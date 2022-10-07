O projeto e a implementação de uma arquitetura de nuvem híbrida precisam levar em conta muitos fatores, entre eles os objetivos de negócios de uma empresa, seu cenário tecnológico atual, as metas de transformação digital e as considerações de segurança. Como essa arquitetura com várias soluções de nuvem híbrida pode ficar complexa muito rápido, é importante aproveitar as ferramentas de operações para o cloud management centralizado, sem dificuldades e escalável. Aqui estão alguns fatores a serem considerados ao criar a estratégia de nuvem híbrida.

Estratégia de modernização

Para a maioria das organizações, a ideia da computação em nuvem híbrida começa com a modernização ou a mudança das aplicações do local para a nuvem, e existem algumas maneiras de executar isso:

Lift-and-shift: uma das maneiras mais comuns de iniciar a modernização, o lift-and-shift está levando a aplicação completa do local para o ambiente de nuvem. Isso envolve alterar o hardware subjacente para aproveitar os recursos seguros e escaláveis de computação em nuvem e os serviços de infraestrutura. É uma opção conveniente quando não há tempo suficiente para refatorar ou rearquitetar.

Refatorar: em vez de mover a aplicação monolítica completa para a nuvem (o que não é apenas demorado, mas também pode ser desnecessário), é melhor identificar um ou dois serviços (algo que não tenha necessidades urgentes de conformidade ou melhoria de desempenho), refatorá-los (por exemplo, adicionar código de cola para expor APIs REST, pois as interfaces de serviço anteriores podem ser fortemente acopladas à plataforma específica) e implementar na nuvem. Essa migração em fases dá a chance de migrar uma pequena quantidade de tráfego para novas instâncias na nuvem para oportunidades de teste e aprendizado e, eventualmente, migrar todas as instâncias do serviço para a nuvem.

Rearquitetar: finalmente, há a abordagem mais sofisticada de dividir todos os componentes do sistema em microsserviços de responsabilidade única que são modulares e têm um caminho independente para produção e conteinerizá-los. Isso envolve uma reescrita completa e é um processo caro, mas também maximiza os retornos.

Plano de controle unificado

As equipes de operações empresariais gerenciam o cenário de nuvem por meio de um plano de controle unificado que oferece uma experiência de operações de nuvem coesivo e consistente em todos os ambientes. Ele é compatível com os principais recursos de gerenciamento de clusters, como agendamento e orquestração de carga de trabalho, pipelines de integração e implementação contínuas (CI/CD), registro, telemetria e segurança federada.

O objetivo é abstrair das equipes de aplicações as complexidades subjacentes dos provedores de serviços de nuvem (CSPs) e tempos de execução individuais e oferecer uma interface comum para as equipes de operações gerenciarem as cargas de trabalho na empresa.

Aqui estão algumas das vantagens de um plano de controle unificado:

Utilize estratégias dinâmicas de posicionamento de carga de trabalho em máquinas virtuais, contêineres ou implementações sem servidor.

Aproveite a capacidade de integrar provedores adicionais ou locais de edge com esforço mínimo.

Desenvolva recursos de PaaS como a Função como serviço (FaaS), que estão altamente disponíveis e funcionam em diferentes implementações de nuvem.

Centralize o gerenciamento da conformidade.

API gateway e malha de serviço

Padrões de arquitetura, como API gateways centralizados e malha de serviço, permitem o gerenciamento transparente de recursos de nuvem, como roteamento, comunicação entre serviços, segurança, limitação de taxa e observabilidade.

O API gateway atua como uma porta de entrada unificada em todas as regiões e é responsável por lidar com funções de tráfego "norte-sul", incluindo as seguintes:

Autenticação e autorização de usuários

Limitação e redução de taxa

Gerenciamento de tráfego

Gerenciamento do ciclo de vida de APIs

Protetores de segurança na nuvem

Análise de dados de edge

A malha de serviço, por outro lado, lida com o tráfego "leste-oeste" entre dependências de serviço:

Comunicação segura entre serviços em um cluster

Gerenciamento de tráfego com balanceamento de carga, regras de roteamento, tentativas, failovers, recuperação de desastres e injeção de falhas

Telemetria com métricas, logs e rastreamentos para todo o tráfego dentro de um cluster, incluindo saída e entrada do cluster

Rastreabilidade distribuída para instrumentar o fluxo de uma solicitação entre boundaries de serviço

Descoberta automática de serviços

O Istio, por exemplo, é uma camada de malha de serviço de código aberto que direciona a comunicação entre serviços de acordo com uma configuração predefinida fornecida pelos administradores de nuvem. Ele atua como um sidecar para a camada de orquestração do Kubernetes e trabalha com contêineres, invisível para programadores e administradores.

Segurança

A complexidade da arquitetura de nuvem híbrida exige uma abordagem multicamadas em diferentes camadas para garantir segurança e proteção de ponta a ponta.

CSPs como IBM Cloud, Amazon Web Services (AWS), Microsoft Azure e Google Cloud têm a responsabilidade, de acordo com os contratos de nível de serviço (SLAs), de autenticar e autorizar quaisquer chamadas na camada do perímetro, construindo um firewall em torno de aplicações corporativas . Isso inclui proteção contra denial-of-service e adesão aos regulamentos de privacidade, como o Regulamento Geral de Proteção de Dados (RGPD) e a Lei de portabilidade e responsabilidade de planos de saúde (HIPAA).

Em uma infraestrutura no local, a segurança do perímetro pode ser alcançada usando API gateways, que protegem todos os endpoints. Qualquer chamada de um serviço da web ou uma aplicação móvel residente fora de um data center deve ser validada e roteada por meio do API gateway.

Um ambiente de computação em nuvem contém uma camada adicional de segurança na forma de políticas de controle definidas na malha de serviço e APIs expostas pela plataforma de orquestração. Essas políticas garantem que somente chamadas seguras sejam encaminhadas para os nós do Kubernetes e, posteriormente, para os microsserviços.

Além disso, o conceito de micro segmentação, dividindo o ambiente em diferentes segmentos lógicos de segurança para definir políticas de controle de acesso para cada serviço e carga de trabalho, pode ser usado para criar e demarcar os níveis de segurança entre os serviços executados em um ambiente. E, por fim, as políticas de criptografia funcionam como uma camada adicional de proteção de dados.

Conectividade de rede

Em uma única região de nuvem, as zonas de disponibilidade possuem uma rede de fibra dedicada conectando todos os nós em uma rede, permitindo que as empresas criem arquiteturas altamente disponíveis onde a largura de banda é ilimitada e as latências de rede são baixas. No entanto, a comunicação entre regiões e vários provedores de nuvem é roteada por meio da internet pública e vem ao custo de maiores latências e possíveis falhas.

Em uma arquitetura de nuvem híbrida, existem três padrões para troca de dados entre os provedores subjacentes:

Endereços IP públicos na internet (alta latência devido à largura de banda compartilhada)

Serviços gerenciados como VPN (latência mais previsível com maior segurança)

Interconexão dedicada por meio de pontos comuns de presença (POPs) (opção cara oferecida pelos CSPs, mas com menor latência e maior segurança)

Como essas opções diferem em termos de velocidade de transferência, latência, confiabilidade, SLAs, complexidade e preços, é importante ponderar as restrições e benefícios antes de projetar a camada de conectividade de rede.

Viés para código aberto em plataformas de desenvolvimento

Uma nuvem híbrida significa a capacidade de mudar cargas de trabalho de um ambiente para outro e ter uma plataforma de desenvolvimento de aplicações que funciona em qualquer nuvem. Para ser verdadeiramente nativa da nuvem, não deve haver uma dependência forte de nenhuma tecnologia, plataforma ou mesmo CSP específico, e as empresas devem ser ágeis às mudanças do mercado.

Uma arquitetura de código aberto possibilita essa abordagem unificada ao desenvolvimento, tornando possível para os desenvolvedores gerenciar sua infraestrutura subjacente, independentemente da tecnologia usada para sua implementação. O código aberto não está mais na periferia com uma audiência de nicho e exclusiva que o utiliza para obter eficiência de custos; agora é popular e ocupou o centro das atenções por causa de suas vastas funcionalidades, qualidade e desenvolvimento baseado na comunidade.

Mesmo em uma área sensível, como a segurança, o software de código aberto agora é percebido como uma ótima escolha, conforme relatado pelo Red Hat Report on The State of Enterprise Open Source. Segurança, qualidade e compatibilidade com arquitetura nativa da nuvem são as principais razões pelas quais as empresas estão demonstrando um viés consciente para o código aberto.

