Al diseñar una red híbrida y multinube, hay varios factores que influyen en las decisiones de arquitectura. Al analizar el diseño de tu red híbrida y multinube, ten en cuenta los siguientes aspectos. Para crear una arquitectura coherente, evalúa estos aspectos de forma conjunta, no por separado.
Conectividad híbrida y multinube
La conectividad híbrida y multinube hace referencia a las conexiones de comunicación que vinculan entornos on-premise, Google Cloudy otros entornos de nube. Elegir el método de conectividad adecuado es fundamental para el éxito de las arquitecturas híbridas y multinube, ya que estas conexiones transportan todo el tráfico entre entornos. Cualquier problema de rendimiento de la red, como el ancho de banda, la latencia, la pérdida de paquetes o la fluctuación, puede afectar directamente al rendimiento de las aplicaciones y los servicios empresariales.
Para la conectividad entre un entorno on-premise y Google Cloud u otras nubes, Google Cloud ofrece varias opciones de conectividad entre las que elegir, como las siguientes:
Conectividad basada en Internet mediante direcciones IP públicas:
Transfiere datos entre Google Cloud y un entorno on‐premise u otro entorno de nube a través de Internet. Esta opción usa las direcciones IP externas públicas de una instancia, preferiblemente con cifrado en tránsito de la capa de aplicación.
Conectividad segura a través de APIs con cifrado de seguridad en la capa de transporte (TLS) en la red de Internet pública. Para usar esta opción, las APIs de la aplicación o de destino deben ser accesibles públicamente desde Internet y la aplicación debe realizar el cifrado en tránsito.
Conectividad privada y segura a través de Internet público mediante Cloud VPN o pasarelas VPN gestionadas por el cliente. Esta opción incluye el uso de un dispositivo virtual de red (NVA), incluidas las soluciones de WAN definida por software (SD-WAN) de Google Cloud partners. Estas soluciones están disponibles en Google Cloud Marketplace.
Conectividad privada a través de un transporte privado mediante Cloud Interconnect (interconexión dedicada u Partner Interconnect), que ofrece un rendimiento más determinista y tiene un acuerdo de nivel de servicio. Si se requiere el cifrado en tránsito en la capa de conectividad de red, puedes usar VPN de alta disponibilidad mediante Cloud Interconnect o MACsec para Cloud Interconnect.
Interconexión entre nubes ofrece a las empresas que usan entornos multinube la posibilidad de habilitar una conectividad privada y segura entre nubes (entre Google Cloud y proveedores de servicios en la nube admitidos en determinadas ubicaciones). Esta opción tiene un rendimiento de velocidad de línea con opciones de alta disponibilidad del 99,9% y el 99,99%, lo que ayuda a reducir el coste total de propiedad sin la complejidad ni el coste de gestionar la infraestructura. Además, si se requiere cifrado en tránsito en la capa de conectividad de red para aumentar la seguridad, Cross-Cloud Interconnect admite MACsec para el cifrado de Cloud Interconnect.
Te recomendamos que uses Network Connectivity Center cuando se ajuste a la arquitectura de tu solución en la nube caso práctico. Network Connectivity Center es un framework de orquestación que proporciona conectividad de red entre recursos de radio, como nubes privadas virtuales (VPCs), dispositivos de router o conexiones híbridas que están conectadas a un recurso de gestión central llamado "hub". Un hub de Network Connectivity Center admite radios de VPC o radios híbridos. Para obtener más información, consulta Intercambio de rutas con conectividad de VPC. Además, para facilitar el intercambio de rutas con la instancia de Cloud Router, Network Connectivity Center permite la integración de dispositivos virtuales de red de terceros. Esta integración incluye routers SD-WAN de terceros que admiten Google Cloud los partners de Network Connectivity Center.
Dada la variedad de opciones de conectividad híbrida y multinube disponibles, para seleccionar la más adecuada es necesario evaluar a fondo los requisitos empresariales y técnicos. Estos requisitos incluyen los siguientes factores:
- Rendimiento de la red
- Seguridad
- Coste
- Fiabilidad y SLA
- Escalabilidad
Para obtener más información sobre cómo seleccionar una opción de conectividad para Google Cloud, consulta el artículo sobre cómo elegir un producto de conectividad de red. Para obtener información sobre cómo seleccionar una opción de conectividad de red que se adapte a las necesidades de tu arquitectura multicloud, consulta Patrones para conectar otros proveedores de servicios en la nube con Google Cloud.
Google Cloud proyectos y VPCs
Puedes usar los patrones de arquitectura de red que se describen en esta guía con uno o varios proyectos, según corresponda. Un proyecto de Google Cloud contiene servicios y cargas de trabajo relacionados que tienen un único dominio administrativo. Los proyectos son la base de los siguientes procesos:
- Crear, habilitar y usar servicios Google Cloud
- Gestionar APIs de servicios
- Habilitando la facturación
- Cómo añadir y eliminar colaboradores
- Gestionar permisos
Un proyecto puede contener una o varias redes de VPC. Tu organización o la estructura de las aplicaciones que usas en un proyecto deben determinar si debes usar un solo proyecto o varios. Tu organización o la estructura de las aplicaciones también deben determinar cómo usar las VPCs. Para obtener más información, consulta el artículo Decidir una jerarquía de recursos para tu zona de aterrizaje de Google Cloud .
Los siguientes factores pueden influir en tu decisión de usar una sola VPC, varias VPCs o una VPC compartida con uno o varios proyectos:
- Jerarquías de recursos de la organización.
- Requisitos de tráfico de red, comunicación y dominio administrativo entre cargas de trabajo.
- Requisitos de seguridad.
- Los requisitos de seguridad pueden requerir la inspección del firewall de capa 7 por parte de NVAs de terceros ubicadas en la ruta entre determinadas redes o aplicaciones.
- Gestión de recursos.
- Las empresas que usan un modelo administrativo en el que el equipo de operaciones de red gestiona los recursos de red pueden requerir la separación de las cargas de trabajo a nivel de equipo.
Decisiones sobre el uso de VPC.
- Si usas VPCs compartidas en varios Google Cloud proyectos, no tendrás que mantener muchas VPCs individuales por carga de trabajo o por equipo.
- El uso de VPCs compartidas permite gestionar de forma centralizada la red de la VPC host, incluidos los siguientes factores técnicos:
- Configuración del intercambio de tráfico entre redes
- Configuración de subred
- Configuración de Cloud Firewall
- Configuración de permisos
En ocasiones, es posible que necesites usar más de una VPC (o VPCs compartidas) para cumplir los requisitos de escalado sin superar los límites de recursos de una sola VPC.
Para obtener más información, consulta Decidir si crear varias redes de VPC.
Resolución de DNS
En una arquitectura híbrida y multicloud, es fundamental que el sistema de nombres de dominio (DNS) se amplíe y se integre entre los entornos en los que se permite la comunicación. Esta acción ayuda a que la comunicación entre los distintos servicios y aplicaciones sea fluida. También mantiene la resolución de DNS privada entre estos entornos.
En una arquitectura híbrida y multicloud con Google Cloud, puedes usar las funciones de emparejamiento de DNS y reenvío de DNS para habilitar la integración de DNS entre diferentes entornos. Con estas funciones de DNS, puedes cubrir los diferentes casos prácticos que se pueden alinear con distintos modelos de comunicación de red. Técnicamente, puedes usar zonas de reenvío de DNS para consultar servidores DNS on-premise y políticas de servidor DNS de entrada para permitir consultas de entornos on-premise. También puedes usar el peering de DNS para reenviar solicitudes de DNS en entornos de Google Cloud .
Para obtener más información, consulta las prácticas recomendadas de Cloud DNS y las arquitecturas de referencia para DNS híbrido con Google Cloud.
Para obtener información sobre los mecanismos de redundancia para mantener la disponibilidad de Cloud DNS en una configuración híbrida, consulta el artículo No es DNS: garantizar la alta disponibilidad en un entorno de nube híbrida. También puedes ver esta demostración sobre cómo diseñar y configurar un DNS privado multinube entre AWS y Google Cloud.
Seguridad de redes en la nube
La seguridad de redes en la nube es una capa básica de la seguridad en la nube. Para ayudar a gestionar los riesgos del perímetro de red en disolución, permite a las empresas insertar controles de seguridad, prevención de amenazas y seguridad de red.
Un enfoque estándar de la seguridad de la red on-premise se basa principalmente en un perímetro distinto entre el perímetro de Internet y la red interna de una organización. Utiliza varios sistemas preventivos de seguridad multicapa en la ruta de la red, como cortafuegos físicos, routers, sistemas de detección de intrusiones y otros.
Con la computación basada en la nube, este enfoque sigue siendo aplicable en determinados casos prácticos. Sin embargo, no es suficiente para gestionar la escala y la naturaleza distribuida y dinámica de las cargas de trabajo en la nube, como el autoescalado y las cargas de trabajo en contenedores. El enfoque de seguridad de redes en la nube te ayuda a minimizar los riesgos, cumplir los requisitos de cumplimiento y garantizar operaciones seguras y eficientes mediante varias funciones cloud-first. Para obtener más información, consulta las ventajas de la seguridad de redes en la nube. Para proteger tu red, consulta también los retos de seguridad de redes en la nube y las prácticas recomendadas de seguridad de redes en la nube.
Para adoptar una arquitectura de nube híbrida, es necesario contar con una estrategia de seguridad que vaya más allá de replicar el enfoque on-premise. Si se replica este enfoque, se puede limitar la flexibilidad del diseño. También puede exponer el entorno de nube a amenazas de seguridad. En su lugar, primero debes identificar las funciones de seguridad de red cloud-first disponibles que cumplan los requisitos de seguridad de tu empresa. También es posible que tengas que combinar estas funciones con soluciones de seguridad de terceros de Google Cloudpartners tecnológicos, como los dispositivos virtuales de red.
Para diseñar una arquitectura coherente en los distintos entornos de una arquitectura multinube, es importante identificar los diferentes servicios y funciones que ofrece cada proveedor de nube. En todos los casos, te recomendamos que utilices una postura de seguridad unificada que tenga visibilidad en todos los entornos.
Para proteger tus entornos de arquitectura de nube híbrida, también debes plantearte usar los principios de defensa en profundidad.
Por último, diseña tu solución en la nube teniendo en cuenta la seguridad de la red desde el principio. Incorpora todas las funciones necesarias en el diseño inicial. Este trabajo inicial te ayudará a evitar tener que hacer cambios importantes en el diseño para integrar funciones de seguridad más adelante en el proceso.
Sin embargo, la seguridad en la nube no se limita a la seguridad de redes. Se debe aplicar a lo largo de todo el ciclo de vida del desarrollo de la aplicación en toda la pila de la aplicación, desde el desarrollo hasta la producción y el funcionamiento. Lo ideal es que uses varias capas de protección (el enfoque de defensa en profundidad) y herramientas de visibilidad de seguridad. Para obtener más información sobre cómo diseñar y operar servicios seguros en Google Cloud, consulta el pilar de seguridad, privacidad y cumplimiento del framework Google Cloud Well-Architected.
Para proteger tus valiosos datos e infraestructura frente a una amplia gama de amenazas, adopta un enfoque integral de la seguridad en la nube. Para anticiparte a las amenazas, evalúa y perfecciona continuamente tu estrategia de seguridad.