Neste documento, ajudamos você a criar a infraestrutura em nuvem básica para as cargas de trabalho. Aqui, também mostramos como planejar essa infraestrutura para acomodar aplicativos. Esse planejamento inclui gerenciamento de identidade, organização e estrutura do projeto e rede.
Este documento faz parte da seguinte série de várias partes sobre a migração para o Google Cloud:
- Migrar para o Google Cloud: primeiros passos
- Migrar para o Google Cloud: avalie e descubra suas cargas de trabalho
- Migrar para o Google Cloud: planejamento e elaboração da base (este documento)
- Migrar para o Google Cloud: transferir grandes conjuntos de dados
- Migrar para o Google Cloud: implantar suas cargas de trabalho
- Migrar para o Google Cloud: migrar de implantações manuais para implantações automatizadas e conteinerizadas
- Migrar para o Google Cloud: otimize seu ambiente
- Migração para o Google Cloud: práticas recomendadas para validar um plano de migração
- Migre para o Google Cloud: reduza os custos
No diagrama a seguir, veja o caminho da sua jornada de migração.
Este documento é útil se você planeja uma migração de um ambiente local, de um ambiente de hospedagem particular, de outro provedor de nuvem para o Google Cloud ou se estiver avaliando a oportunidade de migrar e quiser conhecer as possibilidades. Neste documento, você entenderá os produtos e as decisões disponíveis para criar uma base focada em um caso de uso de migração.
Para opções de implementação predefinidas, consulte:
Para mais orientações sobre como projetar sua base, consulte:
- Projeto de zona de destino para desenvolver uma base de maneira ampla.
- Framework da arquitetura para orientação de práticas recomendadas sobre design do sistema.
Ao planejar a migração para o Google Cloud, você precisa entender uma variedade de tópicos e conceitos relacionados à arquitetura de nuvem. Uma base mal planejada pode fazer com que sua empresa enfrente atrasos, confusões e inatividade, além de comprometer o sucesso da migração na nuvem. Neste guia, fornecemos uma visão geral dos conceitos e pontos de decisão da base do Google Cloud.
Em cada seção deste documento, há perguntas que você precisa considerar no contexto da organização antes de criar a base no Google Cloud. Essas perguntas não são exaustivas, elas servem para facilitar a conversa entre as equipes de arquitetura e a liderança empresarial sobre o que é adequado para a organização. Os planos de infraestrutura, ferramentas, segurança e gerenciamento de contas são exclusivos da empresa e precisam ser analisados com profundidade. Ao concluir este documento e responder às perguntas pensando na sua organização, você está pronto para começar o planejamento formal da infraestrutura em nuvem e serviços compatíveis com a migração para o Google Cloud.
Considerações empresariais
Considere as seguintes perguntas para sua organização:
- Quais responsabilidades de TI podem mudar entre você e seu provedor de infraestrutura quando você migra para o Google Cloud?
- Como você pode atender às necessidades de conformidade normativa (por exemplo, HIPAA ou GDPR), durante e após a migração para o Google Cloud?
- Como é possível controlar onde os dados são armazenados e processados de acordo com os requisitos de residência de dados?
Modelo de responsabilidade compartilhada
As responsabilidades compartilhadas entre você e o Google Cloud podem ser diferentes das que você está acostumado, e você precisa entender as implicações delas para a empresa. Os processos que você implementou anteriormente para aprovisionar, configurar e consumir recursos podem mudar.
Analise os Termos de Serviço e o modelo de segurança do Google para ter uma visão geral da relação contratual entre sua organização e o Google e das implicações de usar um provedor de nuvem pública.
Conformidade, segurança e privacidade
Muitas organizações têm requisitos de conformidade com padrões, regulamentos e certificações do setor e do governo. Muitas cargas de trabalho empresariais estão sujeitas a escrutínio normativo e podem exigir declarações de conformidade de sua parte e do provedor de nuvem. Se sua empresa estiver regulamentada segundo o HIPAA ou o HITECH, certifique-se de que você entende suas responsabilidades e quais serviços do Google Cloud são regulamentados. Para informações sobre os padrões de compliance e as certificações do Google Cloud, consulte a central de recursos de compliance. Para mais informações sobre regulamentações específicas de região ou setor, consulte Google Cloud e o Regulamento geral de proteção de dados (GDPR, na sigla em inglês).
Confiança e segurança são importantes para todas as organizações. O Google Cloud implementa um modelo de segurança compartilhado para muitos serviços.
Os princípios de confiança do Google Cloud podem ajudar você a entender nosso compromisso com a proteção da privacidade de seus dados e dos dados de seus clientes. Para mais informações sobre a abordagem de design do Google para segurança e privacidade, leia a visão geral do design de segurança da infraestrutura do Google.
Considerações sobre a residência de dados
A geografia também pode ser uma consideração importante para a conformidade. Certifique-se de que entende os requisitos de residência de dados e adote políticas para implantar cargas de trabalho em novas regiões para controlar onde os dados são armazenados e processados. Saiba como usar restrições de local de recursos para garantir que as cargas de trabalho só possam ser implantadas em regiões pré-aprovadas. Você precisa considerar a regionalidade de diferentes serviços do Google Cloud ao escolher o destino de implantação das cargas de trabalho. Certifique-se de que você entendeu seus requisitos de conformidade normativa e como implementar uma estratégia de governança que ajude a garantir a conformidade.
Hierarquia de recursos
Considere as seguintes perguntas para sua organização:
- Como suas estruturas empresariais e organizacionais atuais são correspondidas no Google Cloud?
- Com que frequência você espera alterações na hierarquia de recursos?
- Como as cotas de projetos afetam sua capacidade de criar recursos na nuvem?
- Como é possível incorporar suas implantações de nuvem atuais às cargas de trabalho migradas?
- Quais são as práticas recomendadas para gerenciar várias equipes que trabalham simultaneamente em vários projetos do Google Cloud?
Os atuais processos empresariais, linhas de comunicação e estrutura de relatórios são refletidos no design da hierarquia de recursos do Google Cloud. A hierarquia de recursos fornece a estrutura necessária para o ambiente de nuvem, determina o modo como você é cobrado pelo consumo de recursos e estabelece um modelo de segurança para conceder papéis e permissões. Você precisa entender como esses fatores são implementados em sua empresa hoje e planejar como migrar esses processos para o Google Cloud.
Entender os recursos do Google Cloud
Os recursos são os componentes fundamentais que compõem todos os serviços do Google Cloud. O recurso Organização é o ápice da hierarquia de recursos do Google Cloud. Todos os recursos que pertencem a uma organização são agrupados no nó da organização. Essa estrutura fornece visibilidade central e controle sobre todos os recursos que pertencem a uma organização.
Uma organização pode conter uma ou mais pastas, e cada pasta pode conter um ou mais projetos. Você usa pastas para agrupar projetos relacionados.
Projetos do Google Cloud contêm recursos de serviço, como máquinas virtuais (VMs) do Compute Engine, tópicos do Pub/Sub, buckets do Cloud Storage, endpoints do Cloud VPN e outros serviços do Google Cloud. Você cria recursos usando o console do Google Cloud, o Cloud Shell ou as APIs do Cloud. Se você espera mudanças frequentes no ambiente, adote uma abordagem de infraestrutura como código (IaC, na sigla em inglês) para agilizar o gerenciamento de recursos.
Gerenciar seus projetos do Google Cloud
Para mais informações sobre como planejar e gerenciar a hierarquia de recursos do Google Cloud, consulte Decidir uma hierarquia de recursos para a zona de destino do Google Cloud. Se você já estiver trabalhando no Google Cloud e tiver criado projetos independentes como testes ou provas de conceito, poderá migrar projetos atuais do Google Cloud para a organização.
Identity and Access Management
Considere as seguintes perguntas para sua organização:
- Quem fará controle, administração e auditoria do acesso aos recursos do Google Cloud?
- Como as políticas de segurança e acesso atuais serão alteradas quando você migrar para o Google Cloud?
- Como você permitirá que os usuários e aplicativos interajam com os serviços do Google Cloud com segurança?
Com o Gerenciamento de identidade e acesso (IAM), é possível conceder acesso granular aos recursos do Google Cloud. O Cloud Identity é um serviço separado, mas relacionado, que pode ajudar você a migrar e gerenciar as identidades. Em um nível mais avançado, entender como você quer gerenciar o acesso aos seus recursos do Google Cloud forma a base de provisionamento, configuração e manutenção do IAM.
Entender as identidades
O Google Cloud usa identidades para autenticação e gerenciamento de acesso. Para acessar recursos do Google Cloud, um membro da organização precisa ter uma identidade que o Google Cloud entenda. O Cloud Identity é uma plataforma de identidade como serviço (IDaaS, na sigla em inglês) que permite gerenciar, de forma centralizada, os usuários e grupos que podem acessar os recursos do Google Cloud. Ao configurar os usuários no Cloud Identity, você configura um logon único (SSO) com milhares de aplicativos de Software as a Service (SaaS) de terceiros. A maneira de configurar o Cloud Identity depende de como você gerencia identidades atualmente.
Para mais informações sobre as opções de provisionamento de identidades do Google Cloud, consulte Decidir como integrar identidades ao Google Cloud.
Entender o gerenciamento de acesso
O modelo de gerenciamento de acesso consiste em quatro conceitos principais:
- Principal: pode ser uma Conta do Google (para usuários finais), uma conta de serviço (para produtos do Google Cloud), uma grupo do Google ou uma conta do Google Workspace ou do Cloud Identity que possa acessar um recurso. Os principais não podem realizar nenhuma ação que não tenham permissão para fazer.
- Papel: uma coleção de permissões.
- Permissão: determina quais operações são permitidas em um recurso. Ao conceder um papel a um principal, você concede todas as permissões contidas nele.
- Política do IAM: vincula um conjunto de principais a um papel. Quando você quiser definir quais principais têm acesso a um recurso, crie uma política e anexe-a ao recurso.
A configuração adequada e o gerenciamento efetivo de principais, papéis e permissões formam a espinha dorsal de sua postura de segurança no Google Cloud. O gerenciamento de acesso ajuda a proteger você contra uso indevido interno e ajuda a proteger você contra tentativas externas de acesso não autorizado aos seus recursos.
Entender o acesso a aplicativos
Além de usuários e grupos, há outro tipo de identidade conhecido como conta de serviço. Uma conta de serviço é uma identidade que os programas e serviços podem usar para autenticar e ter acesso aos recursos do Google Cloud.
Contas de serviço gerenciadas por usuário incluem contas de serviço que você cria e gerencia explicitamente usando o IAM e a conta de serviço padrão do Compute Engine, incorporada a todos os projetos do Google Cloud. Os agentes de serviços são criados automaticamente e executam processos internos do Google em seu nome.
Ao usar contas de serviço, é importante entender o Application Default Credentials e seguir nossas práticas recomendadas de contas de serviço para evitar expor os recursos a riscos indevidos. Os riscos mais comuns envolvem o escalonamento de privilégios ou a exclusão acidental de uma conta de serviço em que se baseia um aplicativo essencial.
Seguir as práticas recomendadas
Para mais informações sobre as práticas recomendadas para gerenciar a identidade e o acesso de maneira eficaz, consulte Gerenciar identidade e acesso.
Faturamento
Como você paga pelos recursos do Google Cloud que consome é uma consideração importante para sua empresa, sendo uma parte importante do relacionamento com o Google Cloud. É possível gerenciar o faturamento no console do Google Cloud com o Cloud Billing com o restante do ambiente de nuvem.
Os conceitos de hierarquia de recursos e faturamento estão bastante relacionados. Portanto, é fundamental que você e seus parceiros de negócios entendam esses conceitos.
Para mais informações sobre práticas recomendadas, ferramentas e técnicas para ajudar você a monitorar e controlar custos, consulte Otimização de custos.
Conectividade e rede
Para mais informações sobre como projetar sua rede no Google Cloud, consulte:
- Decida o design da rede para sua zona de destino do Google Cloud.
- Implementar o design de rede de zona de destino do Google Cloud.
Se o ambiente de origem estiver em outro provedor de serviços de nuvem, talvez seja necessário conectá-lo ao ambiente do Google Cloud. Para mais informações, consulte Padrões para conectar outros provedores de serviços de nuvem ao Google Cloud.
Ao migrar dados e cargas de trabalho de produção para o Google Cloud, recomendamos considerar como a disponibilidade da solução de conectividade pode afetar o sucesso da migração. Por exemplo, o Cloud Interconnect oferece suporte a SLA de nível de produção se você provisioná-lo de acordo com topologias específicas.
Ao migrar dados do ambiente de origem para o ambiente do Google Cloud, ajuste a unidade máxima de transmissão (MTU, na sigla em inglês) para levar em consideração a sobrecarga de protocolo. Isso ajuda a garantir que os dados sejam transferidos de maneira eficiente e precisa. Esse ajuste também pode ajudar a evitar atrasos causados pela fragmentação de dados e problemas de desempenho da rede. Por exemplo, se você estiver usando o Cloud VPN para conectar o ambiente de origem ao ambiente do Google Cloud, talvez seja necessário configurar a MTU com um valor menor para acomodar a sobrecarga do protocolo VPN em cada transmissão. unidade.
Para evitar problemas de conectividade durante a migração para o Google Cloud, recomendamos que você:
- Garanta que os registros DNS sejam resolvidos em todo o ambiente de origem e o ambiente do Google Cloud.
- Verifique se as rotas de rede entre o ambiente de origem e o ambiente do Google Cloud se propagam corretamente nos ambientes.
Se você precisar provisionar e usar seus próprios endereços IPv4 públicos nas VPCs, consulte Trazer seu próprio endereço IP.
Entender as opções de DNS
O Cloud DNS pode atuar como o servidor público de sistema de nome de domínio (DNS). Para mais informações sobre como implementar o Cloud DNS, consulte Práticas recomendadas do Cloud DNS.
Se você precisar personalizar como o Cloud DNS responde a consultas de acordo com a origem ou o destino, consulte Visão geral das políticas de DNS. Por exemplo, é possível configurar o Cloud DNS para encaminhar consultas aos servidores DNS atuais ou substituir respostas DNS particulares com base no nome da consulta.
Um serviço separado, mas semelhante, chamado DNS interno, está incluído na VPC. Em vez de migrar e configurar manualmente os servidores DNS, é possível usar o serviço DNS interno para a rede particular. Para mais informações, consulte Visão geral do DNS interno.
Entender a transferência de dados
As redes locais são gerenciadas e precificadas de maneira essencialmente diferente das redes em nuvem. Ao gerenciar seu próprio data center ou instalação de colocation, a instalação de roteadores, chaves e cabeamento exige um gasto de capital fixo e antecipado. Na nuvem, você é cobrado pela transferência de dados, e não pelo custo fixo da instalação do hardware, além do custo de manutenção contínuo. Planeje e gerencie os custos de transferência de dados com precisão na nuvem, entendendo os custos de transferência de dados.
Ao planejar o gerenciamento de tráfego, há três formas de cobrança:
- Tráfego de entrada: tráfego de rede que entra no ambiente do Google Cloud a partir de locais externos. Esses locais podem ser da Internet pública, pontos locais ou outros ambientes de nuvem. A entrada é gratuita para a maioria dos serviços no Google Cloud. Alguns serviços que lidam com gerenciamento de tráfego voltado para a Internet, como o Cloud Load Balancing, o Cloud CDN e o Google Cloud Armor, cobram com base no volume de tráfego de entrada manipulado.
- Tráfego de saída: tráfego de rede que sai do ambiente do Google Cloud de alguma forma. As cobranças de saída são aplicadas a muitos serviços do Google Cloud, incluindo ao Compute Engine, ao Cloud Storage, ao Cloud SQL e ao Cloud Interconnect.
- Tráfego regional e zonal: o tráfego de rede que cruza limites regionais ou zonais no Google Cloud também pode estar sujeito a cobranças de largura de banda. Essas cobranças podem afetar as escolhas do projeto do aplicativo, visando recuperação de desastres e alta disponibilidade. Assim como as cobranças de saída, cobranças de tráfego entre regiões e entre zonas referem-se a muitos serviços do Google Cloud e são importantes no planejamento de alta disponibilidade e recuperação de desastres. Por exemplo, o envio de tráfego a uma réplica de banco de dados em outra zona está sujeito a cobranças de tráfego entre zonas.
Automatizar e controlar sua instalação de rede
No Google Cloud, a camada de rede física é virtualizada, e você implanta e configura a rede usando uma rede definida por software (SDN), Para garantir que a rede seja configurada de forma consistente e repetível, você precisa entender como implantar e detalhar automaticamente os ambientes. É possível usar ferramentas de IaC, como Terraform.
Segurança
A maneira como você gerencia e mantém a segurança de sistemas no Google Cloud, bem como as ferramentas que usa, diferem do gerenciamento de uma infraestrutura local. A abordagem mudará e evoluirá com o tempo para se adaptar a novas ameaças, novos produtos e modelos de segurança aprimorados.
As responsabilidades que você compartilha com o Google podem ser diferentes das responsabilidades do provedor usado atualmente, portanto, entender essas mudanças é fundamental para garantir a segurança e a conformidade contínuas das cargas de trabalho. Segurança forte e verificável e conformidade normativa geralmente estão interligadas e começam com fortes práticas de gerenciamento e supervisão, implementação consistente das práticas recomendadas do Google Cloud e detecção e monitoramento ativos de ameaças.
Para mais informações sobre como projetar um ambiente seguro no Google Cloud, consulte Decidir a segurança da zona de destino do Google Cloud.
Monitoramento, alertas e geração de registros
Para mais informações sobre como configurar o monitoramento, os alertas e a geração de registros, consulte:
- Configurar o monitoramento, os alertas e a geração de registros
- Agregar de maneira centralizada registros de auditoria
- Analisar as práticas recomendadas para proteger o acesso aos registros confidenciais
Governança
Considere as seguintes perguntas para sua organização:
- Como garantir que os usuários acomodem e atendam às próprias necessidades de conformidade e as alinhem às políticas comerciais?
- Quais estratégias estão disponíveis para manter e organizar os usuários e os recursos do Google Cloud?
A governança eficaz é essencial para ajudar a garantir confiabilidade, segurança e capacidade de manutenção dos recursos no Google Cloud. Como em qualquer sistema, a entropia aumenta naturalmente com o tempo e, se negligenciada, pode gerar expansão da nuvem e outros desafios de manutenção. Sem uma governança eficaz, o acúmulo desses desafios pode afetar a capacidade de atingir os objetivos de negócios e de reduzir riscos. O planejamento disciplinado e a aplicação de padrões sobre convenções de nomenclatura, estratégias de rotulagem, controles de acesso, controles de custos e níveis de serviço formam um componente importante da estratégia de migração na nuvem. A grosso modo, o exercício de desenvolvimento de uma estratégia de governança cria o alinhamento entre as partes interessadas e a liderança empresarial.
Acomodar a conformidade contínua
Para ajudar a manter a conformidade dos recursos do Google Cloud em toda a organização, uma sugestão é estabelecer uma estratégia de nomenclatura e agrupamento consistente de recursos. O Google Cloud fornece vários métodos para anotar e aplicar políticas a recursos:
- Com as marcações de segurança, é possível classificar recursos para fornecer insights de segurança do Security Command Center e aplicar políticas a grupos de recursos.
- Os rótulos podem rastrear o gasto com recursos no Cloud Billing e fornecem outros insights no Cloud Logging.
- As tags para firewalls permitem definir origens e destinos nas políticas de firewall da rede global e regional.
Para mais informações, consulte Risco e conformidade como código.
A seguir
- Saiba como implementar uma base segura no Google Cloud.
- Continue sua migração para a nuvem e saiba como transferir seus dados para o Google Cloud.
- Saiba quando buscar ajuda para suas migrações.
- Para mais arquiteturas de referência, diagramas e práticas recomendadas, confira a Central de arquitetura do Cloud.
Colaboradores
Autores:
- Marco Ferrari | Arquiteto de soluções do Cloud
- Travis Webb | Arquiteto de soluções