Migrar a Google Cloud: planificar y crear la base

Este documento te ayuda a crear la infraestructura en la nube básica para tus cargas de trabajo. También puede ayudarte a planificar cómo esta infraestructura admite tus aplicaciones. Esta planificación incluye la gestión de identidades, la estructura de la organización y del proyecto, y las redes.

Este documento forma parte de la siguiente serie de artículos sobre la migración aGoogle Cloud:

• Migrar a Google Cloud: primeros pasos
• Migración a Google Cloud: evaluar e identificar cargas de trabajo
• Migrar a Google Cloud: planificar y crear la base (este documento)
• Migrar a: Google Cloudtransferir conjuntos de datos grandes
• Migrar a: desplegar tus cargas de trabajo Google Cloud
• Migrar a: Google Cloudmigrar de los despliegues manuales a los automatizados y en contenedores
• Migrar a: Google Cloudoptimizar el entorno
• Migrar a: prácticas recomendadas para validar un plan de migración Google Cloud
• Migrar a Google Cloud: minimizar los costes

En el siguiente diagrama se muestra el recorrido de tu migración.

Este documento es útil si tienes previsto migrar desde un entorno local, desde un entorno de alojamiento privado, desde otro proveedor de la nube aGoogle Cloudo si estás evaluando la oportunidad de migrar y quieres saber cómo sería el proceso. Este documento te ayuda a entender los productos disponibles y las decisiones que debes tomar para crear una base centrada en un caso práctico de migración.

Para ver opciones implementables prediseñadas, consulta los siguientes artículos:

• Google Cloud lista de comprobación de la configuración
• Plan de aspectos básicos de seguridad para empresas

Para obtener más información sobre las prácticas recomendadas para diseñar tu base, consulta los siguientes artículos:

• Diseño de la zona de aterrizaje para diseñar una base de forma general.
• Google Cloud Well-Architected Framework para obtener directrices sobre las prácticas recomendadas de diseño de sistemas.

Cuando planifiques tu migración a Google Cloud, tendrás que conocer una serie de temas y conceptos relacionados con la arquitectura de nube. Si no planificas bien la base, tu empresa puede sufrir retrasos, confusión y periodos de inactividad, y la migración a la nube puede no salir como esperabas. En esta guía se ofrece un resumen de los conceptos básicos y los puntos de decisión. Google Cloud

En cada sección de este documento se plantean preguntas que debes hacerte y responder sobre tu organización antes de crear tu base enGoogle Cloud. Estas preguntas no son exhaustivas, sino que tienen como objetivo facilitar una conversación entre los equipos de arquitectura y los directivos de tu empresa sobre lo que es adecuado para tu organización. Los planes de infraestructura, herramientas, seguridad y gestión de cuentas son únicos para tu empresa y requieren una reflexión profunda. Cuando hayas terminado de leer este documento y hayas respondido a las preguntas sobre tu organización, podrás empezar a planificar formalmente tu infraestructura y tus servicios en la nube para llevar a cabo la migración aGoogle Cloud.

Consideraciones para empresas

Plantéate las siguientes preguntas sobre tu organización:

• ¿Qué responsabilidades de TI pueden cambiar entre tú y tu proveedor de infraestructura al pasarte a Google Cloud?
• ¿Cómo puedes satisfacer tus necesidades de cumplimiento normativo (por ejemplo, la HIPAA o el RGPD) durante y después de la migración aGoogle Cloud?
• ¿Cómo puedes controlar dónde se almacenan y tratan tus datos de acuerdo con tus requisitos de residencia de datos?

Modelo de responsabilidad compartida

Las responsabilidades compartidas entre tú y Google Cloud pueden ser diferentes de las que estás acostumbrado, por lo que debes entender las implicaciones que tienen para tu empresa. Es posible que cambien los procesos que hayas implementado anteriormente para aprovisionar, configurar y consumir recursos.

Consulta los Términos del Servicio y el modelo de seguridad de Google para obtener información general sobre la relación contractual entre tu organización y Google, así como las implicaciones de usar un proveedor de nube pública.

Cumplimiento, seguridad y privacidad

Muchas organizaciones tienen requisitos de cumplimiento relacionados con estándares, normativas y certificaciones del sector y del Gobierno. Muchas cargas de trabajo empresariales están sujetas a un escrutinio normativo y pueden requerir certificaciones de cumplimiento por tu parte y por parte de tu proveedor de servicios en la nube. Si tu empresa está regulada por la ley HIPAA o la ley HITECH, asegúrate de que conoces tus responsabilidades y qué Google Cloud servicios están regulados. Para obtener información sobre las certificaciones y los estándares de cumplimiento, consulta el Centro de recursos para el cumplimiento. Google Cloud Para obtener más información sobre las normativas específicas de cada región o sector, consulta Google Cloud y el Reglamento General de Protección de Datos (RGPD).

La confianza y la seguridad son importantes para todas las organizaciones. Google Cloud implementa un modelo de seguridad compartido para muchos servicios.

Los Google Cloud principios de confianza pueden ayudarte a entender nuestro compromiso de proteger la privacidad de tus datos y los de tus clientes. Para obtener más información sobre el enfoque de diseño de Google en materia de seguridad y privacidad, consulta la descripción general del diseño de la seguridad de la infraestructura de Google.

Consideraciones sobre la residencia de datos

La geografía también puede ser un factor importante para cumplir los requisitos. Asegúrate de que conoces los requisitos de residencia de datos y aplica políticas para desplegar cargas de trabajo en nuevas regiones y controlar dónde se almacenan y procesan tus datos. Consulta cómo usar las restricciones de ubicación de recursos para asegurarte de que tus cargas de trabajo solo se puedan implementar en regiones aprobadas previamente. Debes tener en cuenta la regionalidad de los diferentes Google Cloud servicios al elegir el destino de implementación de tus cargas de trabajo. Asegúrate de que conoces los requisitos de cumplimiento normativo y de que sabes cómo implementar una estrategia de gobernanza que te ayude a cumplir la normativa.

Jerarquía de recursos

Plantéate las siguientes preguntas sobre tu organización:

• ¿Cómo se corresponden tus estructuras empresariales y organizativas con Google Cloud?
• ¿Con qué frecuencia esperas que cambie tu jerarquía de recursos?
• ¿Cómo afectan las cuotas de proyectos a tu capacidad para crear recursos en la nube?
• ¿Cómo puedes incorporar tus implementaciones en la nube actuales a tus cargas de trabajo migradas?
• ¿Cuáles son las prácticas recomendadas para gestionar varios equipos que trabajan simultáneamente en varios proyectos? Google Cloud

Los procesos empresariales, las líneas de comunicación y la estructura de informes actuales se reflejan en el diseño de la Google Cloud jerarquía de recursos. La jerarquía de recursos proporciona la estructura necesaria a tu entorno de nube, determina la forma en que se te factura el consumo de recursos y establece un modelo de seguridad para conceder roles y permisos. Debes entender cómo se implementan estas facetas en tu empresa y planificar cómo migrar estos procesos a Google Cloud.

Información sobre los recursos de Google Cloud

Los recursos son los componentes fundamentales que conforman todos losGoogle Cloud servicios. El recurso de organización es el nivel más alto de la jerarquía de recursos Google Cloud . Todos los recursos que pertenecen a una organización se agrupan en el nodo de la organización. Esta estructura ofrece visibilidad y control centralizados sobre todos los recursos que pertenecen a una organización.

Una organización puede contener una o varias carpetas, y cada carpeta puede contener uno o varios proyectos. Puedes usar carpetas para agrupar proyectos relacionados.

Los Google Cloud proyectos contienen recursos de servicio, como máquinas virtuales de Compute Engine, temas de Pub/Sub, segmentos de Cloud Storage, endpoints de Cloud VPN y otros Google Cloud servicios. Puedes crear recursos mediante la Google Cloud consola, Cloud Shell o las APIs de Cloud. Si prevés que tu entorno va a cambiar con frecuencia, te recomendamos que adoptes una estrategia de infraestructura como código (IaC) para optimizar la gestión de recursos.

Gestionar tus proyectos de Google Cloud

Para obtener más información sobre cómo planificar y gestionar tu Google Cloud jerarquía de recursos, consulta el artículo sobre cómo decidir una jerarquía de recursos para tu Google Cloud zona de aterrizaje. Si ya trabajas en Google Cloud y has creado proyectos independientes como pruebas o prototipos, puedes migrar proyectos a tu organización Google Cloud .

Gestión de Identidades y Accesos

Plantéate las siguientes preguntas sobre tu organización:

• ¿Quién controlará, administrará y auditará el acceso a los recursos deGoogle Cloud ?
• ¿Cómo cambiarán tus políticas de seguridad y acceso actuales cuando te pases a Google Cloud?
• ¿Cómo permitirás de forma segura que tus usuarios y aplicaciones interactúen con los servicios deGoogle Cloud ?

Gestión de Identidades y Accesos (IAM) te permite conceder acceso granular a los recursos Google Cloud . Cloud Identity es un servicio independiente, pero relacionado, que puede ayudarte a migrar y gestionar tus identidades. En términos generales, saber cómo quieres gestionar el acceso a tus recursosGoogle Cloud es la base para aprovisionar, configurar y mantener la gestión de identidades y accesos.

Información sobre las identidades

Google Cloud usa identidades para la autenticación y la gestión de accesos. Para acceder a los recursos deGoogle Cloud , un miembro de tu organización debe tener una identidad que Google Cloud pueda entender. Cloud Identity es una plataforma de identidad como servicio (IDaaS) que te permite gestionar de forma centralizada los usuarios y grupos que pueden acceder a los recursos. Google CloudSi configuras a tus usuarios en Cloud Identity, podrás configurar el inicio de sesión único (SSO) con miles de aplicaciones de software como servicio (SaaS) de terceros. La forma de configurar Cloud Identity depende de cómo gestiones las identidades.

Para obtener más información sobre las opciones de aprovisionamiento de identidades paraGoogle Cloud, consulta Decide cómo incorporar identidades a Google Cloud.

Información sobre la gestión de accesos

El modelo de gestión de acceso consta de cuatro conceptos principales:

• Principal: puede ser una cuenta de Google (para usuarios finales), una cuenta de servicio (para productos de Google Cloud ), un grupo de Google o una cuenta de Google Workspace o Cloud Identity que pueda acceder a un recurso. Las entidades de seguridad no pueden realizar ninguna acción para la que no tengan permiso.
• Rol: Conjunto de permisos.
• Permiso: Determina qué operaciones se pueden realizar en un recurso. Cuando asignas un rol a una entidad principal, le concedes todos los permisos que contiene el rol.
• Política de permiso de gestión de identidades y accesos: vincula un conjunto de principales a un rol. Si quieres definir qué entidades principales tienen acceso a un recurso, crea una política y asóciala al recurso.

La configuración adecuada y la gestión eficaz de las entidades, los roles y los permisos constituyen la base de tu postura de seguridad en Google Cloud. La gestión de accesos te ayuda a protegerte frente a usos inadecuados internos y frente a intentos externos de acceder a tus recursos sin autorización.

Información sobre el acceso a aplicaciones

Además de los usuarios y los grupos, hay otro tipo de identidad conocido como cuenta de servicio. Una cuenta de servicio es una identidad que pueden usar tus programas y servicios para autenticarse y acceder a recursos de Google Cloud .

Las cuentas de servicio gestionadas por el usuario incluyen las cuentas de servicio que creas y gestionas explícitamente mediante IAM, así como la cuenta de servicio predeterminada de Compute Engine, que se incluye en todos los proyectos de Google Cloud . Los agentes de servicio se crean automáticamente y ejecutan procesos internos de Google en tu nombre.

Cuando se usan cuentas de servicio, es importante entender las credenciales predeterminadas de la aplicación y seguir las prácticas recomendadas para las cuentas de servicio para evitar que tus recursos corran riesgos innecesarios. Los riesgos más habituales son la elevación de privilegios o la eliminación accidental de una cuenta de servicio de la que depende una aplicación crítica.

Siga las prácticas recomendadas

Para obtener más información sobre las prácticas recomendadas para gestionar la identidad y el acceso de forma eficaz, consulta Verificar explícitamente cada intento de acceso.

Facturación

La forma en que pagas los Google Cloud recursos que consumes es un factor importante para tu empresa y una parte fundamental de tu relación con Google Cloud. Puedes gestionar la facturación en laGoogle Cloud consola conFacturación de Cloud junto con el resto de tu entorno de nube.

Los conceptos de jerarquía de recursos y facturación están estrechamente relacionados, por lo que es fundamental que tú y las partes interesadas de tu empresa los comprendáis.

Para obtener más información sobre las prácticas recomendadas, las herramientas y las técnicas que te ayudarán a monitorizar y controlar los costes, consulta el artículo Optimización de costes.

Conectividad y redes

Para obtener más información sobre cómo diseñar tu red en Google Cloud, consulta los siguientes recursos:

• Decide el diseño de la red de tu Google Cloud zona de aterrizaje.
• Implementa el Google Cloud diseño de red de tu zona de aterrizaje.

Si tu entorno de origen está en otro proveedor de servicios en la nube, es posible que tengas que conectarlo con tu entorno de Google Cloud . Para obtener más información, consulta Patrones para conectar otros proveedores de servicios en la nube con Google Cloud.

Cuando migres datos y cargas de trabajo de producción a Google Cloud, te recomendamos que tengas en cuenta cómo puede afectar la disponibilidad de la solución de conectividad al éxito de tu migración. Por ejemplo, Cloud Interconnect ofrece asistencia con un acuerdo de nivel de servicio de producción si lo aprovisionas según topologías específicas.

Cuando migres datos de tu entorno de origen a tu entorno deGoogle Cloud , debes ajustar la unidad de transmisión máxima (MTU) para tener en cuenta la sobrecarga del protocolo. De esta forma, se asegura de que los datos se transfieran de forma eficiente y precisa. Este ajuste también puede ayudar a evitar los retrasos causados por la fragmentación de datos y los problemas de rendimiento de la red. Por ejemplo, si usas Cloud VPN para conectar tu entorno de origen con tu entorno de Google Cloud , puede que tengas que configurar la MTU con un valor inferior para adaptarla a la sobrecarga del protocolo VPN en cada unidad de transmisión.

Para evitar problemas de conectividad durante la migración aGoogle Cloud, te recomendamos que hagas lo siguiente:

• Asegúrate de que los registros DNS se resuelvan en el entorno de origen y en tu entorno deGoogle Cloud .
• Asegúrate de que las rutas de red entre el entorno de origen y tu entornoGoogle Cloud se propaguen correctamente entre los entornos.

Si necesitas aprovisionar y usar tus propias direcciones IPv4 públicas en tus VPCs, consulta Trae tu propia dirección IP.

Información sobre las opciones de DNS

Cloud DNS puede actuar como servidor público del sistema de nombres de dominio (DNS). Para obtener más información sobre cómo implementar Cloud DNS, consulta las prácticas recomendadas de Cloud DNS.

Si necesitas personalizar cómo responde Cloud DNS a las consultas según su origen o destino, consulta la introducción a las políticas de DNS. Por ejemplo, puedes configurar Cloud DNS para que reenvíe las consultas a tus servidores DNS o anular las respuestas de DNS privado en función del nombre de la consulta.

Tu VPC incluye un servicio independiente, pero similar, llamado DNS interno. En lugar de migrar y configurar manualmente tus propios servidores DNS, puedes usar el servicio DNS interno de tu red privada. Para obtener más información, consulta la información general sobre el DNS interno.

Información sobre la transferencia de datos

Las redes locales se gestionan y se facturan de una forma fundamentalmente distinta a las redes en la nube. Cuando gestionas tu propio centro de datos o instalación de colocación, la instalación de routers, conmutadores y cableado requiere una inversión de capital inicial fija. En la nube, se te cobra por la transferencia de datos en lugar de por el coste fijo de instalar hardware, además del coste continuo del mantenimiento. Planifica y gestiona los costes de transferencia de datos en la nube con precisión. Para ello, debes conocer los costes de transferencia de datos.

Cuando planifiques la gestión del tráfico, se te cobrará de tres formas:

• Tráfico de entrada: tráfico de red que entra en tu entorno deGoogle Cloud desde ubicaciones externas. Estas ubicaciones pueden ser de Internet pública, ubicaciones locales u otros entornos de nube. La entrada es gratuita para la mayoría de los servicios deGoogle Cloud. Algunos servicios que gestionan el tráfico de cara a Internet, como Cloud Load Balancing, Cloud CDN y Google Cloud Armor, cobran en función de la cantidad de tráfico de entrada que gestionan.
• Tráfico de salida: tráfico de red que sale de tu entorno de cualquier forma.Google Cloud Los cargos por salida se aplican a muchos Google Cloud servicios, como Compute Engine, Cloud Storage, Cloud SQL y Cloud Interconnect.
• Tráfico regional y zonal: el tráfico de red que cruza los límites regionales o zonales en Google Cloud también puede estar sujeto a cargos por ancho de banda. Estos cargos pueden influir en la forma en que diseñes tus aplicaciones para la recuperación tras desastres y la alta disponibilidad. Al igual que los cargos de salida, los cargos por tráfico entre regiones y entre zonas se aplican a muchosGoogle Cloud servicios y es importante tenerlos en cuenta al planificar la alta disponibilidad y la recuperación tras desastres. Por ejemplo, el envío de tráfico a una réplica de base de datos en otra zona está sujeto a cargos por tráfico entre zonas.

Automatizar y controlar la configuración de tu red

En Google Cloud, la capa de red física se virtualiza y puedes implementar y configurar tu red mediante redes definidas por software (SDN). Para asegurarte de que tu red se configura de forma coherente y repetible, debes saber cómo desplegar y eliminar tus entornos automáticamente. Puedes usar herramientas de IaC, como Terraform.

Seguridad

La forma de gestionar y mantener la seguridad de tus sistemas enGoogle Cloudy las herramientas que utilizas son diferentes a las que se usan para gestionar una infraestructura local. Tu estrategia cambiará y evolucionará con el tiempo para adaptarse a nuevas amenazas, nuevos productos y modelos de seguridad mejorados.

Las responsabilidades que compartes con Google pueden ser diferentes de las de tu proveedor actual, por lo que es fundamental que conozcas estos cambios para garantizar la seguridad y el cumplimiento continuos de tus cargas de trabajo. La seguridad y el cumplimiento normativo sólidos y verificables suelen estar interrelacionados y empiezan con prácticas de gestión y supervisión sólidas, una implementación coherente de las Google Cloud prácticas recomendadas y una detección y una monitorización activas de las amenazas.

Para obtener más información sobre cómo diseñar un entorno seguro en Google Cloud, consulta el artículo Decide la seguridad de tu zona de aterrizaje de Google Cloud .

Monitorización, alertas y registro

Para obtener más información sobre cómo configurar la monitorización, las alertas y el registro, consulta los siguientes artículos:

• Agrega registros de auditoría de forma centralizada
• Consulta las prácticas recomendadas para proteger el acceso a tus registros sensibles.

Gestión

Plantéate las siguientes preguntas sobre tu organización:

• ¿Cómo puedes asegurarte de que tus usuarios cumplen los requisitos y las políticas de tu empresa?
• ¿Qué estrategias hay disponibles para mantener y organizar tusGoogle Cloud usuarios y recursos?

Una gobernanza eficaz es fundamental para garantizar la fiabilidad, la seguridad y la capacidad de mantenimiento de tus recursos en Google Cloud. Como en cualquier sistema, la entropía aumenta de forma natural con el tiempo y, si no se controla, puede provocar una expansión descontrolada de la nube y otros problemas de mantenimiento. Si no se aplica una gestión eficaz, la acumulación de estos problemas puede afectar a tu capacidad para alcanzar tus objetivos de negocio y reducir los riesgos. La planificación disciplinada y el cumplimiento de los estándares en torno a las convenciones de nomenclatura, las estrategias de etiquetado, los controles de acceso, los controles de costes y los niveles de servicio son un componente importante de tu estrategia de migración a la nube. En un sentido más amplio, el ejercicio de desarrollar una estrategia de gobernanza crea una alineación entre las partes interesadas y los líderes empresariales.

Cumplimiento continuo

Para ayudar a que toda la organización cumpla las políticas de tus Google Cloud recursos, te recomendamos que establezcas una estrategia coherente de nombres y agrupaciones de recursos. Google Cloud proporciona varios métodos para anotar y aplicar políticas a los recursos:

• Las marcas de seguridad te permiten clasificar recursos para obtener información valiosa sobre seguridad de Security Command Center y aplicar políticas a grupos de recursos.
• Las etiquetas pueden hacer un seguimiento del gasto de tus recursos en Facturación de Cloud y proporcionar información adicional en Cloud Logging.
• Las etiquetas de cortafuegos te permiten definir orígenes y destinos en políticas de cortafuegos de red globales y regionales.

Para obtener más información, consulta Gestión del riesgo y el cumplimiento desde el código.

Siguientes pasos

• Consulta cómo implementar una base segura en Google Cloud.
• Continúa con la migración a la nube y consulta cómo transferir tus datos Google Cloud.
• Consulta cuándo pedir ayuda para tus migraciones.
• Para ver más arquitecturas de referencia, diagramas y prácticas recomendadas, consulta el centro de arquitectura de Cloud.

Colaboradores

Autores:

• Marco Ferrari | Arquitecto de soluciones en la nube
• Travis Webb | Arquitecto de soluciones