Cuando diseñes e integres identidades en la nube, jerarquía de recursos y redes de zona de destino, ten en cuenta las recomendaciones de diseño en Diseño de la zona de destino en Google Cloud y las prácticas recomendadas de seguridad de Google Cloud que se abordan en el plano de bases empresariales. Valida el diseño seleccionado con los siguientes documentos:
- Prácticas recomendadas y arquitecturas de referencia para el diseño de VPC
- Diseña la infraestructura de red
- Framework de la arquitectura de Google Cloud: Seguridad, privacidad y cumplimiento
Además, ten en cuenta las siguientes prácticas recomendadas generales:
Cuando elijas una opción de conectividad de red híbrida o de múltiples nubes, ten en cuenta los requisitos empresariales y de aplicación, como los ANSs, el rendimiento, la seguridad, el costo, la confiabilidad y el ancho de banda. Para obtener más información, consulta Elige un producto de conectividad de red y Patrones para conectar otros proveedores de servicios en la nube con Google Cloud.
Usa VPCs compartidas en Google Cloud en lugar de varias VPCs cuando sean apropiadas y estén alineadas con los requisitos de diseño de la jerarquía de recursos. Para obtener más información, consulta Decide si crear o no varias redes de VPC.
Sigue las prácticas recomendadas para planificar cuentas y organizaciones.
Cuando corresponda, establece una identidad común entre los entornos para que los sistemas puedan autenticarse de manera segura a través de los límites del entorno.
Para exponer las aplicaciones a los usuarios corporativos de forma segura en una configuración híbrida y elegir el enfoque que mejor se adapte a tus requisitos, debes seguir las formas recomendadas de integrar Google Cloud al sistema de administración de identidades..
- Además, consulta Patrones para autenticar usuarios del personal en un entorno híbrido.
Cuando diseñes tus entornos locales y de nube, considera usar IPv6 desde el principio y tener en cuenta qué servicios lo admiten. Para obtener más información, consulta Introducción a IPv6 en Google Cloud. Resume los servicios que se admiten cuando se escribió el blog.
Cuando diseñas, implementas y administras las reglas de firewall de VPC, puedes hacer lo siguiente:
- Usa el filtrado basado en cuentas de servicio sobre el filtrado basado en etiquetas de red si necesitas un control estricto sobre cómo se aplican las reglas de firewall a las VMs.
- Usa políticas de firewall cuando agrupes varias reglas de firewall para poder actualizarlas todas a la vez. También puedes hacer que la política sea jerárquica. Para obtener más información sobre las especificaciones y las políticas de los firewalls jerárquicos, consulta Políticas de firewall jerárquicas.
- Usa objetos de ubicación geográfica en la política de firewall cuando necesites filtrar el tráfico IPv4 y el IPv6 externo en función de ubicaciones geográficas o regiones específicas.
- Usa Threat Intelligence para reglas de políticas de firewall si necesitas proteger tu red mediante el permiso o el bloqueo de tráfico según los datos de Threat Intelligence, como las direcciones IP maliciosas conocidas o los rangos de direcciones IP de la nube pública. Por ejemplo, puedes permitir el tráfico de rangos de direcciones IP de nube pública específicos si tus servicios solo necesitan comunicarse con esa nube pública. Si deseas obtener más información, consulta Prácticas recomendadas para las reglas de firewall.
Siempre debes diseñar la seguridad de tu nube y red mediante un enfoque de seguridad multicapa mediante la consideración de capas de seguridad adicionales, como las siguientes:
- Google Cloud Armor
- Sistema de detección de intrusiones de Cloud
- IPS de firewall de nueva generación de Cloud
- Threat Intelligence para reglas de políticas de firewall
Estas capas adicionales pueden ayudarte a filtrar, inspeccionar y supervisar una amplia variedad de amenazas en las capas de red y aplicación para su análisis y prevención.
Cuando decidas en qué lugar se debe realizar la resolución de DNS en una configuración híbrida, te recomendamos que uses dos sistemas DNS autorizados para tu entorno privado de Google Cloud y tus recursos locales alojados por servidores DNS existentes. tu entorno local. Para obtener más información, consulta Elige dónde se realiza la resolución de DNS.
Cuando sea posible, siempre expone aplicaciones a través de APIs mediante una puerta de enlace de API o un balanceador de cargas. Te recomendamos que consideres una plataforma de API como Apigee. Apigee actúa como una abstracción o fachada para tus APIs de servicio de backend, combinada con capacidades de seguridad, límites de frecuencia, cuotas y estadísticas.
Una plataforma de API (puerta de enlace o proxy) y un balanceador de cargas de aplicaciones no son mutuamente excluyentes. A veces, el uso de las puertas de enlace de API y los balanceadores de cargas en conjunto pueden proporcionar una solución más sólida y segura para administrar y distribuir el tráfico de API a gran escala. El uso de las puertas de enlace de la API de Cloud Load Balancing te permite lograr lo siguiente:
Entrega APIs de alto rendimiento con Apigee y Cloud CDN para hacer lo siguiente:
- Reducir la latencia
- Aloja las APIs en todo el mundo
Aumenta la disponibilidad en las temporadas de tráfico máximo
Para obtener más información, mira Delivering high-performanceAPIs with Apigee and Cloud CDN (Entrega APIs de alto rendimiento con Apigee y Cloud CDN) en YouTube.
Implementa la administración avanzada del tráfico.
Usa Google Cloud Armor como protección contra DSD, WAF y servicio de seguridad de red para proteger tus APIs.
Administra un balanceo de cargas eficiente en puertas de enlace de varias regiones. Para obtener más información, consulta Protege las APIs e implementa la conmutación por error multirregional con PSC y Apigee.
Para determinar qué producto de Cloud Load Balancing usar, primero debes determinar qué tipo de tráfico deben manejar tus balanceadores de cargas. Para obtener más información, consulta Elige un balanceador de cargas.
Cuando se usa Cloud Load Balancing, debes usar sus capacidades de optimización de la capacidad de la aplicación cuando corresponda. Esto puede ayudarte a abordar algunos de los desafíos de capacidad que pueden ocurrir en las aplicaciones distribuidas a nivel global.
- Para obtener un análisis detallado sobre la latencia, consulta Optimiza la latencia de la aplicación con el balanceo de cargas.
Si bien Cloud VPN encripta el tráfico entre entornos, con Cloud Interconnect debes usar MACsec o VPN con alta disponibilidad en Cloud Interconnect para encriptar el tráfico en tránsito en la conectividad capa. Para obtener más información, consulta Cómo puedo encriptar mi tráfico en Cloud Interconnect
- También puedes considerar la encriptación de la capa de servicio mediante TLS. Para obtener más información, consulta Decide cómo cumplir con los requisitos de cumplimiento para la encriptación en tránsito.
Si necesitas más volumen de tráfico a través de una conectividad híbrida de VPN de lo que puede admitir un solo túnel VPN, puedes considerar usar la opción de enrutamiento de VPN con alta disponibilidad activo/activo.
- Para configuraciones híbridas o de múltiples nubes a largo plazo con grandes volúmenes de transferencia de datos salientes, considera Cloud Interconnect o Cross-Cloud Interconnect. Esas opciones de conectividad ayudan a optimizar el rendimiento de la conectividad y pueden reducir los cargos de transferencia de datos salientes para el tráfico que cumple con ciertas condiciones. Para obtener más información, consulta los precios de Cloud Interconnect.
Cuando te conectes a los recursos de Google Cloud y tratas de elegir entre Cloud Interconnect, el intercambio de tráfico directo o el intercambio de tráfico por proveedores, te recomendamos usar Cloud Interconnect, a menos que necesites acceder a las aplicaciones de Google Workspace. Para obtener más información, puedes comparar las características del intercambio de tráfico directo con Cloud Interconnect y el intercambio de tráfico por proveedores con Cloud Interconnect.
Deja espacio de dirección IP suficiente en la dirección IP RFC 1918 existente para tus sistemas alojados en la nube.
Si tienes restricciones técnicas que requieren que mantengas el rango de direcciones IP, puedes hacer lo siguiente:
Usa las mismas direcciones IP internas para tus cargas de trabajo locales mientras las migras a Google Cloud mediante subredes híbridas.
Aprovisiona y usa tus propias direcciones IPv4 públicas para los recursos de Google Cloud mediante usa tu propia IP (BYOIP) en Google.
Si el diseño de tu solución requiere exponer una aplicación basada en Google Cloud a la Internet pública, considera las recomendaciones de diseño que se analizan en Herramientas de redes para la entrega de aplicaciones orientadas a Internet.
Cuando corresponda, usa extremos de Private Service Connect para permitir que las cargas de trabajo en Google Cloud, de forma local o en otro entorno de nube con conectividad híbrida, accedan a las APIs de Google de forma privada o a servicios publicados, mediante direcciones IP internas de manera detallada.
Cuando usas Private Service Connect, debes controlar lo siguiente:
- Quién puede implementar recursos de Private Service Connect.
- Si se pueden establecer conexiones entre consumidores y productores
- El tráfico de red que puede acceder a esas conexiones
Para obtener más información, consulta Seguridad de Private Service Connect.
Para lograr una configuración de nube sólida en el contexto de la arquitectura de nube híbrida y de múltiples nubes:
- Realiza una evaluación integral de los niveles necesarios de confiabilidad de las diferentes aplicaciones en todos los entornos. Esto puede ayudarte a cumplir tus objetivos de disponibilidad y resiliencia.
- Comprende las capacidades de confiabilidad y los principios de diseño de tu proveedor de servicios en la nube. Para obtener más información, consulta Confiabilidad de la infraestructura de Google Cloud.
La visibilidad y la supervisión de la red en la nube son esenciales para mantener comunicaciones confiables. Network Intelligence Center proporciona una sola consola para administrar la visibilidad de la red, la supervisión y la solución de problemas.