En el nivel básico, podría tratarse simplemente de una empresa que aloja aplicaciones heredadas en sus centros de datos on-premises, invocando algunas API en servicios de nube pública. Sin embargo, esta implementación rudimentaria no es el caso de uso más representativo para una infraestructura de nube híbrida.
Una nube híbrida en su máximo potencial implica aprovechar la nube para funciones de infraestructura como servicio (IaaS), plataforma como servicio (PaaS) y software como servicio (SaaS), poder alojar aplicaciones en una combinación de nubes on-premises, privadas y públicas, y entornos edge, y tener la flexibilidad de un enfoque multinube sin lock-in. Comprender los patrones de diseño y los factores clave que deben tenerse en cuenta ayuda a simplificar la complejidad que implica el diseño de una arquitectura de nube híbrida de este tipo.
En el pasado reciente, un enfoque de nube híbrida solía implicar la migración de algunos servicios desde la infraestructura on-premises a una nube pública o privada, y la comunicación entre estos servicios. Incluso si se creaba una nueva aplicación para alojarla en una nube pública, esta se adhería a una arquitectura orientada a servicios (SOA) tradicional.
Pero, hoy en día, la arquitectura basada en microservicios es el núcleo del modelo de nube híbrida. Los microservicios son un enfoque en el que una aplicación se divide en componentes o servicios más pequeños para facilitar la implementación. Estos microservicios se diferencian de los servicios de SOA en que tienen su propia pila y se implementan en contenedores, que son ejecutables ligeros que contienen el microservicio y sus bibliotecas dependientes.
Los contenedores son ligeros porque comparten el kernel del sistema operativo (SO) de la máquina, lo que significa que cada contenedor contiene solo el microservicio y sus dependencias. Todas las dependencias del SO se comparten desde el hardware en el que reside el contenedor. Esta virtualización permite que los microservicios se puedan implementar de forma independiente en cualquier entorno on-premises o en la nube. Y la autosuficiencia hace que los microservicios sean muy diferentes de la SOA y más adecuados para la implementación en la nube, donde la necesidad de elasticidad y flexibilidad para optimizar los recursos en la nube es primordial.
La contenerización como modelo de empaquetado para aislar procesos en cualquier entorno no es un concepto nuevo, pero la aparición de Docker en 2013 como motor de contenedores creó una estructura de empaquetado universal. Además, una plataforma de orquestación de contenedores como Kubernetes automatiza la implementación de Docker, o cualquier otro contenedor que se ajuste a los estándares de la Open Container Initiative (OCI), en entornos de nube híbrida.
La aparición de la contenerización ha ayudado a aprovechar realmente los beneficios de las nubes híbridas, desplazando el foco hacia la fácil portabilidad de las cargas de trabajo y la implementación automática de servicios en el entorno de nube que usted elija.
Hace unos años, las preguntas clave en un debate sobre la arquitectura de la nube híbrida se centraban en qué entorno, ya fuera en la nube u on-premises, debía ejecutarse cada carga de trabajo y cómo conseguir que estos diferentes entornos se comunicaran entre sí. Básicamente, la ubicación del alojamiento y la conectividad física seguían siendo las consideraciones principales.
Por ejemplo, una aplicación que tratara con datos confidenciales se alojaría en una nube privada. O una aplicación heredada que es difícil de modernizar continuaría existiendo on-premises. Mientras tanto, las organizaciones trasladarían las aplicaciones que necesitan escalabilidad a entornos de nube pública. A continuación, establecerían canales como túneles de red privada virtual (VPN) o flujos de mensajes para facilitar la comunicación entre entornos.
Estos siguen siendo factores importantes a tener en cuenta, pero con el paradigma de la contenerización, el enfoque ha pasado de la ubicación física y la conectividad a la flexibilidad para mover cargas de trabajo de manera fluida de un entorno a otro. Por lo tanto, alojar una aplicación en una nube privada o en una nube pública no tiene por qué ser una decisión rígida. Si la estrategia no funciona, es fácil mover cargas de trabajo empaquetadas como contenedores entre entornos, escalar hacia arriba y hacia abajo e incluso ejecutar instancias del mismo servicio en diferentes entornos.
Todo esto ha dado lugar a una arquitectura moderna, altamente disponible y flexible que ofrece un alto rendimiento, eficiencia de recursos y ahorro de costes.
El diseño e implementación de una arquitectura de nube híbrida deben tener en cuenta muchos factores, incluidos los objetivos comerciales de una empresa, su panorama tecnológico actual, los objetivos de transformación digital y las consideraciones de seguridad. Dado que una arquitectura de este tipo con múltiples soluciones de nube híbrida podría volverse compleja muy rápidamente, es importante aprovechar las herramientas de operaciones para una gestión de la nube centralizada, fluida y escalable. A continuación, se indican algunos factores que deben tenerse en cuenta al crear la estrategia de nube híbrida.
Para la mayoría de las organizaciones, la idea de la computación en la nube híbrida comienza con la modernización o el traslado de sus aplicaciones del entorno on-premises a la nube, y hay algunas formas de llevarlo a cabo:
Los equipos de operaciones empresariales gestionan su panorama de nube a través de un plano de control unificado que proporciona una experiencia de operaciones en la nube cohesionada y coherente en todos los entornos. Admite capacidades de gestión de clústeres como la programación y orquestación de cargas de trabajo, pipelines de integración e implementación continuas (CI/CD), información de registro, telemetría y seguridad federada.
El objetivo es abstraer las complejidades subyacentes de los proveedores de servicios cloud (CSP) individuales y los tiempos de ejecución de los equipos de aplicaciones, y proporcionar una interfaz común para que los equipos de operaciones gestionen las cargas de trabajo en la empresa.
Estas son algunas de las ventajas de un plano de control unificado:
Los patrones de arquitectura, como las puertas de enlace API centralizadas y la malla de servicios, permiten una gestión transparente de las capacidades de la nube, como el enrutamiento, la comunicación entre servicios, la seguridad, la limitación de velocidad y la observabilidad.
La puerta de enlace API actúa como una puerta de entrada unificada en todas las regiones y se encarga de gestionar las funciones de tráfico “norte-sur”, entre las que se incluyen las siguientes:
La malla de servicios, por otro lado, gestiona el tráfico “este-oeste” entre las dependencias de los servicios:
Istio, por ejemplo, es una capa de malla de servicios de código abierto que dirige la comunicación entre servicios de acuerdo con una configuración predefinida proporcionada por los administradores de la nube. Actúa como complemento de la capa de orquestación de Kubernetes y funciona con contenedores, invisibles para programadores y administradores.
La complejidad de la arquitectura de nube híbrida requiere un enfoque de varios niveles en diferentes capas para garantizar la seguridad y la protección de principio a fin.
Los CSP como IBM® Cloud, Amazon Web Services (AWS), Microsoft Azure y Google Cloud tienen la responsabilidad, según los acuerdos de nivel de servicio (SLA), de autenticar y autorizar cualquier llamada en la capa perimetral, creando un firewall alrededor de las aplicaciones empresariales. Esto incluye la protección contra la denegación de servicio y el cumplimiento de normativas de privacidad como el Reglamento General de Protección de Datos (RGPD) y la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA).
En una infraestructura on-premises, la seguridad perimetral se puede lograr utilizando puertas de enlace API, que protegen todos los endpoints. Cualquier llamada desde un servicio web o una aplicación móvil que resida fuera de un centro de datos debe validarse y enrutarse a través de la puerta de enlace API.
Un entorno de cloud computing contiene una capa adicional de seguridad en forma de políticas de control definidas en la malla de servicios y API expuestas por la plataforma de orquestación. Estas políticas garantizan que solo las llamadas seguras se reenvíen a los nodos de Kubernetes y de ahí a los microservicios.
Además, el concepto de microsegmentación (dividir el entorno en diferentes segmentos lógicos de seguridad para definir políticas de control de acceso para cada servicio y carga de trabajo) puede utilizarse para crear y delimitar niveles de seguridad entre los servicios que se ejecutan dentro de un entorno. Y, por último, las políticas de cifrado sirven como una capa adicional de protección de datos.
En una única región de nube, las zonas de disponibilidad tienen una red de fibra dedicada que conecta todos los nodos de una red, lo que permite a las empresas crear arquitecturas de alta disponibilidad en las que el ancho de banda es ilimitado y las latencias de red son bajas. Sin embargo, la comunicación entre regiones y múltiples proveedores de servicios en la nube se enruta a través de internet pública y conlleva un mayor coste en términos de latencia y posibles fallos.
En una arquitectura de nube híbrida, existen tres patrones para el intercambio de datos entre los proveedores subyacentes:
Dado que estas opciones difieren en términos de velocidad de transferencia, latencia, fiabilidad, SLA, complejidad y precios, es importante sopesar las limitaciones y los beneficios antes de diseñar la capa de conectividad de red.
Una nube híbrida significa la capacidad de cambiar las cargas de trabajo de un entorno a otro y tener una plataforma de desarrollo de aplicaciones que se ejecuta en cualquier nube. Para ser verdaderamente nativo de la nube, no debe haber una dependencia estricta de ninguna tecnología, plataforma o incluso CSP específicos, y las empresas deben ser ágiles a los cambios del mercado.
Una arquitectura de código abierto permite este enfoque unificado del desarrollo en el que los desarrolladores pueden gestionar su infraestructura subyacente independientemente de la tecnología utilizada para su implementación. El código abierto ya no es algo marginal con un público exclusivo que lo utiliza por su rentabilidad; ahora es algo habitual y ha pasado a ocupar un lugar destacado gracias a sus numerosas funciones, su calidad y su desarrollo basado en la comunidad.
Incluso en un área sensible como la seguridad, el software de código abierto se percibe ahora como una gran opción, según el informe de Red Hat “The State of Enterprise Open Source”. La seguridad, la calidad y el soporte para la arquitectura nativa de la nube son las principales razones por las que las empresas muestran un sesgo consciente hacia el código abierto.
Consulte el artículo de JJ Asghar “Cultivating Careers, Communities and Companies with Open Source” para más información.
