Prácticas recomendadas para organizaciones empresariales

En esta guía se presentan prácticas recomendadas para ayudar a clientes empresariales como tú en su recorrido hacia Google Cloud. No es una lista exhaustiva de recomendaciones; sino que el objetivo es ayudar a los arquitectos empresariales y a las partes interesadas de los departamentos de tecnología a comprender el alcance de las actividades y a planificar en función de estas. En cada sección se indican las acciones clave y se incluyen vínculos para complementar la lectura.

Antes de leer esta guía, te recomendamos revisar la Descripción general de Platform para comprender el panorama general de Google Cloud.

Configuración organizativa

Define la jerarquía de los recursos

Los recursos de Google Cloud están organizados de manera jerárquica. Esta jerarquía te permite asignar la estructura operativa de tu empresa a Google Cloud y administrar el control de acceso y los permisos para grupos de recursos relacionados. En el siguiente diagrama, se muestra una jerarquía de ejemplo.

Estructura de árbol invertido con recursos organizados de forma jerárquica

El nodo de nivel superior de la jerarquía es el recurso de organización, que representa una organización (por ejemplo, una empresa). El recurso de organización proporciona visibilidad central y control sobre todos los recursos que se encuentran más abajo en la jerarquía.

Lo que sigue en la jerarquía son las carpetas. Puedes usar carpetas para aislar los requisitos de diferentes departamentos y equipos en la organización principal. De manera similar, puedes usar carpetas para separar los recursos de producción de los recursos de desarrollo.

En la parte inferior de la jerarquía están los proyectos. Estos contienen los recursos de procesamiento, almacenamiento y herramientas de redes que conforman las aplicaciones. Los proyectos se analizan en más detalle conforme avanza este documento.

La estructura que defines es flexible y te permite adaptarte a los requisitos cambiantes. Si recién comienzas a usar Google Cloud, adopta la estructura más simple que cumpla con los requisitos iniciales. Consulta la descripción general de Resource Manager para obtener todos los detalles.

Crea un nodo de organización

Muchas de las funciones que admite Google Cloud requieren un nodo de organización. Mediante Cloud Identity, puedes crear un nodo de organización que se asigne a tu dominio de Internet corporativo, como example.com. También puedes migrar tus cuentas de facturación y proyectos de Google Cloud existentes a este nodo. Para obtener más información, consulta Crea y administra organizaciones.

Consulta el Asistente de configuración de la organización si necesitas ayuda con este aspecto.

Especifica la estructura del proyecto

Se necesita un proyecto para usar Google Cloud. Todos los recursos de Google Cloud, como las máquinas virtuales de Compute Engine y los depósitos de Cloud Storage, pertenecen a un solo proyecto. Consulta la Descripción general de Platform para obtener más información sobre los proyectos.

Tú controlas el alcance de los proyectos. Un solo proyecto puede contener varias aplicaciones independientes, o por el contrario, una sola aplicación se puede incluir en varios proyectos. Los proyectos pueden contener recursos en varias regiones y geografías.

La estructura ideal de un proyecto depende de los requisitos individuales y puede cambiar con el tiempo. Cuando diseñes la estructura de tu proyecto, determina si los recursos se deben facturar por separado, el nivel de aislamiento que se requiere y cómo se organizarán los equipos que administran los recursos y las aplicaciones.

Automatizar la creación de proyectos

Cuando automatizas la creación y administración de tus proyectos y recursos de Google Cloud, obtienes beneficios como la coherencia, la reproducibilidad y la capacidad de realizar pruebas. Si tratas a la configuración como código, podrás controlar las versiones y administrar el ciclo de vida de la configuración junto con los artefactos del software. Con la automatización podrás aplicar las recomendaciones, como las convenciones de nombres congruentes y el etiquetado de recursos. Además, la automatización simplifica la refactorización de los proyectos a medida que cambian los requisitos.

Para los proyectos de Google Cloud, usa Cloud Deployment Manager, la herramienta de administración nativa de Google Cloud. Con Deployment Manager, puedes crear un archivo de configuración que describa un conjunto de recursos de Google Cloud para implementar en conjunto. Puedes definir plantillas con parámetros que actúen como piezas fundamentales reutilizables. Deployment Manager también puede establecer permisos de control de acceso mediante Cloud IAM, de forma que tus desarrolladores reciban el acceso apropiado como parte del proceso de creación del proyecto.

También puedes usar herramientas como Terraform, Ansible o Puppet, si lo prefieres, Así, podrás aprovechar las habilidades que tu equipo ya posee.

Administración de identidades y accesos

Administrar las identidades de Google

Google Cloud usa Cuentas de Google para la administración de acceso y la autenticación. Para acceder a Google Cloud, los desarrolladores y el resto del personal técnico deben tener una. Te recomendamos que uses Cuentas de Google completamente administradas y vinculadas a tu nombre de dominio corporativo mediante Cloud Identity. De esta manera, los desarrolladores pueden acceder a Google Cloud mediante sus ID de correo electrónico corporativo, y los administradores pueden ver y controlar las cuentas a través de la Consola del administrador. En las secciones posteriores de este documento, se describe cómo integrar una plataforma de identidad existente en Cloud Identity.

Cloud Identity es una solución de identidad como servicio (IDaaS) independiente. Con ella, los clientes de Cloud Platform pueden acceder a muchas funciones de administración de identidades que proporciona G Suite, el conjunto de apps de productividad para el lugar de trabajo de Google Cloud. Para Cloud Identity, no se necesita una licencia de G Suite. Si te registras en Cloud Identity, obtienes una capa de administración sobre las Cuentas de Google asociadas con tu nombre de dominio corporativo. A través de esta capa de administración, puedes habilitar o inhabilitar el acceso a los servicios de Google, incluido Google Cloud, para tus empleados. Cuando te registras en Cloud Identity, también se crea un nodo de organización para el dominio, que permite asignar una estructura y controles corporativos a los recursos de Google Cloud mediante la jerarquía de recursos.

Consulta las Soluciones de Cloud Identity para obtener más información.

Federa el proveedor de identidad con Google Cloud

Si en tu organización se usa un proveedor de identidad local o de terceros, sincroniza el directorio de usuarios con Cloud Identity para permitir que los usuarios accedan a Google Cloud con sus credenciales corporativas. De esta manera, la plataforma de identidad sigue siendo la fuente de información, mientras Cloud Identity controla la manera en que tus empleados acceden a los servicios de Google.

Migrar las cuentas no administradas

Si los miembros de tu dominio usaron sus direcciones de correo electrónico corporativas a fin de crear Cuentas de Google personales (por ejemplo, para registrarse en un servicio de Google como YouTube o Blogger), considera migrarlas a fin de que Cloud Identity también pueda administrarlas. También puedes forzar un cambio en las cuentas para que usen otras direcciones de correo electrónico.

Puedes encontrar orientación adicional sobre cómo migrar cuentas o forzar el cambio de nombre de las cuentas en Evalúa las cuentas de usuario existentes.

Controla el acceso a los recursos

Debes autorizar a los desarrolladores y al personal de TI para que puedan usar los recursos de Google Cloud. Puedes usar Cloud Identity and Access Management (IAM) para otorgar acceso detallado a recursos específicos de Google Cloud y evitar el acceso no deseado a otros recursos. En particular, Cloud IAM te permite controlar el acceso, ya que puedes definir quiénes (identidad) tienen qué nivel de acceso (función) a qué recursos.

Debes asignar funciones, en lugar de asignar permisos de forma directa. Las funciones de Cloud IAM son colecciones de permisos. Por ejemplo, la función Lector de datos de BigQuery permite generar listas, leer y consultar las tablas de BigQuery, pero no tiene los permisos para crear tablas nuevas o modificar los datos existentes. Cloud IAM ofrece muchas funciones predefinidas a fin de controlar una gran variedad de casos prácticos comunes. También permite crear funciones personalizadas.

Cloud IAM te permite implementar el principio de seguridad del menor privilegio, para que puedas conceder solo los niveles de acceso necesarios a tus recursos. Este sistema es un tema fundamental para las organizaciones empresariales. Si deseas obtener más información sobre la administración de identidades y accesos, consulta los siguientes recursos:

Usa los grupos y las cuentas de servicio para delegar responsabilidades

Recomendamos agrupar a los usuarios con las mismas responsabilidades y asignar funciones de Cloud IAM a los grupos, en lugar de los usuarios individuales. Por ejemplo, puedes crear un grupo de "científicos de datos" y asignarle las funciones adecuadas para permitir que interactúen con BigQuery y Cloud Storage. Si otro científico de datos se une al equipo, solo tienes que agregarlo al grupo para otorgarle los permisos definidos. Los grupos se crean y administran en la Consola del administrador.

Recomendamos que los clientes empresariales creen los siguientes 6 grupos:

Grupo Función
gcp-organization-admins Los administradores de la organización se encargan de organizar la estructura de los recursos que usa la organización.
gcp-network-admins Los administradores de red son los responsables de crear redes, subredes, reglas de firewall y dispositivos de red como Cloud Router, Cloud VPN y balanceadores de cargas en la nube.
gcp-security-admins Los administradores de seguridad son los responsables de establecer y administrar políticas de seguridad para toda la organización, incluida la administración de acceso y las políticas de restricciones de la organización.
gcp-billing-admins Los administradores de facturación son los responsables de configurar las cuentas de facturación y supervisar su uso.
gcp-devops Los profesionales de DevOps crean o administran canalizaciones de extremo a extremo que admiten integración y entrega continuas, supervisión y aprovisionamiento de sistemas.
gcp-developers Los desarrolladores son los responsables de diseñar, codificar y probar aplicaciones.

Las cuentas de servicio son Cuentas de Google especiales que representan la identidad de un servicio de Google Cloud o una app, y no a un usuario individual. Al igual que a los usuarios y los grupos, a las cuentas de servicio se les pueden asignar funciones de IAM para acceder a recursos específicos. Las cuentas de servicio se autentican con una clave, y no con una contraseña. Google administra y rota esas claves para ejecutar el código en Google Cloud. Te recomendamos que uses cuentas de servicio para las interacciones de servidor a servidor.

Definir políticas de la organización

Para tener un control programático y centralizado sobre los recursos de la nube de tu organización, usa el Servicio de políticas de la organización. Cloud IAM se enfoca en el quién y brinda la habilidad de autorizar a usuarios y grupos a que actúen sobre recursos específicos en función de sus permisos. Las políticas de la organización se enfocan en el qué y brindan la habilidad de configurar restricciones para recursos específicos a fin de determinar cómo se pueden configurar y usar. Por ejemplo, puedes definir límites para evitar que las instancias de máquinas virtuales tengan direcciones IP externas.

Las políticas para los recursos se configuran en la jerarquía de estos. Según la configuración predeterminada, todos los descendientes de un recurso heredan sus políticas. Vincula una política al nodo de la organización de nivel superior para definir un conjunto base de restricciones que se apliquen a todos los elementos de la jerarquía. Tras esto, puedes establecer políticas de la organización personalizadas sobre los nodos secundarios, los que reemplazarán o se combinarán con la política heredada.

Consulta Diseño de políticas para clientes empresariales si necesitas más información sobre el tema.

Herramientas de redes y seguridad

Usar una VPC para definir la red

Las VPC y las subredes se pueden usar para definir la red, además de agrupar y aislar los recursos relacionados. La nube privada virtual (VPC) es una versión virtual de una red física. Las redes de VPC proporcionan redes escalables y flexibles para las instancias de máquinas virtuales (VM) de Compute Engine y los servicios que aprovechan instancias de VM, como Google Kubernetes Engine (GKE), Dataproc y Dataflow, entre otros.

Las redes de VPC son recursos globales; una sola VPC puede abarcar varias regiones sin tener que comunicarse mediante la Internet pública. Esto significa que puedes conectar y administrar recursos distribuidos por todo el mundo desde un solo proyecto de Google Cloud y puedes crear varias redes de VPC aisladas en un solo proyecto.

Las redes de VPC no definen rangos de direcciones IP. En su lugar, cada red de VPC consta de una o más particiones, conocidas como subredes. A su vez, cada subred define uno o más rangos de direcciones IP. Las subredes son recursos regionales; cada una se asocia de forma explícita con una sola región.

Consulta la Descripción general de VPC para obtener más información.

Administrar el tráfico con reglas de firewall

Cada red de VPC implementa un firewall virtual distribuido. Configura reglas de firewall que permitan o impidan que el tráfico ingrese a los recursos conectados a la VPC o salga de estos, incluidas las instancias de VM de Compute Engine y los clústeres de GKE. Las reglas de firewall se aplican al nivel de la red virtual, por lo que ofrecen protección y control de tráfico eficaces sin importar el sistema operativo que usen las instancias. Se trata de un firewall con estado, lo cual significa que, para los flujos que se permiten, el tráfico de retorno se habilita de forma automática.

Las reglas de firewall son específicas de una red de VPC en particular. Estas reglas permiten especificar el tipo de tráfico, como puertos y protocolos, además de la fuente o el destino del tráfico, incluidas las direcciones IP, las subredes, las etiquetas y las cuentas de servicio. Por ejemplo, puedes crear una regla de entrada que permita que cualquier instancia de VM asociada con una cuenta de servicio en particular acepte en el puerto 80 el tráfico de TCP proveniente de una subred fuente específica. Cada VPC incluye reglas de firewall implícitas y predeterminadas de forma automática.

Si tu app se aloja en GKE, hay distintos aspectos que se deben considerar para administrar el tráfico de red y configurar las reglas de firewall. Por ejemplo, puedes crear una política de red para controlar la comunicación interna dentro del clúster de GKE. También puedes usar una malla de servicios como Istio para administrar y proteger aún más la comunicación con tu clúster. Consulta Conceptos de herramientas de redes de GKE para obtener más información.

Limita el acceso externo

Cuando creas un recurso de Google Cloud que aprovecha la VPC, debes elegir una red y una subred para colocar el recurso. A este recurso se le asigna una dirección IP interna a partir de uno de los rangos de IP asociados con la subred. Los recursos de una red de VPC se pueden comunicar entre sí mediante direcciones IP internas, siempre y cuando las reglas de firewall lo permitan.

Los recursos deben tener una dirección IP pública externa o usar Cloud NAT para comunicarse con Internet. De manera similar, deben tener una dirección IP externa a fin de conectarse con los otros recursos fuera de la misma red de VPC, a menos que las redes estén conectadas de alguna manera, por ejemplo, mediante una VPN. Consulta la documentación sobre direcciones IP si deseas obtener más información.

Limita el acceso a Internet solo a los recursos que lo necesitan. Los recursos que solo tengan una dirección IP interna privada pueden acceder a muchos servicios y API de Google a través del Acceso privado a Google. Este acceso privado permite que los recursos interactúen con los servicios clave de Google y Google Cloud, y permanezcan aislados de Internet.

Centraliza el control de la red

Con la función de VPC compartida podrás conectarte a una red de VPC común. Los recursos de esos proyectos pueden comunicarse entre sí mediante IP internas, y de forma segura y eficiente entre los límites de los proyectos. Desde un proyecto host central, puedes administrar los recursos de red compartidos, como las subredes, las rutas y los firewall, con lo que podrás aplicar, o forzar, políticas de red coherentes entre los proyectos.

Con los controles de IAM y VPC compartidas, puedes separar la administración de red de la de proyectos. Esta división permite implementar el principio del menor privilegio. Por ejemplo, un equipo de red centralizado puede administrar la red sin necesitar permisos para los proyectos involucrados. De manera similar, los administradores de proyectos pueden controlar los recursos de estos sin necesitar permisos para manipular la red compartida.

Conecta la red empresarial

Muchas empresas necesitan conectar la infraestructura local existente con los recursos de Google Cloud. Para elegir la mejor opción de conexión, evalúa los requisitos del ANS, el ancho de banda y la latencia como se indica a continuación:

  • Si necesitas conexiones empresariales de baja latencia y con alta disponibilidad que te permitan transferir datos entre las redes locales y de VPC sin necesidad de desviar las conexiones a Internet a Google Cloud, usa Cloud Interconnect:

    • La interconexión dedicada proporciona una conexión física directa entre la red local y la de Google.
    • La interconexión de socio proporciona conectividad entre las redes locales y de VPC de Google Cloud a través de un proveedor de servicios compatible.
  • Si no necesitas la latencia baja y la alta disponibilidad de Cloud Interconnect o si recién comienzas tu experiencia en la nube, usa Cloud VPN para configurar túneles VPN con IPsec encriptados entre la red local y la VPC. En comparación con una conexión directa y privada, un túnel VPN con IPsec tiene una menor sobrecarga y costos más bajos.

Protege las apps y los datos

Google Cloud ofrece funciones sólidas de seguridad en su infraestructura y servicios, desde la seguridad física de los centros de datos y el hardware de seguridad personalizado hasta equipos especializados de investigadores. Sin embargo, proteger los recursos de Google Cloud es una responsabilidad compartida; debes tomar las medidas adecuadas para asegurarte de que las apps y los datos estén protegidos.

Además de las reglas de firewall y el aislamiento de la VPC, usa las siguientes herramientas adicionales para asegurar y proteger tus apps:

  • Usa los Controles del servicio de VPC para definir un perímetro de seguridad alrededor de tus recursos de Google Cloud a fin de limitar los datos dentro de una VPC y mitigar los riesgos de robo de datos.
  • Usa un balanceador de cargas HTTP(S) global de Google Cloud para admitir la alta disponibilidad y el escalamiento de los servicios conectados a Internet.
  • Integra Google Cloud Armor al balanceador de cargas HTTP(S) para brindar protección contra DSD y la capacidad de incluir en la lista negra y la lista blanca las direcciones IP en el perímetro de la red.
  • Controla el acceso a las apps mediante Identity-Aware Proxy (IAP) para verificar la identidad del usuario y el contexto de la solicitud a fin de determinar si se debe otorgar acceso al usuario.

Google Cloud te ayuda a proteger los datos mediante la encriptación en tránsito y en reposo. Los datos en reposo se encriptan de forma predeterminada mediante claves de encriptación que administra Google. En el caso de los datos sensibles, puedes administrar las claves en Google Cloud. Si necesitas más control, puedes proporcionar tus propias claves de encriptación que se mantienen fuera de Google Cloud. Dado que administrar o mantener tus propias claves agrega sobrecarga, recomendamos usar ese enfoque solo para datos sensibles. Consulta la encriptación en reposo para obtener más detalles.

Registro, supervisión y operaciones

Centraliza el registro y la supervisión

Las empresas suelen ejecutar varias apps, canalizaciones de datos y otros procesos entre plataformas distintas. Para los equipos de operaciones y de desarrolladores, asegurar el buen estado de estas apps y procesos es una responsabilidad clave. A fin de garantizar esto, recomendamos usar Cloud Logging y Cloud Monitoring para administrar el registro, la supervisión, la depuración, el seguimiento, la creación de perfiles y mucho más.

Los registros son una fuente principal de información de diagnóstico sobre el estado de las apps y los procesos. Cloud Logging te permite almacenar, ver, buscar, analizar y recibir alertas sobre datos de registro y eventos. Logging se integra de forma nativa a muchos servicios de Google Cloud. En las aplicaciones alojadas en las instancias de máquinas virtuales de Compute Engine o Amazon Elastic Compute Cloud (EC2), se puede instalar un agente de Logging a fin de reenviar de forma automática los registros a Cloud Logging. Cloud Logging también proporciona una API que se puede usar para escribir registros desde cualquier fuente, incluso desde aplicaciones que se ejecutan de manera local. Usa Logging para centralizar los registros de todas tus apps.

Además del consumo de registros, a menudo se deben supervisar otros aspectos de las apps y los sistemas para garantizar un funcionamiento confiable. Usa Cloud Monitoring para obtener visibilidad del rendimiento, el tiempo de actividad y el estado general de las apps y la infraestructura. Monitoring transfiere eventos, métricas y metadatos, y genera estadísticas mediante paneles, gráficos y alertas. También admite métricas de muchas fuentes de Google Cloud y de terceros listas para usar, y te permite definir tus propias métricas personalizadas. Por ejemplo, puedes usar las métricas para establecer políticas de alertas, de modo que los equipos de operación reciban notificaciones de los comportamientos o tendencias inusuales. Monitoring también proporciona paneles flexibles y herramientas de visualización avanzadas para identificar los problemas emergentes.

Configura un registro de auditoría

Además de captar los registros a nivel de los procesos y de la app, es posible que debas realizar un seguimiento y mantener los detalles de cómo los equipos de TI y de desarrolladores interactúan con los recursos de Google Cloud. Usa los registros de auditoría de Cloud para responder preguntas como “quién hizo qué, dónde y cuándo” en los proyectos de Google Cloud. Para obtener una lista de los servicios de Google Cloud que escriben registros de auditoría, consulta Servicios de Google con registros de auditoría. Usa los controles de IAM para limitar el acceso a la visualización de los registros de auditoría.

Cloud Audit Logs registra varios tipos de actividades. Los registros de actividad del administrador contienen entradas de registro de las llamadas a la API o las otras acciones administrativas que modifican la configuración o los metadatos de los recursos. Los registros de actividad del administrador siempre están habilitados. Los registros de auditoría de acceso a los datos registran las llamadas a la API que crean, modifican o leen los datos proporcionados por el usuario. Estos registros están inhabilitados de forma predeterminada, ya que pueden ser extensos. Puedes configurar qué servicios de Google Cloud producen registros de acceso a los datos.

Para obtener información más detallada sobre la auditoría, consulta Cloud Audit Logs.

Exporta tus registros

Logging retiene los registros de auditoría y de las apps durante un tiempo limitado. Para cumplir con las obligaciones de cumplimiento, es posible que debas retener los registros durante períodos más largos. Por otra parte, te recomendamos conservar los registros para realizar análisis históricos.

Puedes exportar registros a Cloud Storage, BigQuery y Pub/Sub. Usa los filtros para incluir o excluir recursos de la exportación. Por ejemplo, puedes exportar todos los registros de Compute Engine, pero excluir los registros de volumen alto de Cloud Load Balancing.

El destino de exportación de los registros depende del caso práctico. Muchas empresas exportan a distintos destinos. En términos generales, usa Cloud Storage para el almacenamiento a largo plazo a fin de cumplir con las obligaciones de cumplimiento. Si necesitas analizar registros, usa BigQuery, ya que admite consultas de SQL y un gran ecosistema de herramientas de terceros.

Consulta Patrones de diseño para exportar desde Logging si necesitas más información sobre la exportación de registros.

Incorporar DevOps y explorar la ingeniería de confiabilidad de sitios

Para aumentar la agilidad y acelerar el tiempo de salida al mercado de aplicaciones y funciones, debes dividir los sistemas aislados entre los equipos de desarrollo, operaciones, herramientas de redes y seguridad. Para hacerlo, se necesitan las herramientas, la cultura y los procesos que en conjunto se conocen como DevOps.

Google Cloud ofrece una variedad de servicios para ayudarte a adoptar prácticas de DevOps. Las características incluyen repositorios de código fuente integrados, herramientas de entrega continua, capacidades avanzadas de supervisión mediante Cloud Monitoring y una gran compatibilidad con herramientas de código abierto. Para obtener más detalles, consulta las soluciones de DevOps de Google Cloud.

La ingeniería de confiabilidad de sitios (SRE) es un conjunto de prácticas relacionadas con DevOps. Estas prácticas surgieron del equipo de SRE que administra la infraestructura de producción de Google. Aunque crear una función de SRE dedicada va más allá del alcance de muchas empresas, te recomendamos que analices los libros sobre SRE para aprender sobre prácticas que pueden ayudarte a diseñar tu estrategia de operaciones.

Arquitectura de la nube

Planifica la migración

La migración de la infraestructura y las apps locales a la nube se debe planificar y evaluar con cuidado. Para cada app, debes evaluar las diversas estrategias de migración, desde lift-and-shift hasta transformar y migrar. Google Cloud proporciona herramientas para migrar máquinas virtuales, transferir datos y modernizar las cargas de trabajo. Consulta el centro de migración para obtener más información.

Debido a las limitaciones financieras, técnicas o normativas, quizás no sea posible o incluso conveniente mover ciertas apps a la nube pública. Por lo tanto, es posible que debas distribuir e integrar cargas de trabajo en la infraestructura local y de Google Cloud. Esta configuración se conoce como nube híbrida. Si deseas obtener más información sobre las cargas de trabajo híbridas, consulta la página sobre la nube híbrida y los patrones y prácticas recomendadas para las soluciones híbridas y de múltiples nubes.

Favorecer los servicios administrados

Los factores clave para adoptar la nube son la disminución de los gastos de TI y el aumento de la eficiencia, lo que te permite enfocarte en el negocio principal. Además de adoptar prácticas de DevOps y aumentar la automatización, debes usar los servicios administrados de Google Cloud para reducir la carga operativa y el costo total de propiedad (TCO).

En lugar de instalar, admitir y operar de forma independiente todas las partes de una pila de aplicaciones, puedes usar servicios administrados para consumir partes de ella como servicios. Por ejemplo, en lugar de instalar y administrar una base de datos de MySQL en una instancia de VM, puedes usar la que brinda Cloud SQL. Luego puedes dejar que Google Cloud administre la infraestructura subyacente y automatice las copias de seguridad, las actualizaciones y la replicación.

Te recomendamos evaluar el ANS que ofrece cada servicio administrado.

Google Cloud ofrece servicios administrados y opciones sin servidores para muchos componentes de apps comunes y casos prácticos, desde bases de datos administradas hasta herramientas de procesamiento de macrodatos. Muchos de estos servicios administrados admiten plataformas y frameworks de código abierto populares, para que puedas aprovechar los beneficios de TCO mediante la migración a la nube de las apps existentes que usan estas plataformas de código abierto.

Diseñar para una alta disponibilidad

Diseña apps resilientes que controlen con fluidez las fallas o los cambios inesperados en las cargas, a fin de mantener el tiempo de actividad de las apps de servicios críticos. El concepto de alta disponibilidad quiere decir que la aplicación es capaz de mantener una capacidad de respuesta y de seguir funcionando aunque fallen los componentes del sistema. Las arquitecturas con alta disponibilidad suelen implicar la distribución de los recursos de procesamiento, el balanceo de cargas y la replicación de datos. El alcance de tus aprovisionamientos con alta disponibilidad puede variar según la app. Para obtener más información sobre los conceptos de disponibilidad, consulta la documentación de geografías y regiones.

Como mínimo, debes distribuir los recursos de procesamiento, como las instancias de VM de Compute Engine y los clústeres de GKE, entre las zonas disponibles de una región a fin de protegerlos contra las fallas de una zona específica. Con el fin de mejorar aún más la disponibilidad de los recursos de procesamiento, puedes distribuirlos, de forma similar, entre varias regiones geográficamente dispersas, para mitigar el efecto de la pérdida de toda una región. Consulta las prácticas recomendadas para elegir una región de Compute Engine si deseas obtener información sobre dónde crear tus recursos de procesamiento.

Google Cloud ofrece distintas variaciones del balanceo de cargas. Se suele usar el balanceador de cargas HTTP(S) para exponer las apps orientadas a Internet. Esta herramienta proporciona balanceo global, lo que permite distribuir la carga entre regiones de distintas geografías. Si una zona o región deja de estar disponible, el balanceador de cargas dirige el tráfico hacia una zona que tenga capacidad. Consulta la sección sobre optimización de la capacidad de las aplicaciones con un balanceo de cargas global para obtener más información.

Ten en cuenta la disponibilidad cuando elijas el tipo de almacenamiento de datos. Algunos servicios de almacenamiento de datos de Google Cloud ofrecen la capacidad de replicar datos en distintas zonas de una misma región. Otros servicios replican los datos de manera automática en varias regiones de un área geográfica, pero es posible que esto se compense a través de la latencia o el modelo de coherencia. La idoneidad de un servicio de almacenamiento de datos varía según los requisitos de disponibilidad y los de las aplicaciones.

Planificar una estrategia de recuperación ante desastres

Además de diseñar con la alta disponibilidad en mente, debes crear un plan para mantener la continuidad del negocio en caso de una interrupción a gran escala o un desastre natural. La recuperación ante desastres (DR) es la capacidad de recuperarse de incidentes importantes, aunque poco frecuentes. Es posible que tengas que poner en marcha tu estrategia de recuperación ante desastres cuando los aprovisionamientos de alta disponibilidad no sean eficaces o no estén disponibles.

Es necesario planificar y realizar pruebas para crear un plan de DR eficaz. Te recomendamos abordar los planes de recuperación ante desastres desde el principio. Consulta la guía de planificación para recuperación ante desastres y los artículos relacionados a fin de obtener más información.

Recursos

Facturar y administrar

Comprende cómo se cobran los recursos

Google Cloud funciona con un modelo de consumo. Los cobros se realizan según cuánto se use un recurso o producto específico durante un período de pago determinado. El consumo de los productos se mide de distintas maneras, como las que se indican a continuación:

  • Cantidad de tiempo (cuántos segundos se ejecutó una máquina)
  • Volumen (cuántos datos se almacenaron)
  • Cantidad de operaciones que se ejecutaron
  • Variaciones de los conceptos anteriores

Para calcular tus costos con exactitud, asegúrate de comprender cómo funciona la facturación de los componentes de tu sistema. La documentación de cada producto incluye información detallada sobre los precios. En muchos de estos se ofrece un nivel gratuito en el que todo consumo por debajo de cierto límite no genera cargos. Debes habilitar la facturación si necesitas consumir más recursos que los que ofrece el nivel gratuito.

Para obtener más información sobre las innovaciones, los descuentos y la filosofía de los precios de Google Cloud, consulta la página Precios.

Configura controles de facturación

Todos los recursos de Google Cloud, incluidas las VM de Compute Engine, los depósitos de Cloud Storage y los conjuntos de datos de BigQuery, deben estar asociados con un proyecto de Google Cloud. A su vez, los proyectos se deben asociar con una cuenta de facturación para poder consumir más recursos que los que ofrece el nivel gratuito. La relación entre las cuentas de facturación y los proyectos es de uno a varios, ya que un proyecto puede estar asociado con solo una cuenta de facturación, pero las cuentas de facturación se pueden asociar con varios proyectos.

Con la cuenta de facturación puedes definir quién paga los recursos de un conjunto de proyectos. En la cuenta se incluye un instrumento de pago, como una tarjeta de crédito, en la que se aplican los cobros. Las cuentas de facturación se pueden definir al nivel de la organización, y en este los proyectos del nodo de la organización se vinculan con las cuentas de facturación. La organización puede tener varias cuentas de facturación a fin de reflejar los centros o departamentos con distintos costos.

Cloud IAM proporciona un conjunto completo de controles que permiten limitar la forma en que los distintos usuarios pueden administrar y además interactuar con la facturación. Los controles permiten aplicar el principio del menor privilegio y brindar una separación clara de las funciones. Por ejemplo, puedes separar el permiso de creación de cuentas de facturación del permiso de vinculación de proyectos con una cuenta de facturación determinada

Consulta la lista de tareas para la integración de la facturación a fin de ver un análisis detallado sobre los conceptos y la configuración de la facturación.

Analizar y exportar la facturación

Los usuarios con los permisos adecuados pueden ver un desglose detallado de los costos, el historial de transacciones y mucho más en Cloud Console. La información se presenta por cuenta de facturación. Además, en Console se incluyen informes de facturación interactivos con los que puedes filtrar y desglosar los costos por proyecto, intervalo de tiempo y producto. La funcionalidad de Cloud Console suele ser suficiente para los clientes con parámetros de configuración de Google Cloud menos complicados.

Sin embargo, lo normal es que se necesiten informes y análisis personalizados sobre los gastos de la nube. Habilita la exportación diaria de los cargos de facturación para cumplir con este requisito. Puedes configurar la exportación de archivos para que se envíen documentos en formato CSV o JSON a un depósito de Cloud Storage. De manera similar, puedes configurar la exportación a un conjunto de datos de BigQuery. Las exportaciones incluirán todas las etiquetas que se aplicaron a los recursos.

Te recomendamos habilitar las exportaciones de BigQuery. En comparación con el archivo de exportación, estas permiten desglosar más detalladamente los costos. Cuando los datos de facturación están en BigQuery, los equipos de finanzas pueden analizarlos mediante SQL estándar y usar herramientas que se integran en BigQuery.

Planifica según los requisitos de capacidad

Los proyectos de Google Cloud tienen cuotas que limitan el consumo de una API o un recurso determinados. Se implementaron cuotas para proteger a toda la comunidad de Google Cloud, ya que evitan aumentos imprevistos en el uso. Por ejemplo, las cuotas evitan que una pequeña cantidad de clientes o proyectos monopolicen el uso de los núcleos de CPU en una región o zona específicas.

Planifica los requisitos de capacidad de los proyectos con antelación para evitar limitaciones inesperadas del consumo de los recursos. Si las cuotas no son suficientes, puedes solicitar cambios en la sección Cuotas de Cloud Console. Si necesitas una capacidad mayor, comunícate con el equipo de ventas de Google Cloud.

Implementa controles de costos

Los costos de los servicios de la nube aumentan a medida que lo hace su escala Google Cloud proporciona varios métodos para limitar el consumo de recursos y notificar a las partes interesadas sobre eventos de facturación relevantes.

Puedes definir presupuestos que generen alertas cuando se superan ciertos límites. Las alertas se envían como correos electrónicos y, de forma opcional, pueden generar mensajes de Pub/Sub para la notificación programática. El presupuesto se puede aplicar a toda la cuenta de facturación o a un proyecto individual vinculado a ella. Por ejemplo, puedes crear un presupuesto para que se generen alertas cuando el gasto mensual total de una cuenta de facturación alcance el 50, 80 o 100 por ciento de la cantidad especificada. Recuerda que los presupuestos en sí no limitan los gastos, más bien son una función para la generación de alertas. Consulta la documentación sobre alertas presupuestarias para obtener más información. Además, revisa la lista de tareas para la integración de Cloud Billing a fin de obtener más información sobre las prácticas recomendadas, decisiones de diseño y opciones de configuración que simplifican la administración de los costos.

También puedes usar las cuotas para limitar el consumo de un recurso específico. Por ejemplo, puedes configurar una cuota máxima de "uso de consultas por día" en la API de BigQuery para garantizar que un proyecto no exceda el gasto en este servicio.

Compra un paquete de asistencia

Google Cloud ofrece varias formas de obtener asistencia cuando tienes problemas, desde foros de la comunidad hasta paquetes de asistencia pagos. Recomendamos que adquieras un paquete de asistencia para empresas a fin de proteger las cargas de trabajo fundamentales. Para obtener más información, consulta el portal de asistencia de Google Cloud.

La capacidad para abrir tickets de asistencia podría limitarse a ciertos usuarios, según el nivel de asistencia que hayas adquirido. Por lo que se recomienda establecer un servicio de resolución o mesa de jerarquización para fines de asistencia. Con este enfoque se pueden evitar los problemas de comunicación y la duplicación de tickets, además la comunicación con la Asistencia de Google será lo más clara posible.

Obtén ayuda de los expertos

La Professional Services Organization (PSO) de Google Cloud ofrece servicios de consultoría para ayudarte en tu experiencia con Google Cloud. Comunícate con los expertos de la PSO, que te ofrecerán todos sus conocimientos para instruir a tu equipo sobre las prácticas recomendadas y los principios básicos de una implementación exitosa. Los servicios se entregan como paquetes para ayudarte a planificar, implementar, ejecutar y optimizar las cargas de trabajo.

Google Cloud también tiene un ecosistema sólido de socios de Google Cloud, que incluye desde integradores de sistemas globales a gran escala hasta socios especializados en un área particular, como el aprendizaje automático. Los socios demostraron que los clientes pueden tener éxito si usan Google Cloud y pueden ayudarte a acelerar los proyectos y mejorar los resultados comerciales. Recomendamos que los clientes empresariales inviten a los socios a planificar y ejecutar la implementación de Google Cloud.

Crea centros de excelencia

Google sigue invirtiendo en estos productos y se implementan constantemente funciones nuevas. Registrar la información, la experiencia y los patrones de la organización en una base de conocimiento interna, como una wiki, un sitio de Google o de intranet, puede ser muy valioso.

Del mismo modo, recomendamos nominar a expertos y profesionales de Google Cloud en la organización. Para que los profesionales designados sigan creciendo en sus áreas de especialidad, se ofrece una variedad de opciones de capacitación y certificación. Si se suscriben al blog de Google Cloud, los equipos podrán estar al día sobre las últimas noticias, historias de clientes y anuncios.

Próximos pasos