Neste documento, apresentamos uma visão geral sobre como projetar zonas de destino no Google Cloud. Uma zona de destino, também chamada de base da nuvem, é uma configuração modular e escalonável que permite às organizações adotar o Google Cloud para suas necessidades de negócios. Uma zona de destino geralmente é um pré-requisito para implantar cargas de trabalho empresariais em um ambiente de nuvem.
Uma zona de destino não é uma zona ou recursos zonais.
Este documento é voltado a arquitetos de soluções, profissionais técnicos e partes interessadas executivas que querem uma visão geral do seguinte:
- Elementos típicos de zonas de destino no Google Cloud
- Onde encontrar informações detalhadas sobre o design da zona de destino
- Como implantar uma zona de destino para sua empresa, incluindo opções para implantar soluções predefinidas
Este documento faz parte de uma série que ajuda você a entender como projetar e criar um projeto de zona de destino. Os outros documentos desta série ajudam você a tomar as decisões gerais que precisam ser tomadas ao projetar a zona de destino da sua organização. Nesta série, você aprenderá o seguinte:
- Design da zona de destino no Google Cloud (este documento)
- Decidir como integrar identidades ao Google Cloud
- Escolher a hierarquia de recursos da sua zona de destino do Google Cloud
- Decidir o design da rede para sua zona de destino do Google Cloud
- Escolher a segurança da zona de destino do Google Cloud
Esta série não aborda especificamente os requisitos de conformidade de setores regulamentados, como serviços financeiros ou saúde.
O que é uma zona de destino do Google Cloud?
As zonas de destino ajudam sua empresa a implantar, usar e escalonar os serviços do Google Cloud com mais segurança. As zonas de destino são dinâmicas e aumentam à medida que sua empresa adota mais cargas de trabalho baseadas na nuvem ao longo do tempo.
Para implantar uma zona de destino, é preciso primeiro criar um recurso da organização e criar uma conta de faturamento on-line ou faturada.
Uma zona de destino abrange várias áreas e inclui diferentes elementos, como identidades, gerenciamento de recursos, segurança e rede. Muitos outros elementos também podem fazer parte de uma zona de destino, conforme descrito em Elementos de uma zona de destino.
O diagrama a seguir mostra um exemplo de implementação de uma zona de destino. Ele mostra um caso de uso de infraestrutura como serviço (IaaS) com nuvem híbrida e conectividade local no Google Cloud:
A arquitetura de exemplo no diagrama anterior mostra uma zona de destino do Google Cloud que inclui os seguintes serviços e recursos do Google Cloud:
O Resource Manager define uma hierarquia de recursos com políticas organizacionais.
Uma conta do Cloud Identity é sincronizada com um provedor de identidade local e o Identity and Access Management (IAM), fornecendo acesso granular a Recursos do Google Cloud.
Uma implantação de rede que inclui o seguinte:
- Uma rede VPC compartilhada para cada ambiente (produção, desenvolvimento e teste) que conecta recursos de vários projetos à rede VPC.
- Regras de firewall de nuvem privada virtual (VPC) que controlam a conectividade de e para cargas de trabalho nas redes VPC compartilhadas.
- Um gateway do Cloud NAT permite conexões de saída com a Internet a partir de recursos nessas redes sem endereços IP externos.
- O Cloud Interconnect conecta apps e usuários no local. É possível escolher entre diferentes opções do Cloud Interconnect, incluindo Interconexão dedicada ou Interconexão por parceiro.
- O Cloud VPN se conecta a outros provedores de serviços em nuvem.
- Uma zona particular do Cloud DNS hospeda registros DNS das suas implantações no Google Cloud.
Vários projetos de serviço estão configurados para usar as redes VPC compartilhadas. Esses projetos de serviço hospedam os recursos do aplicativo.
O Google Cloud Observability inclui o Cloud Monitoring para monitoramento e o Cloud Logging para geração de registros. Os registros de auditoria do Cloud, a geração de registros de regras de firewall e os registros de fluxo de VPC ajudam a garantir que todos os dados necessários sejam registrados e disponíveis para análise.
Um perímetro de VPC Service Controls inclui a VPC compartilhada e o ambiente local. Um perímetro de segurança isola o serviço e os recursos, o que ajuda a reduzir o risco de exfiltração de dados dos serviços compatíveis do Google Cloud.
O diagrama acima é apenas um exemplo, porque não há implementação única ou padrão de uma zona de destino. Sua empresa precisa fazer muitas escolhas de design, dependendo de fatores diferentes, incluindo o seguinte:
- Seu setor
- Estrutura e processos organizacionais
- Seus requisitos de segurança e compliance
- As cargas de trabalho que você quer migrar para o Google Cloud
- A infraestrutura de TI e outros ambientes de nuvem atuais
- O local da sua empresa e clientes
Quando criar uma zona de destino
Recomendamos que você crie uma zona de destino antes de implantar sua primeira carga de trabalho empresarial no Google Cloud, porque uma zona de destino fornece o seguinte:
- Uma base projetada para ser segura
- A rede para cargas de trabalho empresariais
- As ferramentas necessárias para controlar a distribuição interna de custos
No entanto, como uma zona de destino é modular, sua primeira iteração de uma zona de destino geralmente não é a versão final. Portanto, recomendamos que você projete uma zona de destino considerando a escalonabilidade e o crescimento. Por exemplo, se a primeira carga de trabalho não exigir acesso a recursos de rede local, será possível criar conectividade com o ambiente local posteriormente.
Dependendo da sua organização e do tipo de cargas de trabalho que você planeja executar no Google Cloud, algumas cargas de trabalho podem ter requisitos muito diferentes. Por exemplo, algumas cargas de trabalho podem ter requisitos exclusivos de escalonabilidade ou conformidade. Nesses casos, é possível exigir mais de uma zona de destino para sua organização: uma zona de destino para hospedar a maioria das cargas de trabalho e uma zona de destino separada para hospedar as cargas de trabalho únicas. É possível compartilhar alguns elementos, como identidades, faturamento e o recurso da organização, nas suas zonas de destino. No entanto, outros elementos, como a configuração de rede, os mecanismos de implantação e as políticas no nível da pasta, podem variar.
Elementos de uma zona de destino
Uma zona de destino requer que você projete os seguintes elementos principais no Google Cloud:
Além desses elementos principais, sua empresa pode ter outros requisitos. A tabela a seguir descreve esses elementos e onde é possível encontrar mais informações sobre eles.
| Elemento de zona de destino | Descrição |
|---|---|
| Como monitorar e gerar registros |
Projetar uma estratégia de monitoramento e geração de registros que ajude a garantir que
todos os dados relevantes sejam registrados e que você tenha painéis que visualizem
os dados e os alertas que notificam você sobre exceções acionáveis.
Para ver mais informações, consulte os seguintes tópicos: |
| Backup e recuperação de desastres |
Projetar uma estratégia para backups e recuperação de desastres.
Para ver mais informações, consulte os seguintes tópicos: |
| Compliance |
Siga as estruturas de conformidade relevantes para sua
organização. Para mais informações, consulte a Central de recursos de conformidade. |
| Controle e eficiência de custos |
Recursos de design para monitorar e otimizar o custo de cargas de trabalho na zona de destino.
Para ver mais informações, consulte os seguintes tópicos: |
| Gerenciamento de APIs | Projetar uma solução escalonável para APIs que você desenvolve. Para mais informações, consulte o Gerenciamento da API Apigee. |
| Gerenciamento de clusters |
Projetar clusters do Google Kubernetes Engine (GKE) que sigam as práticas recomendadas para criar serviços escalonáveis, resilientes e observáveis. Para ver mais informações, consulte os seguintes tópicos: |
Práticas recomendadas para projetar e implantar uma zona de destino
Projetar e implantar uma zona de destino requer planejamento. Você precisa ter a equipe certa para realizar as tarefas e usar um processo de gerenciamento de projetos. Também recomendamos que você siga as práticas recomendadas técnicas descritas nesta série.
Criar uma equipe
Reunir uma equipe que inclua pessoas de várias funções técnicas em toda a organização. A equipe precisa incluir pessoas que possam criar todos os elementos da zona de destino, incluindo segurança, identidade, redes e operações. Identifique um profissional de nuvem que entenda o Google Cloud para liderar a equipe. Sua equipe precisa incluir membros que gerenciem o projeto e acompanhem as conquistas, além de membros que colaboram com proprietários de aplicativos ou empresas.
Verifique se todas as partes interessadas estão envolvidas no início do processo. As partes interessadas precisam ter um entendimento comum do escopo do processo e tomar decisões gerais quando o projeto for iniciado.
Aplique o gerenciamento de projetos à implantação da zona de destino
A criação e implantação da zona de destino pode levar várias semanas, portanto, o gerenciamento de projetos é essencial. Garanta que as metas do projeto sejam claramente definidas e comunicados a todas as partes interessadas e que todas as partes recebam atualizações sobre alterações no projeto. Defina pontos de verificação regulares e concorde com as etapas usando cronogramas realistas que consideram os processos operacionais e atrasos inesperados.
Para se alinhar melhor aos requisitos de negócios, planeje a implantação inicial da zona de destino nos casos de uso que você quer implantar primeiro no Google Cloud. Recomendamos que você primeiro implante cargas de trabalho que possam ser executadas com mais facilidade no Google Cloud, como o escalonamento horizontal de aplicativos da Web de várias camadas. Essas cargas de trabalho podem ser novas ou atuais. Para avaliar as cargas de trabalho atuais quanto à prontidão da migração, consulte Migração para o Google Cloud: primeiros passos.
Como as zonas de destino são modulares, centralize o design inicial em torno dos elementos necessários para migrar as primeiras cargas de trabalho e planeje adicionar outros elementos posteriormente.
Seguir as práticas recomendadas técnicas
Considere usar infraestrutura como código (IaC, na sigla em inglês) com, por exemplo, Terraform. A IaC ajuda a tornar sua implantação reproduzível e modular. Ter um pipeline de CI/CD que implanta alterações de infraestrutura em nuvem usando o GitOps ajuda a garantir que você siga as diretrizes internas e implemente os controles certos.
Ao criar sua zona de destino, garanta que você e sua equipe levem as práticas recomendadas técnicas em consideração. Para mais informações sobre as decisões a serem tomadas na zona de destino, consulte os outros guias desta série.
Além dessa série, a tabela a seguir descreve frameworks, guias e projetos que podem ajudar você a seguir as práticas recomendadas, dependendo dos seus casos de uso.
| Documentação relacionada | Descrição |
|---|---|
| Lista de verificação de configuração do Google Cloud | Uma lista de verificação de alto nível para ajudar você a configurar o Google Cloud para cargas de trabalho corporativas escalonáveis e prontas para produção. |
| Blueprint de bases de segurança | Uma visão rigoroso das práticas recomendadas de segurança do Google Cloud, voltadas para CISO, profissionais de segurança, gerentes de risco ou agentes de conformidade. |
| Estrutura de arquitetura do Google Cloud | Recomendações e práticas recomendadas para ajudar arquitetos, desenvolvedores, administradores e outros profissionais de nuvem a projetar e operar uma topologia em nuvem que seja segura, eficiente, resiliente, de alto desempenho e econômica. |
| Blueprints do Terraform | Uma lista de modelos e módulos empacotados como módulos do Terraform que podem ser usados para criar recursos para o Google Cloud. |
Identifique os recursos para ajudar a implementar sua zona de destino
O Google Cloud oferece as opções a seguir para ajudar você a configurar sua zona de destino:
- Projete e implante uma zona de destino personalizada de acordo com os requisitos com os parceiros do Google Cloud ou os serviços profissionais do Google Cloud.
- Integre uma carga de trabalho com o programa de integração de clientes do Google Cloud.
- Implante uma zona de destino genérica com o guia de configuração no console do Google Cloud.
- Use a base de exemplo do Terraform para implantar uma zona de destino altamente especializada, alinhada ao blueprint das fundações de segurança.
Todas essas ofertas têm abordagens projetadas especificamente para atender às necessidades de diferentes setores e tamanhos de negócios no mundo todo. Para ajudar você a fazer a melhor escolha para seu caso de uso, recomendamos que trabalhe com sua equipe de contas do Google Cloud para escolher e ajudar a garantir um projeto bem-sucedido.
A seguir
- Decida como integrar identidades ao Google Cloud (próximo documento desta série).
- Escolha a hierarquia de recursos da sua zona de destino do Google Cloud.
- Decida o design da rede para sua zona de destino do Google Cloud.
- Escolha a segurança da sua zona de destino do Google Cloud.