Cuando diseñas una red híbrida y de múltiples nubes, varios factores influyen en tus elecciones de arquitectura. Cuando analices tu diseño de redes híbridas y de múltiples nubes, ten en cuenta las siguientes consideraciones de diseño. Para compilar una arquitectura cohesiva, evalúa estas consideraciones de forma colectiva, no de forma aislada.
Conectividad híbrida y de múltiples nubes
La conectividad híbrida y de múltiples nubes se refiere a las conexiones de comunicación que vinculan el entorno local, Google Cloud y otros entornos de nube. Elegir el método de conectividad correcto es esencial para el éxito de las arquitecturas híbridas y de múltiples nubes, ya que estas conexiones transportan todo el tráfico entre entornos. Cualquier problema de rendimiento de la red, como la ancho de banda, la latencia, la pérdida de paquetes o el jitter, puede afectar directamente el rendimiento de las aplicaciones y los servicios empresariales.
Para la conectividad entre un entorno local y Google Cloud o cualquier otra nube, Google Cloud ofrece varias opciones de conectividad para elegir, como las siguientes:
Conectividad basada en Internet con direcciones IP públicas:
Transfiere datos entre Google Cloud y un entorno local o otro entorno de nube a través de Internet. Esta opción usa las direcciones IP externas públicas de una instancia, idealmente con encriptación en tránsito de la capa de aplicación.
Conectividad segura a través de las APIs con encriptación de seguridad de la capa de transporte (TLS) a través de la Internet pública. Esta opción requiere que la aplicación o las APIs de destino sean accesibles de forma pública desde Internet y que la aplicación realice la encriptación en tránsito.
Conectividad segura privada a través de la Internet pública a través de puertas de enlace de VPN con Cloud VPN o administradas por el cliente. Esta opción incluye el uso de un dispositivo virtual de red (NVA) que incluye soluciones de WAN definida por software (SD-WAN) de socios de Google Cloud. Estas soluciones están disponibles en Google Cloud Marketplace.
Se ofrece conectividad privada a través de un transporte privado mediante Cloud Interconnect (interconexión dedicada o interconexión de socio) que ofrece una experiencia más determinista rendimiento y tiene un ANS. Si se requiere encriptación en tránsito en la capa de conectividad de red, puedes usar VPN con alta disponibilidad en Cloud Interconnect o MACsec para Cloud Interconnect.
Cross-Cloud Interconnect proporciona a las empresas que usan entornos de múltiples nubes la capacidad de habilitar la conectividad privada y segura en todas las nubes (entre Google Cloud y los proveedores deservicio de nube compatible en determinadas ubicaciones). Esta opción tiene un rendimiento de línea con opciones de alta disponibilidad del 99.9% y el 99.99%, lo que, en última instancia, ayuda a reducir el costo total de propiedad (TCO) sin la complejidad y el costo de administrar la infraestructura. Además, si se requiere encriptación en tránsito en la capa de conectividad de red para mayor seguridad, Cross-Cloud Interconnect admite MACsec para la encriptación de Cloud Interconnect.
Considera usar Network Connectivity Center cuando se adapte al caso de uso de la arquitectura de tu solución en la nube. Network Connectivity Center es un framework de orquestación que proporciona conectividad de red entre los recursos de radio, como nubes privadas virtuales (VPC), dispositivos de router o conexiones híbridas que están conectadas a un recurso de administración central llamado concentrador. Un concentrador de Network Connectivity Center admite radios de VPC o radios híbridas. Para obtener más información, consulta Intercambio de rutas con conectividad de VPC. Además, para facilitar el intercambio de rutas con la instancia de Cloud Router, Network Connectivity Center habilita la integración de dispositivos virtuales de red de terceros. Esa integración incluye routers SD-WAN de terceros que son compatibles con los socios de Network Connectivity Center de Google Cloud.
Con la variedad de opciones de conectividad híbrida y de múltiples nubes disponibles, seleccionar la más adecuada requiere una evaluación exhaustiva de tus requisitos técnicos y comerciales. Estos requisitos incluyen los siguientes factores:
- Rendimiento de la red
- Seguridad
- Costo
- Confiabilidad y ANS
- Escalabilidad
Para obtener más información sobre cómo seleccionar una opción de conectividad a Google Cloud, consulta Elige un producto de Conectividad de red. Si deseas obtener orientación para seleccionar una opción de conectividad de red que cubra las necesidades de tu arquitectura multinube, consulta Patrones para conectar otros proveedores de servicios en la nube con Google Cloud.
VPCs y proyectos de Google Cloud
Puedes usar los patrones de arquitectura de red que se analizan en esta guía con un proyecto o varios, siempre que sea compatible. Un proyecto en Google Cloud contiene servicios y cargas de trabajo relacionados que tienen un solo dominio administrativo. Los proyectos son la base de los siguientes procesos:
- Crea, habilita y usa los servicios de Google Cloud
- Administra las APIs de servicios
- Habilita la facturación
- Cómo agregar y quitar colaboradores
- Administra permisos
Un proyecto puede contener una o más redes de VPC. Tu organización o la estructura de las aplicaciones que usas en un proyecto deben determinar si usar un solo proyecto o varios. Tu organización o la estructura de las aplicaciones también deben determinar cómo usar las VPC. Para obtener más información, consulta Elige una jerarquía de recursos para la zona de destino de Google Cloud.
Los siguientes factores pueden influir en si decides usar una sola VPC, varias VPC o una VPC compartida con uno o varios proyectos:
- Jerarquías de recursos de la organización
- Requisitos de tráfico de red, comunicación y dominio administrativo entre cargas de trabajo
- Requisitos de seguridad.
- Los requisitos de seguridad pueden requerir una inspección de firewall de capa 7 por parte de NVA de terceros ubicados en la ruta entre ciertas redes o aplicaciones.
- Administración de recursos.
- Las empresas que usan un modelo administrativo en el que el equipo de operaciones de red administra los recursos de red pueden requerir la separación de cargas de trabajo a nivel del equipo.
Decisiones de uso de la VPC
- El uso de VPC compartidas en varios proyectos de Google Cloud evita la necesidad de mantener muchas VPC individuales por carga de trabajo o por equipo.
- El uso de VPC compartidas habilita la administración centralizada de las redes de VPC
host, incluidos los siguientes factores técnicos:
- Configuración de intercambio de tráfico
- Configuración de subred
- Configuración de Cloud Firewall
- Configuración de permisos
A veces, es posible que necesites usar más de una VPC (o VPCs compartidas) para cumplir con los requisitos de escalamiento sin exceder los límites de recursos para una sola VPC.
Para obtener más información, consulta Decide si crear o no varias redes de VPC.
Resolución de DNS
En una arquitectura híbrida y de múltiples nubes, es esencial que el sistema de nombres de dominio (DNS) se extienda y se integre entre los entornos en los que se permite la comunicación. Esta acción ayuda a proporcionar una comunicación fluida entre diversos servicios y aplicaciones. También mantiene la resolución de DNS privada entre estos entornos.
En una arquitectura híbrida y de múltiples nubes con Google Cloud, puedes usar las funciones de intercambio de tráfico de DNS y reenvío de DNS para habilitar la integración de DNS entre diferentes entornos. Con estas capacidades de DNS, puedes abarcar los diferentes casos de uso que se pueden alinear con diferentes modelos de comunicación de red. Técnicamente, puedes usar zonas de reenvío de DNS para consultar servidores DNS locales y políticas de servidor DNS entrantes para permitir consultas desde entornos locales. También puedes usar el intercambio de tráfico de DNS para reenviar solicitudes de DNS dentro de los entornos de Google Cloud.
Para obtener más información, consulta Prácticas recomendadas para Cloud DNS y las arquitecturas de referencia para DNS híbrido con Google Cloud.
Para obtener información sobre los mecanismos de redundancia para mantener la disponibilidad de Cloud DNS en una configuración híbrida, consulta No es DNS: Cómo garantizar la alta disponibilidad en un entorno de nube híbrida. Mira también esta demostración de cómo diseñar y configurar un DNS privado de múltiples nubes entre AWS y Google Cloud.
Seguridad de la red en la nube
La seguridad de la red en la nube es una capa fundamental de seguridad en la nube. Para ayudar a administrar los riesgos del perímetro de red que se disuelve, permite a las empresas incorporar la supervisión de la seguridad, la prevención de amenazas y los controles de seguridad de la red.
Un enfoque estándar de seguridad de red local se basa principalmente en un perímetro distinto entre el perímetro de Internet y la red interna de una organización. Usa varios sistemas preventivos de seguridad de varias capas en la ruta de la red, como firewalls físicos, routers, sistemas de detección de intrusiones y otros.
Con la computación basada en la nube, este enfoque aún se puede aplicar en ciertos casos de uso. Sin embargo, no es suficiente para controlar la escala y la naturaleza distribuida y dinámica de las cargas de trabajo en la nube, como el ajuste de escala automático y las cargas de trabajo en contenedores. El enfoque de seguridad de red en la nube te ayuda a minimizar los riesgos, cumplir con los requisitos de cumplimiento y garantizar operaciones seguras y eficientes a través de varias capacidades centradas en la nube. Para obtener más información, consulta los beneficios de la seguridad de la red en la nube. Para proteger tu red, consulta también los desafíos de seguridad de las redes en la nube y las prácticas recomendadas generales de seguridad de las redes en la nube.
Adoptar una arquitectura de nube híbrida requiere una estrategia de seguridad que vaya más allá de replicar el enfoque local. Replicar ese enfoque puede limitar la flexibilidad del diseño. También puede exponer el entorno de nube a amenazas de seguridad. En su lugar, primero debes identificar las capacidades de seguridad de red centradas en la nube disponibles que cumplan con los requisitos de seguridad de tu empresa. También es posible que debas combinar estas funciones con soluciones de seguridad de terceros de socios de tecnología de Google Cloud, como dispositivos virtuales de red.
Para diseñar una arquitectura coherente en todos los entornos de una arquitectura de múltiples nubes, es importante identificar los diferentes servicios y capacidades que ofrece cada proveedor de servicios en la nube. En todos los casos, te recomendamos que uses una postura de seguridad unificada que tenga visibilidad en todos los entornos.
Para proteger tus entornos de arquitectura de nube híbrida, también debes considerar usar principios de defensa en profundidad.
Por último, diseña tu solución en la nube teniendo en cuenta la seguridad de la red desde el principio. Incorpora todas las capacidades requeridas como parte de tu diseño inicial. Este trabajo inicial te ayudará a evitar tener que realizar cambios importantes en el diseño para integrar funciones de seguridad más adelante en el proceso de diseño.
Sin embargo, la seguridad en la nube no se limita a la seguridad de las redes. Se debe aplicar durante todo el ciclo de vida de desarrollo de la aplicación en toda la pila de aplicaciones, desde el desarrollo hasta la producción y la operación. Lo ideal es que use varias capas de protección (el enfoque de defensa en profundidad) y herramientas de visibilidad de seguridad. Para obtener más información sobre cómo diseñar y operar servicios seguros en Google Cloud, consulta el pilar Seguridad, privacidad y cumplimiento del framework de arquitectura de Google Cloud.
Para proteger tus datos y tu infraestructura valiosos de una amplia variedad de amenazas, aplica un enfoque integral de la seguridad en la nube. Para anticiparte a las amenazas existentes, evalúa y define mejor tu estrategia de seguridad de forma continua.