Recomendaciones para organizaciones empresariales

En esta guía se presentan prácticas recomendadas para ayudar a clientes empresariales como tú en su recorrido hacia Google Cloud. No es una lista exhaustiva de recomendaciones, sino que el objetivo es ayudar a los arquitectos empresariales y a las partes interesadas de los departamentos de tecnología a comprender el alcance de las actividades y a planificar en función de estas. En cada sección se indican las acciones clave y se incluyen vínculos para complementar la lectura.

Antes de leer esta guía, te recomendamos revisar la Descripción general de Platform para comprender el panorama general de Google Cloud.

Configuración organizativa

Define la jerarquía de los recursos

Los recursos de Google Cloud están organizados jerárquicamente. Esta jerarquía te permite asignar la estructura operativa de tu empresa a Google Cloud y administrar el control de acceso y los permisos para grupos de recursos relacionados. En el siguiente diagrama se muestra una jerarquía de ejemplo.

Estructura de árbol invertido con recursos organizados en jerarquía

El nodo de nivel superior de la jerarquía es el recurso de organización, que representa una organización (por ejemplo, una empresa). El recurso de organización proporciona visibilidad central y control sobre todos los recursos que se encuentran más abajo en la jerarquía.

Lo que sigue en la jerarquía son las carpetas. Puedes usar carpetas para aislar los requisitos de diferentes departamentos y equipos en la organización principal. De manera similar, puedes usar carpetas para separar los recursos de producción de los recursos de desarrollo.

En la parte inferior de la jerarquía están los proyectos. Estos contienen los recursos de procesamiento, almacenamiento y herramientas de redes que conforman las aplicaciones. Los proyectos se analizan en más detalle conforme avanza este documento.

La estructura que defines es flexible y te permite adaptarte a los requisitos cambiantes. Si recién comienzas a usar Google Cloud, adopta la estructura más simple que cumpla con tus requisitos iniciales. Consulta la descripción general de Resource Manager para ver todos los detalles.

Crea un nodo de organización

Muchas de las funciones admitidas por Google Cloud requieren un nodo de organización. Mediante Cloud Identity, puedes crear un nodo de organización que se asigne a tu dominio de Internet corporativo, como example.com. Puedes migrar tus cuentas de facturación y proyectos de Google Cloud existentes a este nodo. Para obtener más información, consulta la creación y administración de organizaciones.

Consulta el Asistente de configuración de la organización si necesitas ayuda con este aspecto.

Especifica la estructura del proyecto

Se necesita un proyecto para usar Google Cloud. Todos los recursos de la plataforma, como las máquinas virtuales de Compute Engine y los depósitos de Cloud Storage, pertenecen a un único proyecto. Consulta la Descripción general de la plataforma para obtener más información sobre los proyectos.

Tú controlas el alcance de los proyectos. Un solo proyecto puede contener varias aplicaciones independientes, o por el contrario, una sola aplicación se puede incluir en varios proyectos. Los proyectos pueden contener recursos en varias regiones y geografías.

La estructura ideal de un proyecto depende de los requisitos individuales y puede cambiar con el tiempo. Cuando diseñes la estructura de tu proyecto, determina si los recursos se deben facturar por separado, el nivel de aislamiento que se requiere y cómo se organizarán los equipos que administran los recursos y las aplicaciones.

Automatizar la creación de proyectos

Cuando automatizas la creación y administración de tus proyectos y recursos de Google Cloud, obtienes beneficios como la coherencia, la reproducibilidad y la capacidad de realizar pruebas. Si tratas a la configuración como código, podrás controlar las versiones y administrar el ciclo de vida de la configuración junto con los artefactos del software. Con la automatización podrás aplicar las recomendaciones, como las convenciones de nombres congruentes y el etiquetado de recursos. Además, la automatización permite simplificar la reestructuración de los proyectos a medida que cambian los requisitos.

Para los proyectos de Google Cloud, usa Cloud Deployment Manager, la herramienta de administración nativa de Google Cloud. Con Deployment Manager, puedes crear un archivo de configuración que describa un conjunto de recursos de Google Cloud para implementar en conjunto. Puedes definir plantillas con parámetros y estas actuarán como piezas fundamentales reutilizables. Deployment Manager también puede establecer permisos de control de acceso mediante Cloud IAM, de forma que tus desarrolladores reciban el acceso apropiado como parte del proceso de creación del proyecto.

También puedes usar herramientas como Terraform, Ansible o Puppet, si lo prefieres, Así, podrás aprovechar las habilidades que tu equipo ya posee.

Administración de identidades y accesos

Administrar las identidades de Google

Google Cloud usa Cuentas de Google para la administración del acceso y la autenticación, por lo que los desarrolladores y el resto del personal técnico deben tener una para acceder a Google Cloud. Te recomendamos que uses Cuentas de Google completamente administradas y vinculadas con tu nombre de dominio corporativo mediante Cloud Identity. De esta manera, los desarrolladores pueden acceder a Google Cloud mediante sus ID de correo electrónico corporativo, y los administradores pueden ver y controlar las cuentas a través de la Consola del administrador. En las secciones posteriores de este documento se describe cómo integrar una plataforma de identidad existente en Cloud Identity.

Cloud Identity es una solución de identidad como servicio (IDaaS) independiente. Con ella, los clientes de Cloud Platform pueden acceder a muchas funciones de administración de identidades que proporciona G Suite, el conjunto de apps de productividad para el lugar de trabajo de Google Cloud. Para Cloud Identity, no se necesita una licencia de G Suite. Registrarse en Cloud Identity proporciona una capa administrativa sobre las Cuentas de Google asociadas con tu nombre de dominio corporativo. A través de esta capa de administración, puedes habilitar o inhabilitar el acceso a los servicios de Google, incluido Google Cloud, para tus empleados. Cuando te registras en Cloud Identity, también se crea un nodo de organización para el dominio, que permite asignar una estructura y controles corporativos a los recursos de Google Cloud mediante la jerarquía de recursos.

Consulta las Soluciones de Cloud Identity para obtener más información.

Federa el proveedor de identidad con Google Cloud

Si en tu organización se usa un proveedor de identidad local o de terceros, sincroniza el directorio de usuarios con Cloud Identity para permitir que los usuarios accedan a Google Cloud con sus credenciales corporativas. De esta manera, tu plataforma de identidad seguirá siendo la fuente de verdad, mientras Cloud Identity controla cómo tus empleados acceden a los servicios de Google.

Migrar las cuentas no administradas

Si los miembros de tu dominio usaron sus direcciones de correo electrónico corporativas a fin de crear Cuentas de Google personales (por ejemplo, para registrarse en un servicio de Google como YouTube o Blogger), considera migrarlas a fin de que Cloud Identity también pueda administrarlas. También puedes forzar un cambio en las cuentas para que usen otras direcciones de correo electrónico.

Puedes encontrar orientación adicional sobre cómo migrar cuentas o forzar el cambio de nombre de las cuentas en la documentación sobre cómo migrar cuentas personales a Cloud Identity o G Suite.

Controla el acceso a los recursos

Debes autorizar a los desarrolladores y al personal de TI para que puedan usar los recursos de Google Cloud. Puedes usar Cloud Identity and Access Management (IAM) para otorgar acceso detallado a recursos específicos de Google Cloud y evitar el acceso no deseado a otros recursos. En específico, Cloud IAM te permite controlar el acceso, ya que puedes definir quiénes (identidad) tienen qué nivel de acceso (función) a qué recursos.

Debes asignar funciones, en lugar de asignar permisos de forma directa. Las funciones de Cloud IAM son colecciones de permisos. Por ejemplo, la función Lector de datos de BigQuery permite generar listas, leer y consultar las tablas de BigQuery, pero no tiene los permisos para crear tablas nuevas o modificar los datos existentes. Cloud IAM ofrece muchas funciones predefinidas a fin de controlar una gran variedad de casos prácticos comunes. También permite crear funciones personalizadas.

Cloud IAM te permite implementar el principio de seguridad del menor privilegio, para que puedas conceder solo los niveles de acceso necesarios a tus recursos. Este sistema es un tema fundamental para las organizaciones empresariales. Si necesitas más información sobre la administración de identidades y accesos, consulta los siguientes recursos:

Usa los grupos y las cuentas de servicio para delegar responsabilidades

Recomendamos agrupar a los usuarios con las mismas responsabilidades y asignar funciones de Cloud IAM a los grupos, en lugar de los usuarios individuales. Por ejemplo, puedes crear un grupo de "científicos de datos" y asignarle las funciones adecuadas para permitir que interactúen con BigQuery y Cloud Storage. Si otro científico de datos se une al equipo, solo tienes que agregarlo al grupo para otorgarle los permisos definidos. Los grupos se crean y administran en la Consola del administrador.

Recomendamos que los clientes empresariales creen los siguientes 6 grupos:

Grupo Función
gcp-organization-admins Los administradores de la organización son responsables de organizar la estructura de los recursos que usa la organización.
gcp-network-admins Los administradores de red son responsables de crear redes, subredes, reglas de firewall y dispositivos de red como enrutadores en la nube, VPN de nube y balanceadores de cargas en la nube.
gcp-security-admins Los administradores de seguridad son responsables de establecer y administrar políticas de seguridad para toda la organización, incluida la administración de acceso y las políticas de restricciones de la organización.
gcp-billing-admins Los administradores de facturación son responsables de configurar las cuentas de facturación y supervisar su uso.
gcp-devops Los profesionales de DevOps crean o administran canalizaciones de extremo a extremo que admiten integración y entrega continuas, supervisión y aprovisionamiento de sistemas.
gcp-developers Los desarrolladores son responsables de diseñar, codificar y probar aplicaciones.

Las cuentas de servicio son Cuentas de Google especiales que representan la identidad de un servicio de Google Cloud o una app, y no a un usuario individual. Al igual que a los usuarios y los grupos, a las cuentas de servicio se les pueden asignar funciones de IAM para acceder a recursos específicos. Las cuentas de servicio se autentican con una clave, y no con una contraseña. Google administra y rota sus claves para el código que se ejecuta en Google Cloud. Te recomendamos que uses cuentas de servicio para las interacciones de servidor a servidor.

Definir políticas de la organización

Para tener un control programático y centralizado sobre los recursos de la nube de tu organización, usa el Servicio de políticas de la organización. Cloud IAM se enfoca en el quién y brinda la habilidad de autorizar a usuarios y grupos a que actúen sobre recursos específicos en función de sus permisos. Las políticas de la organización se enfocan en el qué y brindan la habilidad de configurar restricciones para recursos específicos a fin de determinar cómo se pueden configurar y usar. Por ejemplo, puedes definir límites para evitar que las instancias de máquinas virtuales tengan direcciones IP externas.

Las políticas para los recursos se configuran en la jerarquía de estos. Según la configuración predeterminada, todos los descendientes de un recurso heredan sus políticas. Vincula una política al nodo de la organización de nivel superior para definir un conjunto base de restricciones que se apliquen a todos los elementos de la jerarquía. Tras esto, puedes establecer políticas de la organización personalizadas sobre los nodos secundarios, los que reemplazarán o se combinarán con la política heredada.

Consulta Diseño de políticas para clientes empresariales si necesitas más información sobre el tema.

Herramientas de redes y seguridad

Usar una VPC para definir la red

Las VPC y las subredes se pueden usar para definir la red, además de agrupar y aislar los recursos relacionados. La nube privada virtual (VPC) es una versión virtual de una red física. Las redes de VPC proporcionan redes escalables y flexibles para las instancias de máquinas virtuales (VM) de Compute Engine y los servicios que aprovechan instancias de VM, como Google Kubernetes Engine (GKE), Dataproc y Dataflow, entre otros.

Las redes de VPC son recursos globales: una sola VPC puede abarcar varias regiones sin tener que comunicarse mediante la Internet pública. Esto significa que puedes conectar y administrar recursos distribuidos por todo el mundo desde un solo proyecto de Google Cloud y puedes crear varias redes de VPC aisladas en un solo proyecto.

Las redes de VPC no definen rangos de direcciones IP. En su lugar, cada red de VPC consta de una o más particiones, conocidas como subredes. A su vez, cada subred define uno o más rangos de direcciones IP. Las subredes son recursos regionales; cada una se asocia de forma explícita con una sola región.

Consulta la Descripción general de VPC para obtener más información.

Administrar el tráfico con reglas de firewall

Cada red de VPC implementa un firewall virtual distribuido. Configura reglas de firewall que permitan o impidan que el tráfico ingrese a los recursos conectados a la VPC o salga de estos, incluidas las instancias de VM de Compute Engine y los clústeres de GKE. Las reglas de firewall se aplican al nivel de la red virtual, por lo que ofrecen protección y control de tráfico eficaces sin importar el sistema operativo que usen las instancias. Se trata de un firewall con estado, lo cual significa que, para los flujos que se permiten, el tráfico de retorno se habilita de forma automática.

Las reglas de firewall son específicas de una red de VPC en particular. Estas reglas permiten especificar el tipo de tráfico, como puertos y protocolos, además de la fuente o el destino del tráfico, incluidas las direcciones IP, las subredes, las etiquetas y las cuentas de servicio. Por ejemplo, puedes crear una regla de entrada que permita que cualquier instancia de VM asociada con una cuenta de servicio en particular acepte en el puerto 80 el tráfico de TCP proveniente de una subred fuente específica. Cada VPC incluye reglas de firewall implícitas y predeterminadas de forma automática.

Si tu app se aloja en GKE, hay distintos aspectos que se deben considerar para administrar el tráfico de red y configurar las reglas de firewall. Por ejemplo, puedes crear una política de red para controlar la comunicación interna dentro del clúster de GKE. También puedes usar una malla de servicios como Istio para administrar y garantizar la comunicación con tu clúster en mayor grado. Consulta Conceptos de herramientas de redes de GKE para obtener más información.

Limita el acceso externo

Cuando creas un recurso de Google Cloud que aprovecha la VPC, debes elegir una red y una subred para colocar el recurso. Al recurso se le asigna una dirección IP interna desde uno de los rangos de IP asociados con la subred. Los recursos de una red de VPC se pueden comunicar entre sí mediante direcciones IP internas, siempre y cuando las reglas de firewall lo permitan.

Los recursos deben tener una dirección IP pública externa o usar Cloud NAT a fin de poder comunicarse con Internet. De manera similar, los recursos deben tener una dirección IP externa para conectarse con los otros recursos fuera de la misma red de VPC, a menos que las redes estén conectadas de alguna manera, por ejemplo, mediante una VPN. Consulta la documentación sobre direcciones IP para obtener más información.

Limita el acceso a Internet solo a los recursos que lo necesitan. A través del acceso privado de Google, solo los recursos que tengan una dirección IP interna y privada pueden acceder a muchas API y servicios de Google. Este acceso privado permite que los recursos interactúen con los servicios clave de Google y Google Cloud, y permanezcan aislados de Internet.

Centraliza el control de la red

Con la función de VPC compartida podrás conectarte a una red de VPC común. Los recursos de esos proyectos pueden comunicarse entre sí mediante IP internas, y de forma segura y eficiente entre los límites de los proyectos. Desde un proyecto host central, puedes administrar los recursos de red compartidos, como las subredes, las rutas y los firewall, con lo que podrás aplicar, o forzar, políticas de red coherentes entre los proyectos.

Con los controles de IAM y VPC compartidas, puedes separar la administración de red de la de proyectos. Esta división permite implementar el principio del menor privilegio. Por ejemplo, un equipo de red centralizado puede administrar la red sin necesitar permisos para los proyectos involucrados. De manera similar, los administradores de proyectos pueden controlar los recursos de estos sin necesitar permisos para manipular la red compartida.

Conecta la red empresarial

Muchas empresas necesitan conectar la infraestructura local existente con los recursos de Google Cloud. A fin de elegir la mejor opción de conexión, evalúa tus requisitos de ancho de banda, latencia y ANS, como se indica a continuación:

  • Si necesitas conexiones a nivel empresarial de baja latencia y con alta disponibilidad que te permitan transferir datos de manera confiable entre redes locales y de VPC sin desviar las conexiones a Internet a Google Cloud, usa Cloud Interconnect:

    • La interconexión dedicada proporciona una conexión física directa entre la red local y la de Google.
    • La interconexión de socio proporciona conectividad entre las redes locales y de VPC de Google Cloud a través de un proveedor de servicios compatible.
  • Usa Cloud VPN para configurar túneles VPN con IPsec encriptados entre tu red local y la VPC si acabas de emprender tu viaje hacia la nube o si no necesitas la baja latencia y alta disponibilidad de Cloud Interconnect. En comparación con una conexión directa y privada, un túnel VPN con IPsec tiene costos y gastos generales más bajos.

Protege las apps y los datos

Google Cloud ofrece funciones sólidas de seguridad en su infraestructura y servicios, desde la seguridad física de los centros de datos y el hardware de seguridad personalizado hasta equipos especializados de investigadores. Sin embargo, proteger los recursos de Google Cloud es una responsabilidad compartida; Debes tomar las medidas adecuadas para garantizar que tus aplicaciones y datos estén protegidos.

Además de las reglas de firewall y el aislamiento de la VPC, usa las herramientas complementarias que se presentan a continuación para asegurar y proteger tus apps:

  • Usa los Controles del servicio de VPC para definir un perímetro de seguridad alrededor de tus recursos de Google Cloud a fin de limitar los datos dentro de una VPC y mitigar los riesgos de robo de datos.
  • Usa un balanceador de cargas de HTTP(S) global de Google Cloud para admitir la alta disponibilidad y el escalamiento de los servicios conectados a Internet.
  • Integra Google Cloud Armor con el balanceador de cargas HTTP(S) para proporcionar protección contra DSD y la capacidad de incluir en la lista negra y la lista blanca las direcciones IP en el perímetro de la red.
  • Controla el acceso a las apps mediante Identity-Aware Proxy (IAP) para verificar la identidad del usuario y el contexto de la solicitud a fin de determinar si se debe otorgar acceso al usuario.

Google Cloud te ayuda a proteger los datos mediante la encriptación en tránsito y en reposo. Los datos en reposo se encriptan de forma predeterminada mediante claves de encriptación administradas por Google. En el caso de los datos sensibles, puedes administrar las claves en Google Cloud. Si necesitas más control, puedes proporcionar tus propias claves de encriptación que se mantienen fuera de Google Cloud. Debido a que administrar o mantener tus propias claves agrega sobrecarga, recomendamos usar ese enfoque solo para datos sensibles. Consulta la encriptación en reposo para obtener más detalles.

Registro, supervisión y operaciones

Centraliza el registro y la supervisión

Las empresas suelen ejecutar varias apps, canalizaciones de datos y otros procesos, a menudo entre plataformas distintas. Para los equipos de operación y de desarrolladores, asegurar el buen estado de estas aplicaciones y procesos es una responsabilidad clave. A fin de garantizar esto, recomendamos usar Cloud Logging y Cloud Monitoring para administrar el registro, la supervisión, la depuración, el seguimiento, el perfilado y mucho más.

Los registros son una fuente primordial de información de diagnóstico sobre el estado de las apps y los procesos. Cloud Logging te permite almacenar, ver, buscar, analizar y recibir alertas sobre datos de registro y eventos. Logging se integra de forma nativa en muchos servicios de Google Cloud. Para las aplicaciones alojadas en las instancias de máquinas virtuales de Compute Engine o Amazon Elastic Compute Cloud (EC2), se puede instalar un agente de Logging a fin de reenviar de forma automática los registros a Cloud Logging. Cloud Logging también proporciona una API que se puede usar para escribir registros desde cualquier fuente, incluso desde aplicaciones que se ejecutan de manera local. Usa Logging para centralizar los registros de todas tus apps.

Además del consumo de registros, a menudo se deben supervisar otros aspectos de las apps y los sistemas para asegurar una operación confiable. Usa Cloud Monitoring para obtener visibilidad del rendimiento, el tiempo de actividad y el estado general de las apps y la infraestructura. Monitoring transfiere eventos, métricas y metadatos y genera información valiosa mediante paneles, gráficos y alertas. También admite métricas de muchas fuentes de Google Cloud y de terceros en forma directa, o puedes definir tus propias métricas personalizadas. Por ejemplo, puedes usar las métricas para establecer políticas de alertas, de modo que los equipos de operación reciban notificaciones de los comportamientos o tendencias inusuales. Monitoring también proporciona paneles flexibles y herramientas de visualización avanzadas para identificar los problemas emergentes.

Configura un registro de auditoría

Además de captar los registros a nivel de los procesos y de la app, es posible que debas realizar un seguimiento y mantener los detalles de cómo los equipos de TI y de desarrolladores interactúan con los recursos de Google Cloud. Usa Cloud Audit Logs para responder preguntas como “quién hizo qué, dónde y cuándo” en los proyectos de Google Cloud. Para obtener una lista de los servicios de Google Cloud que escriben registros de auditoría, consulta los Servicios de Google con registros de auditoría. Usa los controles de IAM para limitar el acceso de la visualización de estos registros.

Cloud Audit Logs registra varios tipos de actividades. Los registros de actividad del administrador contienen entradas de registro de las llamadas a la API o las otras acciones administrativas que modifican la configuración o los metadatos de los recursos. Los registros de actividad del administrador siempre están habilitados. Los registros de auditoría de acceso a los datos registran las llamadas a la API que crean, modifican o leen los datos proporcionados por el usuario. Según la configuración predeterminada, estos registros están inhabilitados, ya que pueden ser bastante extensos. Puedes configurar qué servicios de Google Cloud producen registros de acceso a los datos.

Para obtener información más detallada sobre la auditoría, consulta Cloud Audit Logs.

Exporta tus registros

Logging retiene los registros de auditoría y de las apps durante un tiempo limitado. Para cumplir con las obligaciones de cumplimiento, es posible que debas retener los registros durante períodos más largos. Por otra parte, quizás quieras conservar los registros para realizar análisis históricos.

Puedes exportar registros a Cloud Storage, BigQuery y Pub/Sub. Usa los filtros para incluir o excluir recursos de la exportación; Por ejemplo, puedes exportar todos los registros de Compute Engine, pero excluir los registros de volumen alto de Cloud Load Balancing.

El destino de exportación de los registros depende del caso práctico. Muchas empresas exportan a distintos destinos. En términos generales, usa Cloud Storage para el almacenamiento a largo plazo a fin de cumplir con las obligaciones de cumplimiento. Si necesitas analizar registros, usa BigQuery, ya que admite consultas de SQL y un gran ecosistema de herramientas de terceros.

Consulta Patrones de diseño para exportar desde Logging si necesitas más información sobre la exportación de registros.

Incorporar DevOps y explorar la ingeniería de confiabilidad de sitios

Para aumentar la agilidad y acelerar el tiempo de salida al mercado de aplicaciones y funciones, debes dividir los sistemas aislados entre los equipos de desarrollo, operaciones, herramientas de redes y seguridad. Para hacerlo se necesitan las herramientas, la cultura y los procesos que en conjunto se conocen como DevOps.

Google Cloud ofrece una variedad de servicios para ayudarte a adoptar prácticas de DevOps. Las características incluyen repositorios de código fuente integrados, herramientas de entrega continua, capacidades avanzadas de supervisión mediante Cloud Monitoring y una gran compatibilidad con herramientas de código abierto. Para obtener más detalles, consulta las soluciones de DevOps de Google Cloud.

La ingeniería de confiabilidad de sitios (SRE) es un conjunto de prácticas relacionadas con DevOps. Estas prácticas surgieron del equipo de SRE que administra la infraestructura de producción de Google. Aunque crear una función de SRE dedicada va más allá del alcance de muchas empresas, te recomendamos que analices los libros sobre SRE para aprender sobre prácticas que pueden ayudarte a diseñar tu estrategia de operaciones.

Arquitectura de la nube

Planifica la migración

La migración de la infraestructura y las apps locales a la nube se debe planificar y evaluar con cuidado. Para cada app, debes evaluar las diversas estrategias de migración, desde lift-and-shift hasta transformar y migrar. Google Cloud proporciona herramientas para migrar máquinas virtuales, transferir datos y modernizar las cargas de trabajo. Consulta el centro de migración para obtener más información.

Debido a las limitaciones financieras, técnicas o normativas, quizás no sea posible o incluso deseable mover ciertas apps a la nube pública. Por lo tanto, es posible que debas distribuir y además integrar cargas de trabajo en la infraestructura local y de Google Cloud. Esta configuración se conoce como nube híbrida. Si deseas obtener más información sobre las cargas de trabajo híbridas, consulta la página sobre la nube híbrida y los patrones y prácticas recomendadas para las soluciones híbridas y de múltiples nubes.

Favorecer los servicios administrados

Los factores principales para adoptar la nube son la disminución de los gastos de TI y el aumento de la eficiencia, lo que permite enfocarse en el negocio principal. Además de adoptar prácticas de DevOps y aumentar la automatización, debes usar los servicios administrados de Google Cloud para reducir la carga operativa y el costo total de propiedad (TCO).

En lugar de instalar, respaldar y operar todos los componentes de una pila de aplicación de manera independiente, puedes usar los servicios administrados para consumir las partes de esta en forma de servicios. Por ejemplo, en lugar de instalar y autoadministrar una base de datos MySQL en una instancia de VM, puedes usar una base de datos MySQL provista por Cloud SQL. Luego puedes dejar que Google Cloud administre la infraestructura subyacente y automatice las copias de seguridad, las actualizaciones y la replicación.

Te recomendamos evaluar el ANS que ofrece cada servicio administrado.

Google Cloud ofrece servicios administrados y opciones sin servidores para muchos componentes de apps comunes y casos prácticos, desde bases de datos administradas hasta herramientas de procesamiento de macrodatos. Muchos de estos servicios administrados admiten marcos de trabajo y plataformas populares de código abierto, para que puedas aprovechar los beneficios de TCO mediante la migración de las aplicaciones existentes que aprovechan estas plataformas de código abierto en la nube.

Diseñar para una alta disponibilidad

Diseña apps resilientes que controlen con fluidez las fallas o los cambios inesperados en las cargas, a fin de mantener el tiempo de actividad de las apps de servicios críticos. El concepto de alta disponibilidad quiere decir que la aplicación es capaz de mantener una capacidad de respuesta y de seguir funcionando aunque fallen los componentes del sistema. Las arquitecturas con alta disponibilidad suelen implicar la distribución de los recursos de procesamiento, el balanceo de cargas y la replicación de datos. El alcance de tus aprovisionamientos con alta disponibilidad puede variar según la app. Para obtener más información sobre los conceptos de disponibilidad, consulta la documentación de geografías y regiones.

Como mínimo, debes distribuir los recursos de procesamiento, como las instancias de VM de Compute Engine y los clústeres de GKE, entre las zonas disponibles de una región a fin de protegerlos contra las fallas de una zona especifica. Con el fin de mejorar aún más la disponibilidad de los recursos de procesamiento, puedes distribuirlos, de forma similar, entre varias regiones geográficamente dispersas, para mitigar el efecto de la pérdida de toda una región. Consulta las recomendaciones para elegir una región de Compute Engine si necesitas información sobre dónde crear tus recursos de procesamiento.

Google Cloud ofrece distintas variaciones del balanceo de cargas. Se suele usar el balanceador de cargas de HTTP(S) para exponer las apps orientadas a Internet. Esta herramienta proporciona balanceo global, lo que permite distribuir la carga entre regiones de distintas geografías. Si una zona o región deja de estar disponible, el balanceador de cargas dirige el tráfico hacia una zona que tenga capacidad. Consulta la sección sobre optimización de la capacidad de las aplicaciones con un balanceo de cargas global para obtener más información.

Ten en cuenta la disponibilidad cuando elijas el tipo de almacenamiento de datos. Algunos servicios de almacenamiento de datos de Google Cloud ofrecen la capacidad de replicar datos en distintas zonas de una misma región. Otros servicios replican los datos de manera automática entre varias regiones de un área geográfica, pero es posible que esto se compense a través de la latencia o el modelo de coherencia. La idoneidad de un servicio de almacenamiento de datos varía según los requisitos de disponibilidad y los de las aplicaciones.

Planificar una estrategia de recuperación ante desastres

Además de diseñar con la alta disponibilidad en mente, debes crear un plan para mantener la continuidad del negocio en caso de una interrupción a gran escala o un desastre natural. La recuperación ante desastres (DR) es la capacidad de recuperarse de incidentes importantes, aunque poco frecuentes. Es posible que tengas que poner en marcha tu estrategia de recuperación ante desastres cuando los aprovisionamientos de alta disponibilidad no sean eficaces o no estén disponibles.

Es necesario planificar y realizar pruebas para crear un plan de DR eficaz. Te recomendamos abordar los planes de recuperación ante desastres desde el principio. Consulta la guía de planificación para recuperación ante desastres y los artículos relacionados a fin de obtener más información.

Recursos

Facturar y administrar

Comprende cómo se cobran los recursos

Google Cloud funciona con un modelo de consumo; Los cobros se realizan según cuánto se use un recurso o producto específico durante un período de pago determinado. El consumo de los productos se mide de distintas maneras, como las que se indican a continuación:

  • Cantidad de tiempo (cuántos segundos se ejecutó una máquina)
  • Volumen (cuántos datos se almacenaron)
  • Cantidad de operaciones que se ejecutaron
  • Variaciones de los conceptos anteriores

Para calcular tus costos con exactitud, asegúrate de comprender cómo funciona la facturación de los componentes de tu sistema. La documentación de cada producto incluye información detallada sobre los precios. En muchos de estos se ofrece un nivel gratuito en el que todo consumo por debajo de cierto límite no genera cargos. Debes habilitar la facturación si necesitas consumir recursos más allá de lo que ofrece el nivel gratuito.

Para obtener más información sobre las innovaciones, los descuentos y la filosofía de los precios de Google Cloud, consulta la página Precios.

Configura controles de facturación

Todos los recursos de Google Cloud, incluidas las VM de Compute Engine, los depósitos de Cloud Storage y los conjuntos de datos de BigQuery, deben estar asociados con un proyecto de Google Cloud. A su vez, los proyectos se deben asociar con una cuenta de facturación para poder consumir recursos más allá de lo que ofrece el nivel gratuito. La relación entre las cuentas de facturación y los proyectos es de uno a varios, ya que un proyecto puede estar asociado con solo una cuenta de facturación, pero las cuentas de facturación se pueden asociar con varios proyectos.

Con la cuenta de facturación puedes definir quién paga los recursos de un conjunto de proyectos. En la cuenta se incluye un instrumento de pago, como una tarjeta de crédito, en la que se aplican los cobros. Las cuentas de facturación se pueden definir al nivel de la organización, y en este los proyectos del nodo de la organización se vinculan con las cuentas de facturación. La organización puede tener varias cuentas de facturación a fin de reflejar los centros o departamentos con distintos costos.

Cloud IAM proporciona un conjunto completo de controles que permiten limitar la forma en que los distintos usuarios pueden administrar y además interactuar con la facturación. Los controles permiten aplicar el principio del menor privilegio y brindar una separación clara de las funciones. Por ejemplo, puedes separar el permiso de creación de cuentas de facturación del permiso de vinculación de proyectos con una cuenta de facturación determinada

Consulta la lista de tareas para la integración de la facturación a fin de ver un análisis detallado sobre los conceptos y la configuración de la facturación.

Analizar y exportar la facturación

Los usuarios con los permisos adecuados pueden ver un desglose detallado de los costos, el historial de transacciones y mucho más en Cloud Console. La información se presenta por cuenta de facturación. Además, la consola incluye informes de facturación interactivos con los que puedes filtrar y separar los costos por proyecto, producto y período. La funcionalidad de Cloud Console suele ser suficiente para los clientes con parámetros de configuración de Google Cloud menos complicados.

Sin embargo, lo normal es que se necesiten informes y análisis personalizados sobre los gastos de la nube. Habilita la exportación diaria de los cargos de facturación para cumplir con este requisito. Puedes configurar la exportación de archivos para que se envíen documentos en formato CSV o JSON a un depósito de Cloud Storage. De manera similar, puedes configurar la exportación a un conjunto de datos de BigQuery. Las exportaciones incluirán todas las etiquetas que se aplicaron a los recursos.

Te recomendamos habilitar las exportaciones de BigQuery. En comparación con el archivo de exportación, estas permiten desglosar más detalladamente los costos. Cuando los datos de facturación están en BigQuery, los equipos de finanzas pueden analizarlos mediante SQL estándar y usar herramientas que se integran en BigQuery.

Planifica para los requisitos de capacidad

Los proyectos de Google Cloud tienen cuotas que limitan el consumo de una API o de un recurso determinados. Se implementaron cuotas para proteger a toda la comunidad de Google Cloud, ya que evitan aumentos imprevistos en el uso. Por ejemplo, las cuotas permiten evitar que una pequeña cantidad de clientes o proyectos monopolice el uso de los núcleos de CPU en una región o zona específica.

Planifica los requisitos de capacidad de tus proyectos con antelación a fin de evitar las limitaciones inesperadas del consumo de los recursos. Si las cuotas no son suficientes, puedes solicitar cambios en la sección Cuotas de Cloud Console. Si necesitas una capacidad mayor, comunícate con el equipo de ventas de Google Cloud.

Implementa controles de costos

Los costos de los servicios de la nube aumentan a medida que lo hace su escala. Google Cloud proporciona varios métodos para limitar el consumo de recursos y notificar a las partes interesadas sobre eventos de facturación relevantes.

Puedes definir presupuestos que generen alertas cuando se superan ciertos límites. Las alertas se envían como correos electrónicos y, de forma opcional, pueden generar mensajes de Pub/Sub para la notificación programática. El presupuesto se puede aplicar a toda la cuenta de facturación o a un proyecto individual vinculado a la cuenta de facturación. Por ejemplo, puedes crear un presupuesto para que se generen alertas cuando el gasto mensual total de una cuenta de facturación alcance el 50, 80 o 100 por ciento de la cantidad especificada. Recuerda que los presupuestos en sí no limitan los gastos, más bien son una función para la generación de alertas. Consulta la documentación sobre alertas presupuestarias para obtener más información. Además, revisa la lista de tareas para la integración de Cloud Billing a fin de obtener más información sobre las prácticas recomendadas, decisiones de diseño y opciones de configuración que simplifican la administración de los costos.

También puedes usar las cuotas para limitar el consumo de un recurso específico. Por ejemplo, puedes configurar una cuota máxima de "uso de consultas por día" en la API de BigQuery para garantizar que un proyecto no exceda el gasto en este servicio.

Compra un paquete de asistencia

Google Cloud ofrece varias formas de obtener asistencia cuando tienes problemas, desde foros de la comunidad hasta paquetes de asistencia pagos. Recomendamos adquirir un paquete de asistencia para empresas a fin de proteger las cargas de trabajo críticas del negocio. Para obtener más información, consulta el portal de asistencia de Google Cloud.

La capacidad para enviar tickets de asistencia podría limitarse a personas específicas, según el nivel de asistencia adquirido. Por lo que se recomienda establecer un servicio de resolución o mesa de jerarquización para fines de asistencia. Con este enfoque se pueden evitar los problemas de comunicación y la duplicación de tickets, además la comunicación con la Asistencia de Google será lo más clara posible.

Obtén ayuda de los expertos

La Professional Services Organization (PSO) de Google Cloud ofrece servicios de consultoría para ayudarte en tu experiencia con Google Cloud. Comunícate con los expertos de la PSO, quienes te ofrecerán todos sus conocimientos para instruir a tu equipo sobre las recomendaciones y los principios básicos de una implementación exitosa. Los servicios se entregan como paquetes que te ayudarán a planificar, implementar, ejecutar y optimizar las cargas de trabajo.

Google Cloud también tiene un ecosistema sólido de socios de Google Cloud, que incluye desde integradores de sistemas globales a gran escala hasta socios especializados en un área particular, como el aprendizaje automático. Los socios demostraron que los clientes pueden tener éxito con Google Cloud y pueden ayudarte a acelerar los proyectos y mejorar los resultados comerciales. Recomendamos que los clientes empresariales inviten a los socios a planificar y ejecutar la implementación de Google Cloud.

Crea centros de excelencia

Google sigue invirtiendo en estos productos y se implementan constantemente funciones nuevas. Captar la información, la experiencia y los patrones de la organización en una base de conocimiento interna, como una wiki, sitio de Google o de intranet, puede ser muy valioso.

Del mismo modo, recomendamos nominar a expertos y profesionales de Google Cloud en la organización. Para que los campeones designados destaquen en sus áreas de experiencia, se encuentra disponible una variedad de opciones de capacitación y certificación. Si se suscriben al blog de Google Cloud, los equipos podrán estar al día sobre las últimas noticias, historias de clientes y anuncios.

Qué sigue