Fundamentos da Computação em Nuvem

Prévia do material em texto

GOOGLE CLOUD
ENGINEER
HOSTNUBE TREINAMENTOS
CONHECENDO A GCP E SEUS
PRINCIPAIS SERVIÇOS
- Fundamentos de computação em nuvem
- Fundamentos da GCP 
CLOUD COMPUTING
 
Computação em nuvem (computação em
nuvem, ou apenas a nuvem) foi
a evolução natural da adoção
uso generalizado de virtualização,
Arquitetura Orientada a Serviços,
computação utilitária (utilidade
computação) e a expansão de
centros de dados, fundamentalmente.
 
Resumindo: é a virtualização de recursos e ferramentas de TI, disponíveis sob demanda pela Internet.
 
A nuvem pode ser infraestrutura, plataforma ou software; ou seja, pode ser um
aplicativo que é acessado por meio da área de trabalho e executado imediatamente após
seu download, ou um servidor que será chamado quando necessário. Na nuvem não sei
instala qualquer coisa no seu desktop e você não paga pela tecnologia quando não está em uso, você apenas
pago (ou pode ser gratuito) quando o aplicativo é usado ou executado. Na prática,
a computação em nuvem fornece um serviço de software ou hardware. Um exemplo
prático é o caso de usuários que se conectam à Internet a partir de um computador
pessoal, um smartphone ou tablet, e usar diferentes serviços
como seu e-mail, Gmail, visualize um mapa digital no Google Maps, escreva um documento no
Google Docs, verifique seus arquivos, músicas ou fotos no Dropbox, OneDrive,
Spotify, Netflix ou plataforma iCloud da Apple. Todos esses serviços são baseados
na nuvem. Outra característica comum é o pagamento por uso e apenas enquanto
usar o serviço correspondente.
 
CLOUD COMPUTING
 
CARACTERÍSTICAS DA CLOUD COMPUTING
 
Autoatendimento sob demanda. O usuário pode acessar recursos de
computação em nuvem automaticamente conforme você avança
exigindo, sem necessidade de interação humana
 
Múltiplas formas de amplo acesso à Internet. Os recursos são acessíveis por meio de
da rede e por meio de mecanismos padrão que são usados por um
grande variedade de dispositivos de usuário (por exemplo: telefones celulares
telefones inteligentes, laptops etc.
 
Recursos compartilhados. Os recursos de computação do provedor são
agrupados para atender a vários consumidores (armazenamento, memória,
largura de banda, capacidade de processamento, máquinas virtuais) e são
compartilhada por vários usuários que têm capacidades atribuídas em
dinamicamente de acordo com suas solicitações.
 
Elasticidade rápida. Os recursos são fornecidos e liberados elasticamente, muitos
vezes automaticamente, o que dá ao usuário a impressão de que o
recursos ao seu alcance são ilimitados e estão sempre disponíveis a tempo e
quantia.
 
Medição do serviço. Empresas provedoras de nuvem podem
entregar e controlar serviços de forma eficaz por meio de métricas
com base em um ou mais serviços específicos, como a quantidade de
dados armazenados, a largura de banda ou a quantidade e potência do
processamento usado.
CLOUD COMPUTING
 
MODELOS DE SERVIÇOS
 
As tecnologias de computação em nuvem oferecem três modelos de serviço que são oferecidos a
clientes e usuários da nuvem (organizações, empresas e usuários), são: SaaS
(Software as a Service, software as a service), PaaS (Platform as a Service,
plataforma como serviço) e IaaS (infraestrutura como serviço, infraestrutura como
serviço).
 
Cada modelo oferece ao cliente diferentes níveis de controle e eles não são estanques, mas um ou mais modelos podem
ser escolhidos dependendo do
necessidades da empresa, como armazenamento de dados,
plataforma para desenvolvimento de software ou o software a ser usado conforme necessário.
 
Software como serviço (SaaS). O usuário pode ter a
aplicativos que seu provedor fornece são executados em uma infraestrutura de
a nuvem, sendo os referidos aplicativos acessíveis por meio de uma interface do
cliente, como um navegador da web (e-mail da web, Gmail, Microsoft,
IBM…) ou uma interface de programa. O usuário não tem controle
sobre a infraestrutura em nuvem, como servidores, sistemas operacionais,
armazenamento, mesmo nos próprios aplicativos, exceto para o
possíveis configurações de usuário ou personalizações que você tem permissão
executar.
 
 
 
 
CLOUD COMPUTING
 
MODELOS DE SERVIÇOS
 
Plataforma como serviço (PaaS). O usuário tem permissão para exibir
aplicativos próprios (adquiridos ou desenvolvidos pelo próprio usuário)
criado com linguagens e ferramentas de programação suportadas pelo
fornecedor. O consumidor não gerencia ou controla a infraestrutura do
nuvem ─incluindo redes, servidores, sistemas operacionais ou armazenamento─
cuja gestão depende do prestador do serviço, que é aquele que oferece o
plataforma de desenvolvimento e ferramentas de programação.
 
Infraestrutura como serviço (IaaS). O provedor oferece recursos ao usuário
como capacidade de processamento, armazenamento, comunicações e outros recursos de computação e,
portanto, o consumidor é capaz de implantar e
executar software específico que pode incluir sistemas operacionais e
Formulários. O consumidor não gerencia ou controla a infraestrutura
fundamental da nuvem, mas tem controle sobre certos componentes da nuvem
rede, sistemas operacionais, armazenamento, aplicativos implantados ou outros
como firewalls de host. É um modelo muito útil
quando você precisa de elasticidade e tem a capacidade de expandir e contrair
rapidamente os recursos necessários, dependendo do uso, como
capacidade de armazenamento ou aplicativos de gerenciamento de negócios,
como CRM, ERP ou redes sociais.
 
 
 
CLOUD COMPUTING
 
MODELOS DE NUVENS
 
De acordo com o NIST (Instituto Nacional de Padrões e Tecnologia), existem quatro possíveis
formas de implementar e operar em uma infraestrutura de Cloud Computing.
 
Nuvem privada. A infraestrutura em nuvem fornece de maneira exclusiva e exclusiva
organização, composta por vários consumidores. Serviços em nuvem em
se for oferecido ao público.
 
• Nuvem pública. A infraestrutura é operada por um provedor que oferece
serviços ao público em geral. Pode ser gerenciado, operado e
propriedade de uma organização acadêmica, empresa, governo ou algum
combinação deles. Existe em infraestrutura própria (nas dependências) de
provedor de nuvem.
 
• Nuvem híbrida. A infraestrutura em nuvem é uma combinação dos mais
nuvens individuais que podem ser próprias, comunitárias ou públicas ao mesmo tempo; eles permanecem entidades
únicas, mas permitem que transportem dados ou aplicativos entre eles.
 
Nuvem comunitária. Uma nuvem comunitária é aquela que foi organizada para servir a uma função ou propósito
comum de uma comunidade de consumidores. Pode ser para uma organização ou várias, mas que compartilham
objetivos comuns, como missão, políticas, segurança, necessidades de conformidade regulamentar (conformidade). Uma
comunidade ou nuvem de comunidade pode ser gerenciada pela (s) organização (ões) constituinte (s) ou por terceiros.
Este modelo geralmente é coletado apenas pelo NIST; A maioria das organizações e associações relacionadas à nuvem
divide seus modelos de implantação em três: público, privado e híbrido.
 
CLOUD COMPUTING
 
Segurança
 
De acordo com o relatório oficial de segurança da Cisco - fabricante número um mundial na indústria de comunicações
- o tráfego na nuvem aumentaria seis vezes nos próximos anos, com uma taxa de crescimento de 44% a partir de 2011
(números que a própria Cisco confirmou em 2017).
Por essas razões e pela crescente implementação de modelos de nuvem, as empresas, independentemente de seu
tamanho, enfrentam ameaças significativas do Malware Web e, portanto, todas as organizações devem se concentrar
em proteger sua rede e proteger seus dados e sua propriedade intelectual.
 
 
 
 
FUNDAMENTOS DA GCP
Responsabilidade compartilhada!
Quando você constrói um aplicativo em sua
infraestrutura local, você é responsável pela
segurança de toda a pilha: desde a segurança
física do hardware e das instalações em que estão
alojados, até a criptografia dos dados emdisco, a
integridade de sua rede e até a proteção do
conteúdo armazenado nesses aplicativos. Quando
você move um aplicativo para a plataforma de
nuvem do Google, o Google lida com muitas das
camadas inferiores do que a maioria de seus
clientes poderia fazer por conta própria.
 
As camadas superiores da pilha de segurança
permanecem sob responsabilidade do cliente. O
Google fornece ferramentas, como IAM, para
ajudar os clientes a implementar as políticas que
escolherem nessas camadas.
RESPONSABILIDADE
COMPARTILHADA
 
HIERARQUIAS DOS RECURSOS
você pode achar mais fácil entender a hierarquia de recursos do GCP de baixo para cima. Todos os recursos que
você usa, sejam máquinas virtuais, armazenamento em nuvem, intervalos, tabelas no bigquery ou qualquer outra
coisa no GCP, são organizados em projetos.
Opcionalmente, esses projetos podem ser organizados em pastas; as pastas contêm outras pastas. Todas as pastas
e projetos usados por sua organização podem ser reunidos em um nó da organização. Projetos, pastas e nós de
organização são todos locais onde as políticas podem ser definidas. Alguns recursos do GCP permitem que você
coloque políticas em recursos individuais também, como intervalos de armazenamento em nuvem. (Este curso
discute os intervalos de armazenamento em nuvem posteriormente neste curso.)
 
As políticas são herdadas para baixo na hierarquia.
 
Todos os recursos da plataforma em nuvem do Google pertencem a um projeto de console do GCP. Os projetos são
a base para habilitar e usar os serviços do GCP, como gerenciar APIs, habilitar o faturamento, adicionar e remover
colaboradores e habilitar outros serviços do Google. Cada projeto é um compartimento separado e cada recurso
pertence a exatamente um. Os projetos podem ter proprietários e usuários diferentes. Eles são cobrados
separadamente e são gerenciados separadamente.
 
Os projetos têm três atributos identificadores:
ID do projeto - Globalmente exclusivo, escolhido por você, imutável.
Nome do projeto - não precisa ser exclusivo, escolhido por você, mutável.
Número do projeto - globalmente exclusivo, atribuído pelo GCP, inmutável.
 
Cada projeto tem um nome e um ID de projeto que você atribui. O ID do projeto é um identificador permanente e
imutável e deve ser exclusivo no GCP. você usará IDs de projeto em vários contextos para informar ao GCP com
qual projeto deseja trabalhar.
PASTAS OFERECEM FLEXIBILIDADE DE GERENCIAMENTO
As pastas agrupam projetos em uma organização.
 
As pastas podem conter projetos, outras pastas ou ambos.
 
Use pastas para atribuir políticas.
 
O recurso Cloud IAM Folders permite atribuir políticas a recursos em um nível de granularidade que você escolher.
Os recursos em uma pasta herdam as políticas IAM atribuídas à pasta.
 
Os recursos em uma pasta herdam as políticas IAM da pasta. Então, se o projeto 3
 e o projeto 4 é administrado pela mesma equipe por design, você pode colocar as políticas do IAM na pasta B em
vez disso. Fazer de outra maneira, colocar cópias duplicadas dessas políticas no projeto 3 e no projeto 4 seria
tedioso e sujeito a erros.
 
Uma pasta contém projetos, outras pastas ou uma combinação de ambos. Você pode usar pastas para agrupar
projetos em uma organização que contenha vários departamentos, cada um com seu próprio conjunto de recursos
do GCP. As pastas permitem agrupar esses recursos por departamento.
 
As pastas permitem que as equipes tenham a capacidade de deletar direitos administrativos, para que possam
trabalhar de forma independente.
 
OBS: Para usar pastas, precisa-se de um node organizacional, um node no topo da hierarquia.
Políticas IAM!
As políticas menos restritivas sobreescreve as mais restritivas.
GOOGLE CLOUD IDENTITY AND ACCESS MANAGEMENT
 
Gerenciamento de identidade e acesso define: Quem acessa, o que pode realizar, em qual recurso realizar.
IAM - IDENTITY ACCESS MANAGEMENT
 
 
 
WHO: As políticas IAM podem aplicar a qualquer dos 4 tipos de principais.
Que são: Google Account (gmail) ou Cloud Identity user (Org Account).
Service account
Google group
Cloud Identity or G Suite domain
 
 Can do what: Funções ou roles IAM são coleções de permissões, como: InstanceAdmin, permissões:
list, delete, start, etc.
 
 
On which resource: Em qual ou quais recursos o usuário tem a role atribuida?
 
IAM - IDENTITY ACCESS MANAGEMENT
 
 
Na Google Cloud temos três tipos de IAM roles:
Primitivo
Predefinido
Customizado
 
 PRIMITIVO: Se aplica a todos os serviços GCP em um projeto. Ou seja, apenas definimos o que o usuário vai
realizar e automaticamente se aplica a todos os recursos dentro do projeto.
Roles: Owner, Editor, Viewer, Billing administrator.
 
Owner: Convida membros, remove membros, deleta projetos, deploy aplicações, modifica codigo, configura
serviços.
 
Editor: deploy aplicações, modifica codigo, configura serviços.
 
Viewer: Somente leitura.
 
Billing administrator: Gerencia faturamentos e adiciona e remove administadores.
 
ATENÇÃO: Se em uma organização temos muitos usuários trabalhando juntos em um projeto que contém
dados sensíveis, os roles PRIMITIVOS não seria a melhor opção.
 
IAM - IDENTITY ACCESS MANAGEMENT
 
Na Google Cloud temos três tipos de IAM roles:
Primitivo
Predefinido
Customizado
 
 PREDEFINIDO: Com esse tipo já temos mais granularidade na aplicação dos roles.. Ou seja, apenas definimos o
que o usuário vai realizar em qual pasta, organização, projeto e quais recursos.
Roles: Owner, Editor, Viewer, Billing administrator.
 
 
IAM - IDENTITY ACCESS MANAGEMENT
 
Na Google Cloud temos três tipos de IAM roles:
Primitivo
Predefinido
Customizado
 
 CUSTOMIZADO: Com esse tipo temos uma granularidade na aplicação dos roles maior ainda que a anterior. Ou
seja, aplicamos o modelo de mínimo privilégio.
OBS: Roles customizadas somente podem ser aplicadas a nível de projetos e organização e NÃO a nível de pastas.
 
 
SERVICE ACCOUNT
 
E se desejarmos dar permissões a uma máquina virtual acessar outro recurso na cloud?
Usamos as services accounts.
Por exemplo, temos uma máquina virtual com uma aplicação rodando e queremos que essa aplicação acesse o
Google cloud storage para adicionar ou remover conteúdo daí de dentro. Com a service account vamos poder
gerar essas permissoes necessarias para que a aplicação realize o trabalho dela.
 
Fornece uma identidade para realizar interações de servidor para servidor em um projeto.
 
Usado para autenticar de um serviço para outro.
 
usado para controlar os privilégios usados pelos recursos.
 
Identificado com um endereço de e-mail: .gserviceaccount.com
 
Utiliza chaves criptografadas para acessar os recursos.
 
Podemos assignar roles predefinidas ou customizadas.
 
OBS: Service account também é um recurso. Com isso, devemos refinar quem são os usuários permitidos a
criar, modificar, visualizar as service accounts, com as políticas de IAM.
 
 
CLOUD IDENTITY
 
Muitos novos clientes do GCP começam fazendo login no console do GCP com uma conta do Gmail. Para
colaborar com seus colegas de equipe, eles usam grupos do google para reunir pessoas que estão na mesma
função. Essa abordagem é fácil de começar, mas sua desvantagem é que as identidades de sua equipe não são
gerenciadas de maneira centralizada. Por exemplo, se alguém deixa sua organização, não há uma maneira
centralizada de remover o acesso aos recursos de nuvem imediatamente.
 
Os clientes do GCP que também são clientes do G Suite podem definir políticas do GCP em termos de usuários e
grupos do G Suite. Dessa forma, quando alguém sai de sua organização, um administrador pode desabilitar
imediatamente sua conta e removê-lo dos grupos usando o console do Google para administradores.
 
Os clientes do GCP que não são clientes do Gsuite podem obter esses mesmos recursos por meio da identidade em
nuvem. A identidade na nuvem permite que você gerencie usuáriose grupos usando o administrador do console do
Google, mas você não paga ou recebe produtos de colaboração Gsuite, como Gmail, Docs, Drive e calendário. A
identidade da nuvem está disponível em uma edição gratuita e premium. A edição Premium adiciona recursos para
gerenciamento de dispositivos móveis.
 
Se temos usuarios e grupos em diferentes diretórios corporativos, como Microsoft AD ou LDAP podemos utilizar o
google cloud directory sync para sincronizar com os usuarios e grupos do cloud identity e ter um único
gerenciamento.
 
 
Interagindo com GCP
Gcloud - Maioria dos serviços
Gsutil - Cloud Storage
bq - BigQuery
CLOUD MARKETPLACE
 
Nos permite realizar deploys rapidamente de softwares que rodam na GCP.
 
Alguns softwares são oferecidos pela google e outros são de parceiros externos.
 
Alguns recursos são precificados com base no uso dos recursos da GCP e outros são precificados com o preço dos
parceiros externos.
 
OBS: GCP atualiza as imagens desses softwares para corrigir problemas e vulnerabilidades, porém, se o mesmo já
estiver sido rregado ou o deploy já estiver sido realizado a GCP NÃO aplica atualizações.