Cuando se diseña una red híbrida y de múltiples nubes, varios factores influyen en las elecciones de arquitectura. Cuando analices tu diseño de redes híbridas y de múltiples nubes, ten en cuenta las siguientes consideraciones de diseño. Para compilar una arquitectura coherente, evalúa estas consideraciones de forma colectiva, no de forma aislada.
Conectividad híbrida y de múltiples nubes
La conectividad híbrida y de múltiples nubes se refiere a las conexiones de comunicación que vinculan el entorno local, Google Cloud y otros entornos de nube. Elegir el método de conectividad correcto es esencial para el éxito de las arquitecturas híbridas y de múltiples nubes, ya que estas conexiones llevan todo el tráfico entre entornos. Cualquier problema de rendimiento de la red, como el ancho de banda, la latencia, la pérdida de paquetes o el jitter, puede afectar directamente el rendimiento de las aplicaciones y los servicios empresariales.
Para la conectividad entre un entorno local y Google Cloud o cualquier otra nube, Google Cloud ofrece varias opciones de conectividad que puedes seleccionar, incluidas las siguientes:
Conectividad basada en Internet con direcciones IP públicas:
Transfiere datos entre Google Cloud y un entorno local o cualquier otro entorno de nube a través de Internet. Esta opción usa las direcciones IP externas públicas de una instancia, idealmente con la encriptación en tránsito de la capa de la aplicación.
Conectividad segura a través de las APIs con encriptación de seguridad de la capa de transporte (TLS) a través de la Internet pública. Esta opción requiere que la aplicación o las APIs de destino sean accesibles de forma pública desde Internet y que la aplicación realice la encriptación en tránsito.
Conectividad segura privada a través de la Internet pública a través de puertas de enlace de VPN con Cloud VPN o administradas por el cliente. Esta opción incluye el uso de un dispositivo virtual de red (NVA), incluidas las soluciones de WAN definidas por software (SD-WAN) de los socios de Google Cloud. Estas soluciones están disponibles en Google Cloud Marketplace.
Se ofrece conectividad privada a través de un transporte privado mediante Cloud Interconnect (interconexión dedicada o interconexión de socio) que ofrece una experiencia más determinista rendimiento y tiene un ANS. Si se requiere encriptación en tránsito en la capa de conectividad de red, puedes usar VPN con alta disponibilidad en Cloud Interconnect o MACsec para Cloud Interconnect.
Cross-Cloud Interconnect proporciona a las empresas que usan entornos de múltiples nubes la capacidad de habilitar la conectividad privada y segura en todas las nubes (entre Google Cloud y los proveedores deservicio de nube compatible en determinadas ubicaciones). Esta opción tiene un rendimiento de tasa de línea con opciones de alta disponibilidad del 99.9% y el 99.99%, lo que, en última instancia, ayuda a reducir el costo total de propiedad (TCO) sin la complejidad y el costo de la administración de la infraestructura. Además, si se requiere encriptación en tránsito en la capa de conectividad de red para mayor seguridad, Cross-Cloud Interconnect admite MACsec para la encriptación de Cloud Interconnect.
Considera usar Network Connectivity Center cuando se adapte al caso de uso de la arquitectura de tu solución en la nube. Network Connectivity Center es un framework de organización que proporciona conectividad de red entre recursos de radio, como nubes privadas virtuales (VPC), dispositivos de router o conexiones híbridas que son conectadas a un recurso de administración central denominado concentrador. Un concentrador de Network Connectivity Center admite radios de VPC o radios híbridos. Para obtener más información, consulta Intercambio de rutas con conectividad de VPC. Además, para facilitar el intercambio de rutas con la instancia de Cloud Router, Network Connectivity Center habilita la integración de dispositivos virtuales de red de terceros. Esa integración incluye routers SD-WAN de terceros que son compatibles con los socios de Network Connectivity Center de Google Cloud.
Con la variedad de opciones de conectividad de nube híbrida y de múltiples nubes disponibles, seleccionar la más adecuada requiere una evaluación exhaustiva de tus requisitos empresariales y técnicos. Estos requisitos incluyen los siguientes factores:
- Rendimiento de la red
- Seguridad
- Costo
- Confiabilidad y ANS
- Escalabilidad
Para obtener más información sobre cómo seleccionar una opción de conectividad a Google Cloud, consulta Elige un producto de Conectividad de red. Para obtener orientación sobre cómo seleccionar una opción de conectividad de red que satisfaga las necesidades de tu arquitectura de múltiples nubes, consulta Patrones para conectar otros proveedores de servicios en la nube con Google Cloud.
VPCs y proyectos de Google Cloud
Puedes usar los patrones de arquitectura de herramientas de redes que se analizan en esta guía con uno o varios proyectos cuando sean compatibles. Un proyecto en Google Cloud contiene cargas de trabajo y servicios relacionados que tienen un solo dominio administrativo. Los proyectos constituyen la base para los siguientes procesos:
- Crear, habilitar y usar servicios de Google Cloud
- Administra las APIs de servicios
- Habilitar la facturación
- Agrega y quita colaboradores
- Administra permisos
Un proyecto puede contener una o más redes de VPC. Tu organización o la estructura de las aplicaciones que usas en un proyecto debe determinar si usarás uno o varios proyectos. Tu organización o la estructura de las aplicaciones también deben determinar cómo usar las VPC. Para obtener más información, consulta Elige una jerarquía de recursos para la zona de destino de Google Cloud.
Los siguientes factores pueden influir en si decides usar una sola VPC, varias VPC o una VPC compartida con uno o varios proyectos:
- Jerarquías de recursos organizacionales.
- Requisitos de tráfico de red, comunicación y dominio administrativo entre cargas de trabajo.
- Requisitos de seguridad.
- Los requisitos de seguridad pueden requerir una inspección de firewall de capa 7 por parte de NVA de terceros ubicados en la ruta entre ciertas redes o aplicaciones.
- Administración de recursos.
- Las empresas que usan un modelo administrativo en el que el equipo de operaciones de red administra los recursos de red pueden requerir la separación de las cargas de trabajo a nivel del equipo.
Decisiones de uso de VPC.
- El uso de VPC compartidas en varios proyectos de Google Cloud evita la necesidad de mantener muchas VPC individuales por carga de trabajo o por equipo.
- El uso de VPC compartidas permite la administración centralizada de las herramientas de redes de VPC del host, incluidos los siguientes factores técnicos:
- Configuración de intercambio de tráfico
- Configuración de subred
- Configuración de Cloud Firewall
- Configuración de permisos
A veces, es posible que necesites usar más de una VPC (o VPCs compartidas) para cumplir con los requisitos de escalamiento sin exceder los límites de recursos para una sola VPC.
Para obtener más información, consulta Decide si crear o no varias redes de VPC.
Resolución de DNS
En una arquitectura híbrida y de múltiples nubes, es esencial que el sistema de nombres de dominio (DNS) se extienda y se integre entre los entornos en los que se permita la comunicación. Esta acción ayuda a proporcionar una comunicación sin interrupciones entre varios servicios y aplicaciones. También mantiene la resolución de DNS privado entre estos entornos.
En una arquitectura híbrida y de múltiples nubes con Google Cloud, puedes usar las funciones de intercambio de tráfico de DNS y reenvío de DNS para habilitar la integración de DNS entre diferentes entornos. Con estas funciones de DNS, puedes abarcar los diferentes casos de uso que pueden alinearse con diferentes modelos de comunicación de red. Técnicamente, puedes usar zonas de reenvío de DNS para consultar servidores DNS locales y políticas de servidor DNS entrantes para permitir consultas entornos locales. También puedes usar el intercambio de tráfico de DNS para reenviar solicitudes de DNS dentro de los entornos de Google Cloud.
Si deseas obtener más información, consulta Prácticas recomendadas para Cloud DNS y arquitecturas de referencia para DNS híbrido con Google Cloud.
Si deseas obtener información sobre los mecanismos de redundancia para mantener la disponibilidad de Cloud DNS en una configuración híbrida, consulta No es DNS: garantiza una alta disponibilidad en un entorno de nube híbrida. Mira también esta demostración de cómo diseñar y configurar un DNS privado de múltiples nubes entre AWS y Google Cloud.
Seguridad de la red en la nube
La seguridad de la red en la nube es una capa fundamental de seguridad en la nube. Para ayudar a administrar los riesgos del perímetro de red que se resuelve, permite a las empresas incorporar la supervisión de la seguridad, la prevención de amenazas y los controles de seguridad de la red.
Un enfoque estándar local para la seguridad de red se basa, en principio, en un perímetro distinto entre el perímetro de Internet y la red interna de una organización. Usa varios sistemas preventivos de seguridad de varias capas en la ruta de red, como firewalls físicos, routers, sistemas de detección de intrusiones y otros.
Con la computación basada en la nube, este enfoque aún se aplica en ciertos casos de uso. Sin embargo, no es suficiente para manejar la escala y la naturaleza distribuida y dinámica de las cargas de trabajo en la nube, como el ajuste de escala automático y las cargas de trabajo alojadas en contenedores. El enfoque de seguridad de la red en la nube te ayuda a minimizar los riesgos, cumplir con los requisitos de cumplimiento y garantizar operaciones seguras y eficientes a través de varias capacidades centradas en la nube. Para obtener más información, consulta Beneficios de la seguridad de la red de Cloud. Para proteger tu red, también consulta los desafíos de la seguridad de la red de Cloud y las prácticas recomendadas generales de seguridad de la red de Cloud.
Adoptar una arquitectura de nube híbrida requiere una estrategia de seguridad que vaya más allá de replicar el enfoque local. Replicar ese enfoque puede limitar la flexibilidad del diseño. También puede exponer el entorno de la nube a amenazas de seguridad. En su lugar, primero debes identificar las capacidades de seguridad de red centradas en la nube disponibles que cumplen con los requisitos de seguridad de tu empresa. Es posible que también debas combinar estas capacidades con soluciones de seguridad de terceros de los socios de tecnología de Google Cloud, como dispositivos virtuales de red.
Para diseñar una arquitectura coherente entre entornos en una arquitectura de múltiples nubes, es importante identificar los diferentes servicios y capacidades que ofrece cada proveedor de servicios en la nube. Te recomendamos, en todos los casos, que uses una postura de seguridad unificada que tenga visibilidad en todos los entornos.
Para proteger los entornos de arquitectura de nube híbrida, también debes considerar usar principios de defensa en profundidad.
Por último, diseña tu solución en la nube con la seguridad de la red en mente desde el principio. Incorpora todas las capacidades necesarias como parte de tu diseño inicial. Este trabajo inicial te ayudará a evitar la necesidad de realizar cambios importantes en el diseño para integrar las capacidades de seguridad más adelante en el proceso de diseño.
Sin embargo, la seguridad en la nube no se limita a la seguridad de las redes. Debe aplicarse durante todo el ciclo de vida de desarrollo de la aplicación en toda la pila de aplicaciones, desde el desarrollo hasta la producción y la operación. Lo ideal sería usar varias capas de protección (el enfoque de defensa en profundidad) y herramientas de visibilidad de seguridad. Para obtener más información sobre cómo diseñar y operar servicios seguros en Google Cloud, consulta el pilador de seguridad, privacidad y cumplimiento del framework de arquitectura de Google Cloud.
Para proteger tu infraestructura y tus datos valiosos de una amplia gama de amenazas, adopta un enfoque integral de seguridad en la nube. Para anticiparte a las amenazas existentes, evalúa y define mejor tu estrategia de seguridad de forma continua.