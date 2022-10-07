El diseño e implementación de una arquitectura de nube híbrida deben tener en cuenta muchos factores, incluidos los objetivos comerciales de una empresa, su panorama tecnológico actual, los objetivos de transformación digital y las consideraciones de seguridad. Dado que una arquitectura de este tipo con múltiples soluciones de nube híbrida podría volverse compleja muy rápidamente, es importante aprovechar las herramientas de operaciones para una gestión de la nube centralizada, fluida y escalable. A continuación, se indican algunos factores que deben tenerse en cuenta al crear la estrategia de nube híbrida.

Estrategia de modernización

Para la mayoría de las organizaciones, la idea de la computación en la nube híbrida comienza con la modernización o el traslado de sus aplicaciones del entorno on-premises a la nube, y hay algunas formas de llevarlo a cabo:

Lift-and-shift: una de las formas más comunes de impulsar la modernización, el lift-and-shift consiste en trasladar la aplicación completa fuera de las instalaciones al entorno de la nube. Esto implica cambiar el hardware subyacente para beneficiarse de los recursos seguros y escalables del cloud computing y los servicios de infraestructura. Es una opción conveniente cuando no hay tiempo suficiente para refactorizar o rediseñar la arquitectura.

una de las formas más comunes de impulsar la modernización, el lift-and-shift consiste en trasladar la aplicación completa fuera de las instalaciones al entorno de la nube. Esto implica cambiar el hardware subyacente para beneficiarse de los recursos seguros y escalables del cloud computing y los servicios de infraestructura. Es una opción conveniente cuando no hay tiempo suficiente para refactorizar o rediseñar la arquitectura. Refactorizar: en lugar de trasladar toda la aplicación monolítica a la nube, lo cual no solo lleva mucho tiempo, sino que también puede ser innecesario, es mejor identificar uno o dos servicios (que no tengan necesidades de cumplimiento o de mejora urgente del rendimiento), refactorizarlos (por ejemplo, añadir código de enlace para exponer las API REST, ya que las interfaces de servicio anteriores podrían estar estrechamente vinculadas a la plataforma específica) e implementarlos en la nube. Este traslado por fases ofrece la oportunidad de dirigir una pequeña cantidad de tráfico a nuevas instancias en la nube para realizar pruebas y aprender, y, finalmente, trasladar todas las instancias del servicio a la nube.

en lugar de trasladar toda la aplicación monolítica a la nube, lo cual no solo lleva mucho tiempo, sino que también puede ser innecesario, es mejor identificar uno o dos servicios (que no tengan necesidades de cumplimiento o de mejora urgente del rendimiento), refactorizarlos (por ejemplo, añadir código de enlace para exponer las API REST, ya que las interfaces de servicio anteriores podrían estar estrechamente vinculadas a la plataforma específica) e implementarlos en la nube. Este traslado por fases ofrece la oportunidad de dirigir una pequeña cantidad de tráfico a nuevas instancias en la nube para realizar pruebas y aprender, y, finalmente, trasladar todas las instancias del servicio a la nube. Rediseñar la arquitectura: por último, existe el enfoque más sofisticado, que consiste en dividir todos los componentes del sistema en microservicios de responsabilidad única que sean modulares y tengan una ruta independiente hacia la producción, y contenerizarlos. Esto implica una reescritura completa y es un proceso costoso, pero también maximiza los beneficios.

Plano de control unificado

Los equipos de operaciones empresariales gestionan su panorama de nube a través de un plano de control unificado que proporciona una experiencia de operaciones en la nube cohesionada y coherente en todos los entornos. Admite capacidades de gestión de clústeres como la programación y orquestación de cargas de trabajo, pipelines de integración e implementación continuas (CI/CD), información de registro, telemetría y seguridad federada.

El objetivo es abstraer las complejidades subyacentes de los proveedores de servicios cloud (CSP) individuales y los tiempos de ejecución de los equipos de aplicaciones, y proporcionar una interfaz común para que los equipos de operaciones gestionen las cargas de trabajo en la empresa.

Estas son algunas de las ventajas de un plano de control unificado:

Utilice estrategias dinámicas de asignación de cargas de trabajo en máquinas virtuales, contenedores o implementaciones sin servidor.

Disfrute de la posibilidad de incorporar proveedores adicionales o ubicaciones edge con un esfuerzo mínimo.

Cree capacidades PaaS, como función como servicio (FaaS), que sean de alta disponibilidad y funcionen en diferentes implementaciones de nube.

Centralice la gestión del cumplimiento.

Puerta de enlace API y malla de servicios

Los patrones de arquitectura, como las puertas de enlace API centralizadas y la malla de servicios, permiten una gestión transparente de las capacidades de la nube, como el enrutamiento, la comunicación entre servicios, la seguridad, la limitación de velocidad y la observabilidad.

La puerta de enlace API actúa como una puerta de entrada unificada en todas las regiones y se encarga de gestionar las funciones de tráfico “norte-sur”, entre las que se incluyen las siguientes:

Autenticación y autorización de usuarios

Limitación de velocidad y restricción de frecuencia

Gestión del tráfico

Gestión del ciclo de vida de las API

Barreras de seguridad en la nube

Análisis en el edge

La malla de servicios, por otro lado, gestiona el tráfico “este-oeste” entre las dependencias de los servicios:

Comunicación segura entre servicios en un clúster

Gestión del tráfico con equilibrio de carga, reglas de enrutamiento, reintentos, conmutaciones por error, recuperación ante desastres e inyección de fallos

Telemetría con métricas, registros y trazas para todo el tráfico dentro de un clúster, incluyendo la salida y la entrada del mismo

Trazabilidad distribuida para instrumentar el flujo de una solicitud a través de los límites del servicio

Descubrimiento automatizado de servicios

Istio, por ejemplo, es una capa de malla de servicios de código abierto que dirige la comunicación entre servicios de acuerdo con una configuración predefinida proporcionada por los administradores de la nube. Actúa como complemento de la capa de orquestación de Kubernetes y funciona con contenedores, invisibles para programadores y administradores.

Seguridad

La complejidad de la arquitectura de nube híbrida requiere un enfoque de varios niveles en diferentes capas para garantizar la seguridad y la protección de principio a fin.

Los CSP como IBM® Cloud, Amazon Web Services (AWS), Microsoft Azure y Google Cloud tienen la responsabilidad, según los acuerdos de nivel de servicio (SLA), de autenticar y autorizar cualquier llamada en la capa perimetral, creando un firewall alrededor de las aplicaciones empresariales. Esto incluye la protección contra la denegación de servicio y el cumplimiento de normativas de privacidad como el Reglamento General de Protección de Datos (RGPD) y la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA).

En una infraestructura on-premises, la seguridad perimetral se puede lograr utilizando puertas de enlace API, que protegen todos los endpoints. Cualquier llamada desde un servicio web o una aplicación móvil que resida fuera de un centro de datos debe validarse y enrutarse a través de la puerta de enlace API.

Un entorno de cloud computing contiene una capa adicional de seguridad en forma de políticas de control definidas en la malla de servicios y API expuestas por la plataforma de orquestación. Estas políticas garantizan que solo las llamadas seguras se reenvíen a los nodos de Kubernetes y de ahí a los microservicios.

Además, el concepto de microsegmentación (dividir el entorno en diferentes segmentos lógicos de seguridad para definir políticas de control de acceso para cada servicio y carga de trabajo) puede utilizarse para crear y delimitar niveles de seguridad entre los servicios que se ejecutan dentro de un entorno. Y, por último, las políticas de cifrado sirven como una capa adicional de protección de datos.

Conectividad de red

En una única región de nube, las zonas de disponibilidad tienen una red de fibra dedicada que conecta todos los nodos de una red, lo que permite a las empresas crear arquitecturas de alta disponibilidad en las que el ancho de banda es ilimitado y las latencias de red son bajas. Sin embargo, la comunicación entre regiones y múltiples proveedores de servicios en la nube se enruta a través de internet pública y conlleva un mayor coste en términos de latencia y posibles fallos.

En una arquitectura de nube híbrida, existen tres patrones para el intercambio de datos entre los proveedores subyacentes:

Direcciones IP públicas a través de internet (alta latencia debido al ancho de banda compartido)

Servicios gestionados como VPN (latencia más predecible con mayor seguridad)

Interconexión dedicada a través de puntos de presencia comunes o POP (opción costosa ofrecida por los CSP, pero con la menor latencia y la máxima seguridad)

Dado que estas opciones difieren en términos de velocidad de transferencia, latencia, fiabilidad, SLA, complejidad y precios, es importante sopesar las limitaciones y los beneficios antes de diseñar la capa de conectividad de red.

Sesgo hacia el código abierto en las plataformas de desarrollo

Una nube híbrida significa la capacidad de cambiar las cargas de trabajo de un entorno a otro y tener una plataforma de desarrollo de aplicaciones que se ejecuta en cualquier nube. Para ser verdaderamente nativo de la nube, no debe haber una dependencia estricta de ninguna tecnología, plataforma o incluso CSP específicos, y las empresas deben ser ágiles a los cambios del mercado.

Una arquitectura de código abierto permite este enfoque unificado del desarrollo en el que los desarrolladores pueden gestionar su infraestructura subyacente independientemente de la tecnología utilizada para su implementación. El código abierto ya no es algo marginal con un público exclusivo que lo utiliza por su rentabilidad; ahora es algo habitual y ha pasado a ocupar un lugar destacado gracias a sus numerosas funciones, su calidad y su desarrollo basado en la comunidad.

Incluso en un área sensible como la seguridad, el software de código abierto se percibe ahora como una gran opción, según el informe de Red Hat “The State of Enterprise Open Source”. La seguridad, la calidad y el soporte para la arquitectura nativa de la nube son las principales razones por las que las empresas muestran un sesgo consciente hacia el código abierto.

Consulte el artículo de JJ Asghar “Cultivating Careers, Communities and Companies with Open Source” para más información.