Migre para o Google Cloud: planeie e crie a sua base

Este documento ajuda a criar a infraestrutura na nuvem básica para as suas cargas de trabalho. Também pode ajudar a planear como esta infraestrutura suporta as suas aplicações. Este planeamento inclui a gestão de identidades, a estrutura da organização e do projeto, e a rede.

Este documento faz parte da seguinte série de várias partes sobre a migração para o Google Cloud:

• Migre para Google Cloud: comece já
• Migre para Google Cloud: avalie e descubra as suas cargas de trabalho
• Migre para o Google Cloud: planeie e crie a sua base (este documento)
• Migre para Google Cloud: transfira os seus grandes conjuntos de dados
• Migre para Google Cloud: implemente as suas cargas de trabalho
• Migre para Google Cloud: migre de implementações manuais para implementações automatizadas em contentores
• Migre para Google Cloud: otimize o seu ambiente
• Migre para Google Cloud: práticas recomendadas para validar um plano de migração
• Migre para Google Cloud: minimize os custos

O diagrama seguinte ilustra o caminho do seu percurso de migração.

Este documento é útil se estiver a planear uma migração de um ambiente no local, de um ambiente de alojamento privado, de outro fornecedor de nuvem para o Google Cloudou se estiver a avaliar a oportunidade de migrar e quiser explorar como poderá ser. Este documento ajuda a compreender os produtos disponíveis e as decisões que vai tomar ao criar uma base focada num exemplo de utilização de migração.

Para opções implementáveis predefinidas, consulte:

• Google Cloud lista de verificação de configuração
• Plano de bases empresariais

Para ver mais orientações sobre práticas recomendadas para criar a base, consulte:

• Design da zona de destino para criar uma base de forma geral.
• Google Cloud Framework Well-Architected para orientações sobre as práticas recomendadas no design de sistemas.

Ao planear a migração para o Google Cloud, tem de compreender uma série de tópicos e conceitos relacionados com a arquitetura na nuvem. Uma base mal planeada pode fazer com que a sua empresa enfrente atrasos, confusão e tempo de inatividade, e pode pôr em risco o sucesso da sua migração para a nuvem. Este guia fornece uma vista geral dos Google Cloud conceitos básicos e dos pontos de decisão.

Cada secção deste documento apresenta perguntas que tem de fazer e responder para a sua organização antes de criar a base no Google Cloud. Estas perguntas não são exaustivas. Destinam-se a facilitar uma conversa entre as suas equipas de arquitetura e a liderança empresarial sobre o que é adequado para a sua organização. Os seus planos para infraestrutura, ferramentas, segurança e gestão de contas são únicos para a sua empresa e requerem uma análise detalhada. Quando terminar este documento e responder às perguntas para a sua organização, está pronto para iniciar o planeamento formal da sua infraestrutura e serviços na nuvem que suportam a sua migração para oGoogle Cloud.

Considerações empresariais

Considere as seguintes perguntas para a sua organização:

• Que responsabilidades de TI podem mudar entre si e o seu fornecedor de infraestrutura quando muda para o Google Cloud?
• Como pode apoiar ou cumprir as suas necessidades de conformidade regulamentar, por exemplo, a HIPAA ou o RGPD, durante e após a migração para o Google Cloud?
• Como pode controlar onde os seus dados são armazenados e tratados de acordo com os seus requisitos de residência de dados?

Modelo de responsabilidade partilhada

As responsabilidades partilhadas entre si e o Google Cloud podem ser diferentes das que está habituado, e tem de compreender as respetivas implicações para a sua empresa. Os processos que implementou anteriormente para aprovisionar, configurar e consumir recursos podem mudar.

Reveja os Termos de Utilização e o modelo de segurança da Google para uma vista geral da relação contratual entre a sua organização e a Google, e as implicações da utilização de um fornecedor de nuvem pública.

Conformidade, segurança e privacidade

Muitas organizações têm requisitos de conformidade relacionados com normas, regulamentos e certificações da indústria e governamentais. Muitas cargas de trabalho empresariais estão sujeitas a escrutínio regulamentar e podem exigir atestações de conformidade por parte do utilizador e do seu fornecedor de nuvem. Se a sua empresa estiver regulamentada ao abrigo da HIPAA ou da HITECH, certifique-se de que compreende as suas responsabilidades e que Google Cloud serviços estão regulamentados. Para informações acerca das Google Cloud normas de conformidade e certificações, consulte o Centro de recursos de conformidade. Para mais informações acerca dos regulamentos específicos da região ou do setor, consulte o artigo Google Cloud e o Regulamento Geral sobre a Proteção de Dados (RGPD).

A confiança e a segurança são importantes para todas as organizações.O Google Cloud implementa um modelo de segurança partilhado para muitos serviços.

Os Google Cloud princípios de confiança podem ajudar a compreender o nosso compromisso de proteger a privacidade dos seus dados e dos dados dos seus clientes. Para mais informações sobre a abordagem de design da Google para segurança e privacidade, leia a vista geral do design de segurança da infraestrutura da Google.

Considerações sobre a residência dos dados

A geografia também pode ser uma consideração importante para a conformidade. Certifique-se de que compreende os requisitos de residência de dados e implementa políticas para implementar cargas de trabalho em novas regiões para controlar onde os dados são armazenados e tratados. Compreenda como usar as restrições de localização de recursos para ajudar a garantir que as suas cargas de trabalho só podem ser implementadas em regiões pré-aprovadas. Tem de ter em conta a regionalidade dos diferentes Google Cloud serviços quando escolher o destino de implementação para as suas cargas de trabalho. Certifique-se de que compreende os requisitos de conformidade regulamentar e como implementar uma estratégia de governação que ajude a garantir a conformidade.

Hierarquia de recursos

Considere as seguintes perguntas para a sua organização:

• Como é que as suas estruturas empresariais e organizacionais existentes são mapeadas para Google Cloud?
• Com que frequência espera que a hierarquia de recursos seja alterada?
• Como é que as quotas de projetos afetam a sua capacidade de criar recursos na nuvem?
• Como pode incorporar as suas implementações na nuvem existentes com as suas cargas de trabalho migradas?
• Quais são as práticas recomendadas para gerir várias equipas que trabalham simultaneamente em vários Google Cloud projetos?

Os seus processos empresariais, linhas de comunicação e estrutura de relatórios atuais refletem-se na conceção da sua Google Cloud hierarquia de recursos. A hierarquia de recursos fornece a estrutura necessária ao seu ambiente de nuvem, determina a forma como lhe é faturada a utilização de recursos e estabelece um modelo de segurança para conceder funções e autorizações. Tem de compreender como estas facetas são implementadas na sua empresa hoje e planear como migrar estes processos para o Google Cloud.

Compreenda os Google Cloud recursos

Os recursos são os componentes fundamentais que constituem todos os Google Cloud serviços. O recurso de organização é o vértice da Google Cloud hierarquia de recursos. Todos os recursos que pertencem a uma organização são agrupados no nó da organização. Esta estrutura oferece visibilidade e controlo centralizados sobre todos os recursos que pertencem a uma organização.

Uma organização pode conter uma ou mais pastas, e cada pasta pode conter um ou mais projetos. Pode usar pastas para agrupar projetos relacionados.

Os Google Cloud projetos contêm recursos de serviço, como máquinas virtuais (MVs) do Compute Engine, tópicos do Pub/Sub, contentores do Cloud Storage, pontos finais do Cloud VPN e outros Google Cloud serviços. Pode criar recursos através da Google Cloud consola, do Cloud Shell ou das APIs Cloud. Se prevê alterações frequentes ao seu ambiente, considere adotar uma abordagem de infraestrutura como código (IaC) para simplificar a gestão de recursos.

Faça a gestão dos seus Google Cloud projetos

Para mais informações sobre o planeamento e a gestão da sua Google Cloud hierarquia de recursos, consulte o artigo Decida uma hierarquia de recursos para a sua Google Cloud zona de destino. Se já estiver a trabalhar no Google Cloud e tiver criado projetos independentes como testes ou validações de conceito, pode migrar projetos existentes Google Cloud para a sua organização.

Gestão de identidade e de acesso

Considere as seguintes perguntas para a sua organização:

• Quem vai controlar, administrar e auditar o acesso aos recursos do Google Cloud ?
• Como é que as suas políticas de segurança e acesso existentes vão mudar quando mudar para o Google Cloud?
• Como vai permitir que os seus utilizadores e apps interajam em segurança com os Google Cloud serviços?

A gestão de identidade e de acesso (IAM) permite conceder acesso detalhado aos Google Cloud recursos. O Cloud Identity é um serviço separado, mas relacionado, que pode ajudar a migrar e gerir as suas identidades. A um nível elevado, compreender como quer gerir o acesso aos seus Google Cloud recursos constitui a base para a forma como aprovisiona, configura e mantém o IAM.

Compreenda as identidades

Google Cloud usa identidades para autenticação e gestão de acesso. Para aceder a quaisquer Google Cloud recursos, um membro da sua organização tem de ter uma identidade que o Google Cloud possa compreender. O Cloud Identity é uma plataforma de identidade como serviço (IDaaS) que lhe permite gerir centralmente os utilizadores e os grupos que podem aceder aos Google Cloud recursos. Ao configurar os utilizadores no Cloud Identity, pode configurar o início de sessão único (SSO) com milhares de aplicações de software como serviço (SaaS) de terceiros. A forma como configura o Cloud ID depende da forma como gere as identidades.

Para mais informações sobre as opções de aprovisionamento de identidades para o Google Cloud, consulte o artigo Decida como integrar identidades no Google Cloud.

Compreenda a gestão de acessos

O modelo de gestão de acesso é composto por quatro conceitos essenciais:

• Principal: pode ser uma Conta Google (para utilizadores finais), uma conta de serviço (para Google Cloud produtos), um Grupo Google, ou uma conta do Google Workspace ou do Cloud Identity que pode aceder a um recurso. Os principais não podem realizar nenhuma ação que não lhes seja permitida.
• Função: Um conjunto de autorizações.
• Autorização: Determina que operações são permitidas num recurso. Quando atribui uma função a um principal, atribui todas as autorizações que a função contém.
• Política de autorização do IAM: Associa um conjunto de responsáveis a uma função. Quando quer definir que principais têm acesso a um recurso, cria uma política e anexa-a ao recurso.

A configuração adequada e a gestão eficaz de responsáveis, funções e autorizações constituem a base da sua postura de segurança no Google Cloud. A gestão de acesso ajuda a proteger-se contra a utilização indevida interna e contra tentativas externas de acesso não autorizado aos seus recursos.

Compreenda o acesso à aplicação

Além dos utilizadores e grupos, existe outro tipo de identidade conhecido como conta de serviço. Uma conta de serviço é uma identidade que os seus programas e serviços podem usar para autenticar e obter acesso a recursos Google Cloud .

As contas de serviço geridas pelo utilizador incluem contas de serviço que cria e gere explicitamente através do IAM, e a conta de serviço predefinida do Compute Engine que está integrada em todos os projetos do Google Cloud . Os agentes de serviço são criados automaticamente e executam processos internos da Google em seu nome.

Quando usar contas de serviço, é importante compreender as credenciais predefinidas da aplicação e seguir as nossas práticas recomendadas para contas de serviço para evitar expor os seus recursos a riscos indevidos. Os riscos mais comuns envolvem a escalada de privilégios ou a eliminação acidental de uma conta de serviço da qual uma aplicação crítica depende.

Siga as práticas recomendadas

Para mais informações sobre as práticas recomendadas para gerir a identidade e o acesso de forma eficaz, consulte o artigo Valide explicitamente todas as tentativas de acesso.

Faturação

A forma como paga os Google Cloud recursos que consome é uma consideração importante para a sua empresa e uma parte importante da sua relação com a Google Cloud. Pode gerir a faturação na Google Cloud consola com a faturação do Google Cloud juntamente com o resto do seu ambiente na nuvem.

Os conceitos de hierarquia de recursos e faturação estão estreitamente relacionados, pelo que é fundamental que você e as partes interessadas da sua empresa compreendam estes conceitos.

Para mais informações sobre práticas recomendadas, ferramentas e técnicas que ajudam a monitorizar e controlar os custos, consulte o artigo Otimização de custos.

Conetividade e redes

Para mais informações sobre a conceção da sua rede no Google Cloud, consulte:

• Decida o design da rede para a sua Google Cloud zona de destino.
• Implemente o Google Cloud design da rede da zona de destino.

Se o seu ambiente de origem estiver noutro fornecedor de serviços na nuvem, pode ter de o associar ao seu ambiente Google Cloud . Para mais informações, consulte Padrões para estabelecer ligação entre outros fornecedores de serviços na nuvem e o Google Cloud.

Ao migrar dados e cargas de trabalho de produção para o Google Cloud, recomendamos que considere como a disponibilidade da solução de conetividade pode afetar o sucesso da sua migração. Por exemplo, o Cloud Interconnect oferece suporte para o SLA ao nível da produção se o aprovisionar de acordo com topologias específicas.

Quando migrar dados do ambiente de origem para o ambiente de destino, deve ajustar a unidade de transmissão máxima (MTU) para ter em conta a sobrecarga do protocolo.Google Cloud Isto ajuda a garantir que os dados são transferidos de forma eficiente e precisa. Este ajuste também pode ajudar a evitar atrasos causados pela fragmentação de dados e problemas de desempenho da rede. Por exemplo, se estiver a usar a Cloud VPN para ligar o seu ambiente de origem ao seu ambiente de destino, pode ter de configurar a MTU para um valor inferior para acomodar a sobrecarga do protocolo VPN em cada unidade de transmissão. Google Cloud

Para ajudar a evitar problemas de conetividade durante a migração para o Google Cloud, recomendamos que:

• Certifique-se de que os registos de DNS são resolvidos no ambiente de origem e no seu ambiente Google Cloud .
• Certifique-se de que as rotas de rede entre o ambiente de origem e o seu ambiente são propagadas corretamente entre os ambientes.Google Cloud

Se precisar de aprovisionar e usar os seus próprios endereços IPv4 públicos nas suas VPCs, consulte o artigo Traga o seu próprio endereço IP.

Compreenda as opções de DNS

O Cloud DNS pode funcionar como o seu servidor de Sistema de Nomes de Domínio (DNS) público. Para mais informações sobre como pode implementar o Cloud DNS, consulte as práticas recomendadas do Cloud DNS.

Se precisar de personalizar a forma como o Cloud DNS responde às consultas de acordo com a respetiva origem ou destino, consulte a vista geral das políticas de DNS. Por exemplo, pode configurar o Cloud DNS para encaminhar consultas para os seus servidores DNS existentes ou pode substituir as respostas de DNS privado com base no nome da consulta.

Um serviço separado, mas semelhante, denominado DNS interno, é incluído no seu VPC. Em vez de migrar e configurar manualmente os seus próprios servidores DNS, pode usar o serviço DNS interno para a sua rede privada. Para mais informações, consulte o artigo Vista geral do DNS interno.

Compreenda a transferência de dados

As redes nas instalações são geridas e têm preços de uma forma fundamentalmente diferente das redes na nuvem. Quando gere o seu próprio centro de dados ou instalações de colocation, a instalação de routers, comutadores e cablagem requer uma despesa de capital fixa e inicial. Na nuvem, a transferência de dados é faturada em vez do custo fixo de instalação de hardware, além do custo contínuo de manutenção. Planeie e faça a gestão dos custos de transferência de dados com precisão na nuvem, compreendendo os custos de transferência de dados.

Ao planear a gestão de tráfego, existem três formas de cobrança:

• Tráfego de entrada: tráfego de rede que entra no seu Google Cloud ambiente a partir de localizações externas. Estas localizações podem ser da Internet pública, localizações no local ou outros ambientes de nuvem. O Ingress é gratuito para a maioria dos serviços no Google Cloud. Alguns serviços que lidam com a gestão de tráfego orientado para a Internet, como o Cloud Load Balancing, o Cloud CDN e o Google Cloud Armor cobram com base na quantidade de tráfego de entrada que processam.
• Tráfego de saída: tráfego de rede que sai do seu Google Cloud ambiente de qualquer forma. As taxas de saída aplicam-se a muitos serviços, incluindo o Compute Engine, o Cloud Storage, o Cloud SQL e o Cloud Interconnect. Google Cloud
• Tráfego regional e zonal: o tráfego de rede que atravessa fronteiras regionais ou zonais no Google Cloud também pode estar sujeito a cobranças de largura de banda. Estes encargos podem afetar a forma como opta por conceber as suas apps para recuperação de desastres e alta disponibilidade. Semelhante aos custos de saída, os custos de tráfego entre regiões e entre zonas aplicam-se a muitos Google Cloud serviços e são importantes a ter em conta ao planear a alta disponibilidade e a recuperação de desastres. Por exemplo, o envio de tráfego para uma réplica da base de dados noutra zona está sujeito a encargos de tráfego entre zonas

Automatize e controle a configuração da rede

No Google Cloud, a camada de rede física é virtualizada e implementa e configura a sua rede através de redes definidas por software (SDN). Para garantir que a sua rede está configurada de forma consistente e repetível, tem de compreender como implementar e desativar automaticamente os seus ambientes. Pode usar ferramentas de IaC, como o Terraform.

Segurança

A forma como gere e mantém a segurança dos seus sistemas no Google Cloud, e as ferramentas que usa, é diferente da forma como gere uma infraestrutura no local. A sua abordagem vai mudar e evoluir ao longo do tempo para se adaptar a novas ameaças, novos produtos e modelos de segurança melhorados.

As responsabilidades que partilha com a Google podem ser diferentes das responsabilidades do seu fornecedor atual, e a compreensão destas alterações é fundamental para garantir a segurança e a conformidade contínuas das suas cargas de trabalho. A conformidade regulamentar e a segurança forte e validável estão frequentemente interligadas e começam com práticas de gestão e supervisão fortes, uma implementação consistente de Google Cloud práticas recomendadas e uma deteção e monitorização ativas de ameaças.

Para mais informações sobre como criar um ambiente seguro no Google Cloud, consulte Decida a segurança da sua Google Cloud zona de destino.

Monitorização, alertas e registo

Para mais informações sobre como configurar a monitorização, os alertas e o registo, consulte:

• Agregue centralmente os registos de auditoria
• Reveja as práticas recomendadas para proteger o acesso aos seus registos confidenciais

Governança

Considere as seguintes perguntas para a sua organização:

• Como pode garantir que os seus utilizadores apoiam e cumprem as respetivas necessidades de conformidade e alinhá-las com as políticas da sua empresa?
• Que estratégias estão disponíveis para manter e organizar os seus Google Cloud utilizadores e recursos?

Uma gestão eficaz é fundamental para ajudar a garantir a fiabilidade, a segurança e a capacidade de manutenção dos seus recursos no Google Cloud. Tal como em qualquer sistema, a entropia aumenta naturalmente ao longo do tempo e, se não for verificada, pode resultar na expansão descontrolada da nuvem e noutros desafios de capacidade de manutenção. Sem uma gestão eficaz, a acumulação destes desafios pode afetar a sua capacidade de alcançar os objetivos da empresa e reduzir o risco. O planeamento disciplinado e a aplicação de normas relativas a convenções de nomenclatura, estratégias de etiquetagem, controlos de acesso, controlos de custos e níveis de serviço são um componente importante da sua estratégia de migração para a nuvem. De forma mais geral, o exercício de desenvolver uma estratégia de governação cria alinhamento entre as partes interessadas e a liderança empresarial.

Apoio técnico para conformidade contínua

Para ajudar a suportar a conformidade ao nível da organização dos seus Google Cloud recursos, considere estabelecer uma estratégia de nomenclatura e agrupamento de recursos> consistente. Google Cloud oferece vários métodos para anotar e aplicar políticas aos recursos:

• As marcas de segurança permitem-lhe classificar recursos para fornecer informações de segurança a partir do Security Command Center e aplicar políticas a grupos de recursos.
• As etiquetas podem monitorizar os gastos com recursos no Cloud Billing e fornecer estatísticas adicionais no Cloud Logging.
• As etiquetas para firewalls permitem-lhe definir origens e destinos em políticas de firewall de rede globais e políticas de firewall de rede regionais.

Para mais informações, consulte o artigo Risco e conformidade como código.

O que se segue?

• Saiba como implementar uma base segura no Google Cloud.
• Continue a migração para a nuvem e explore a possibilidade de transferir os seus dados para Google Cloud.
• Saiba quando encontrar ajuda para as suas migrações.
• Para ver mais arquiteturas de referência, diagramas e práticas recomendadas, explore o Centro de arquitetura na nuvem.

Colaboradores

Autores:

• Marco Ferrari | Arquiteto de soluções na nuvem
• Travis Webb | Solution Architect