Práticas recomendadas para organizações empresariais

Neste guia, você conhecerá as práticas recomendadas para ajudar clientes corporativos como você na jornada para o Google Cloud. O guia não é uma lista completa de recomendações. Seu objetivo é ajudar os arquitetos corporativos e os interessados em tecnologia a entender o escopo das atividades e a planejar adequadamente. Cada seção fornece as principais ações e inclui links para leitura adicional.

Antes de ler este guia, recomendamos que você verifique a Visão geral da plataforma para entender o panorama geral do Google Cloud.

Configuração organizacional

Definir a hierarquia de recursos

Os recursos do Google Cloud são organizados hierarquicamente. Essa hierarquia permite mapear a estrutura operacional da empresa para o Google Cloud e gerenciar o controle de acesso e as permissões dos grupos de recursos relacionados. O diagrama a seguir mostra um exemplo de hierarquia.

Estrutura de árvore invertida com recursos organizados em hierarquia

O nó de nível mais alto da hierarquia é o recurso Organização, que representa uma organização (por exemplo, uma empresa). Ele fornece visibilidade central e controle sobre todos os recursos mais abaixo na hierarquia.

Em seguida na hierarquia vêm as pastas, que podem ser usadas para isolar requisitos de diferentes departamentos e equipes na organização pai. Também é possível usar pastas para separar os recursos de produção dos recursos de desenvolvimento.

Na parte inferior da hierarquia estão os projetos. Eles contêm os recursos de computação, armazenamento e rede que constituem os aplicativos e serão discutidos em detalhes mais à frente neste documento.

A flexibilidade da estrutura a ser definida permite que você se adapte a requisitos crescentes. Se você está apenas começando sua jornada no Google Cloud, adote a estrutura mais simples que atenda aos requisitos iniciais. Para mais detalhes, consulte a visão geral do Resource Manager.

Criar um nó da organização

Muitos dos atributos compatíveis com o Google Cloud exigem um nó da organização. Use o Cloud Identity para criar um nó da organização que mapeie para o domínio de Internet corporativo, como example.com. É possível migrar projetos e contas de faturamento do Google Cloud para o nó da organização. Para mais detalhes, consulte Como criar e gerenciar organizações.

Caso precise de ajuda para configurar, consulte o Assistente de configuração da organização.

Especificar a estrutura do projeto

É necessário ter um projeto para usar o Google Cloud. Todos os recursos do Google Cloud, como máquinas virtuais do Compute Engine e buckets do Cloud Storage, pertencem a um projeto. Para mais informações sobre projetos, consulte a Visão geral da plataforma.

Você controla o escopo de seus projetos. Um único projeto pode conter vários aplicativos separados ou vice-versa: um único aplicativo pode incluir vários projetos. Os projetos podem conter recursos distribuídos por várias regiões e localidades.

A estrutura ideal do projeto depende dos seus requisitos individuais e pode evoluir com o tempo. Ao desenvolver a estrutura do projeto, determine se os recursos precisam ser cobrados separadamente, qual o grau de isolamento necessário e como são organizadas as equipes que gerenciam os recursos e os aplicativos.

Automatizar a criação de projetos

Ao automatizar a criação e o gerenciamento de projetos e recursos do Google Cloud, você recebe benefícios como consistência, reprodutibilidade e testabilidade. Se você tratar sua configuração como código, poderá modificar e gerenciar o ciclo de vida dela junto com seus artefatos de software. A automação permite a aplicação de práticas recomendadas, como convenções de nomenclatura consistentes e rotulagem de recursos. Com a evolução dos requisitos, a automação também simplifica a refatoração dos projetos.

Para projetos do Google Cloud, use o Cloud Deployment Manager, que é a ferramenta de gerenciamento nativa do Google Cloud. Com o Deployment Manager, crie um arquivo de configuração com a descrição de um conjunto de recursos do Google Cloud que serão implantados juntos. É possível definir modelos parametrizados que atuem como elementos básicos reutilizáveis. Com o Deployment Manager também é possível definir permissões de controle de acesso por meio do Cloud IAM, de modo que os desenvolvedores recebam acesso apropriado como parte do processo de criação do projeto.

Se você tem ferramentas como Terraform, Ansible ou Puppet, este é o momento de usá-las e aproveitar as habilidades da sua equipe.

Gestão de acesso e identidade

Gerenciar identidades do Google

No Google Cloud, as Contas do Google são usadas para autenticação e gerenciamento de acesso. Para acessarem o Google Cloud, os desenvolvedores e a equipe técnica precisam ter Contas do Google. Recomendamos o uso de Contas do Google totalmente gerenciadas vinculadas ao seu nome de domínio corporativo por meio do Cloud Identity. Dessa forma, os desenvolvedores podem acessar o Google Cloud usando os respectivos IDs de e-mail corporativo e os administradores podem ver e controlar as contas por meio do Admin Console. As seções subsequentes deste documento descrevem como integrar sua plataforma de identidade atual ao Cloud Identity.

O Cloud Identity é uma solução independente de identidade como serviço (IDaaS, na sigla em inglês). Com ele, os clientes do Cloud Platform podem ter acesso a muitos dos recursos de gerenciamento de identidade fornecidos pelo G Suite, o conjunto de apps de produtividade no local de trabalho do Google Cloud. O Cloud Identity não requer uma licença do G Suite. A inscrição no Cloud Identity oferece uma camada de gerenciamento sobre contas do Google associadas ao seu nome de domínio corporativo. Nessa camada de gerenciamento, é possível ativar ou desativar o acesso a serviços do Google, como o Google Cloud, para os funcionários. A inscrição no Cloud Identity também cria um nó da organização para seu domínio, o que ajuda a mapear a estrutura corporativa e os controles dos recursos do Google Cloud por meio da Hierarquia de recursos.

Para mais informações, consulte Soluções do Cloud Identity.

Federar o provedor de identidade com o Google Cloud

Se a organização usa um provedor de identidade local ou de terceiros, sincronize seu diretório de usuários com o Cloud Identity para permitir que os usuários acessem o Google Cloud com as respectivas credenciais corporativas. Dessa forma, sua plataforma de identidade continuará sendo a fonte confiável, enquanto o Cloud Identity controla como seus funcionários acessam os serviços do Google.

Migrar contas não gerenciadas

Se membros do seu domínio tiverem usado os endereços de e-mail corporativo deles para criar uma conta pessoal do Google (por exemplo, para se inscrever em um serviço do Google como o YouTube ou o Blogger), avalie a possibilidade de migrar essas contas para que também possam ser gerenciadas com o Cloud Identity. Outra alternativa é forçar essas contas a usarem um endereço de e-mail diferente.

É possível encontrar orientações adicionais sobre como migrar contas ou forçar a renomeação de contas em Avaliação de contas de usuário existentes.

Controlar o acesso a recursos

É preciso autorizar os desenvolvedores e a equipe de TI a consumirem recursos do Google Cloud. É possível usar o Cloud Identity and Access Management (IAM) para conceder acesso granular a recursos específicos do Google Cloud e impedir o acesso indesejado a outros recursos. Mais especificamente, o Cloud IAM permite controlar o acesso definindo quem (identidade) tem qual acesso (papel) a qual recurso.

Em vez de atribuir permissões diretamente, você atribui papéis. Os papéis do Cloud IAM são coleções de permissões. Por exemplo, o papel Visualizador de dados do BigQuery contém as permissões para listar, ler e consultar tabelas do BigQuery, mas não para criar novas tabelas ou modificar dados. O Cloud IAM fornece muitos papéis predefinidos para lidar com uma ampla variedade de casos de uso comuns. Também permite criar papéis personalizados.

Use o Cloud IAM para aplicar o princípio de segurança de menor privilégio e, dessa forma, conceder apenas o acesso necessário aos seus recursos. O Cloud IAM é um tópico fundamental para organizações empresariais. Para mais informações sobre gerenciamento de identidade e acesso, consulte os seguintes recursos:

Delegar responsabilidade em grupos e contas de serviço

Recomendamos que você reúna usuários com as mesmas responsabilidades em grupos e atribua papéis do Cloud IAM a esses grupos, e não a usuários individuais. Por exemplo, é possível criar um grupo chamado "cientista de dados" e atribuir papéis apropriados para permitir a interação com o BigQuery e o Cloud Storage. Quando um novo cientista de dados ingressar na equipe, basta adicioná-lo ao grupo para que ele herde as permissões definidas. Use o Admin Console para criar e gerenciar grupos.

Recomendamos que os clientes corporativos criem os seis grupos a seguir:

Grupo Função
gcp-organization-admins Os administradores da organização são responsáveis por organizar a estrutura dos recursos usados pela organização.
gcp-network-admins Os administradores de rede são responsáveis por criar redes, sub-redes, regras de firewall e dispositivos de rede, como o Cloud Router, Cloud VPN e Cloud Load Balancing.
gcp-security-admins Os administradores de segurança são responsáveis por estabelecer e gerenciar políticas de segurança para toda a organização, incluindo o gerenciamento de acesso e as políticas de restrição da organização.
gcp-billing-admins Os administradores de faturamento são responsáveis por configurar contas de faturamento e monitorar seu uso.
gcp-devops Profissionais de DevOps criam ou gerenciam pipelines completos compatíveis com integração e entrega contínuas, monitoramento e provisionamento do sistema.
gcp-developers Os desenvolvedores são responsáveis por projetar, codificar e testar aplicativos.

A conta de serviço é um tipo especial de Conta do Google que representa um app ou identidade de serviço do Google Cloud em vez de um usuário individual. Assim como usuários e grupos, as contas de serviço podem receber papéis do IAM para conceder acesso a recursos específicos. Elas são autenticadas com uma chave, e não com uma senha. O Google gerencia e alterna as chaves da conta de serviço para o código em execução no Google Cloud. Recomendamos o uso de contas de serviço para interações entre servidores.

Definir uma política da organização

Use o serviço de política da organização para ter controle centralizado e programático sobre os recursos em nuvem da sua organização. O Cloud IAM se concentra em quem, permitindo que usuários e grupos sejam autorizados a executar ações em recursos específicos, com base em permissões. A política da organização se concentra em que, permitindo definir restrições em recursos específicos para determinar como eles podem ser configurados e usados. Por exemplo, é possível definir uma restrição para impedir que instâncias de máquina virtual tenham um endereço IP externo.

As políticas são definidas em recursos na hierarquia de recursos. Todos os descendentes de um recurso herdam as políticas dele por padrão. Defina um conjunto básico de restrições aplicáveis a todos os elementos na hierarquia anexando uma política ao nó da organização de nível mais alto. Em seguida, defina políticas personalizadas da organização em nós filhos, que se mesclam à política herdada ou a substituem.

Para mais informações sobre como definir políticas, consulte Desenvolvimento de políticas para clientes empresariais.

Rede e segurança

Usar a VPC para definir sua rede

Use VPCs e sub-redes para mapear sua rede e agrupar e isolar recursos relacionados. A nuvem privada virtual (VPC) é uma versão virtual de uma rede física. As redes VPC fornecem rede escalonável e flexível para suas instâncias de máquina virtual (VM) do Compute Engine e para os serviços que aproveitam instâncias de VM, incluindo Google Kubernetes Engine (GKE), Dataproc e Dataflow, entre outros.

As redes VPC são recursos globais. Uma única VPC pode abranger várias regiões sem se comunicar pela Internet pública. Isso significa que é possível conectar e gerenciar recursos distribuídos em todo o mundo a partir de um projeto do Google Cloud e criar várias redes VPC isoladas em um projeto.

As redes VPC por si só não definem intervalos de endereços IP. Em vez disso, cada rede VPC consiste em uma ou mais partições chamadas sub-redes. Cada sub-rede, por sua vez, define um ou mais intervalos de endereços IP. As sub-redes são recursos regionais. Cada sub-rede é associada explicitamente a uma única região.

Para mais detalhes, consulte a Visão geral da VPC.

Gerenciar o tráfego com regras de firewall

Cada rede VPC implementa um firewall virtual distribuído. Configure regras de firewall que permitam ou neguem tráfego entre os recursos vinculados à VPC, como instâncias de VM do Compute Engine e clusters do GKE. As regras de firewall são aplicadas no nível de rede virtual, por isso elas ajudam a fornecer proteção eficaz e controle de tráfego, independentemente do sistema operacional usado pelas instâncias. Graças ao firewall com estado, o tráfego de retorno é permitido automaticamente para fluxos com permissão.

As regras de firewall são específicas a uma determinada rede VPC. Elas permitem especificar o tipo de tráfego (portas e protocolos) e a origem ou o destino do tráfego (como endereços IP, sub-redes, tags e contas de serviço). Por exemplo, é possível criar uma regra de entrada para permitir que qualquer instância de VM associada a uma conta de serviço específica aceite tráfego TCP na porta 80 originada de uma determinada sub-rede de origem. Cada VPC inclui automaticamente regras de firewall padrão e implícitas.

Caso seu app esteja hospedado no GKE, há considerações diferentes para gerenciar o tráfego de rede e configurar regras de firewall. Por exemplo, é possível criar uma política de rede para controlar a comunicação interna dentro do cluster do GKE. Também é possível usar uma malha de serviço como Istio para gerenciar ainda mais e proteger a comunicação com seu cluster. Para mais detalhes, consulte Conceitos de rede do GKE.

Limite o acesso externo

Ao criar um recurso do Google Cloud que usa a VPC, você escolhe uma rede e uma sub-rede para colocar este recurso. O recurso recebe um endereço IP interno de um dos intervalos de IP associados à sub-rede. Os recursos em uma rede VPC podem se comunicar entre si por meio de endereços IP internos, desde que seja permitido pelas regras de firewall.

Para se comunicarem com a Internet, os recursos precisam ter um endereço IP público externo ou usar o Cloud NAT. Da mesma forma, os recursos precisam dispor de um endereço IP externo para se conectarem a outros recursos fora da rede VPC, a não ser que as redes estejam conectadas de alguma maneira (por exemplo, por meio de uma VPN). Para mais detalhes, consulte a documentação sobre endereços IP.

Limite o acesso à Internet apenas aos recursos que necessitam dela. Recursos com apenas um endereço IP interno privado ainda podem acessar muitos serviços e APIs do Google por meio do Acesso privado do Google, Ele permite que os recursos interajam com os principais serviços do Google e do Google Cloud, mas permaneçam isolados da Internet.

Centralizar o controle da rede

Use a VPC compartilhada para se conectar a uma rede VPC comum. Os recursos nesses projetos podem se comunicar de maneira segura e eficiente entre os limites do projeto usando IPs internos. É possível gerenciar recursos de rede compartilhados (como sub-redes, rotas e firewalls) em um projeto de host central, permitindo que você aplique e imponha políticas de rede consistentes nos projetos.

Com os controles de IAM e VPC compartilhada, é possível separar a administração de rede da administração de projetos. Essa separação ajuda a implementar o princípio do menor privilégio. Por exemplo, uma equipe de rede centralizada pode administrar a rede sem ter nenhuma permissão nos projetos participantes. Da mesma forma, os administradores de projeto podem gerenciar os recursos deles no projeto sem nenhuma permissão para manipular a rede compartilhada.

Conectar sua rede corporativa

Muitas empresas precisam conectar a infraestrutura local atual com os recursos do Google Cloud. Avalie seus requisitos de largura de banda, latência e SLA para escolher a melhor opção de conexão:

  • Se você precisa de conexões de níveis empresariais de baixa latência e alta disponibilidade que permitam transferir dados com segurança entre as redes locais e VPC sem passar pelas conexões de Internet para o Google Cloud, use o Cloud Interconnect:

    • A Interconexão dedicada fornece uma conexão física direta entre sua rede local e a rede do Google.
    • A Interconexão por parceiro fornece conectividade entre as redes local e do Google Cloud VPC por meio de um provedor de serviços compatível.
  • Se você não precisa da baixa latência e da alta disponibilidade do Cloud Interconnect ou se está apenas começando sua jornada na nuvem, use o Cloud VPN para configurar túneis VPN IPsec criptografados entre sua rede local e a VPC. Comparado a uma conexão direta e privada, um túnel VPN IPsec tem menos sobrecarga e custos.

Proteger seus apps e dados

O Google Cloud fornece recursos robustos de segurança em toda a infraestrutura e serviços, desde a segurança física de data centers e hardware de segurança personalizado até equipes dedicadas de pesquisadores. No entanto, proteger os recursos do Google Cloud é uma responsabilidade compartilhada. Tome medidas apropriadas para ajudar a garantir que os aplicativos e os dados estejam protegidos.

Além de regras de firewall e isolamento da VPC, use estas outras ferramentas para ajudar a proteger os apps:

  • Use o VPC Service Controls para definir um perímetro de segurança em torno dos recursos do Google Cloud para restringir os dados em uma VPC e ajudar a reduzir os riscos de exfiltração de dados.
  • Use um balanceador de carga HTTP(S) global do Google Cloud para oferecer compatibilidade com alta disponibilidade e dimensionamento dos serviços voltados para a Internet.
  • Integre o Google Cloud Armor ao balanceador de carga HTTP(S) para oferecer proteção contra DDoS e capacidade de colocar endereços IP na lista negra e na lista de permissões na extremidade da rede.
  • Controle o acesso a apps usando o Identity-Aware Proxy (IAP) para verificar a identidade do usuário e o contexto da solicitação e, com isso, determinar se um usuário precisa receber acesso.

O Google Cloud ajuda a proteger seus dados aplicando a criptografia em trânsito e em repouso. Os dados em repouso são criptografados por padrão por meio de chaves de criptografia gerenciadas pelo Google. No caso de dados confidenciais, é possível gerenciar suas chaves no Google Cloud. Se você precisar de mais controle, forneça suas próprias chaves de criptografia que são mantidas fora do Google Cloud. Como o gerenciamento ou a manutenção de suas próprias chaves representa sobrecarga, recomendamos o uso dessa abordagem somente para dados realmente confidenciais. Para mais detalhes, consulte Criptografia em repouso.

Registro, monitoramento e operações

Centralizar o registro e o monitoramento

É comum as empresas executarem vários apps, pipelines de dados e outros processos, geralmente em plataformas diferentes. Garantir a integridade desses aplicativos e processos é responsabilidade dos desenvolvedores e das equipes de operações. Para ajudar nessa tarefa, recomendamos usar o Cloud Logging e Cloud Monitoring para gerenciar a geração de registros, o monitoramento, a depuração, o rastreamento, a criação de perfis e muito mais.

Os registros são uma fonte importante de informações de diagnóstico sobre a integridade de apps e processos. Com o Cloud Logging, é possível armazenar, visualizar, pesquisar, analisar e criar alertas sobre eventos e dados de registros. O Logging tem integração nativa com muitos serviços do Google Cloud. Para aplicativos hospedados em instâncias de máquina virtual do Compute Engine ou do Amazon Elastic Compute Cloud (EC2), é possível instalar um agente de geração de registros para encaminhar os registros automaticamente para o Cloud Logging. O Cloud Logging também fornece uma API que pode ser usada para gravar registros de qualquer fonte, inclusive de aplicativos executados no local. Use o Logging para centralizar os registros de todos os seus aplicativos.

Além de consumir registros, normalmente é preciso monitorar outros aspectos de seus apps e sistemas para garantir uma operação confiável. Use o Cloud Monitoring para ter visibilidade do desempenho, do tempo de atividade e da integridade geral de apps e infraestrutura. O monitoramento processa eventos, métricas e metadados e gera insights por meio de painéis, gráficos e alertas. Além disso, ele é compatível com métricas de várias fontes de terceiros e do Google Cloud predefinidas e pode ser usado para definir métricas personalizadas. Por exemplo, é possível usar métricas para definir políticas de alerta, de modo que as equipes de operações sejam notificadas sobre comportamentos ou tendências incomuns. O monitoramento também fornece painéis flexíveis e ferramentas de visualização avançadas para ajudar a identificar problemas que venham a surgir.

Configurar uma trilha de auditoria

Além de capturar registros no nível de app e do processo, talvez seja preciso acompanhar e manter detalhes sobre como os desenvolvedores e as equipes de TI interagem com os recursos do Google Cloud. Use os registros de auditoria do Cloud para ajudar a responder perguntas como "quem fez o quê, onde e quando" nos projetos do Google Cloud. Para uma lista dos serviços do Google Cloud que gravam registros de auditoria, consulte serviços do Google com registros de auditoria. Use os controles do IAM para limitar os usuários que têm acesso para visualizar os registros de auditoria.

Com os Registros do Cloud Audit são capturados vários tipos de atividade. Os registros de Atividade do administrador contêm entradas de registro para chamadas de API ou outras ações administrativas que modificam a configuração ou os metadados de recursos. Os registros de Atividade do administrador estão sempre ativados. Os registros de auditoria de acesso a dados gravam chamadas de API que criam, modificam ou leem dados fornecidos pelo usuário. Os registros de auditoria de Acesso a dados estão desativados por padrão porque podem ser bem grandes. É possível configurar quais serviços do Google Cloud geram registros de acesso a dados.

Para informações mais detalhadas sobre auditoria, consulte Registros de auditoria do Cloud.

Exportar seus registros

O Logging mantém o app e os registros de auditoria por um período limitado. Talvez seja necessário manter registros por períodos mais longos para cumprir as obrigações de conformidade. Outra alternativa é mantê-los para análise histórica.

É possível exportar registros para o Cloud Storage, o BigQuery e o Pub/Sub. O uso de filtros permite incluir ou excluir recursos da exportação. Por exemplo, é possível exportar todos os registros do Compute Engine, mas excluir registros de alto volume do Cloud Load Balancing.

O local para onde os registros serão exportados depende do caso de uso. Muitas empresas exportam para vários destinos. Em termos gerais, para cumprir as obrigações de conformidade, use o Cloud Storage para armazenamento de longo prazo. Caso você precise analisar registros, use o BigQuery, que é compatível com consultas SQL e um grande ecossistema de ferramentas de terceiros.

Para mais detalhes sobre exportações de registros, consulte Padrões de design para exportação do Logging.

Adotar o DevOps e explorar a engenharia de confiabilidade do site

Para aumentar a agilidade e reduzir o tempo de lançamento de aplicativos e recursos, é preciso que as equipes de desenvolvimento, operações, rede e segurança trabalhem de forma integrada. Isso requer processos, cultura e ferramentas que são coletivamente chamados de DevOps.

O Google Cloud oferece uma variedade de serviços para ajudar na adoção das práticas de DevOps. Os recursos incluem repositórios de código-fonte integrados, ferramentas de entrega contínua, recursos avançados de monitoramento por meio do Cloud Monitoring e alta compatibilidade com ferramentas de código aberto. Para mais detalhes, consulte as soluções de DevOps do Google Cloud.

A engenharia de confiabilidade do site (SRE, na sigla em inglês) é um conjunto de práticas intimamente relacionadas a DevOps. Elas foram desenvolvidas pela equipe de SRE que gerencia a infraestrutura de produção do Google. Recomendamos que você estude os manuais de SRE (em inglês) para aprender práticas que podem ajudar a moldar sua estratégia de operações, mesmo que a criação de uma função SRE dedicada esteja além do escopo de muitas empresas.

Arquitetura da nuvem

Planejar a migração

A migração de infraestrutura e apps locais para a nuvem requer avaliação e planejamento cuidadosos. É preciso analisar as diversas estratégias de migração por aplicativo, desde a lift-and-shift até a transform-and-move. O Google Cloud oferece ferramentas para ajudar a migrar máquinas virtuais, transferir dados e modernizar cargas de trabalho. Para mais detalhes, consulte a central de migração.

Devido a restrições normativas, técnicas ou financeiras, talvez não seja possível, ou mesmo desejável, mover determinados apps para a nuvem pública. Consequentemente, talvez seja necessário distribuir e integrar cargas de trabalho à infraestrutura local e do Google Cloud. Essa configuração é conhecida como nuvem híbrida. Para mais detalhes sobre cargas de trabalho híbridas, consulte as páginas sobre nuvem híbrida e padrões e práticas recomendadas, onde você encontra soluções híbridas de várias nuvens.

Dar preferência a serviços gerenciados

Os principais fatores que incentivam a adoção da nuvem reduzem a sobrecarga de TI e melhoram a eficiência, permitindo que você se concentre no seu negócio. Além de adotar práticas de DevOps e aumentar a automação, é preciso usar os serviços gerenciados do Google Cloud para ajudar a reduzir a carga operacional e o custo total de propriedade (TCO, na sigla em inglês).

Em vez de instalar, acomodar e operar de forma independente todas as partes de uma pilha de aplicativos, use serviços gerenciados para consumir partes dessa pilha como serviços. Por exemplo, em vez de instalar e autogerenciar um banco de dados MySQL em uma instância de VM, use um banco de dados MySQL fornecido pelo Cloud SQL. Em seguida, é preciso confiar no Google Cloud para gerenciar a infraestrutura subjacente e automatizar backups, atualizações e replicações.

Recomendamos que você avalie o SLA fornecido por cada serviço gerenciado.

O Google Cloud oferece serviços gerenciados e opções sem servidor para muitos casos de uso e componentes comuns de apps, desde bancos de dados gerenciados até ferramentas de processamento de Big Data. Muitos desses serviços gerenciados oferecem suporte a plataformas e frameworks de código aberto conhecidos, para que você possa aproveitar os benefícios de TCO fazendo migração lift-and-shift dos aplicativos atuais que utilizam essas plataformas de código aberto na nuvem.

Projetar para alta disponibilidade

Para ajudar a manter o tempo de atividade dos apps essenciais, crie apps resilientes que saibam lidar com falhas ou alterações inesperadas no carregamento. Alta disponibilidade é a capacidade de um aplicativo permanecer responsivo e continuar funcionando mesmo com falhas de componentes no sistema. Arquiteturas altamente disponíveis normalmente envolvem a distribuição de recursos de computação, balanceamento de carga e replicação de dados. O escopo das suas provisões de alta disponibilidade pode variar de acordo com o app. Para mais informações sobre os conceitos de disponibilidade, consulte a documentação sobre geografias e regiões.

No mínimo, é preciso distribuir recursos de computação (como instâncias de VM do Compute Engine e clusters do GKE) pelas zonas disponíveis em uma região para oferecer proteção contra falhas de uma zona específica. Para melhorar ainda mais a disponibilidade dos recursos de computação, distribua-os de maneira semelhante em várias regiões geograficamente dispersas para minimizar a perda de uma região inteira. Para saber onde criar recursos de computação, consulte Práticas recomendadas para a seleção de região do Compute Engine.

O Google Cloud oferece diversas variações do balanceamento de carga. O balanceador de carga HTTP(S) costuma ser usado para expor apps voltados para a Internet porque fornece balanceamento global, permitindo a distribuição de carga entre regiões em diferentes localidades. Se uma zona ou região ficar indisponível, o balanceador de carga direcionará o tráfego para uma zona com capacidade disponível. Para mais detalhes, consulte Otimizações de capacidade de aplicativo com balanceamento de carga global.

Além disso, considere a disponibilidade ao escolher o armazenamento de dados. Alguns serviços de armazenamento de dados do Google Cloud oferecem a capacidade de replicar dados entre zonas em uma região. Outros serviços replicam dados automaticamente por várias regiões em uma área geográfica, mas podem exigir uma compensação na latência ou no modelo de consistência. O serviço de armazenamento de dados que é mais adequado varia de acordo com os requisitos de aplicativo e disponibilidade.

Planejar a estratégia de recuperação de desastres

Além de projetar para alta disponibilidade, é preciso criar um plano para manter a continuidade dos negócios no caso de indisponibilidade em grande escala ou desastre natural. A recuperação de desastres (DR) é a capacidade de se recuperar de grandes incidentes, ainda que raros. Quando as provisões de alta disponibilidade são ineficazes ou indisponíveis, pode ser necessário iniciar a recuperação de desastres.

A criação de um plano de DR eficaz requer planejamento e teste. Recomendamos que você aborde os planos de DR logo no início. Para mais detalhes, consulte o Guia de planejamento de recuperação de desastres e artigos relacionados.

Recursos

Faturamento e gerenciamento

Saber como os recursos são cobrados

O Google Cloud opera em um modelo de consumo. A cobrança é feita com base na quantidade utilizada de um recurso ou produto específico durante um determinado período de pagamento. Os produtos medem o consumo de maneiras diferentes, por exemplo:

  • Como um período de tempo (durante quantos segundos uma máquina funcionou);
  • como um volume (a quantidade de dados armazenados)
  • como o número de operações executadas
  • Como variações desses conceitos.

Compreenda como o faturamento funciona com os componentes em seu sistema, para que você possa calcular seus custos com precisão. Cada produto fornece informações detalhadas sobre preços na respectiva documentação. Muitos produtos oferecem um nível gratuito, em que não é cobrado o consumo abaixo de um determinado limite. Para consumir recursos além desse nível, você precisa ativar o faturamento.

Para mais detalhes sobre filosofias, inovações e descontos de preços do Google Cloud, consulte a página de preços.

Configurar controles de faturamento

Todos os recursos do Google Cloud, incluindo VMs do Compute Engine, buckets do Cloud Storage e conjuntos de dados do BigQuery, precisam ser associados a um projeto do Google Cloud. Para consumir recursos além do que é oferecido pelo nível gratuito, é obrigatório que um projeto esteja associado a uma conta de faturamento. Existe um relacionamento de um para muitos entre contas de faturamento e projetos: um projeto pode ser associado a apenas uma conta de faturamento, mas uma conta de faturamento pode ser associada a muitos projetos.

Use uma conta de faturamento para definir quem paga pelos recursos em um conjunto de projetos. A conta inclui um instrumento de pagamento, como um cartão de crédito, que é usado para a cobrança dos custos. As contas de faturamento podem ser definidas no nível da organização, que é onde os projetos no nó da organização são vinculados às contas de faturamento. É possível ter várias contas de faturamento na organização para refletir diferentes centros de custo ou departamentos.

O Cloud IAM fornece um conjunto robusto de controles para limitar a forma como diferentes usuários podem administrar e interagir com o faturamento. Esses controles ajudam a aplicar o princípio do menor privilégio e a fornecer uma separação clara dos papéis. Por exemplo, é possível separar a permissão para criar contas de faturamento da permissão para vincular projetos a uma determinada conta de faturamento.

Para ver uma discussão detalhada sobre configuração e conceitos de faturamento, consulte a Lista de verificação de integração de faturamento.

Analisar e exportar faturas

Usuários com as permissões adequadas podem visualizar custos detalhados, histórico de transações e muito mais no Console do Cloud. As informações são apresentadas por conta de faturamento. O console também contém relatórios de cobrança interativos que permitem filtrar e dividir os custos por projeto, produto e intervalo de tempo. A funcionalidade do Console do Cloud geralmente é suficiente para clientes com configurações menos complicadas do Google Cloud.

No entanto, é normal exigir análises e relatórios personalizados sobre as despesas da nuvem. Para atender a esse requisito, ative as exportações diárias de cobranças de faturamento. As exportações de arquivos podem ser configuradas para exportar um arquivo CSV ou JSON para um bucket do Cloud Storage. Da mesma forma, é possível configurar as exportações para um conjunto de dados do BigQuery. Elas incluirão qualquer rótulo que tenha sido aplicado a recursos.

Recomendamos que você ative as exportações do BigQuery. Elas fornecem uma divisão de custos mais refinada em comparação com a exportação de arquivos. Quando os dados de faturamento estão no BigQuery, as equipes de finanças podem analisá-los com o SQL padrão e usar ferramentas que se integram ao BigQuery.

Planejar seus requisitos de capacidade

Os projetos do Google Cloud têm cotas que limitam o consumo de determinado recurso ou API. As cotas servem para proteger toda a comunidade do Google Cloud, evitando picos de uso inesperados. Elas garantem, por exemplo, que um número pequeno de clientes ou projetos não consiga monopolizar o uso de núcleos de CPU em uma determinada região ou zona.

Planeje os requisitos de capacidade de seus projetos com antecedência para evitar a limitação inesperada do consumo de recursos. Se as cotas não forem suficientes, solicite alterações na seção Cotas do Console do Cloud. Se você precisar de uma grande capacidade, entre em contato com a equipe de vendas do Google Cloud.

Implementar controles de custos

Os custos aumentam na mesma medida que os serviços na nuvem. O Google Cloud oferece vários métodos para limitar o consumo de recursos e notificar as partes interessadas sobre eventos de faturamento relevantes.

Os orçamentos podem ser configurados de forma a gerar alertas quando os gastos atingirem determinados limites. Os alertas vêm na forma de e-mails e podem gerar mensagens do Pub/Sub para notificação programática. O orçamento pode ser aplicável à conta de faturamento inteira ou a um projeto individual vinculado a ela. Por exemplo, é possível criar um orçamento para gerar alertas quando o gasto total mensal de uma conta de faturamento atingir 50%, 80% e 100% do valor do orçamento especificado. Observe que os orçamentos em si não limitam os gastos. Em vez disso, eles são uma função para gerar alertas. Para mais detalhes, consulte a documentação sobre alertas de orçamento. Para mais práticas recomendadas, decisões de design e opções de configuração que ajudam a simplificar o gerenciamento de custos, consulte a Lista de verificação de integração do Cloud Billing.

Também é possível usar cotas para limitar o consumo de um recurso específico. Por exemplo, é possível definir uma cota máxima de "uso por consulta por dia" na API BigQuery para garantir que um projeto não exceda o limite de gastos do BigQuery.

Comprar um pacote de suporte

O Google Cloud oferece várias maneiras de receber suporte no caso de problemas, desde fóruns da comunidade até pacotes de suporte pagos. Para proteger cargas de trabalho essenciais para os negócios, recomendamos a compra de um pacote de suporte empresarial. Para mais detalhes, consulte o portal de suporte do Google Cloud.

Dependendo do nível de suporte adquirido, sua capacidade de aumentar os tíquetes de suporte pode ser limitada a determinados indivíduos. Portanto, recomendamos estabelecer uma câmara de compensação ou uma mesa de triagem. Essa abordagem ajuda você a evitar duplicação de tíquetes e falta de comunicação, além de manter o máximo de clareza na comunicação com o Google Cloud Support.

Receber ajuda dos especialistas

A organização de serviços profissionais (PSO) do Google Cloud oferece serviços de consultoria para ajudar você em sua jornada no Google Cloud. Entre em contato com os consultores da PSO, que têm ampla experiência em instruir equipes sobre as práticas recomendadas e os princípios norteadores para uma implementação bem-sucedida. Os serviços são entregues na forma de pacotes para ajudar você a planejar, implementar, executar e otimizar cargas de trabalho.

O Google Cloud também tem um sólido ecossistema de parceiros do Google Cloud, desde grandes integradores de sistemas globais até parceiros com ampla especialização em áreas específicas, como machine learning. Os parceiros demonstraram sucesso no cliente usando o Google Cloud e podem acelerar seus projetos e melhorar os resultados de negócios. Recomendamos que os clientes corporativos engajem parceiros para ajudar a planejar e executar a implementação do Google Cloud.

Criar centros de excelência

O Google segue investindo nesses produtos, e novos recursos vêm sendo implantados continuamente. Pode ser valioso capturar as informações, a experiência e os padrões da sua organização em uma base de conhecimento interna, como um wiki, um site do Google ou um site de intranet.

Da mesma forma, é recomendável indicar especialistas e campeões do Google Cloud na organização. Há várias opções de treinamento e certificação disponíveis para ajudar os campeões indicados a crescer na área de especialização deles. As equipes podem se inscrever no blog do Google Cloud (em inglês) para ficar por dentro de histórias de clientes, anúncios e notícias mais recentes.

A seguir