Recomendaciones para organizaciones empresariales

En esta guía se presentan recomendaciones para ayudar a los clientes empresariales como tú en su viaje hacia Google Cloud Platform (GCP). No es una lista exhaustiva de recomendaciones. En su lugar, su objetivo es ayudar a los arquitectos empresariales y a las partes interesadas de los departamentos de tecnología a comprender el alcance de las actividades y a planificar en función de estas. En cada sección se indican las acciones clave y se incluyen vínculos para complementar la lectura.

Antes de leer la guía, te recomendamos que revises la Descripción general de la plataforma para comprender el panorama general de GCP.

Configuración organizativa

Definir la jerarquía de los recursos

En GCP, los recursos se almacenan de forma jerárquica. Este orden permite esquematizar la estructura operativa de la empresa en función de la de GCP, y así administrar los permisos y controles de acceso para los grupos de los recursos relacionados. En el siguiente diagrama se muestra una jerarquía de ejemplo.

Estructura de árbol invertido con recursos organizados jerárquicamente

El nodo del nivel superior de la jerarquía es el recurso de la organización y representa a una organización (por ejemplo, una empresa). Este recurso proporciona visibilidad y control centrales sobre los recursos inferiores de la jerarquía.

Las carpetas son el siguiente componente de la estructura. Estas se pueden usar para aislar los requisitos de los distintos equipos y departamentos de la organización superior. De manera similar, las carpetas sirven para separar los recursos de producción de los de desarrollo.

En la parte inferior de la estructura se encuentran los proyectos. Estos contienen los recursos de procesamiento, almacenamiento y herramientas de redes que conforman las aplicaciones. Los proyectos se analizan en más detalle conforme avanza este documento.

La estructura que definas es flexible y permite que te adaptes a los requisitos en evolución. Si acabas de comenzar tu viaje en GCP, adopta la estructura más simple que satisfaga tus requisitos iniciales. Consulta la descripción general de Resource Manager para ver todos los detalles.

Crear un nodo de organización

Muchas de las funciones que admite GCP requieren un nodo de organización. Mediante Cloud Identity puedes crear un nodo que se ajuste a tu dominio de Internet corporativo, como example.com. También puedes migrar los proyectos de GCP y las cuentas de facturación existentes hacia el nodo de organización. Para obtener más información, consulta Crear y administrar organizaciones.

Consulta el Asistente de configuración de la organización si necesitas ayuda con este aspecto.

Especificar la estructura del proyecto

Para usar GCP, se necesita un proyecto. Todos los recursos de GCP, como las máquinas virtuales de Compute Engine y los depósitos de Cloud Storage, pertenecen a un solo proyecto. Consulta la Descripción general de la plataforma para obtener más información sobre los proyectos.

Tú controlas el alcance de los proyectos. Un solo proyecto puede contener varias aplicaciones independientes, o por el contrario, una sola aplicación se puede incluir en varios proyectos. Los proyectos pueden contener recursos en varias regiones y geografías.

La estructura ideal de un proyecto depende de los requisitos individuales y puede cambiar con el tiempo. Cuando diseñes la estructura de tu proyecto, determina si los recursos se deben facturar por separado, el nivel de aislamiento que se requiere y cómo se organizarán los equipos que administran los recursos y las aplicaciones.

Automatizar la creación de proyectos

La coherencia, reproducibilidad y capacidad de realizar pruebas son los beneficios de automatizar la creación y administración de los proyectos y recursos de GCP. Si tratas a la configuración como código, podrás controlar las versiones y administrar el ciclo de vida de la configuración junto con los artefactos del software. Con la automatización podrás aplicar las recomendaciones, como las convenciones de nombres congruentes y el etiquetado de recursos. Además, la automatización permite simplificar la reestructuración de los proyectos a medida que cambian los requisitos.

Usa Cloud Deployment Manager, una herramienta de administración nativa de GCP, en tus proyectos de la plataforma. En ella, debes crear un archivo de configuración que describa un conjunto de recursos de GCP que quieras implementar en conjunto. Puedes definir plantillas con parámetros y estas actuarán como piezas fundamentales reutilizables. A través de Cloud IAM, Cloud Deployment Manager también permite configurar permisos de control de acceso para que los desarrolladores cuenten con los niveles de acceso adecuados como parte del proceso de creación del proyecto.

También puedes usar herramientas como Terraform, Ansible o Puppet, si lo prefieres, así podrás aprovechar las ventajas que ya tiene tu equipo.

Administración de identidades y accesos

Administrar las identidades de Google

GCP usa las Cuentas de Google para la administración del acceso y la autenticación. Para acceder a GCP, los desarrolladores y el resto del personal técnico deben contar con Cuentas de Google. Te recomendamos que uses cuentas completamente administradas y vinculadas con el nombre de dominio corporativo mediante Cloud Identity. De esta manera, los desarrolladores podrán acceder a GCP con los ID de sus correos electrónicos corporativos y, mediante la Consola del administrador, los administradores podrán ver y controlar las cuentas. En las secciones posteriores de este documento se describe cómo integrar una plataforma de identidad existente en Cloud Identity.

Cloud Identity es una solución de identidad como servicio (IDaaS) independiente. Con ella, los clientes de Cloud Platform pueden acceder a muchas funciones de administración de identidades que proporciona G Suite, el conjunto de aplicaciones de productividad para el lugar de trabajo de Google Cloud. Cloud Identity no necesita una licencia de G Suite. Registrarse en Cloud Identity proporciona una capa administrativa sobre las Cuentas de Google asociadas con tu nombre de dominio corporativo. Esta capa te permitirá habilitar o inhabilitar el acceso a los servicios de Google, incluido GCP, para todos los empleados. Si te registras en Cloud Identity, también se creará un nodo de organización para tu dominio con el que podrás distribuir la estructura y los controles corporativos hacia tus recursos de GCP mediante la jerarquía de recursos.

Consulta las Soluciones de Cloud Identity para obtener más información.

Sincronizar una plataforma de identidad existente

Si tu organización usa una plataforma de identidad local o de terceros, puedes sincronizar un directorio de usuarios existente con Cloud Identity, así los usuarios podrán acceder a GCP con sus credenciales corporativas. De esta manera, la plataforma de identidad existente seguirá siendo la fuente de información y Cloud Identity podrá controlar la forma en que los empleados acceden a los servicios de Google.

Con Google Cloud Directory Sync (GCDS) puedes sincronizar los usuarios y grupos de tu directorio activo o servidor LDAP con el directorio de usuarios proporcionado por Cloud Identity. GCDS aprovisiona las Cuentas de Google correspondientes a los usuarios y grupos corporativos. La sincronización es unilateral: Los datos del servidor de directorios no se modifican. Las contraseñas no se copian en el directorio de Google (a menos que tú lo configures así explícitamente).

Muchos proveedores de servicios de administración de identidad ofrecen conectores para G Suite. Debido a que GCP y G Suite comparten una infraestructura de identidad común a través de Cloud Identity, estos conectores también se aplican a GCP.

Consulta Usar un sistema de administración de identidades existente con Google Cloud Platform en el blog de Google Identity & Security para obtener más información.

Implementar el inicio de sesión único (SSO)

Después de integrar la plataforma de administración de identidades existente en Cloud Identity, puedes configurar el inicio de sesión único (SSO). Con esta función, los usuarios solo tendrán que ingresar una vez para todos los servicios, a fin de acceder a las aplicaciones empresariales en la nube. GCP admite el SSO basado en SAML 2.0 para los proveedores de identidad existentes locales o de terceros. Después de configurar a los usuarios, estos deben autenticarse con el proveedor de identidad antes de acceder a Cloud Platform.

GCP Console y las herramientas de línea de comandos de gcloud y gsutil admiten el SSO basado en SAML 2.0. Si el usuario ingresa a cualquiera de estas herramientas sin antes haberse autenticado con el proveedor del SSO, directamente o mediante otra aplicación, se le solicitará que acceda.

Consulta cómo Configurar el inicio de sesión único para obtener información sobre la configuración del SSO.

Migrar las cuentas no administradas

Si los miembros de tu dominio han usado sus direcciones de correo electrónico corporativas para crear Cuentas de Google personales, por ejemplo, para acceder a un servicio de Google como YouTube o Blogger, contempla migrarlas para que Cloud Identity también pueda administrarlas. También puedes forzar un cambio en las cuentas para que usen otras direcciones de correo electrónico.

En la documentación de Cloud Identity encontrarás información adicional sobre cómo migrar cuentas o forzar un cambio de nombre en estas.

Controlar el acceso a los recursos

Los desarrolladores y el personal de TI necesitan tu autorización para consumir recursos de GCP. Con Cloud Identity and Access Management (IAM) puedes definir detalladamente el acceso a recursos específicos de GCP, además de prevenir el acceso no deseado a otros recursos. Específicamente, Cloud IAM te permite controlar el acceso, ya que puedes definir quiénes (identidad) tienen qué nivel de acceso (función) a qué recursos.

Debes asignar funciones, en lugar de asignar permisos de forma directa. Las funciones de Cloud IAM son colecciones de permisos. Por ejemplo, la función Lector de datos de BigQuery permite generar listas, leer y consultar las tablas de BigQuery, pero no tiene los permisos para crear tablas nuevas o modificar los datos existentes. Cloud IAM ofrece muchas funciones predefinidas a fin de controlar una gran variedad de casos prácticos comunes. También permite crear funciones personalizadas.

Cloud IAM te permite implementar el principio de seguridad del menor privilegio, para que puedas conceder solo los niveles de acceso necesarios a tus recursos. Este sistema es un tema fundamental para las organizaciones empresariales. Si necesitas más información sobre la administración de identidades y accesos, consulta los siguientes recursos:

Usar los grupos y las cuentas de servicio para delegar las responsabilidades

Recomendamos agrupar a los usuarios con las mismas responsabilidades y asignar funciones de Cloud IAM a los grupos, en lugar de los usuarios individuales. Por ejemplo, puedes crear un grupo de "científicos de datos" y asignarle las funciones adecuadas para permitir que interactúen con BigQuery y Cloud Storage. Si otro científico de datos se une al equipo, solo tienes que agregarlo al grupo para otorgarle los permisos definidos. Los grupos se crean y administran en la Consola del administrador.

Las cuentas de servicio son Cuentas de Google especiales que representan la identidad de un servicio de Google Cloud o una aplicación, y no a un usuario individual. Al igual que a los usuarios y los grupos, a las cuentas de servicio se les pueden asignar funciones de IAM para acceder a recursos específicos. Las cuentas de servicio se autentican con una clave, y no con una contraseña. Google administra y rota las claves de las cuentas de servicio cuando el código se ejecuta en GCP. Recomendamos usar cuentas de servicio para las interacciones entre servidores.

Definir políticas de la organización

Para tener un control programático y centralizado sobre los recursos de la nube de tu organización, usa el Servicio de políticas de la organización. Cloud IAM se enfoca en el quién y brinda la habilidad de autorizar a usuarios y grupos a que actúen sobre recursos específicos en función de sus permisos. Las políticas de la organización se enfocan en el qué y brindan la habilidad de configurar restricciones para recursos específicos a fin de determinar cómo se pueden configurar y usar. Por ejemplo, puedes definir límites para evitar que las instancias de máquinas virtuales tengan direcciones IP externas.

Las políticas para los recursos se configuran en la jerarquía de estos. Según la configuración predeterminada, todos los descendientes de un recurso heredan sus políticas. Vincula una política al nodo de la organización de nivel superior para definir un conjunto base de restricciones que se apliquen a todos los elementos de la jerarquía. Tras esto, puedes establecer políticas de la organización personalizadas sobre los nodos secundarios, los que reemplazarán o se combinarán con la política heredada.

Consulta Diseño de políticas para clientes empresariales si necesitas más información sobre el tema.

Herramientas de redes y seguridad

Usar una VPC para definir la red

Las VPC y las subredes se pueden usar para definir la red, además de agrupar y aislar los recursos relacionados. La nube privada virtual (VPC) es una versión virtual de una red física. Con las redes de VPC obtendrás herramientas de redes flexibles y escalables para tus instancias de máquinas virtuales (VM) de Compute Engine y los servicios que usan las instancias de VM, como Google Kubernetes Engine (GKE), Cloud Dataproc y Cloud Dataflow, entre otros.

Las redes de VPC son recursos globales: una sola VPC puede abarcar varias regiones sin tener que comunicarse mediante la Internet pública. Esto quiere decir que puedes conectar y administrar recursos distribuidos por todo el mundo desde un solo proyecto de GCP, y que puedes crear varias redes de VPC aisladas en un solo proyecto.

Las redes de VPC en sí no definen los rangos de direcciones IP. En su lugar, cada red de VPC consta de una o más particiones, conocidas como subredes. A su vez, cada subred define uno o más rangos de direcciones IP. Las subredes son recursos regionales, cada subred se asocia explícitamente con una sola región.

Consulta la Descripción general de VPC para obtener más información.

Administrar el tráfico con reglas de firewall

Cada red de VPC implementa un firewall virtual distribuido. Configura reglas de firewall que permitan o impidan que el tráfico ingrese a los recursos conectados a la VPC o salga de estos, incluidas las instancias de VM de Compute Engine y los clústeres de GKE. Las reglas de firewall se aplican al nivel de la red virtual, por lo que ofrecen protección y control de tráfico eficaces sin importar el sistema operativo que usen las instancias. Se trata de un firewall con estado, esto quiere decir que, para los flujos que se permiten, el tráfico de retorno se habilita automáticamente.

Las reglas de firewall son específicas de una red de VPC en particular. Estas reglas permiten especificar el tipo de tráfico, como puertos y protocolos, además de la fuente o el destino del tráfico, incluidas las direcciones IP, las subredes, las etiquetas y las cuentas de servicio. Por ejemplo, puedes crear una regla de entrada que permita que cualquier instancia de VM asociada con una cuenta de servicio en particular acepte en el puerto 80 el tráfico de TCP proveniente de una subred fuente específica. Cada VPC incluye reglas de firewall implícitas y predeterminadas de manera automática.

Si tu aplicación se aloja en GKE, hay distintos aspectos que se deben considerar para administrar el tráfico de red y configurar las reglas de firewall. Consulta Conceptos de herramientas de redes de GKE para obtener más información.

Limitar el acceso externo

Si creas un recurso de GCP que aproveche las VPC, debes elegir una red y una subred para ubicarlo. Al recurso se le asigna una dirección IP interna desde uno de los rangos de IP asociados con la subred. Los recursos de una red de VPC se pueden comunicar entre sí mediante direcciones IP internas, siempre y cuando las reglas de firewall lo permitan.

Los recursos deben tener una dirección IP pública externa o usar Cloud NAT para poder comunicarse con Internet. De manera similar, los recursos deben tener una dirección IP externa para conectarse con los otros recursos fuera de la misma red de VPC, a menos que las redes estén conectadas de alguna manera, como mediante una VPN. Consulta la documentación sobre direcciones IP para obtener más información.

Limita el acceso a Internet solo a los recursos que lo necesitan. A través del acceso privado de Google, solo los recursos que tengan una dirección IP interna y privada pueden acceder a muchas API y servicios de Google. El acceso privado permite que los recursos interactúen con los servicios clave de Google y GCP, mientras se los aísla de Internet.

Centralizar el control de la red

Con la función de VPC compartida podrás conectarte a una red de VPC común. Los recursos de esos proyectos pueden comunicarse entre sí mediante IP internas, y de forma segura y eficiente entre los límites de los proyectos. Desde un proyecto host central, puedes administrar los recursos de red compartidos, como las subredes, las rutas y los firewall, con lo que podrás aplicar, o forzar, políticas de red coherentes entre los proyectos.

Con los controles de IAM y VPC compartidas, puedes separar la administración de red de la de proyectos. Esta división permite implementar el principio del menor privilegio. Por ejemplo, un equipo de red centralizado puede administrar la red sin necesitar permisos para los proyectos involucrados. De manera similar, los administradores de proyectos pueden controlar los recursos de estos sin necesitar permisos para manipular la red compartida.

Conectar la red empresarial

Muchas empresas necesitan conectar su infraestructura local existente con sus recursos de GCP. A fin de elegir la mejor opción de conexión, evalúa tus requisitos de ancho de banda, latencia y ANS, como se indica a continuación:

  • Si necesitas conexiones de grado empresarial, alta disponibilidad y baja latencia que te permitan transferir datos de manera confiable entre tus redes locales y de VPC sin tener que atravesar conexiones a Internet para llegar a GCP, usa Cloud Interconnect:

    • La interconexión dedicada proporciona una conexión física directa entre la red local y la de Google.
    • La interconexión de socio proporciona conectividad entre las redes locales y de VPC de GCP, mediante un proveedor de servicios aprobado.
  • Usa Cloud VPN para configurar túneles VPN con IPsec encriptados entre tu red local y la VPC si acabas de emprender tu viaje hacia la nube o si no necesitas la baja latencia y alta disponibilidad de Cloud Interconnect. En comparación con una conexión directa y privada, un túnel VPN con IPsec tiene costos y gastos generales más bajos.

Proteger las aplicaciones y los datos

GCP ofrece funciones de seguridad robustas entre su infraestructura y sus servicios, desde la seguridad física de los centros de datos y el hardware de seguridad personalizado hasta los equipos dedicados de investigadores. Sin embargo, la seguridad de los recursos de GCP es una responsabilidad compartida. Debes tomar las medidas adecuadas para garantizar que tus aplicaciones y datos estén protegidos.

Además de las reglas de firewall y el aislamiento de la VPC, usa las herramientas complementarias que se presentan a continuación para asegurar y proteger tus aplicaciones:

  • Usa los Controles del servicio de VPC para establecer un perímetro de seguridad en torno a los recursos de GCP a fin de restringir los datos dentro de una VPC y ayudar a mitigar los riesgos de robo de datos.
  • Usa un balanceador de cargas HTTP(S) global de GCP a fin de habilitar el escalamiento y una alta disponibilidad para tus servicios orientados a Internet.
  • Integra Cloud Armor en el balanceador de cargas HTTP(S) a fin de proporcionar protección contra ataques de DSD y poder agregar o quitar direcciones IP a la lista blanca o negra en la red perimetral.
  • Usa Cloud Identity-Aware Proxy (Cloud IAP) para controlar el acceso a las aplicaciones y verificar la identidad de los usuarios y el contexto de la solicitud a fin de determinar si se les debe otorgar el acceso.

Con GCP puedes proteger tus datos mediante la encriptación tanto en tránsito como en reposo. Según la configuración predeterminada, los datos en reposo se encriptan con claves de encriptación administradas por Google. Por el contrario, puedes administrar tus propias claves en GCP en el caso de los datos sensibles. Si necesitas un control superior, puedes suministrar tus propias claves de encriptación, las que se mantendrán fuera de GCP. Recomendamos usar ese enfoque solo para los datos realmente sensibles. ya que este método genera gastos adicionales. Consulta la sección sobre encriptación en reposo para obtener más detalles.

Registro, supervisión y operaciones

Centralizar el registro y la supervisión

Las empresas suelen ejecutar varias aplicaciones, canalizaciones de datos y otros procesos, a menudo entre plataformas distintas. Para los equipos de operación y de desarrolladores, asegurar el buen estado de estas aplicaciones y procesos es una responsabilidad clave. Recomendamos el uso de Stackdriver para asegurar el buen estado y administrar el registro, la supervisión, la depuración, el seguimiento, la generación de perfiles y más.

Los registros son una fuente primordial de información de diagnóstico sobre el estado de las aplicaciones y los procesos. Stackdriver Logging es parte del paquete de Stackdriver y permite almacenar, visualizar, buscar, analizar y generar alertas sobre datos y eventos de los registros. El registro se integra de forma nativa en los variados servicios de GCP. El servicio incluye un agente de registro y una API para admitir aplicaciones que se ejecuten en instancias de Amazon EC2 y a nivel local. Usa Logging para centralizar los registros de todas las aplicaciones en Stackdriver.

Además del consumo de registros, a menudo se deben supervisar otros aspectos de las aplicaciones y los sistemas para asegurar una operación confiable. Usa Stackdriver Monitoring para obtener visibilidad sobre el rendimiento, el tiempo de actividad y el estado general de las aplicaciones y la infraestructura. Monitoring transfiere eventos, métricas y metadatos y genera información valiosa mediante paneles, gráficos y alertas. Monitoring admite métricas de muchas fuentes de GCP y terceros desde el inicio. También puedes definir métricas personalizadas con Monitoring. Por ejemplo, puedes usar las métricas para establecer políticas de alertas, de modo que los equipos de operación reciban notificaciones de los comportamientos o tendencias inusuales. Monitoring también proporciona paneles flexibles y herramientas de visualización avanzadas para identificar los problemas emergentes.

Configurar un registro de auditoría

Además de captar registros al nivel del proceso y de la aplicación, es posible que debas realizar seguimiento y mantener los detalles de cómo los equipos de TI y de desarrolladores interactúan con los recursos de GCP. Con Cloud Audit Logging podrás responder interrogantes como: "quién hizo qué, dónde y cuándo", en tus proyectos de GCP. Para ver una lista de los servicios de GCP que escriben registros de auditorías, consulta la sección servicios que producen registros de auditorías. Usa los controles de IAM para limitar el acceso de la visualización de estos registros.

Cloud Audit Logging registra varios tipos de actividades. Los registros de actividad del administrador contienen entradas de registro de las llamadas a la API o las otras acciones administrativas que modifican la configuración o los metadatos de los recursos. Los registros de actividad del administrador siempre están habilitados. Los registros de auditoría de acceso a los datos registran las llamadas a la API que crean, modifican o leen los datos proporcionados por el usuario. Según la configuración predeterminada, estos registros están inhabilitados, ya que pueden ser bastante extensos. Puedes especificar qué servicios de GCP producen registros de acceso a los datos.

Consulta Recomendaciones para trabajar con Cloud Audit Logging si quieres obtener información más detallada sobre las auditorías.

Exportar los registros

Logging retiene los registros de auditoría y de las aplicaciones durante un tiempo limitado. Para cumplir con las obligaciones de cumplimiento, es posible que debas retener los registros durante períodos más largos. Por otra parte, puede que quieras conservar los registros para realizar análisis históricos.

Puedes exportar los registros a Cloud Storage, BigQuery y Cloud Pub/Sub. Usa los filtros para incluir o excluir recursos de la exportación. Por ejemplo, puedes exportar todos los registros de Compute Engine, pero excluir los registros de volumen alto de Cloud Load Balancing.

El destino de exportación de los registros depende del caso práctico. Muchas empresas exportan a distintos destinos. En términos generales, usa Cloud Storage para el almacenamiento a largo plazo a fin de cumplir con las obligaciones de cumplimiento. Si necesitas analizar registros usa BigQuery, ya que admite consultas de SQL y un gran ecosistema de herramientas de terceros.

Consulta Patrones de diseño para exportar desde Logging si necesitas más información sobre la exportación de registros.

Incorporar DevOps y explorar la ingeniería de confiabilidad de sitios

Para aumentar la agilidad y acelerar el tiempo de salida al mercado de aplicaciones y funciones, debes dividir los sistemas aislados entre los equipos de desarrollo, operaciones, herramientas de redes y seguridad. Para hacerlo se necesitan las herramientas, la cultura y los procesos que en conjunto se conocen como DevOps.

GCP ofrece una variedad de servicios para la adopción de las prácticas de DevOps. Las funciones incluyen repositorios de código fuente integrados, herramientas de entrega continua, capacidades avanzadas de supervisión mediante Stackdriver y una gran compatibilidad con herramientas de código abierto. Consulta las soluciones de DevOps de GCP para obtener más detalles.

La ingeniería de confiabilidad de sitios (SRE) es un conjunto de prácticas estrechamente relacionadas con DevOps. Estas prácticas surgieron del equipo de SRE que administra la infraestructura de producción de Google. Si bien crear una función de SRE dedicada va más allá del alcance de muchas empresas, te recomendamos que analices los libros sobre SRE para aprender sobre prácticas que pueden ayudar a diseñar una estrategia de operaciones.

Arquitectura de la nube

Planificar la migración

Para migrar las aplicaciones y la infraestructura locales a la nube, se debe planificar y evaluar detalladamente. Debes evaluar las diversas estrategias de migración, desde lift-and-shift hasta transformar y migrar, para cada aplicación. GCP ofrece herramientas que ayudan a migrar las máquinas virtuales, transferir los datos y modernizar las cargas de trabajo. Consulta el centro de migración para obtener más información.

Debido a las limitaciones financieras, técnicas o normativas, puede que no sea posible o incluso deseable mover ciertas aplicaciones a la nube pública. En consecuencia, puede que tengas que distribuir y además integrar cargas de trabajo entre tu infraestructura local y la de GCP. Esta configuración se conoce como nube híbrida. Consulta la página sobre la nube híbrida y los patrones y recomendaciones para las soluciones híbridas y multinube para obtener más información sobre las cargas de trabajo híbridas.

Favorecer los servicios administrados

Los factores principales para adoptar la nube son la disminución de los gastos de TI y el aumento de la eficiencia, lo que permite enfocarse en el negocio principal. Además de adoptar las prácticas de DevOps y aumentar la automatización, te recomendamos que uses los servicios administrados de GCP para disminuir la carga operativa y el costo total de propiedad (TCO).

En lugar de instalar, respaldar y operar todos los componentes de una pila de aplicación de manera independiente, puedes usar los servicios administrados para consumir las partes de esta en forma de servicios. Por ejemplo, en lugar de instalar y autoadministrar una base de datos MySQL en una instancia de VM, puedes usar una base MySQL proporcionada por Cloud SQL. A continuación, puedes confiar la administración de la infraestructura subyacente a GCP, y automatizar las copias de seguridad, las actualizaciones y la replicación.

Te recomendamos evaluar el ANS que ofrece cada servicio administrado.

GCP ofrece servicios administrados y opciones sin servidores para muchos componentes de la aplicación y casos prácticos comunes, desde bases de datos administradas hasta herramientas de procesamiento de macrodatos. Muchos de estos servicios administrados admiten marcos de trabajo y plataformas populares de código abierto, para que puedas aprovechar los beneficios de TCO mediante la migración de las aplicaciones existentes que aprovechan estas plataformas de código abierto en la nube.

Diseñar para una alta disponibilidad

Diseña aplicaciones resilientes que controlen con fluidez las fallas o los cambios inesperados en las cargas, a fin de mantener el tiempo de actividad de las aplicaciones de misión crítica. El concepto de alta disponibilidad quiere decir que la aplicación es capaz de mantener una capacidad de respuesta y de seguir funcionando aunque fallen los componentes del sistema. Las arquitecturas con estas características suelen implicar la distribución de los recursos de procesamiento, el balanceo de cargas y la replicación de datos. El grado de los aprovisionamientos de alta disponibilidad puede variar según la aplicación. Consulta la documentación sobre geografías y regiones para obtener más información sobre los conceptos de disponibilidad.

Como mínimo, debes distribuir los recursos de procesamiento, como las instancias de VM de Compute Engine y los clústeres de GKE, entre las zonas disponibles de una región a fin de protegerlos contra las fallas de una zona especifica. Con el fin de mejorar aún más la disponibilidad de los recursos de procesamiento, puedes distribuirlos, de forma similar, entre varias regiones geográficamente dispersas, para mitigar el efecto de la pérdida de toda una región. Consulta las recomendaciones para elegir una región de Compute Engine si necesitas información sobre dónde crear tus recursos de procesamiento.

GCP ofrece varias alternativas para el balanceo de cargas. A menudo, el balanceador de cargas HTTP(S) se usa para exponer las aplicaciones orientadas a Internet. Esta herramienta proporciona balanceo global, lo que permite distribuir la carga entre regiones de distintas geografías. Si una zona o región dejaran de estar disponibles, el balanceador de cargas redirige el tráfico hacia una zona que tenga capacidad. Consulta la sección sobre optimización de la capacidad de las aplicaciones con un balanceo de cargas global para obtener más información.

En el momento de elegir el tipo de almacenamiento de los datos también se debe considerar la disponibilidad. Algunos servicios de almacenamiento de datos de GCP ofrecen la capacidad de replicar los datos entre zonas de una misma región. Otros servicios replican los datos de manera automática entre varias regiones de un área geográfica, pero es posible que esto se compense a través de la latencia o el modelo de coherencia. La idoneidad de un servicio de almacenamiento de datos varía según los requisitos de disponibilidad y los de las aplicaciones.

Planificar una estrategia de recuperación ante desastres

Además de diseñar con la alta disponibilidad en mente, debes crear un plan para mantener la continuidad del negocio en caso de una interrupción a gran escala o un desastre natural. La recuperación ante desastres (DR) es la capacidad de recuperarse de incidentes importantes, aunque poco frecuentes. Puede que tengas que poner en marcha tu estrategia de recuperación ante desastres cuando los aprovisionamientos de alta disponibilidad no sean eficaces o no estén disponibles.

Es necesario planificar y realizar pruebas para crear un plan de recuperación ante desastres eficaz. Te recomendamos abordar los planes de recuperación ante desastres desde el principio. Consulta la guía de planificación para recuperación ante desastres y los artículos relacionados a fin de obtener más información.

Recursos

Facturar y administrar

Comprender cómo se cobran los recursos

GCP usa un modelo de consumo. Los cobros se realizan según cuánto se use un recurso o producto específico durante un período de pago determinado. El consumo de los productos se mide de distintas maneras, como las que se indican a continuación:

  • Cantidad de tiempo (cuántos segundos se ejecutó una máquina)
  • Volumen (cuántos datos se almacenaron)
  • Cantidad de operaciones que se ejecutaron
  • Variaciones de los conceptos anteriores

Para calcular tus costos con exactitud, asegúrate de comprender cómo funciona la facturación de los componentes de tu sistema. La documentación de cada producto incluye información detallada sobre los precios. En muchos de estos se ofrece un nivel gratuito en el que todo consumo por debajo de cierto límite no genera cargos. Debes habilitar la facturación si necesitas consumir recursos más allá de lo que ofrece el nivel gratuito.

Consulta la página de Precios para conocer los detalles sobre la filosofía de los precios de GCP, las novedades y los descuentos.

Configurar controles de facturación

Todo recurso de GCP, como las VM de Compute Engine, los depósitos de Cloud Storage y los conjuntos de datos de BigQuery, se debe asociar con un proyecto de la plataforma. A su vez, los proyectos se deben asociar con una cuenta de facturación para poder consumir recursos más allá de lo que ofrece el nivel gratuito. La relación entre las cuentas de facturación y los proyectos es de uno a varios, ya que un proyecto puede estar asociado con solo una cuenta de facturación, pero las cuentas de facturación se pueden asociar con varios proyectos.

Con la cuenta de facturación puedes definir quién paga los recursos de un conjunto de proyectos. En la cuenta se incluye un instrumento de pago, como una tarjeta de crédito, en la que se aplican los cobros. Las cuentas de facturación se pueden definir al nivel de la organización, y en este los proyectos del nodo de la organización se vinculan con las cuentas de facturación. La organización puede tener varias cuentas de facturación a fin de reflejar los centros o departamentos con distintos costos.

Cloud IAM proporciona un conjunto completo de controles que permiten limitar la forma en que los distintos usuarios pueden administrar y además interactuar con la facturación. Los controles permiten aplicar el principio del menor privilegio y brindar una separación clara de las funciones. Por ejemplo, puedes separar el permiso para crear cuentas de facturación del permiso para vincular proyectos con una cuenta de facturación determinada

Consulta la Lista de tareas para incorporar la facturación a fin de ver un análisis detallado sobre los conceptos y la configuración de la facturación.

Analizar y exportar la facturación

En GCP Console, los usuarios con los permisos adecuados pueden consultar un desglose detallado de los costos, el historial de transacciones y más. La información se presenta por cuenta de facturación. Además, la consola incluye informes de facturación interactivos con los que puedes filtrar y separar los costos por proyecto, producto y período. La funcionalidad de GCP Console suele bastar para los clientes con configuraciones de GCP simples.

Sin embargo, lo normal es que se necesiten informes y análisis personalizados sobre los gastos de la nube. Habilita la exportación diaria de los cargos de facturación para cumplir con este requisito. Puedes configurar la exportación de archivos para que se envíen documentos en formato CSV o JSON a un depósito de Cloud Storage. De manera similar, puedes configurar la exportación a un conjunto de datos de BigQuery. Las exportaciones incluirán todas las etiquetas que se aplicaron a los recursos.

Te recomendamos habilitar las exportaciones de BigQuery. En comparación con el archivo de exportación, estas permiten desglosar más detalladamente los costos. Cuando los datos de facturación están en BigQuery, los equipos de finanzas pueden analizarlos mediante SQL estándar y usar herramientas que se integran en BigQuery.

Planificar con los requisitos de capacidad en mente

Las cuotas de los proyectos de GCP limitan el consumo de un recurso o API específicos. Las cuotas se fijan para proteger a la comunidad de GCP, ya que evitan aumentos imprevistos del uso. Por ejemplo, las cuotas permiten evitar que una pequeña cantidad de clientes o proyectos monopolice el uso de los núcleos de CPU en una región o zona específica.

Planifica los requisitos de capacidad de tus proyectos con antelación a fin de evitar las limitaciones inesperadas del consumo de los recursos. En la sección Cuotas de GCP Console puedes solicitar cambios si estas no son suficientes. Comunícate con el equipo de ventas de GCP si necesitas una capacidad mayor.

Implementar controles de costos

Los costos de los servicios de la nube aumentan a medida que lo hace su escala. GCP proporciona varios métodos para limitar el consumo de los recursos y para notificar a las partes interesadas de los eventos de facturación relevantes.

Puedes definir presupuestos que generen alertas cuando se superan ciertos límites. Las alertas se envían mediante correo electrónico y, opcionalmente, pueden generar mensajes de Cloud Pub/Sub para la notificación programática. El presupuesto se puede aplicar a toda la cuenta de facturación o a un proyecto individual vinculado a la cuenta de facturación. Por ejemplo, puedes crear un presupuesto para que se generen alertas cuando el gasto mensual total de una cuenta de facturación alcance el 50, 80 o 100 por ciento de la cantidad especificada. Recuerda que los presupuestos en sí no limitan los gastos, más bien son una función para la generación de alertas. Consulta la documentación sobre alertas presupuestarias para obtener más información. Además, revisa la lista de tareas para integrar Cloud Billing a fin de conocer más sobre las recomendaciones, decisiones de diseño y opciones de configuración que simplifican la administración de los costos.

También puedes usar las cuotas para limitar el consumo de un recurso específico. Por ejemplo, puedes configurar una cuota máxima de "uso de consultas por día" en la API de BigQuery para garantizar que un proyecto no exceda el gasto en este servicio.

Comprar un paquete de asistencia

GCP proporciona varias maneras de obtener asistencia cuando se presentan problemas, y estas abarcan desde los Foros de la comunidad hasta paquetes de asistencia pagos. Recomendamos adquirir un paquete de asistencia para empresas a fin de proteger las cargas de trabajo críticas del negocio. Consulta el portal de asistencia de GCP si necesitas más detalles.

La capacidad para enviar tickets de asistencia podría limitarse a personas específicas, según el nivel de asistencia adquirido. Por lo que se recomienda establecer un servicio de resolución o mesa de jerarquización para fines de asistencia. Con este enfoque se pueden evitar los problemas de comunicación y la duplicación de tickets, además la comunicación con la Asistencia de Google será lo más clara posible.

Obtener asistencia de los expertos

Professional Services Organization (PSO) de Google Cloud ofrece servicios de consultoría que te ayudarán en tu viaje hacia GCP. Comunícate con los expertos de la PSO, quienes te ofrecerán todos sus conocimientos para instruir a tu equipo sobre las recomendaciones y los principios básicos de una implementación exitosa. Los servicios se entregan como paquetes que te ayudarán a planificar, implementar, ejecutar y optimizar las cargas de trabajo.

Por otra parte, GCP cuenta con un ecosistema sólido de Google Cloud Partners que abarca desde integradores de sistemas globales a gran escala hasta socios especializados en áreas específicas, como el aprendizaje automático. Los partners han demostrado que los clientes pueden triunfar con GCP y pueden acelerar tus proyectos, además de mejorar los resultados comerciales. A fin de planificar y ejecutar su implementación de GCP, nuestra recomendación es que los clientes empresariales trabajen con los partners.

Crear centros de excelencia

Google sigue invirtiendo en estos productos y se implementan constantemente funciones nuevas. Captar la información, la experiencia y los patrones de la organización en una base de conocimiento interna, como una wiki, sitio de Google o de intranet, puede ser muy valioso.

De manera similar, se recomienda designar a expertos y campeones de GCP dentro de la organización. Para que los campeones designados destaquen en sus áreas de experiencia, se encuentra disponible una variedad de opciones de capacitación y certificación. Si se suscriben al blog de Google Cloud, los equipos podrán estar al día sobre las últimas noticias, historias de clientes y anuncios.

Pasos siguientes

¿Te ha resultado útil esta página? Enviar comentarios:

Enviar comentarios sobre...