Este documento oferece uma vista geral sobre como criar zonas de destino em Google Cloud. Uma zona de destino, também denominada base na nuvem, é uma configuração modular e escalável que permite às organizações adotar a nuvem para as necessidades da empresa. Google Cloud Uma zona de destino é frequentemente um pré-requisito para implementar cargas de trabalho empresariais num ambiente de nuvem.
Uma zona de destino não é uma zona nem recursos zonais.
Este documento destina-se a arquitetos de soluções, profissionais técnicos e intervenientes executivos que pretendem uma vista geral do seguinte:
- Elementos típicos das zonas de aterragem em Google Cloud
- Onde encontrar informações detalhadas sobre a conceção da zona de destino
- Como implementar uma zona de destino para a sua empresa, incluindo opções para implementar soluções pré-criadas
Este documento faz parte de uma série que ajuda a compreender como conceber e criar uma zona de destino. Os outros documentos desta série ajudam a orientar as decisões de alto nível que tem de tomar quando cria a zona de destino da sua organização. Nesta série, fica a saber mais sobre o seguinte:
- Design da zona de destino em Google Cloud (este documento)
- Decida como integrar identidades no Google Cloud
- Decida a hierarquia de recursos para a sua Google Cloud zona de destino
- Decida o design da rede para a sua Google Cloud zona de destino
- Decida a segurança da sua Google Cloud zona de destino
Esta série não aborda especificamente os requisitos de conformidade de setores regulamentados, como os serviços financeiros ou os cuidados de saúde.
O que é uma Google Cloud zona de destino?
As zonas de destino ajudam a sua empresa a implementar, usar e dimensionar Google Cloud serviços de forma mais segura. As zonas de destino são dinâmicas e crescem à medida que a sua empresa adota mais cargas de trabalho baseadas na nuvem ao longo do tempo.
Para implementar uma zona de destino, primeiro tem de criar um recurso de organização e criar uma conta de faturação, online ou faturada.
Uma zona de destino abrange várias áreas e inclui diferentes elementos, como identidades, gestão de recursos, segurança e rede. Muitos outros elementos também podem fazer parte de uma zona de aterragem, conforme descrito em Elementos de uma zona de aterragem.
O diagrama seguinte mostra uma implementação de exemplo de uma zona de destino. Mostra um exemplo de utilização de infraestrutura como serviço (IaaS) com nuvem híbrida e conetividade no local em Google Cloud:
A arquitetura de exemplo no diagrama anterior mostra uma Google Cloud zona de destino que inclui os seguintes Google Cloud serviços e funcionalidades:
O Resource Manager define uma hierarquia de recursos com políticas organizacionais.
Uma conta do Cloud Identity sincroniza-se com um fornecedor de identidade no local e Identity and Access Management (IAM) oferece acesso detalhado aos Google Cloud recursos.
Uma implementação de rede que inclui o seguinte:
- Uma rede de VPC partilhada para cada ambiente (produção, desenvolvimento e testes) liga recursos de vários projetos à rede VPC.
- As regras de firewall da nuvem virtual privada (VPC) controlam a conetividade com e a partir de cargas de trabalho nas redes da VPC partilhada.
- Um gateway Cloud NAT permite ligações de saída à Internet a partir de recursos nestas redes sem endereços IP externos.
- O Cloud Interconnect liga aplicações e utilizadores no local. (Pode escolher entre diferentes opções do Cloud Interconnect, incluindo o Dedicated Interconnect ou o Partner Interconnect.)
- A VPN na nuvem estabelece ligação a outros fornecedores de serviços na nuvem.
- Uma zona privada do Cloud DNS aloja registos de DNS para as suas implementações no Google Cloud.
Vários projetos de serviço estão configurados para usar as redes de VPC partilhada. Estes projetos de serviço alojam os recursos da sua aplicação.
A observabilidade do Google Cloud inclui o Cloud Monitoring para monitorização e o Cloud Logging para registo. Os registos de auditoria do Cloud, o registo de regras de firewall e os registos de fluxo de VPC ajudam a garantir que todos os dados necessários são registados e estão disponíveis para análise.
Um perímetro dos VPC Service Controls inclui a VPC partilhada e o ambiente no local. Um perímetro de segurança isola o serviço e os recursos, o que ajuda a mitigar o risco de exfiltração de dados dos serviços suportados. Google Cloud
O diagrama acima é apenas um exemplo, porque não existe uma implementação única ou padrão de uma zona de destino. A sua empresa tem de tomar muitas decisões de design, dependendo de diferentes fatores, incluindo o seguinte:
- O seu setor
- A sua estrutura organizacional e processos
- Os seus requisitos de segurança e conformidade
- As cargas de trabalho que quer mover para o Google Cloud
- A sua infraestrutura de TI existente e outros ambientes na nuvem
- A localização da sua empresa e dos clientes
Quando deve criar uma zona de destino
Recomendamos que crie uma zona de destino antes de implementar a sua primeira carga de trabalho empresarial no Google Cloud, porque uma zona de destino oferece o seguinte:
- Uma base concebida para ser segura
- A rede para cargas de trabalho empresariais
- As ferramentas necessárias para gerir a distribuição de custos internos
No entanto, como uma zona de destino é modular, a primeira iteração de uma zona de destino não é, muitas vezes, a versão final. Por conseguinte, recomendamos que crie uma zona de destino a pensar na escalabilidade e no crescimento. Por exemplo, se a sua primeira carga de trabalho não exigir acesso a recursos de rede no local, pode criar a conetividade com o seu ambiente no local mais tarde.
Consoante a sua organização e o tipo de cargas de trabalho que planeia executar no Google Cloud, algumas cargas de trabalho podem ter requisitos muito diferentes. Por exemplo, algumas cargas de trabalho podem ter requisitos de escalabilidade ou conformidade únicos. Nestes casos, pode precisar de mais do que uma zona de destino para a sua organização: uma zona de destino para alojar a maioria das cargas de trabalho e uma zona de destino separada para alojar as cargas de trabalho únicas. Pode partilhar alguns elementos, como identidades, faturação e o recurso da organização, nas suas zonas de destino. No entanto, outros elementos, como a configuração da rede, os mecanismos de implementação e as políticas ao nível da pasta, podem variar.
Elementos de uma zona de destino
Uma zona de destino requer que crie os seguintes elementos essenciais no Google Cloud:
Além destes elementos essenciais, a sua empresa pode ter requisitos adicionais. A tabela seguinte descreve estes elementos e onde pode encontrar mais informações sobre eles.
| Elemento da zona de destino | Descrição |
|---|---|
| Monitorização e registo |
Conceba uma estratégia de monitorização e registo que ajude a garantir que todos os dados relevantes são registados e que tem painéis de controlo que visualizam os dados e alertas que lhe enviam notificações sobre exceções acionáveis.
Para mais informações, consulte a documentação do Google Cloud Observability |
| Cópia de segurança e recuperação de desastres |
Conceba uma estratégia para cópias de segurança e recuperação de desastres.
Para mais informações, consulte o seguinte: |
| Conformidade |
Siga as estruturas de conformidade relevantes para a sua organização. Para mais informações, consulte o centro de recursos de conformidade. |
| Relação custo-eficácia e controlo |
Crie capacidades para monitorizar e otimizar o custo das cargas de trabalho na sua zona de destino.
Para mais informações, consulte o seguinte: |
| Gestão de APIs | Conceba uma solução escalável para as APIs que desenvolve. Para mais informações, consulte a gestão de APIs da Apigee. |
| Gestão de clusters |
Conceba clusters do Google Kubernetes Engine (GKE) que sigam as práticas recomendadas para criar serviços escaláveis, resilientes e observáveis. Para mais informações, consulte o seguinte: |
Práticas recomendadas para conceber e implementar uma zona de destino
A conceção e a implementação de uma zona de destino requer planeamento. Tem de ter a equipa certa para realizar as tarefas e usar um processo de gestão de projetos. Também recomendamos que siga as práticas recomendadas técnicas descritas nesta série.
Crie uma equipa
Reúna uma equipa que inclua pessoas de várias funções técnicas em toda a organização. A equipa tem de incluir pessoas que possam criar todos os elementos da zona de destino, incluindo segurança, identidade, redes e operações. Identificar um profissional da nuvem que compreenda Google Cloud para liderar a equipa. A sua equipa deve incluir membros que gerem o projeto e acompanhem as conquistas, e membros que colaborem com os proprietários da aplicação ou da empresa.
Certifique-se de que todas as partes interessadas estão envolvidas no início do processo. Os intervenientes têm de chegar a um entendimento comum do âmbito do processo e tomar decisões de alto nível quando o projeto for iniciado.
Aplique a gestão de projetos à implementação da sua zona de destino
A conceção e a implementação da sua zona de destino podem demorar várias semanas, pelo que a gestão de projetos é essencial. Certifique-se de que os objetivos do projeto estão claramente definidos e comunicados a todos os intervenientes e que todas as partes recebem atualizações sobre quaisquer alterações ao projeto. Defina pontos de verificação regulares e concorde com marcos com cronologias realistas que tenham em conta os processos operacionais e os atrasos inesperados.
Para se alinhar melhor com os requisitos empresariais, planeie a implementação inicial da zona de destino em torno dos exemplos de utilização que quer implementar primeiro noGoogle Cloud. Recomendamos que implemente primeiro cargas de trabalho que possam ser executadas mais facilmente no Google Cloud, como aplicações Web de várias camadas com escalabilidade horizontal. Estas cargas de trabalho podem ser cargas de trabalho novas ou existentes. Para avaliar a prontidão para migração das cargas de trabalho existentes, consulte o artigo Migração para Google Cloud: introdução.
Uma vez que as zonas de destino são modulares, centre o design inicial nos elementos necessários para migrar as suas primeiras cargas de trabalho e planeie adicionar outros elementos mais tarde.
Siga as práticas recomendadas técnicas
Pondere usar a infraestrutura como código (IaC), com, por exemplo, o Terraform. A IaC ajuda a tornar a sua implementação repetível e modular. Ter um pipeline de CI/CD que implementa alterações à infraestrutura na nuvem através do GitOps ajuda a garantir que segue as diretrizes internas e implementa os controlos certos.
Quando conceber a sua zona de destino, certifique-se de que tem em consideração as práticas recomendadas técnicas. Para mais informações sobre as decisões a tomar na sua zona de destino, consulte os outros guias desta série.
Além desta série, a tabela seguinte descreve frameworks, guias e blueprints que também podem ajudar a seguir as práticas recomendadas, consoante os seus exemplos de utilização.
| Documentação relacionada | Descrição |
|---|---|
| Google Cloud Configuração | Um fluxo guiado de alto nível para ajudar a configurar Google Cloud para cargas de trabalho empresariais escaláveis, prontas para produção. |
| Enterprise foundation blueprint | Uma vista opinativa das Google Cloud práticas recomendadas de segurança, destinada a diretores de segurança da informação (CISOs), profissionais de segurança, gestores de riscos ou responsáveis pela conformidade. |
| Google Cloud Framework Well-Architected | Recomendações e práticas recomendadas para ajudar arquitetos, programadores, administradores e outros profissionais da nuvem a conceber e operar uma topologia de nuvem segura, eficiente, resiliente, de elevado desempenho e rentável. |
| Projetos do Terraform | Uma lista de planos e módulos que são incluídos como módulos do Terraform e que pode usar para criar recursos paraGoogle Cloud. |
Identifique recursos para ajudar a implementar a sua zona de destino
Google Cloud oferece as seguintes opções para ajudar a configurar a sua zona de destino:
- Conceba e implemente uma zona de destino personalizada de acordo com os seus requisitos com Google Cloud parceiros ou Google Cloud serviços profissionais.
- Integre uma carga de trabalho com o Google Cloud programa de integração de clientes.
- Implemente uma zona de destino genérica com o guia de configuração na Google Cloud consola.
- Implemente uma zona de destino altamente opinativa alinhada com o blueprint das bases de segurança usando a base de exemplo do Terraform.
Todas estas ofertas têm abordagens concebidas especificamente para satisfazer as necessidades de diferentes setores e dimensões de empresas em todo o mundo. Para ajudar a fazer a melhor seleção para o seu exemplo de utilização, recomendamos que trabalhe com a sua Google Cloud equipa de conta para fazer a seleção e ajudar a garantir um projeto bem-sucedido.
O que se segue?
- Decida como integrar identidades no Google Cloud (próximo documento desta série).
- Decida a hierarquia de recursos para a sua Google Cloud zona de destino.
- Decida o design da rede para a sua Google Cloud zona de destino.
- Decida a segurança da sua Google Cloud zona de destino.