Baixe o app para aproveitar ainda mais
Prévia do material em texto
GOOGLE CLOUD ENGINEER HOSTNUBE TREINAMENTOS CONHECENDO A GCP E SEUS PRINCIPAIS SERVIÇOS - Fundamentos de computação em nuvem - Fundamentos da GCP CLOUD COMPUTING Computação em nuvem (computação em nuvem, ou apenas a nuvem) foi a evolução natural da adoção uso generalizado de virtualização, Arquitetura Orientada a Serviços, computação utilitária (utilidade computação) e a expansão de centros de dados, fundamentalmente. Resumindo: é a virtualização de recursos e ferramentas de TI, disponíveis sob demanda pela Internet. A nuvem pode ser infraestrutura, plataforma ou software; ou seja, pode ser um aplicativo que é acessado por meio da área de trabalho e executado imediatamente após seu download, ou um servidor que será chamado quando necessário. Na nuvem não sei instala qualquer coisa no seu desktop e você não paga pela tecnologia quando não está em uso, você apenas pago (ou pode ser gratuito) quando o aplicativo é usado ou executado. Na prática, a computação em nuvem fornece um serviço de software ou hardware. Um exemplo prático é o caso de usuários que se conectam à Internet a partir de um computador pessoal, um smartphone ou tablet, e usar diferentes serviços como seu e-mail, Gmail, visualize um mapa digital no Google Maps, escreva um documento no Google Docs, verifique seus arquivos, músicas ou fotos no Dropbox, OneDrive, Spotify, Netflix ou plataforma iCloud da Apple. Todos esses serviços são baseados na nuvem. Outra característica comum é o pagamento por uso e apenas enquanto usar o serviço correspondente. CLOUD COMPUTING CARACTERÍSTICAS DA CLOUD COMPUTING Autoatendimento sob demanda. O usuário pode acessar recursos de computação em nuvem automaticamente conforme você avança exigindo, sem necessidade de interação humana Múltiplas formas de amplo acesso à Internet. Os recursos são acessíveis por meio de da rede e por meio de mecanismos padrão que são usados por um grande variedade de dispositivos de usuário (por exemplo: telefones celulares telefones inteligentes, laptops etc. Recursos compartilhados. Os recursos de computação do provedor são agrupados para atender a vários consumidores (armazenamento, memória, largura de banda, capacidade de processamento, máquinas virtuais) e são compartilhada por vários usuários que têm capacidades atribuídas em dinamicamente de acordo com suas solicitações. Elasticidade rápida. Os recursos são fornecidos e liberados elasticamente, muitos vezes automaticamente, o que dá ao usuário a impressão de que o recursos ao seu alcance são ilimitados e estão sempre disponíveis a tempo e quantia. Medição do serviço. Empresas provedoras de nuvem podem entregar e controlar serviços de forma eficaz por meio de métricas com base em um ou mais serviços específicos, como a quantidade de dados armazenados, a largura de banda ou a quantidade e potência do processamento usado. CLOUD COMPUTING MODELOS DE SERVIÇOS As tecnologias de computação em nuvem oferecem três modelos de serviço que são oferecidos a clientes e usuários da nuvem (organizações, empresas e usuários), são: SaaS (Software as a Service, software as a service), PaaS (Platform as a Service, plataforma como serviço) e IaaS (infraestrutura como serviço, infraestrutura como serviço). Cada modelo oferece ao cliente diferentes níveis de controle e eles não são estanques, mas um ou mais modelos podem ser escolhidos dependendo do necessidades da empresa, como armazenamento de dados, plataforma para desenvolvimento de software ou o software a ser usado conforme necessário. Software como serviço (SaaS). O usuário pode ter a aplicativos que seu provedor fornece são executados em uma infraestrutura de a nuvem, sendo os referidos aplicativos acessíveis por meio de uma interface do cliente, como um navegador da web (e-mail da web, Gmail, Microsoft, IBM…) ou uma interface de programa. O usuário não tem controle sobre a infraestrutura em nuvem, como servidores, sistemas operacionais, armazenamento, mesmo nos próprios aplicativos, exceto para o possíveis configurações de usuário ou personalizações que você tem permissão executar. CLOUD COMPUTING MODELOS DE SERVIÇOS Plataforma como serviço (PaaS). O usuário tem permissão para exibir aplicativos próprios (adquiridos ou desenvolvidos pelo próprio usuário) criado com linguagens e ferramentas de programação suportadas pelo fornecedor. O consumidor não gerencia ou controla a infraestrutura do nuvem ─incluindo redes, servidores, sistemas operacionais ou armazenamento─ cuja gestão depende do prestador do serviço, que é aquele que oferece o plataforma de desenvolvimento e ferramentas de programação. Infraestrutura como serviço (IaaS). O provedor oferece recursos ao usuário como capacidade de processamento, armazenamento, comunicações e outros recursos de computação e, portanto, o consumidor é capaz de implantar e executar software específico que pode incluir sistemas operacionais e Formulários. O consumidor não gerencia ou controla a infraestrutura fundamental da nuvem, mas tem controle sobre certos componentes da nuvem rede, sistemas operacionais, armazenamento, aplicativos implantados ou outros como firewalls de host. É um modelo muito útil quando você precisa de elasticidade e tem a capacidade de expandir e contrair rapidamente os recursos necessários, dependendo do uso, como capacidade de armazenamento ou aplicativos de gerenciamento de negócios, como CRM, ERP ou redes sociais. CLOUD COMPUTING MODELOS DE NUVENS De acordo com o NIST (Instituto Nacional de Padrões e Tecnologia), existem quatro possíveis formas de implementar e operar em uma infraestrutura de Cloud Computing. Nuvem privada. A infraestrutura em nuvem fornece de maneira exclusiva e exclusiva organização, composta por vários consumidores. Serviços em nuvem em se for oferecido ao público. • Nuvem pública. A infraestrutura é operada por um provedor que oferece serviços ao público em geral. Pode ser gerenciado, operado e propriedade de uma organização acadêmica, empresa, governo ou algum combinação deles. Existe em infraestrutura própria (nas dependências) de provedor de nuvem. • Nuvem híbrida. A infraestrutura em nuvem é uma combinação dos mais nuvens individuais que podem ser próprias, comunitárias ou públicas ao mesmo tempo; eles permanecem entidades únicas, mas permitem que transportem dados ou aplicativos entre eles. Nuvem comunitária. Uma nuvem comunitária é aquela que foi organizada para servir a uma função ou propósito comum de uma comunidade de consumidores. Pode ser para uma organização ou várias, mas que compartilham objetivos comuns, como missão, políticas, segurança, necessidades de conformidade regulamentar (conformidade). Uma comunidade ou nuvem de comunidade pode ser gerenciada pela (s) organização (ões) constituinte (s) ou por terceiros. Este modelo geralmente é coletado apenas pelo NIST; A maioria das organizações e associações relacionadas à nuvem divide seus modelos de implantação em três: público, privado e híbrido. CLOUD COMPUTING Segurança De acordo com o relatório oficial de segurança da Cisco - fabricante número um mundial na indústria de comunicações - o tráfego na nuvem aumentaria seis vezes nos próximos anos, com uma taxa de crescimento de 44% a partir de 2011 (números que a própria Cisco confirmou em 2017). Por essas razões e pela crescente implementação de modelos de nuvem, as empresas, independentemente de seu tamanho, enfrentam ameaças significativas do Malware Web e, portanto, todas as organizações devem se concentrar em proteger sua rede e proteger seus dados e sua propriedade intelectual. FUNDAMENTOS DA GCP Responsabilidade compartilhada! Quando você constrói um aplicativo em sua infraestrutura local, você é responsável pela segurança de toda a pilha: desde a segurança física do hardware e das instalações em que estão alojados, até a criptografia dos dados emdisco, a integridade de sua rede e até a proteção do conteúdo armazenado nesses aplicativos. Quando você move um aplicativo para a plataforma de nuvem do Google, o Google lida com muitas das camadas inferiores do que a maioria de seus clientes poderia fazer por conta própria. As camadas superiores da pilha de segurança permanecem sob responsabilidade do cliente. O Google fornece ferramentas, como IAM, para ajudar os clientes a implementar as políticas que escolherem nessas camadas. RESPONSABILIDADE COMPARTILHADA HIERARQUIAS DOS RECURSOS você pode achar mais fácil entender a hierarquia de recursos do GCP de baixo para cima. Todos os recursos que você usa, sejam máquinas virtuais, armazenamento em nuvem, intervalos, tabelas no bigquery ou qualquer outra coisa no GCP, são organizados em projetos. Opcionalmente, esses projetos podem ser organizados em pastas; as pastas contêm outras pastas. Todas as pastas e projetos usados por sua organização podem ser reunidos em um nó da organização. Projetos, pastas e nós de organização são todos locais onde as políticas podem ser definidas. Alguns recursos do GCP permitem que você coloque políticas em recursos individuais também, como intervalos de armazenamento em nuvem. (Este curso discute os intervalos de armazenamento em nuvem posteriormente neste curso.) As políticas são herdadas para baixo na hierarquia. Todos os recursos da plataforma em nuvem do Google pertencem a um projeto de console do GCP. Os projetos são a base para habilitar e usar os serviços do GCP, como gerenciar APIs, habilitar o faturamento, adicionar e remover colaboradores e habilitar outros serviços do Google. Cada projeto é um compartimento separado e cada recurso pertence a exatamente um. Os projetos podem ter proprietários e usuários diferentes. Eles são cobrados separadamente e são gerenciados separadamente. Os projetos têm três atributos identificadores: ID do projeto - Globalmente exclusivo, escolhido por você, imutável. Nome do projeto - não precisa ser exclusivo, escolhido por você, mutável. Número do projeto - globalmente exclusivo, atribuído pelo GCP, inmutável. Cada projeto tem um nome e um ID de projeto que você atribui. O ID do projeto é um identificador permanente e imutável e deve ser exclusivo no GCP. você usará IDs de projeto em vários contextos para informar ao GCP com qual projeto deseja trabalhar. PASTAS OFERECEM FLEXIBILIDADE DE GERENCIAMENTO As pastas agrupam projetos em uma organização. As pastas podem conter projetos, outras pastas ou ambos. Use pastas para atribuir políticas. O recurso Cloud IAM Folders permite atribuir políticas a recursos em um nível de granularidade que você escolher. Os recursos em uma pasta herdam as políticas IAM atribuídas à pasta. Os recursos em uma pasta herdam as políticas IAM da pasta. Então, se o projeto 3 e o projeto 4 é administrado pela mesma equipe por design, você pode colocar as políticas do IAM na pasta B em vez disso. Fazer de outra maneira, colocar cópias duplicadas dessas políticas no projeto 3 e no projeto 4 seria tedioso e sujeito a erros. Uma pasta contém projetos, outras pastas ou uma combinação de ambos. Você pode usar pastas para agrupar projetos em uma organização que contenha vários departamentos, cada um com seu próprio conjunto de recursos do GCP. As pastas permitem agrupar esses recursos por departamento. As pastas permitem que as equipes tenham a capacidade de deletar direitos administrativos, para que possam trabalhar de forma independente. OBS: Para usar pastas, precisa-se de um node organizacional, um node no topo da hierarquia. Políticas IAM! As políticas menos restritivas sobreescreve as mais restritivas. GOOGLE CLOUD IDENTITY AND ACCESS MANAGEMENT Gerenciamento de identidade e acesso define: Quem acessa, o que pode realizar, em qual recurso realizar. IAM - IDENTITY ACCESS MANAGEMENT WHO: As políticas IAM podem aplicar a qualquer dos 4 tipos de principais. Que são: Google Account (gmail) ou Cloud Identity user (Org Account). Service account Google group Cloud Identity or G Suite domain Can do what: Funções ou roles IAM são coleções de permissões, como: InstanceAdmin, permissões: list, delete, start, etc. On which resource: Em qual ou quais recursos o usuário tem a role atribuida? IAM - IDENTITY ACCESS MANAGEMENT Na Google Cloud temos três tipos de IAM roles: Primitivo Predefinido Customizado PRIMITIVO: Se aplica a todos os serviços GCP em um projeto. Ou seja, apenas definimos o que o usuário vai realizar e automaticamente se aplica a todos os recursos dentro do projeto. Roles: Owner, Editor, Viewer, Billing administrator. Owner: Convida membros, remove membros, deleta projetos, deploy aplicações, modifica codigo, configura serviços. Editor: deploy aplicações, modifica codigo, configura serviços. Viewer: Somente leitura. Billing administrator: Gerencia faturamentos e adiciona e remove administadores. ATENÇÃO: Se em uma organização temos muitos usuários trabalhando juntos em um projeto que contém dados sensíveis, os roles PRIMITIVOS não seria a melhor opção. IAM - IDENTITY ACCESS MANAGEMENT Na Google Cloud temos três tipos de IAM roles: Primitivo Predefinido Customizado PREDEFINIDO: Com esse tipo já temos mais granularidade na aplicação dos roles.. Ou seja, apenas definimos o que o usuário vai realizar em qual pasta, organização, projeto e quais recursos. Roles: Owner, Editor, Viewer, Billing administrator. IAM - IDENTITY ACCESS MANAGEMENT Na Google Cloud temos três tipos de IAM roles: Primitivo Predefinido Customizado CUSTOMIZADO: Com esse tipo temos uma granularidade na aplicação dos roles maior ainda que a anterior. Ou seja, aplicamos o modelo de mínimo privilégio. OBS: Roles customizadas somente podem ser aplicadas a nível de projetos e organização e NÃO a nível de pastas. SERVICE ACCOUNT E se desejarmos dar permissões a uma máquina virtual acessar outro recurso na cloud? Usamos as services accounts. Por exemplo, temos uma máquina virtual com uma aplicação rodando e queremos que essa aplicação acesse o Google cloud storage para adicionar ou remover conteúdo daí de dentro. Com a service account vamos poder gerar essas permissoes necessarias para que a aplicação realize o trabalho dela. Fornece uma identidade para realizar interações de servidor para servidor em um projeto. Usado para autenticar de um serviço para outro. usado para controlar os privilégios usados pelos recursos. Identificado com um endereço de e-mail: .gserviceaccount.com Utiliza chaves criptografadas para acessar os recursos. Podemos assignar roles predefinidas ou customizadas. OBS: Service account também é um recurso. Com isso, devemos refinar quem são os usuários permitidos a criar, modificar, visualizar as service accounts, com as políticas de IAM. CLOUD IDENTITY Muitos novos clientes do GCP começam fazendo login no console do GCP com uma conta do Gmail. Para colaborar com seus colegas de equipe, eles usam grupos do google para reunir pessoas que estão na mesma função. Essa abordagem é fácil de começar, mas sua desvantagem é que as identidades de sua equipe não são gerenciadas de maneira centralizada. Por exemplo, se alguém deixa sua organização, não há uma maneira centralizada de remover o acesso aos recursos de nuvem imediatamente. Os clientes do GCP que também são clientes do G Suite podem definir políticas do GCP em termos de usuários e grupos do G Suite. Dessa forma, quando alguém sai de sua organização, um administrador pode desabilitar imediatamente sua conta e removê-lo dos grupos usando o console do Google para administradores. Os clientes do GCP que não são clientes do Gsuite podem obter esses mesmos recursos por meio da identidade em nuvem. A identidade na nuvem permite que você gerencie usuáriose grupos usando o administrador do console do Google, mas você não paga ou recebe produtos de colaboração Gsuite, como Gmail, Docs, Drive e calendário. A identidade da nuvem está disponível em uma edição gratuita e premium. A edição Premium adiciona recursos para gerenciamento de dispositivos móveis. Se temos usuarios e grupos em diferentes diretórios corporativos, como Microsoft AD ou LDAP podemos utilizar o google cloud directory sync para sincronizar com os usuarios e grupos do cloud identity e ter um único gerenciamento. Interagindo com GCP Gcloud - Maioria dos serviços Gsutil - Cloud Storage bq - BigQuery CLOUD MARKETPLACE Nos permite realizar deploys rapidamente de softwares que rodam na GCP. Alguns softwares são oferecidos pela google e outros são de parceiros externos. Alguns recursos são precificados com base no uso dos recursos da GCP e outros são precificados com o preço dos parceiros externos. OBS: GCP atualiza as imagens desses softwares para corrigir problemas e vulnerabilidades, porém, se o mesmo já estiver sido rregado ou o deploy já estiver sido realizado a GCP NÃO aplica atualizações.
Compartilhar