En este documento, encontrarás ayuda a fin de crear la infraestructura de nube básica para tus cargas de trabajo. También encontrarás ayuda para planificar cómo esta infraestructura admite tus aplicaciones. Esta planificación incluye la administración de identidades, organización y estructura de proyectos, y las Herramientas de redes.
Este documento es parte de la siguiente serie de varias partes sobre la migración a Google Cloud:
- Migra a Google Cloud: comienza ahora
- Migra a Google Cloud: evalúa y descubre tus cargas de trabajo
- Migra a Google Cloud: construye tu base (este documento)
- Migra a Google Cloud: transfiere los conjuntos de datos grandes
- Migra a Google Cloud: implementa las cargas de trabajo
- Migra a Google Cloud: Migra de implementaciones manuales a implementaciones automatizadas y alojadas en contenedores
- Migra a Google Cloud: optimiza tu entorno
- Migra a Google Cloud: prácticas recomendadas para validar un plan de migración
- Migra a Google Cloud: Minimiza los costos
En el siguiente diagrama, se ilustra la ruta del recorrido de tu migración.
Este documento es útil si planificas una migración desde un entorno local, un entorno de hosting privado o algún otro proveedor de servicios en la nube a Google Cloud, o si evalúas la posibilidad de migrar y deseas explorar cómo podría ser. Este documento te ayuda a comprender los productos y las decisiones disponibles que tomarás como base para compilar una base enfocada en un caso de uso de migración.
Para ver las opciones prediseñadas implementables, consulta lo siguiente:
Si quieres obtener orientación adicional sobre el diseño de la base, consulta lo siguiente:
- Diseño de zona de destino para diseñar una base de forma amplia.
- Framework de arquitectura para obtener orientación sobre el diseño del sistema.
Cuando planificas la migración a Google Cloud, debes comprender una variedad de temas y conceptos relacionados con la arquitectura en la nube. Una base mal planificada puede causar demoras, confusión y tiempo de inactividad en el negocio, y puede poner en riesgo el éxito de la migración a la nube. En esta guía, se proporciona una descripción general de los conceptos base y los puntos de decisión de Google Cloud.
En cada sección de este documento, se presentan preguntas que debes hacer y responder para tu organización antes de crear la base en Google Cloud. Estas preguntas no son exhaustivas; su objetivo es facilitar la conversación entre los equipos de arquitectura y los líderes empresariales sobre lo que es adecuado para tu organización. Los planes de infraestructura, herramientas, seguridad y administración de cuentas son únicos para la empresa y necesitan una consideración exhaustiva. Cuando termines este documento y respondas las preguntas sobre la organización, estarás listo para comenzar la planificación formal de la infraestructura de nube y los servicios que admiten la migración a Google Cloud.
Consideraciones empresariales
Considera las siguientes preguntas para la organización:
- ¿Qué responsabilidades de TI pueden cambiar entre tú y el proveedor de infraestructura cuando te traslades a Google Cloud?
- ¿Cómo puedes satisfacer tus necesidades de cumplimiento normativo (por ejemplo, HIPAA o GDPR) durante la migración a Google Cloud y después de ella?
- ¿Cómo puedes controlar dónde se almacenan y se procesan tus datos de acuerdo con sus requisitos de residencia?
Modelo de responsabilidad compartida
Las responsabilidades compartidas entre tú y Google Cloud pueden ser diferentes de las que estás acostumbrado y debes comprender sus implicaciones para la empresa. Los procesos que implementaste antes para aprovisionar, configurar y consumir recursos podrían cambiar.
Revisa las Condiciones del Servicio y el modelo de seguridad de Google para obtener una descripción general de la relación contractual entre tu organización y Google, y las implicaciones de usar un proveedor de servicios en la nube público.
Cumplimiento, seguridad y privacidad
Muchas organizaciones tienen requisitos de cumplimiento relacionados con los estándares, las normativas y las certificaciones industriales y gubernamentales. Muchas cargas de trabajo empresariales están sujetas a escrutinio regulatorio y pueden requerir certificaciones de cumplimiento por tu parte y el proveedor de servicios en la nube. Si tu empresa está regulada por HIPAA o HITECH, asegúrate de comprender tus responsabilidades y qué servicios de Google Cloud están regulados. Para obtener información sobre las certificaciones y los estándares de cumplimiento de Google Cloud, consulta el Centro de recursos de cumplimiento. Para obtener más información sobre las normativas específicas de cada región o sector, consulta Google Cloud y el Reglamento General de Protección de Datos (GDPR).
La confianza y la seguridad son importantes para todas las organizaciones. Google Cloud implementa un modelo de seguridad compartido para muchos servicios.
Los principios de confianza de Google Cloud pueden ayudarte a comprender nuestro compromiso con la protección de la privacidad de tus datos y los de tus clientes. Para obtener más información sobre el enfoque de diseño de seguridad y privacidad de Google, consulta la descripción general del diseño de seguridad de la infraestructura de Google.
Consideraciones sobre la residencia de los datos
La geografía también puede ser una consideración importante para el cumplimiento. Asegúrate de comprender los requisitos de residencia de datos y de aplicar políticas para implementar cargas de trabajo en regiones nuevas a fin de controlar dónde se almacenan y procesan tus datos. Comprende cómo usar las restricciones de ubicación de recursos para garantizar que tus cargas de trabajo solo se puedan implementar en regiones aprobadas con anterioridad. Debes tener en cuenta la regionalidad de los diferentes servicios de Google Cloud cuando elijas el destino de implementación para las cargas de trabajo. Asegúrate de comprender los requisitos de cumplimiento normativo y cómo implementar una estrategia de administración que te ayude a garantizar el cumplimiento.
Jerarquía de recursos
Considera las siguientes preguntas para la organización:
- ¿Cómo se asignan las estructuras empresariales y organizativas existentes a Google Cloud?
- ¿Con qué frecuencia esperas cambios en la jerarquía de recursos?
- ¿Cómo afectan las cuotas de los proyectos a tu capacidad para crear recursos en la nube?
- ¿Cómo puedes incorporar las implementaciones de nube existentes con las cargas de trabajo migradas?
- ¿Cuáles son las prácticas recomendadas para administrar varios equipos que trabajan en simultáneo en varios proyectos de Google Cloud?
Los procesos empresariales, líneas de comunicación y estructura de informes actuales se reflejan en el diseño de la jerarquía de recursos de Google Cloud. La jerarquía de recursos proporciona la estructura necesaria al entorno de nube, determina la forma en que se te factura el consumo de recursos y establece un modelo de seguridad para otorgar funciones y permisos. Debes comprender cómo se implementan estas facetas en la empresa hoy y planificar cómo migrar estos procesos a Google Cloud.
Comprende los recursos de Google Cloud
Los recursos son los componentes fundamentales que conforman todos los servicios de Google Cloud. El recurso de organización es la cima de la jerarquía de recursos de Google Cloud. Todos los recursos que pertenecen a una organización se agrupan en el nodo de la organización. Esta estructura proporciona visibilidad central y control sobre cada recurso que pertenece a una organización.
Una organización puede contener una o más carpetas, y cada carpeta puede contener uno o más proyectos. Puedes usar carpetas para agrupar proyectos relacionados.
Los proyectos de Google Cloud contienen recursos de servicio, como máquinas virtuales (VM) de Compute Engine, temas de Pub/Sub, buckets de Cloud Storage, extremos de Cloud VPN y otros servicios de Google Cloud. Puedes crear recursos mediante la consola de Google Cloud, Cloud Shell o las API de Cloud. Si esperas cambios frecuentes en el entorno, considera adoptar un enfoque de infraestructura como código (IaC) para optimizar la administración de recursos.
Administra tus proyectos de Google Cloud
Para obtener más información sobre la planificación y administración de tu jerarquía de recursos de Google Cloud, consulta Elige una jerarquía de recursos para tu zona de destino de Google Cloud. Si ya trabajas en Google Cloud y creaste proyectos independientes como pruebas o pruebas de concepto, puedes migrar proyectos de Google Cloud existentes a tu organización.
Identity and Access Management
Considera las siguientes preguntas para la organización:
- ¿Quién controlará, administrará y auditará el acceso a los recursos de Google Cloud?
- ¿Cómo cambiarán las políticas de seguridad y acceso existentes cuando migres a Google Cloud?
- ¿Cómo permitirás que los usuarios y las apps interactúen de forma segura con los servicios de Google Cloud?
La Identity and Access Management (IAM) te permite otorgar acceso detallado a los recursos de Google Cloud. Cloud Identity es un servicio independiente, pero relacionado, que puede ayudarte a migrar y administrar las identidades. A grandes rasgos, comprender cómo quieres administrar el acceso a tus recursos de Google Cloud es la base sobre cómo aprovisionar, configurar y mantener IAM.
Comprende las identidades
Google Cloud usa identidades para la autenticación y la administración de accesos. Para acceder a cualquier recurso de Google Cloud, un miembro de la organización debe tener una identidad que Google Cloud pueda comprender. Cloud Identity es una plataforma de identidad como servicio (IDaaS) que te permite administrar de forma centralizada los usuarios y grupos que pueden acceder a los recursos de Google Cloud. Si configuras los usuarios en Cloud Identity, puedes configurar el inicio de sesión único (SSO) con miles de aplicaciones de software como servicio (SaaS) de terceros. La forma en que configuras Cloud Identity depende de cómo administras las identidades en este momento.
Para obtener más información sobre las opciones de aprovisionamiento de identidades de Google Cloud, consulta Decide cómo incorporar identidades a Google Cloud.
Comprende la administración de acceso
El modelo para administrar el acceso consta de cuatro conceptos básicos:
- Principal: Puede ser una Cuenta de Google (para usuarios finales), una cuenta de servicio (para productos de Google Cloud) o un Grupo de Google o una cuenta de Google Workspace o Cloud Identity que pueda acceder a un recurso. Las principales no pueden realizar ninguna acción que no estén autorizadas a realizar.
- Función: Es una colección de permisos.
- Permiso: Determina qué operaciones están permitidas en un recurso. Cuando otorgas una función a una principal, otorgas todos los permisos que la función contiene.
- Política de permisos de IAM: Vincula un conjunto de principales a una función. Cuando deseas definir qué principales tienen acceso a un recurso, debes crear una política y adjuntarla al recurso.
La configuración adecuada y la administración eficaz de las principales, las funciones y los permisos son la base de tu posición de seguridad en Google Cloud. La administración de acceso te ayuda a protegerte del uso interno inadecuado y de los intentos externos de acceso no autorizado a tus recursos.
Comprende el acceso a las aplicaciones
Además de los usuarios y grupos, existe otro tipo de identidad conocida como cuenta de servicio. Una cuenta de servicio es una identidad que los programas y servicios pueden usar para autenticar los recursos de Google Cloud y obtener acceso a ellos.
Las cuentas de servicio son administradas por el usuario o Google. Las cuentas de servicio administradas por el usuario incluyen las cuentas de servicio que creas y administras de forma explícita con la IAM, así como la cuenta de servicio predeterminada de Compute Engine que está integrada en todos los proyectos de Google Cloud. Las cuentas de servicio administradas por Google se crean de forma automática y ejecutan procesos internos de Google en tu nombre.
Cuando usas cuentas de servicio, es importante comprender las credenciales predeterminadas de la aplicación y seguir nuestras prácticas recomendadas para las cuentas de servicio a fin de evitar exponer tus recursos a riesgos innecesarios. Los riesgos más comunes implican la elevación de privilegios o la eliminación accidental de una cuenta de servicio en la que se basa una aplicación vital.
Sigue las recomendaciones
Si quieres obtener más información sobre las prácticas recomendadas para administrar la identidad y el acceso de manera eficaz, consulta Administra la identidad y el acceso.
Facturación
La forma en que pagas por los recursos de Google Cloud que consumes es una consideración importante para tu empresa y una parte importante de tu relación con Google Cloud. Puedes administrar la facturación en la consola de Google Cloud mediante Facturación de Cloud junto con el resto del entorno de Cloud.
Los conceptos de jerarquía de recursos y facturación están muy relacionados, por lo que es fundamental que tú y las partes interesadas comprendan estos conceptos.
Para obtener más información sobre las prácticas recomendadas, las herramientas y las técnicas que te ayudan a realizar un seguimiento y controlar los costos, consulta Supervisa y controla los costos.
Conectividad y Herramientas de redes
Para obtener más información sobre cómo diseñar la red en Google Cloud, consulta lo siguiente:
- Decide el diseño de la red de tu zona de destino de Google Cloud.
- Implementa el diseño de red de tu zona de destino de Google Cloud.
Si tu entorno de origen está en otro proveedor de servicios en la nube, es posible que debas conectarlo con tu entorno de Google Cloud. Si deseas obtener más información, consulta Patrones para conectar otros proveedores de servicios en la nube con Google Cloud.
Cuando migres datos y cargas de trabajo de producción a Google Cloud, te recomendamos que consideres cómo puede afectar la disponibilidad de la solución de conectividad al éxito de la migración. Por ejemplo, Cloud Interconnect proporciona ANS de nivel de producción si lo aprovisionas según topologías específicas.
Cuando migres datos desde tu entorno de origen a tu entorno de Google Cloud, debes ajustar la unidad de transmisión máxima (MTU) para que tenga en cuenta la sobrecarga del protocolo. Esto ayuda a garantizar que los datos se transfieran de manera eficiente y precisa. Este ajuste también puede ayudar a evitar demoras causadas por la fragmentación de datos y los problemas de rendimiento de la red. Por ejemplo, si usas Cloud VPN para conectar tu entorno de origen al entorno de Google Cloud, es posible que debas configurar la MTU en un valor más bajo a fin de que se adapte a la sobrecarga del protocolo de VPN en cada transmisión.
Para ayudarte a evitar problemas de conectividad durante la migración a Google Cloud, te recomendamos que hagas lo siguiente:
- Asegúrate de que los registros DNS se resuelvan en el entorno de origen y el entorno de Google Cloud.
- Asegúrate de que las rutas de red entre el entorno de origen y el entorno de Google Cloud se propaguen de forma correcta a través de los entornos.
Si necesitas aprovisionar y usar tus propias direcciones IPv4 públicas en tus VPC, consulta Usa tu propia dirección IP.
Comprende las opciones de DNS
Cloud DNS puede funcionar como tu servidor público del sistema de nombres de dominio (DNS). Para obtener más información sobre cómo implementar Cloud DNS, consulta las prácticas recomendadas de Cloud DNS.
Si necesitas personalizar la forma en que Cloud DNS responde a las consultas según su fuente o destino, consulta Descripción general de las políticas de DNS. Por ejemplo, puedes configurar Cloud DNS para reenviar consultas a tus servidores DNS existentes o puedes anular respuestas de DNS privado según el nombre de la consulta.
Se incluye un servicio separado, pero similar, llamado DNS interno con tu VPC. En lugar de migrar y configurar de forma manual tus propios servidores DNS, puedes usar el servicio DNS interno para la red privada. Para obtener más información, consulta Descripción general de DNS interno.
Comprende la transferencia de datos
Las redes locales se administran y se cobran de una manera muy diferente a las redes en la nube. Cuando administras tu propio centro de datos o instalación de colocación, la instalación de routers, interruptores y cables requiere un gasto de capital fijo por adelantado. En la nube, se te cobra por la transferencia de datos en lugar del costo fijo de instalación de hardware, más el costo continuo de mantenimiento. Planifica y administra los costos de transferencia de datos con precisión en la nube mediante la comprensión de los costos de transferencia de datos.
Cuando planificas la administración del tráfico, existen tres formas de pago:
- Tráfico de entrada: Tráfico de red que ingresa a tu entorno de Google Cloud desde ubicaciones externas. Estas ubicaciones pueden ser desde la Internet pública, las ubicaciones locales o desde otros entornos de nube. La entrada es gratuita para la mayoría de los servicios de Google Cloud. Algunos servicios relacionados con la administración del tráfico orientado a Internet, como Cloud Load Balancing, Cloud CDN y Google Cloud Armor, cobran según el tráfico de entrada que manejan.
- Tráfico de salida: El tráfico de red que sale de tu entorno de Google Cloud. Se aplican cargos de salida a muchos servicios de Google Cloud, incluidos Compute Engine, Cloud Storage, Cloud SQL y Cloud Interconnect.
- Tráfico regional y zonal: El tráfico de red que cruza los límites regionales o zonales en Google Cloud también puede estar sujeto a cargos de ancho de banda. Estos cargos pueden afectar la forma en que diseñas tus apps para la recuperación ante desastres y la alta disponibilidad. Al igual que los cargos de salida, los cargos de tráfico interregional y zonal se aplican a muchos servicios de Google Cloud y es importante considerarlos cuando se planifica una alta disponibilidad y recuperación ante desastres. Por ejemplo, el envío de tráfico a una réplica de base de datos en otra zona está sujeto a cargos de tráfico entre zonas.
Automatiza y controla la configuración de la red
En Google Cloud, la capa de red física se virtualiza y, luego, debes implementar y configurar la red con redes definidas por software (SDN). Para asegurarte de que la red esté configurada de manera coherente y repetible, debes comprender cómo implementar y eliminar de manera automática tus entornos. Puedes usar herramientas de IaC, como Terraform.
Seguridad
La forma en que administras y mantienes la seguridad de tus sistemas en Google Cloud, y las herramientas que usas, son diferentes de cuando administras una infraestructura local. El enfoque cambiará y evolucionará con el tiempo para adaptarse a nuevas amenazas, nuevos productos y modelos de seguridad mejorados.
Las responsabilidades que compartes con Google pueden ser diferentes de las de tu proveedor actual, y comprender estos cambios es fundamental para garantizar la seguridad y el cumplimiento continuos de tus cargas de trabajo. Con frecuencia, la seguridad comprobable y el cumplimiento normativo se entrelazan y comienzan con prácticas sólidas de administración y supervisión, implementación coherente de las prácticas recomendadas de Google Cloud y supervisión y detección de amenazas activas.
Para obtener más información sobre cómo diseñar un entorno seguro en Google Cloud, consulta Decide la seguridad de tu zona de destino de Google Cloud.
Supervisión, alertas y registros
Para obtener más información sobre cómo configurar la supervisión, las alertas y los registros, consulta los siguientes vínculos:
- Configurar la supervisión, las alertas y los registros
- Registros de auditoría agregados de forma central
- Revisa las prácticas recomendadas para proteger el acceso a tus registros sensibles
Administración
Considera las siguientes preguntas para la organización:
- ¿Cómo puedes asegurarte de que los usuarios satisfagan sus necesidades de cumplimiento y las alineen con las políticas comerciales?
- ¿Qué estrategias están disponibles para mantener y organizar tus usuarios y recursos de Google Cloud?
La administración eficaz es fundamental para garantizar la confiabilidad, la seguridad y el mantenimiento de tus recursos en Google Cloud. Al igual que en cualquier sistema, la entropía aumenta de forma natural con el tiempo y si no se controla, puede generar un crecimiento de la nube y otros desafíos de mantenimiento. Sin una administración eficaz, la acumulación de estos desafíos puede afectar la capacidad para lograr los objetivos comerciales y reducir el riesgo. Un plan disciplinado y la aplicación de estándares relacionados con las convenciones de nombres, las estrategias de etiquetado, los controles de acceso, los controles de costos y los niveles de servicio son un componente importante de tu estrategia de migración a la nube. En términos más generales, el ejercicio de desarrollar una estrategia de administración crea alineación entre las partes interesadas y el liderazgo empresarial.
Asistencia para el cumplimiento continuo
Para ayudar a respaldar el cumplimiento de tus recursos de Google Cloud en toda la organización, considera establecer una estrategia de agrupación y de asignación de nombres de recursos coherentes. Google Cloud proporciona varios métodos para anotar y aplicar políticas en los recursos:
- Las marcas de seguridad te permiten clasificar recursos para proporcionar estadísticas de seguridad desde Security Command Center y aplicar políticas sobre grupos de recursos.
- Las etiquetas se pueden usar para realizar un seguimiento de tu inversión en recursos en Facturación de Cloud y proporcionar estadísticas adicionales en Cloud Logging.
- Los rótulos identificadores para firewalls te permiten definir fuentes y destinos en las políticas de firewall de red globales y las políticas de firewall de red regionales.
Para obtener más información, consulta Riesgo y cumplimiento como código.
¿Qué sigue?
- Obtén información sobre cómo implementar una base segura en Google Cloud.
- Continúa la migración a la nube y explora la transferencia de datos a Google Cloud.
- Obtén información sobre cómo encontrar ayuda para tus migraciones.
- Explora arquitecturas de referencia, diagramas y prácticas recomendadas sobre Google Cloud. Consulta nuestro Cloud Architecture Center.