuda a proporcionar una comunicación fluida entre varios servicios y aplicaciones. También mantiene la resolución de DNS privada entre estos entornos.
En una arquitectura híbrida y de múltiples nubes con Google Cloud, puedes usar las funciones de intercambio de tráfico de DNS y reenvío de DNS para habilitar la integración de DNS entre diferentes entornos. Con estas capacidades de DNS, puedes abarcar los diferentes casos de uso que se pueden alinear con diferentes modelos de comunicación de redes. Técnicamente, puedes usar zonas de reenvío del DNS para consultar servidores DNS locales y políticas de servidor DNS entrantes para permitir consultas desde entornos locales. También puedes usar el intercambio de tráfico de DNS para reenviar solicitudes de DNS dentro de los entornos de Google Cloud .
Para obtener más información, consulta las prácticas recomendadas para Cloud DNS y las arquitecturas de referencia para DNS híbrido con Google Cloud.
Para obtener información sobre los mecanismos de redundancia para mantener la disponibilidad de Cloud DNS en una configuración híbrida, consulta No es DNS: cómo garantizar la alta disponibilidad en un entorno de nube híbrida. Mira también esta demostración de cómo diseñar y configurar un DNS privado de múltiples nubes entre AWS y Google Cloud.
Seguridad de la red en la nube
La seguridad de la red en la nube es una capa fundamental de seguridad en la nube. Para ayudar a administrar los riesgos del perímetro de red que se disuelve, permite a las empresas incorporar la supervisión de la seguridad, la prevención de amenazas y los controles de seguridad de la red.
Un enfoque local estándar para la seguridad de la red se basa principalmente en un perímetro distinto entre el borde de Internet y la red interna de una organización. Utiliza varios sistemas preventivos de seguridad de varias capas en la ruta de la red, como firewalls físicos, routers, sistemas de detección de intrusiones y otros.
Con la computación basada en la nube, este enfoque sigue siendo aplicable en ciertos casos de uso. Sin embargo, no es suficiente para controlar la escala y la naturaleza distribuida y dinámica de las cargas de trabajo en la nube, como el ajuste de escala automático y las cargas de trabajo en contenedores. El enfoque de seguridad de red en la nube te ayuda a minimizar los riesgos, cumplir con los requisitos de cumplimiento y garantizar operaciones seguras y eficientes a través de varias capacidades centradas en la nube. Para obtener más información, consulta Beneficios de la seguridad de red en la nube. Para proteger tu red, consulta también los desafíos de seguridad de la red en la nube y las prácticas recomendadas generales de seguridad de la red en la nube.
Adoptar una arquitectura de nube híbrida requiere una estrategia de seguridad que vaya más allá de replicar el enfoque local. Replicar ese enfoque puede limitar la flexibilidad del diseño. También puede exponer el entorno de nube a amenazas de seguridad. En cambio, primero debes identificar las capacidades de seguridad de red centradas en la nube disponibles que satisfagan los requisitos de seguridad de tu empresa. También es posible que debas combinar estas capacidades con soluciones de seguridad de terceros de socios tecnológicos de Google Cloud, como dispositivos virtuales de red.
Para diseñar una arquitectura coherente en todos los entornos de una arquitectura de múltiples nubes, es importante identificar los diferentes servicios y capacidades que ofrece cada proveedor de servicios en la nube. En todos los casos, te recomendamos que utilices una postura de seguridad unificada que tenga visibilidad en todos los entornos.
Para proteger tus entornos de arquitectura de nube híbrida, también debes considerar usar principios de defensa en profundidad.
Por último, diseña tu solución en la nube teniendo en cuenta la seguridad de red desde el principio. Incorpora todas las capacidades requeridas como parte de tu diseño inicial. Este trabajo inicial te ayudará a evitar la necesidad de realizar cambios importantes en el diseño para integrar capacidades de seguridad más adelante en el proceso de diseño.
Sin embargo, la seguridad en la nube no se limita a la seguridad de redes. Se debe aplicar durante todo el ciclo de vida del desarrollo de la aplicación en toda la pila de la aplicación, desde el desarrollo hasta la producción y la operación. Lo ideal es que uses varias capas de protección (el enfoque de defensa en profundidad) y herramientas de visibilidad de seguridad. Para obtener más información sobre cómo diseñar y operar servicios seguros en Google Cloud, consulta el pilar de seguridad, privacidad y cumplimiento del Google Cloud Framework de Well-Architected.
Para proteger tus valiosos datos y tu infraestructura de una amplia variedad de amenazas, adopta un enfoque integral de la seguridad en la nube. Para mantenerte un paso adelante de las amenazas existentes, evalúa y define mejor tu estrategia de seguridad de forma continua.