Práticas recomendadas para organizações empresariais

Neste guia, apresentaremos as práticas recomendadas para ajudar os clientes corporativos na jornada para o Google Cloud Platform (GCP). O guia não é uma lista completa de recomendações. Seu objetivo é ajudar os arquitetos corporativos e os interessados em tecnologia a entender o escopo das atividades e a planejar adequadamente. Cada seção fornece as principais ações e inclui links para leitura adicional.

Antes de você ler este guia, é recomendável consultar a Visão geral da plataforma para entender o panorama geral do GCP.

Configuração organizacional

Definir a hierarquia de recursos

Os recursos do GCP são organizados em hierarquia. Isso permite mapear a estrutura operacional da sua empresa para o GCP e gerenciar o controle de acesso e as permissões para grupos de recursos relacionados. O diagrama a seguir mostra um exemplo de hierarquia.

Estrutura de árvore invertida com recursos organizados em hierarquia

O nó de nível mais alto da hierarquia é o recurso Organização, que representa uma organização (por exemplo, uma empresa). Ele fornece visibilidade central e controle sobre todos os recursos mais abaixo na hierarquia.

Em seguida na hierarquia vêm as pastas, que podem ser usadas para isolar requisitos de diferentes departamentos e equipes na organização pai. Também é possível usar pastas para separar os recursos de produção dos recursos de desenvolvimento.

Na parte inferior da hierarquia estão os projetos. Eles contêm os recursos de computação, armazenamento e rede que constituem os aplicativos e serão discutidos em detalhes mais à frente neste documento.

A flexibilidade da estrutura a ser definida permite que você se adapte a requisitos em evolução. Caso esteja apenas começando sua jornada no GCP, adote a estrutura mais simples que atenda aos requisitos iniciais. Para mais detalhes, consulte a visão geral do Resource Manager.

Criar um nó da organização

Muitos dos recursos compatíveis com o GCP exigem um nó da organização. Use o Cloud Identity para criar um nó da organização que mapeie no domínio de Internet corporativo, como example.com. Suas contas de faturamento e seus projetos do GCP atuais podem ser migados para o nó da organização. Para mais detalhes, consulte Como criar e gerenciar organizações.

Caso precise de ajuda para configurar, consulte o Assistente de configuração da organização.

Especificar a estrutura do projeto

É necessário ter um projeto para usar o GCP. Todos os recursos do GCP, como máquinas virtuais do Compute Engine e intervalos do Cloud Storage, pertencem a um único projeto. Para mais informações sobre projetos, consulte a Visão geral da plataforma.

Você controla o escopo de seus projetos. Um único projeto pode conter vários aplicativos separados ou vice-versa: um único aplicativo pode incluir vários projetos. Os projetos podem conter recursos distribuídos por várias regiões e localidades.

A estrutura ideal do projeto depende dos seus requisitos individuais e pode evoluir com o tempo. Ao desenvolver a estrutura do projeto, determine se os recursos precisam ser cobrados separadamente, qual o grau de isolamento necessário e como são organizadas as equipes que gerenciam os recursos e os aplicativos.

Automatizar a criação de projetos

Ao automatizar a criação e o gerenciamento de projetos e recursos do GCP, você recebe benefícios como consistência, reprodutibilidade e testabilidade. Se você tratar sua configuração como código, poderá modificar e gerenciar o ciclo de vida dela junto com seus artefatos de software. A automação permite a aplicação de práticas recomendadas, como convenções de nomenclatura consistentes e rotulagem de recursos. Com a evolução dos requisitos, a automação também simplifica a refatoração dos projetos.

Para projetos do GCP, use o Cloud Deployment Manager, que é a ferramenta de gerenciamento nativa do GCP. Com o Cloud Deployment Manager, você cria um arquivo de configuração que descreve um conjunto de recursos do GCP que você quer implantar. É possível definir modelos parametrizados que atuem como elementos básicos reutilizáveis. O Cloud Deployment Manager também pode definir permissões de controle de acesso por meio do Cloud IAM, para que os desenvolvedores recebam acesso apropriado como parte do processo de criação do projeto.

Se você já tem ferramentas como Terraform, Ansible ou Puppet, este é o momento de usá-las e aproveitar as habilidades da sua equipe.

Gestão de acesso e identidade

Gerenciar identidades do Google

O GCP usa as Contas do Google para autenticação e gerenciamento de acesso. Os desenvolvedores e outros funcionários técnicos precisam ter contas do Google para acessar o GCP. Recomendamos o uso de contas do Google totalmente gerenciadas que sejam vinculadas ao seu nome de domínio corporativo por meio do Cloud Identity. Dessa forma, os desenvolvedores podem acessar o GCP usando seus respectivos códigos de e-mail corporativo, e os administradores podem ver e controlar as contas por meio do Admin Console. As seções subsequentes deste documento descrevem como integrar sua plataforma de identidade atual ao Cloud Identity.

O Cloud Identity é uma solução independente de identidade como serviço (IDaaS, na sigla em inglês). Ele oferece aos clientes do Cloud Platform acesso a muitos dos recursos de gerenciamento de identidade fornecidos pelo G Suite, o conjunto de aplicativos de produtividade no local de trabalho do Google Cloud. O Cloud Identity não requer uma licença do G Suite. A inscrição no Cloud Identity oferece uma camada de gerenciamento sobre contas do Google associadas ao seu nome de domínio corporativo. Nessa camada de gerenciamento, é possível ativar ou desativar o acesso a serviços do Google, como o GCP, para os funcionários. A inscrição no Cloud Identity também cria um nó da organização para seu domínio, o que ajuda a mapear a estrutura corporativa e os controles nos recursos do GCP por meio da Hierarquia de recursos.

Para mais informações, consulte Soluções do Cloud Identity.

Sincronizar a plataforma de identidade atual

Caso sua organização utilize uma plataforma de identidade local ou de terceiros, sincronize seu diretório de usuários atual com o Cloud Identity, que permite que os usuários acessem o GCP com as respectivas credenciais corporativas. Dessa forma, sua plataforma de identidade atual continuará sendo a fonte confiável enquanto o Cloud Identity fornece controle sobre como seus funcionários acessam os serviços do Google.

Use o Google Cloud Directory Sync (GCDS) para sincronizar os usuários e grupos no Active Directory ou no servidor LDAP com o diretório de usuários fornecido pelo Cloud Identity. O GCDS provisiona contas do Google correspondentes aos seus grupos e usuários corporativos. A sincronização é unidirecional: os dados no servidor de diretório não são modificados. As senhas não são copiadas para o diretório do Google (a menos que definido explicitamente por você).

Muitos fornecedores de gerenciamento de identidades também oferecem conectores para o G Suite. Como o GCP e o G Suite compartilham uma infraestrutura de identidade comum por meio do Cloud Identity, esses conectores também se aplicam ao GCP.

Para mais detalhes, consulte Como usar seu sistema de gerenciamento de identidades atual com o Google Cloud Platform, no blog de Identidade e segurança do Google.

Implementar logon único (SSO)

Depois que você integrar sua plataforma de gerenciamento de identidades atual com o Cloud Identity, poderá configurar o logon único (SSO). O SSO permite que os usuários acessem seus aplicativos de nuvem empresarial fazendo login apenas uma vez para todos os serviços. O GCP é compatível com SSO baseado em SAML 2.0 no provedor de identidade local ou de terceiros. Depois de configurar os usuários, você precisa fazer a autenticação deles no seu provedor de identidade para que possam acessar o Cloud Platform.

O Console do GCP e as ferramentas de linha de comando gcloud e gsutil são compatíveis com SSO baseado em SAML 2.0. O usuário receberá uma solicitação para fazer login caso acesse qualquer uma dessas ferramentas sem autenticação prévia no provedor de SSO, seja diretamente ou acessando outro aplicativo.

Para informações sobre como definir o SSO, consulte Configurar logon único.

Migrar contas não gerenciadas

Se membros do seu domínio tiverem usado os endereços de e-mail corporativo deles para criar uma conta do Google pessoal (por exemplo, se inscrever em um serviço do Google, como o YouTube ou o Blogger), avalie a possibilidade de migrar essas contas para que também possam ser gerenciadas com o Cloud Identity. Outra alternativa é forçar essas contas a usarem um endereço de e-mail diferente.

Na documentação do Cloud Identity, é possível encontrar mais orientações sobre como migrar contas ou forçar a renomeação delas.

Controlar o acesso a recursos

Você precisa autorizar os desenvolvedores e a equipe de TI a consumirem recursos do GCP. É possível usar o Cloud Identity e Access Management (IAM) para conceder acesso granular a recursos específicos do GCP e impedir o acesso indesejado a outros recursos. Mais especificamente, o Cloud IAM permite controlar o acesso definindo quem (identidade) tem qual acesso (papel) para qual recurso.

Em vez de atribuir permissões diretamente, você atribui papéis. Os papéis do Cloud IAM são coleções de permissões. Por exemplo, o papel Visualizador de dados do BigQuery contém as permissões para listar, ler e consultar tabelas do BigQuery, mas não para criar novas tabelas ou modificar dados. O Cloud IAM fornece muitos papéis predefinidos para lidar com uma ampla variedade de casos de uso comuns. Também permite criar papéis personalizados.

Use o Cloud IAM para aplicar o princípio de segurança de menor privilégio e, dessa forma, conceder apenas o acesso necessário aos seus recursos. O Cloud IAM é um tópico fundamental para organizações empresariais. Para mais informações sobre gerenciamento de identidade e acesso, consulte os seguintes recursos:

Delegar responsabilidade com grupos e contas de serviço

Recomendamos que você reúna usuários com as mesmas responsabilidades em grupos e atribua papéis do Cloud IAM a esses grupos, e não a usuários individuais. Por exemplo, é possível criar um grupo chamado "cientista de dados" e atribuir papéis apropriados para permitir a interação com o BigQuery e o Cloud Storage. Quando um novo cientista de dados ingressar na equipe, basta adicioná-lo ao grupo para que ele herde as permissões definidas. Use o Admin Console para criar e gerenciar grupos.

A conta de serviço é um tipo especial de conta do Google que representa aplicativos ou identidades de serviço do Google Cloud em vez de usuários individuais. Assim como usuários e grupos, as contas de serviço podem receber papéis do IAM para conceder acesso a recursos específicos. Elas são autenticadas com uma chave, e não com uma senha. O Google gerencia e alterna as chaves da conta de serviço para o código em execução no GCP. Recomendamos que você use contas de serviço em interações de servidor para servidor.

Definir uma política da organização

Use o serviço de política da organização para ter controle centralizado e programático sobre os recursos em nuvem da sua organização. O Cloud IAM se concentra em quem, permitindo autorizar usuários e grupos a executar ações em recursos específicos com base em permissões. A política da organização se concentra no que, permitindo definir restrições em recursos específicos para determinar como eles podem ser configurados e usados. Por exemplo, é possível definir uma restrição para impedir que instâncias de máquinas virtuais tenham um endereço IP externo.

As políticas são definidas em recursos na hierarquia de recursos. Todos os descendentes de um recurso herdam as políticas dele por padrão. Defina um conjunto básico de restrições aplicáveis a todos os elementos na hierarquia anexando uma política ao nó da organização de nível mais alto. Em seguida, defina políticas de organização personalizadas em nós filhos, que se mesclam à política herdada ou a substituem.

Para mais informações sobre como definir políticas, consulte Desenvolvimento de políticas para clientes empresariais.

Rede e segurança

Usar a VPC para definir sua rede

Use VPCs e sub-redes para mapear sua rede e agrupar e isolar recursos relacionados. A nuvem privada virtual (VPC, na sigla em inglês) é uma versão virtual de uma rede física. As VPCs fornecem rede escalonável e flexível para instâncias de máquina virtual (VM) do Compute Engine e para os serviços que aproveitam instâncias de VM, incluindo o Google Kubernetes Engine (GKE), o Cloud Dataproc e o Cloud Dataflow, entre outros.

As redes VPC são recursos globais. Uma única VPC pode abranger várias regiões sem se comunicar pela Internet pública. Isso significa que é possível conectar e gerenciar recursos distribuídos em todo o mundo a partir de um único projeto do GCP e criar várias redes VPC isoladas em um único projeto.

As redes VPC por si só não definem intervalos de endereços IP. Em vez disso, cada rede VPC consiste em uma ou mais partições chamadas sub-redes. Cada sub-rede, por sua vez, define um ou mais intervalos de endereços IP. As sub-redes são recursos regionais. Cada sub-rede é associada explicitamente a uma única região.

Para mais detalhes, consulte a Visão geral da VPC.

Gerenciar o tráfego com regras de firewall

Cada rede VPC implementa um firewall virtual distribuído. Configure regras de firewall que permitam ou neguem tráfego entre os recursos vinculados à VPC, como instâncias de VM do Compute Engine e clusters do GKE. As regras de firewall são aplicadas no nível de rede virtual, por isso elas ajudam a fornecer proteção eficaz e controle de tráfego, independentemente do sistema operacional usado pelas instâncias. Graças ao firewall com estado, o tráfego de retorno é permitido automaticamente para fluxos com permissão.

As regras de firewall são específicas para uma determinada rede VPC. Elas permitem especificar o tipo de tráfego (portas e protocolos) e a origem ou o destino do tráfego (como endereços IP, sub-redes, tags e contas de serviço). Por exemplo, é possível criar uma regra de entrada para permitir que qualquer instância de VM associada a uma conta de serviço específica aceite tráfego TCP na porta 80 originada de uma determinada sub-rede de origem. Cada VPC inclui automaticamente regras de firewall padrão e implícitas.

Caso seu aplicativo esteja hospedado no GKE, há considerações diferentes para gerenciar o tráfego de rede e configurar regras de firewall. Para mais detalhes, consulte Conceitos de rede do GKE.

Limitar o acesso externo

Quando você cria um recurso do GCP que utiliza a VPC, é necessário escolher uma rede e uma sub-rede para utilizá-lo. O recurso recebe um endereço IP interno de um dos intervalos de IP associados à sub-rede. Os recursos em uma rede VPC podem se comunicar entre si por meio de endereços IP internos, desde que seja permitido pelas regras de firewall.

Para se comunicar com a Internet, os recursos precisam ter um endereço IP público externo ou usar o Cloud NAT. Da mesma forma, os recursos precisam dispor de um endereço IP externo para se conectarem a outros recursos fora da mesma rede VPC, a menos que as redes estejam conectadas de alguma maneira (por exemplo, por meio de uma VPN). Para mais detalhes, consulte a documentação sobre endereços IP.

Limite o acesso à Internet apenas aos recursos que necessitam dela. Recursos com apenas um endereço IP interno privado ainda podem acessar muitos serviços e APIs do Google por meio do Acesso privado do Google, que permite que os recursos interajam com os principais serviços do Google e do GCP mesmo isolados da Internet.

Centralizar o controle da rede

Use a VPC compartilhada para se conectar a uma rede VPC comum. Os recursos nesses projetos podem se comunicar de maneira segura e eficiente entre os limites do projeto usando IPs internos. É possível gerenciar recursos de rede compartilhados (como sub-redes, rotas e firewalls) em um projeto de host central, permitindo que você aplique e imponha políticas de rede consistentes nos projetos.

Com os controles de IAM e VPC compartilhada, é possível separar a administração de rede da administração de projetos. Essa separação ajuda a implementar o princípio do menor privilégio. Por exemplo, uma equipe de rede centralizada pode administrar a rede sem ter nenhuma permissão nos projetos participantes. Da mesma forma, os administradores de projeto podem gerenciar os recursos deles no projeto sem nenhuma permissão para manipular a rede compartilhada.

Conectar sua rede corporativa

Muitas empresas precisam conectar a infraestrutura local atual aos recursos do GCP. Avalie seus requisitos de largura de banda, latência e SLA para escolher a melhor opção de conexão:

  • Se você precisa de conexões de nível empresarial altamente disponíveis e com baixa latência que permitam transferir dados com segurança entre suas redes VPC e local sem passar pelas conexões de Internet ao GCP, use o Cloud Interconnect:

    • A Interconexão dedicada fornece uma conexão física direta entre sua rede local e a rede do Google.
    • O Partner Interconnect fornece conectividade entre sua rede local e a rede VPC do GCP por meio de um provedor de serviços compatível.
  • Se você não precisa da baixa latência e da alta disponibilidade do Cloud Interconnect ou está apenas começando sua jornada na nuvem, use o Cloud VPN para configurar túneis de VPN com IPsec criptografados entre sua rede local e a VPC. Comparado a uma conexão direta e privada, um túnel VPN IPsec tem menos sobrecarga e custos.

Proteger seus aplicativos e dados

O GCP fornece recursos robustos de segurança em toda sua infraestrutura e nos serviços, desde a segurança física de data centers e hardware de segurança personalizado até equipes dedicadas de pesquisadores. No entanto, proteger seus recursos do GCP é uma responsabilidade compartilhada. Tome medidas apropriadas para ajudar a garantir que os aplicativos e os dados estejam protegidos.

Além de regras de firewall e isolamento da VPC, use estas outras ferramentas para ajudar a proteger os aplicativos:

  • Use o VPC Service Controls para definir um perímetro de segurança em torno dos seus recursos do GCP, restringindo os dados em uma VPC, e ajudar a reduzir os riscos de exportação de dados.
  • Use um balanceador de carga HTTP(S) global do GCP para oferecer suporte a alta disponibilidade e dimensionamento em serviços voltados para a Internet.
  • Integre o Cloud Armor ao balanceador de carga HTTP(S) para fornecer proteção contra DDoS e a capacidade de colocar endereços IP na lista de proibições e na de permissões na extremidade de rede.
  • Controle o acesso a aplicativos usando o Cloud Identity-Aware Proxy (Cloud IAP) para verificar a identidade do usuário e o contexto da solicitação para determinar se um usuário precisa receber acesso.

O GCP ajuda a manter os dados seguros aplicando a criptografia tanto em trânsito como em repouso. Os dados em repouso são criptografados por padrão com chaves de criptografia gerenciadas pelo Google. No caso de dados confidenciais, é possível gerenciar as chaves no GCP. Se você precisar de mais controle, forneça suas próprias chaves de criptografia que são mantidas fora do GCP. Como o gerenciamento ou a manutenção delas apresenta sobrecarga, recomendamos usar essa abordagem apenas para dados realmente confidenciais. Para mais detalhes, consulte Criptografia em repouso.

Registro, monitoramento e operações

Centralizar o registro e o monitoramento

É comum as empresas executarem vários aplicativos, canais de dados e outros processos, geralmente em diferentes plataformas. Garantir a integridade desses aplicativos e processos é responsabilidade dos desenvolvedores e das equipes de operações. Para essa finalidade, recomendamos usar o Stackdriver, que gerencia o registro, o monitoramento, a depuração, o rastreamento, a criação de perfis e muito mais.

Os registros são uma fonte importante de informações de diagnóstico sobre a integridade de aplicativos e processos. O Stackdriver Logging faz parte do pacote Stackdriver e permite armazenar, visualizar, pesquisar, analisar e alertar sobre eventos e dados de registro. O Logging se integra nativamente a muitos serviços do GCP. Esse serviço inclui um agente de registro e uma API para dar suporte a aplicativos executados em instâncias do Amazon EC2 e no local. Use o Logging para centralizar os registros de todos os seus aplicativos no Stackdriver.

Além de consumir registros, normalmente você precisa monitorar outros aspectos de seus aplicativos e sistemas para garantir uma operação confiável. Use o Stackdriver Monitoring para ver o desempenho, o tempo de atividade e a integridade geral dos aplicativos e da infraestrutura. O monitoramento processa eventos, métricas e metadados e gera insights por meio de painéis, gráficos e alertas. Além disso, ele é compatível com métricas de várias fontes de terceiros e do GCP predefinidas e pode ser usado para definir métricas personalizadas. Por exemplo, é possível usar métricas para definir políticas de alerta, de modo que as equipes de operações sejam notificadas sobre comportamentos ou tendências incomuns. O monitoramento também fornece painéis flexíveis e ferramentas de visualização avançadas para ajudar a identificar problemas que venham a surgir.

Configurar uma trilha de auditoria

Além de capturar registros no nível de aplicativo e de processo, talvez você precise acompanhar e manter detalhes de como os desenvolvedores e as equipes de TI estão interagindo com os recursos do GCP. Use o Cloud Audit Logging para ajudar a responder perguntas como "quem fez o quê, onde e quando" nos seus projetos do GCP. Para ver uma lista de serviços do GCP que gravam registros de auditoria, consulte Serviços que produzem registros de auditoria. Use os controles do IAM para limitar os usuários com permissão de acesso para visualizar os registros de auditoria.

O Cloud Audit Logging captura vários tipos de atividade. Os registros de Atividade do administrador contêm entradas de registro para chamadas de API ou outras ações administrativas que modificam a configuração ou os metadados de recursos. Os registros de Atividade do administrador estão sempre ativados. Os registros de auditoria de Acesso a dados gravam chamadas de API que criam, modificam ou leem dados fornecidos pelo usuário. Os registros de auditoria de Acesso a dados estão desativados por padrão porque podem ser bem grandes. É possível configurar quais serviços do GCP geram registros de acesso a dados.

Para informações mais detalhadas sobre auditoria, consulte Práticas recomendadas para trabalhar com o Cloud Audit Logging.

Exportar seus registros

O Logging mantém o aplicativo e os registros de auditoria por um período limitado. Talvez seja necessário manter registros por períodos mais longos para cumprir as obrigações de conformidade. Outra alternativa é mantê-los para análise histórica.

É possível exportar registros para o Cloud Storage, o BigQuery e o Cloud Pub/Sub. O uso de filtros permite incluir ou excluir recursos da exportação. Por exemplo, é possível exportar todos os registros do Compute Engine, mas excluir registros de alto volume do Cloud Load Balancing.

O local para onde os registros serão exportados depende do caso de uso. Muitas empresas exportam para vários destinos. Em termos gerais, para cumprir as obrigações de conformidade, use o Cloud Storage para armazenamento de longo prazo. Caso você precise analisar registros, use o BigQuery, porque ele oferece suporte a consultas SQL e um grande ecossistema de ferramentas de terceiros.

Para mais detalhes sobre exportações de registros, consulte Padrões de design para exportação do Logging.

Adotar o DevOps e explorar a engenharia de confiabilidade do site

Para aumentar a agilidade e reduzir o tempo de lançamento de aplicativos e recursos, é preciso que as equipes de desenvolvimento, operações, rede e segurança trabalhem de forma integrada. Isso requer processos, cultura e ferramentas que são coletivamente chamados de DevOps.

O GCP oferece uma variedade de serviços para ajudar na adoção das práticas de DevOps. Os recursos incluem repositórios de código-fonte integrados, ferramentas de entrega contínua, recursos avançados de monitoramento por meio do Stackdriver e um suporte robusto para ferramentas de código-fonte aberto. Para mais detalhes, consulte as soluções de DevOps do GCP.

A Engenharia de confiabilidade do site (SRE) é um conjunto de práticas relacionadas a DevOps. Elas foram desenvolvidas pela equipe de SRE que gerencia a infraestrutura de produção do Google. Recomendamos que você estude os livros de SRE para aprender práticas que podem ajudar a moldar sua estratégia de operações, mesmo que a criação de uma função SRE dedicada esteja além do escopo de muitas empresas.

Arquitetura da nuvem

Planejar a migração

A migração de infraestrutura e aplicativos locais para a nuvem requer avaliação e planejamento cuidadosos. É preciso analisar as diversas estratégias de migração por aplicativo, desde a lift-and-shift até a transform-and-move. O GCP fornece ferramentas para ajudar a migrar máquinas virtuais, transferir dados e modernizar cargas de trabalho. Para mais detalhes, consulte a central de migração.

Devido a restrições regulatórias, técnicas ou financeiras, talvez não seja possível ou até desejável mover determinados aplicativos para a nuvem pública. Consequentemente, pode ser preciso distribuir e integrar cargas de trabalho na sua infraestrutura local e do GCP. Essa configuração é conhecida como nuvem híbrida. Para mais detalhes sobre cargas de trabalho híbridas, consulte a página de nuvem híbrida e veja padrões e práticas recomendadas para soluções híbridas e com várias nuvens.

Dar preferência a serviços gerenciados

Os principais fatores que incentivam a adoção da nuvem reduzem a sobrecarga de TI e melhoram a eficiência, permitindo que você se concentre no seu negócio. Além de adotar práticas de DevOps e aumentar a automação, você precisa usar os serviços gerenciados do GCP para ajudar a reduzir a carga operacional e o custo total de propriedade (TCO).

Em vez de instalar, dar suporte e operar de forma independente todas as partes de uma pilha de aplicativos, use serviços gerenciados para consumir partes dessa pilha como serviços. Por exemplo, em vez de instalar e gerenciar automaticamente um banco de dados MySQL em uma instância de VM, é possível usar um banco de dados MySQL fornecido pelo Cloud SQL. Conte com o GCP para gerenciar a infraestrutura subjacente e automatizar backups, atualizações e replicações.

Recomendamos que você avalie o SLA fornecido por cada serviço gerenciado.

O GCP oferece serviços gerenciados e opções sem servidor para muitos casos de uso e componentes comuns de aplicativos, desde bancos de dados gerenciados até ferramentas de processamento de Big Data. Muitos desses serviços gerenciados oferecem suporte a plataformas e frameworks de código aberto conhecidos, para que você possa aproveitar os benefícios de TCO fazendo migração lift-and-shift dos aplicativos atuais que utilizam essas plataformas de código aberto na nuvem.

Projetar para alta disponibilidade

Para ajudar a manter o tempo de atividade dos aplicativos essenciais, crie aplicativos resilientes que saibam lidar com falhas ou alterações inesperadas no carregamento. Alta disponibilidade é a capacidade de um aplicativo permanecer responsivo e continuar funcionando mesmo com falhas de componentes no sistema. Arquiteturas altamente disponíveis normalmente envolvem a distribuição de recursos de computação, balanceamento de carga e replicação de dados. A extensão de suas provisões de alta disponibilidade pode variar por aplicativo. Para mais informações sobre conceitos de disponibilidade, consulte a documentação referente a regiões e localidades.

No mínimo, é preciso distribuir recursos de computação (como instâncias de VM do Compute Engine e clusters do GKE) pelas zonas disponíveis em uma região para proteger contra falhas de uma zona específica. Para melhorar ainda mais a disponibilidade dos recursos de computação, distribua-os de maneira semelhante em várias regiões geograficamente dispersas para minimizar a perda de uma região inteira. Para saber onde criar recursos de computação, consulte Práticas recomendadas para a seleção de região do Compute Engine.

O GCP oferece diversas variações de balanceamento de carga. O balanceador de carga HTTP(S) costuma ser usado para expor aplicativos voltados para a Internet porque fornece balanceamento global, permitindo a distribuição de carga entre regiões em diferentes localidades. Se uma zona ou região ficar indisponível, o balanceador de carga direcionará o tráfego para uma zona com capacidade disponível. Para mais detalhes, consulte Otimizações de capacidade de aplicativo com balanceamento de carga global.

Além disso, considere a disponibilidade ao escolher o armazenamento de dados. Alguns serviços de armazenamento de dados do GCP permitem replicar dados entre zonas em uma única região. Outros serviços replicam dados automaticamente por várias regiões em uma área geográfica, mas podem exigir uma compensação na latência ou no modelo de consistência. O serviço de armazenamento de dados que é mais adequado varia de acordo com os requisitos de aplicativo e disponibilidade.

Planejar a estratégia de recuperação de desastres

Além de projetar para alta disponibilidade, é preciso criar um plano para manter a continuidade dos negócios no caso de indisponibilidade em grande escala ou desastre natural. A recuperação de desastres (DR) é a capacidade de se recuperar de grandes incidentes, ainda que raros. Quando as provisões de alta disponibilidade são ineficazes ou indisponíveis, pode ser necessário iniciar a recuperação de desastres.

A criação de um plano de DR eficaz requer planejamento e teste. Recomendamos que você aborde os planos de DR logo no início. Para mais detalhes, consulte o Guia de planejamento de recuperação de desastres e artigos relacionados.

Recursos

Faturamento e gerenciamento

Saber como os recursos são cobrados

O GCP opera em um modelo de consumo. A cobrança é feita com base na quantidade utilizada de um recurso ou produto específico durante um determinado período de pagamento. Os produtos medem o consumo de maneiras diferentes, por exemplo:

  • Como um período de tempo (durante quantos segundos uma máquina funcionou);
  • Como um volume (a quantidade de dados armazenados);
  • Como o número de operações executadas;
  • Como variações desses conceitos.

Compreenda como o faturamento funciona com os componentes em seu sistema, para que você possa calcular seus custos com precisão. Cada produto fornece informações detalhadas sobre preços na respectiva documentação. Muitos produtos oferecem um nível gratuito, em que não é cobrado o consumo abaixo de um determinado limite. Para consumir recursos além desse nível, você precisa ativar o faturamento.

Para mais detalhes sobre descontos, inovações e filosofias de preço do GCP, consulte a página Preços.

Configurar controles de faturamento

Todos os recursos do GCP, como VMs do Compute Engine, intervalos do Cloud Storage e conjuntos de dados do BigQuery, precisam estar associados a um projeto do GCP. Para consumir recursos além do que é oferecido pelo nível gratuito, é obrigatório que um projeto esteja associado a uma conta de faturamento. Existe um relacionamento de um para muitos entre contas de faturamento e projetos: um projeto pode ser associado a apenas uma conta de faturamento, mas uma conta de faturamento pode ser associada a muitos projetos.

Use uma conta de faturamento para definir quem paga pelos recursos em um conjunto de projetos. A conta inclui um instrumento de pagamento, como um cartão de crédito, que é usado para a cobrança dos custos. As contas de faturamento podem ser definidas no nível da organização, que é onde os projetos no nó da organização são vinculados às contas de faturamento. É possível ter várias contas de faturamento na organização para refletir diferentes centros de custo ou departamentos.

O Cloud IAM fornece um conjunto robusto de controles para limitar a forma como diferentes usuários podem administrar e interagir com o faturamento. Esses controles ajudam a aplicar o princípio do menor privilégio e a fornecer uma separação clara dos papéis. Por exemplo, é possível separar a permissão para criar contas de faturamento da permissão para vincular projetos a uma determinada conta de faturamento.

Para ver uma discussão detalhada sobre configuração e conceitos de faturamento, consulte a Lista de verificação de integração de faturamento.

Analisar e exportar faturas

Usuários com permissões apropriadas podem ver uma análise detalhada dos custos, do histórico de transações e muito mais no Console do GCP. As informações são apresentadas por conta de faturamento. O console também contém relatórios de cobrança interativos que permitem filtrar e dividir os custos por projeto, produto e intervalo de tempo. A funcionalidade do Console do GCP geralmente é suficiente para clientes com configurações do GCP menos complicadas.

No entanto, é normal exigir análises e relatórios personalizados sobre as despesas da nuvem. Para atender a esse requisito, ative as exportações diárias de cobranças de faturamento. As exportações de arquivos podem ser configuradas para exportar um arquivo CSV ou JSON para um intervalo do Cloud Storage. Da mesma forma, é possível configurar as exportações para um conjunto de dados do BigQuery. Elas incluirão qualquer rótulo que tenha sido aplicado a recursos.

Recomendamos que você ative as exportações do BigQuery. Elas fornecem uma divisão de custos mais refinada em comparação com a exportação de arquivos. Quando os dados de faturamento estão no BigQuery, as equipes de finanças podem analisá-los com o SQL padrão e usar ferramentas que se integram ao BigQuery.

Planejar seus requisitos de capacidade

Os projetos do GCP têm cotas que limitam o consumo de uma API ou um recurso específico. A finalidade delas é proteger a ampla comunidade do GCP ao evitar picos imprevistos no uso. Por exemplo, as cotas garantem que um número pequeno de clientes ou projetos não consiga monopolizar o uso de núcleos de CPU em uma determinada região ou zona.

Planeje os requisitos de capacidade de seus projetos com antecedência para evitar a limitação inesperada do consumo de recursos. Se as cotas não forem suficientes, solicite alterações na seção Cotas do Console do GCP. Caso você precise de grande capacidade, entre em contato com a equipe de vendas do GCP.

Implementar controles de custos

Os custos aumentam na mesma medida que os serviços na nuvem. O GCP oferece vários métodos para limitar o consumo de recursos e notificar as partes interessadas sobre eventos de faturamento relevantes.

Os orçamentos podem ser configurados de forma a gerar alertas quando os gastos atingirem determinados limites. Os alertas vêm na forma de e-mails e podem gerar mensagens do Cloud Pub/Sub para notificação programática. O orçamento pode ser aplicável à conta de faturamento inteira ou a um projeto individual vinculado a ela. Por exemplo, é possível criar um orçamento para gerar alertas quando o gasto total mensal de uma conta de faturamento atingir 50%, 80% e 100% do valor do orçamento especificado. Observe que os orçamentos em si não limitam os gastos. Em vez disso, eles são uma função para gerar alertas. Para mais detalhes, consulte a documentação sobre alertas de orçamento. Para ver mais práticas recomendadas, decisões de design e opções de configuração que ajudam a simplificar o gerenciamento de custos, consulte a Lista de verificação de integração do Cloud Billing.

As cotas também podem ser usadas para limitar o consumo de um recurso específico. Por exemplo, é possível definir uma cota máxima de "uso por consulta por dia" na API BigQuery para garantir que um projeto não exceda o limite de gastos do BigQuery.

Comprar um pacote de suporte

O GCP oferece várias maneiras de receber suporte quando você tiver problemas, desde fóruns da comunidade até pacotes de suporte pagos. Para proteger cargas de trabalho essenciais para os negócios, recomendamos a compra de um pacote de suporte empresarial. Para saber mais detalhes, consulte o portal de suporte do GCP.

Dependendo do nível de suporte adquirido, sua capacidade de aumentar os tíquetes de suporte pode ser limitada a determinados indivíduos. Portanto, recomendamos estabelecer uma câmara de compensação ou uma mesa de triagem. Essa abordagem ajuda você a evitar duplicação de tíquetes e falta de comunicação, além de manter o máximo de clareza na comunicação com o Google Cloud Support.

Receber ajuda dos especialistas

A organização do Google Cloud Professional Services (PSO) oferece serviços de consultoria para ajudar você na sua jornada no GCP. Entre em contato com os consultores da PSO, que têm ampla experiência em instruir equipes sobre as práticas recomendadas e os princípios norteadores para uma implementação bem-sucedida. Os serviços são entregues na forma de pacotes para ajudar você a planejar, implementar, executar e otimizar cargas de trabalho.

O GCP também tem um sólido ecossistema de parceiros do Google Cloud, desde grandes integradores de sistemas globais até parceiros com ampla especialização em áreas específicas, como o machine learning. Os parceiros demonstraram sucesso no cliente usando o GCP e podem acelerar seus projetos e melhorar os resultados de negócios. Recomendamos que os clientes corporativos contratem parceiros para ajudar a planejar e executar a implementação do GCP.

Criar centros de excelência

O Google segue investindo nesses produtos, e novos recursos vêm sendo implantados continuamente. Pode ser valioso capturar as informações, a experiência e os padrões da sua organização em uma base de conhecimento interna, como um wiki, um site do Google ou um site de intranet.

Também vale a pena nomear especialistas e campeões do GCP na sua organização. Há várias opções de treinamento e certificação disponíveis para ajudar os campeões indicados a crescer na área de especialização deles. As equipes podem se inscrever no blog do Google Cloud para ficar por dentro de histórias de clientes, anúncios e notícias mais recentes.

A seguir

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…