Cuando diseñes e incorpores identidades de Cloud, jerarquías de recursos y redes de zonas de destino, ten en cuenta las recomendaciones de diseño en Diseño de la zona de destino en Google Cloud y las prácticas recomendadas de seguridad de Google Cloud que se abordan en el plano de bases empresariales. Valida el diseño seleccionado con los siguientes documentos:
- Prácticas recomendadas y arquitecturas de referencia para el diseño de VPC
- Decide una jerarquía de recursos para tu Google Cloud zona de destino
- Google Cloud Well-Architected Framework: Seguridad, privacidad y cumplimiento
Además, considera las siguientes prácticas recomendadas generales:
Cuando elijas una opción de conectividad de red híbrida o de múltiples nubes, ten en cuenta los requisitos empresariales y de aplicación, como los ANSs, el rendimiento, la seguridad, el costo, la confiabilidad y el ancho de banda. Para obtener más información, consulta Elige un producto de Conectividad de red y Patrones para conectar otros proveedores de servicios en la nube con Google Cloud.
Usa VPCs compartidas en Google Cloud en lugar de varias VPCs cuando sean apropiadas y estén alineadas con los requisitos de diseño de la jerarquía de recursos. Para obtener más información, consulta Decide si crear o no varias redes de VPC.
Sigue las prácticas recomendadas para planificar cuentas y organizaciones.
Cuando corresponda, establece una identidad común entre los entornos para que los sistemas puedan autenticarse con seguridad a través de los límites del entorno.
Para exponer de forma segura las aplicaciones a los usuarios corporativos en una configuración híbrida y elegir el enfoque que mejor se adapte a tus requisitos, debes seguir las formas recomendadas de integrar Google Cloud con tu sistema de administración de identidades.
Cuando diseñes tus entornos locales y de nube, considera la dirección IPv6 desde el principio y ten en cuenta qué servicios la admiten. Para obtener más información, consulta An Introduction to IPv6 on Google Cloud. Resume los servicios que eran compatibles cuando se escribió el blog.
Cuando diseñes, implementes y administres tus reglas de firewall de VPC, puedes hacer lo siguiente:
- Usa el filtrado basado en cuentas de servicio en lugar del filtrado basado en etiquetas de red si necesitas un control estricto sobre cómo se aplican las reglas de firewall a las VMs.
- Usa políticas de firewall cuando agrupes varias reglas de firewall para que puedas actualizarlas todas a la vez. También puedes hacer que la política sea jerárquica. Para obtener más información sobre las especificaciones y las políticas de los firewalls jerárquicos, consulta Políticas de firewall jerárquicas.
- Usa objetos de ubicación geográfica en la política de firewall cuando necesites filtrar el tráfico IPv4 externo y el tráfico IPv6 externo en función de ubicaciones geográficas o regiones específicas.
- Usa Threat Intelligence para reglas de políticas de firewall si necesitas proteger tu red mediante el permiso o el bloqueo de tráfico según los datos de Threat Intelligence, como las direcciones IP maliciosas conocidas o los rangos de direcciones IP de la nube pública. Por ejemplo, puedes permitir el tráfico de rangos de direcciones IP de nubes públicas específicos si tus servicios solo necesitan comunicarse con esa nube pública. Para obtener más información, consulta Prácticas recomendadas para las reglas de firewall.
Siempre debes diseñar la seguridad de tu red y nube con un enfoque de seguridad multicapa, considerando capas de seguridad adicionales, como las siguientes:
- Google Cloud Armor
- Sistema de detección de intrusiones de Cloud
- IPS de Cloud Next Generation Firewall
- Threat Intelligence para reglas de políticas de firewall
Estas capas adicionales pueden ayudarte a filtrar, inspeccionar y supervisar una amplia variedad de amenazas en las capas de red y de aplicación para su análisis y prevención.
Para la resolución de DNS en un entorno híbrido, te recomendamos que uses dos sistemas de DNS autorizados para tu entorno privado deGoogle Cloud y para tus recursos locales que se alojan en servidores DNS existentes en tu entorno local. Para obtener más información, consulta Elige dónde realizar la resolución de DNS.
Cuando sea posible, siempre expone aplicaciones a través de APIs mediante una puerta de enlace de API o un balanceador de cargas. Te recomendamos que consideres una plataforma de API como Apigee. Apigee actúa como una abstracción o fachada para tus APIs de servicio de backend, combinada con capacidades de seguridad, límites de frecuencia, cuotas y estadísticas.
Una plataforma de API (puerta de enlace o proxy) y un balanceador de cargas de aplicaciones no son mutuamente excluyentes. A veces, el uso de las puertas de enlace de API y los balanceadores de cargas en conjunto pueden proporcionar una solución más sólida y segura para administrar y distribuir el tráfico de API a gran escala. El uso de las puertas de enlace de la API de Cloud Load Balancing te permite lograr lo siguiente:
Entrega APIs de alto rendimiento con Apigee y Cloud CDN para hacer lo siguiente:
- Reducir la latencia
- Aloja las APIs en todo el mundo
Aumenta la disponibilidad para las temporadas de tráfico máximo
Para obtener más información, mira Delivering high-performanceAPIs with Apigee and Cloud CDN (Entrega APIs de alto rendimiento con Apigee y Cloud CDN) en YouTube.
Implementa la administración avanzada del tráfico.
Usa Cloud Armor como protección contra DSD, WAF y servicio de seguridad de red para proteger tus APIs.
Administra el balanceo de cargas eficiente en las puertas de enlace de varias regiones. Para obtener más información, consulta Protege las APIs e implementa la conmutación por error multirregional con PSC y Apigee.
Para determinar qué producto de Cloud Load Balancing usar, primero debes determinar qué tipo de tráfico deben manejar tus balanceadores de cargas. Para obtener más información, consulta Elige un balanceador de cargas.
Cuando se usa Cloud Load Balancing, debes usar sus capacidades de optimización de la capacidad de la aplicación cuando corresponda. Esto puede ayudarte a abordar algunos de los desafíos de capacidad que pueden surgir en las aplicaciones distribuidas a nivel global.
- Para obtener un análisis detallado sobre la latencia, consulta Optimiza la latencia de la aplicación con el balanceo de cargas.
Si bien Cloud VPN encripta el tráfico entre entornos, con Cloud Interconnect debes usar MACsec o VPN con alta disponibilidad en Cloud Interconnect para encriptar el tráfico en tránsito en la conectividad capa. Para obtener más información, consulta Cómo puedo encriptar mi tráfico en Cloud Interconnect
- También puedes considerar la encriptación de la capa de servicio con TLS. Para obtener más información, consulta Decide cómo cumplir con los requisitos de cumplimiento para la encriptación en tránsito.
Si necesitas más volumen de tráfico a través de una conectividad híbrida de VPN de lo que puede admitir un solo túnel de VPN, puedes considerar usar la opción de enrutamiento activo/activo de VPN con alta disponibilidad.
- Para configuraciones híbridas o de múltiples nubes a largo plazo con grandes volúmenes de transferencia de datos salientes, considera Cloud Interconnect o Cross-Cloud Interconnect. Estas opciones de conectividad ayudan a optimizar el rendimiento de la conectividad y pueden reducir los cargos por transferencia de datos salientes para el tráfico que cumple con ciertas condiciones. Para obtener más información, consulta los precios de Cloud Interconnect.
Cuando te conectes a Google Cloud recursos y trates de elegir entre Cloud Interconnect, el intercambio de tráfico directo o el intercambio de tráfico por proveedores, te recomendamos usar Cloud Interconnect, a menos que necesites acceder a las aplicaciones de Google Workspace. Para obtener más información, puedes comparar las características del intercambio de tráfico directo con Cloud Interconnect y el intercambio de tráfico por proveedores con Cloud Interconnect.
Deja espacio de dirección IP suficiente en tu espacio de dirección IP RFC 1918 existente para alojar tus sistemas en la nube.
Si tienes restricciones técnicas que te obligan a mantener tu rango de direcciones IP, puedes hacer lo siguiente:
Usa las mismas direcciones IP internas para tus cargas de trabajo locales mientras las migras a Google Cloud, con subredes híbridas.
Aprovisiona y usa tus propias direcciones IPv4 públicas para los recursos deGoogle Cloud con Usa tu propia IP (BYOIP) en Google.
Si el diseño de tu solución requiere exponer una aplicación basada enGoogle Clouda Internet pública, considera las recomendaciones de diseño que se analizan en Herramientas de redes para la entrega de aplicaciones orientadas a Internet.
Cuando corresponda, usa extremos de Private Service Connect para permitir que las cargas de trabajo en Google Cloud, de forma local o en otro entorno de nube con conectividad híbrida, accedan a las APIs de Google de forma privada o a servicios publicados, mediante direcciones IP internas de manera detallada.
Cuando usas Private Service Connect, debes controlar lo siguiente:
- Quién puede implementar recursos de Private Service Connect
- Si se pueden establecer conexiones entre consumidores y productores
- Qué tráfico de red puede acceder a esas conexiones
Para obtener más información, consulta Seguridad de Private Service Connect.
Para lograr una configuración de nube sólida en el contexto de la arquitectura de nube híbrida y de múltiples nubes:
- Realiza una evaluación integral de los niveles de confiabilidad requeridos de las diferentes aplicaciones en todos los entornos. Esto puede ayudarte a cumplir con tus objetivos de disponibilidad y resiliencia.
- Comprende las capacidades de confiabilidad y los principios de diseño de tu proveedor de servicios en la nube. Para obtener más información, consulta Google Cloud confiabilidad de la infraestructura.
La visibilidad y la supervisión de la red de la nube son esenciales para mantener comunicaciones confiables. Network Intelligence Center proporciona una sola consola para administrar la visibilidad, la supervisión y la solución de problemas de la red.