Arquitetura de plataforma - AWS Orientação prescritiva
IniciarAvançadoExcel

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Arquitetura de plataforma

Estabeleça e mantenha diretrizes, princípios, padrões e barreiras de proteção para seu ambiente de nuvem.

Um ambiente de nuvem bem arquitetado ajuda você a acelerar a implementação, a reduzir riscos e a impulsionar a adoção da nuvem. O recurso de arquitetura da plataforma cria consenso em sua organização sobre os padrões corporativos que impulsionam a adoção da nuvem. Você define esquemas e barreiras de proteção de práticas recomendadas para facilitar a autenticação, a segurança, a rede, o registro em log e o monitoramento. Além disso, você leva em consideração e planeja as workloads que talvez precise reter on-premises devido aos requisitos de latência, processamento de dados ou residência de dados, e avalia casos de uso da nuvem híbrida, como expansão da nuvem, backup e recuperação de desastres na nuvem, processamento distribuído de dados e computação de borda.

Iniciar

Definir uma estratégia de várias contas

Uma boa estratégia de várias contas considera questões de escala e eficiência operacional. Isso significa isolar suas workloads em um padrão lógico que melhor atenda às suas necessidades operacionais. Sugerimos que você comece com um conjunto básico de contas para acomodar serviços centralizados e descentralizados em sua empresa. Você pode centralizar as funções de segurança, financeiras e operacionais para gerenciar e governar com eficácia suas equipes e contas distribuídas e autônomas. Você vai querer se alinhar com toda a sua organização para entender como a plataforma e suas workloads serão segmentadas e gerenciadas. A compreensão dessa estrutura ajuda a garantir que os princípios de segurança estejam em vigor para autenticação e autorização, ao mesmo tempo em que se alinham às políticas de uso aceitável em evolução da plataforma.

Definir controles preventivos

Planeje um ambiente seguro com várias contas com um conjunto incorporado de controles padrão (barreiras de proteção). Comece a entender e a usar um mecanismo como políticas de controle de serviços (SCPs) para gerenciar o uso de serviços em toda a sua organização, incluindo as Regiões da AWS que estão disponíveis para consumo em sua plataforma de nuvem. As políticas fornecem um mecanismo centralizado para controlar o máximo de permissões disponíveis para todas as contas e garantir que elas sigam as diretrizes de controle de acesso da organização.

Definir a estrutura da unidade organizacional

As unidades organizacionais (UOs) servem como uma forma prática de gerenciar e categorizar contas com base em requisitos regulatórios e ambientes de ciclo de vida de desenvolvimento de software (SDLC). Ao usar UOs, as organizações simplificam o processo de solicitação de políticas e permissões apropriadas em toda a infraestrutura de nuvem. As UOs de workloads são projetadas especificamente para contas que oferecem suporte a recursos de infraestrutura de aplicações e garantem que as políticas corretas sejam aplicadas. O uso de UOs e SCPs ajuda a aprimorar a segurança e a conformidade da infraestrutura de nuvem da sua organização, além de garantir a operação tranquila de suas aplicações e serviços. Em última análise, isso leva a um processo de adoção da nuvem mais eficiente e robusto.

Definir conectividade de rede

A conectividade de rede é um aspecto crucial de qualquer infraestrutura de nuvem que ofereça suporte à criação de redes seguras, escaláveis e altamente disponíveis para ser compatível com aplicações e workloads. Uma rede bem projetada fornece alta performance consistente e garante operações contínuas em diferentes ambientes.

Ao projetar sua arquitetura de rede, considere se você tem workloads que deseja manter on-premises devido aos requisitos de latência, processamento de dados ou residência de dados. Ao avaliar casos de uso da nuvem híbrida, como expansão na nuvem, backup e recuperação de desastres na nuvem, processamento distribuído de dados e computação de borda, você pode identificar os principais requisitos para os seguintes aspectos:

  • Conectividade com e da internet. Esse aspecto envolve o fornecimento de conexões seguras e confiáveis entre suas aplicações ou workloads e a internet. Essa conectividade é essencial para facilitar o acesso a recursos baseados na web, permitir a comunicação entre usuários e aplicações e garantir que seus serviços sejam acessíveis ao público quando necessário.

  • Conectividade em seus ambientes de nuvem. Essa área se concentra em estabelecer conexões robustas entre vários componentes e serviços em sua infraestrutura de nuvem. Ela garante que os dados e os recursos sejam facilmente compartilhados e acessados em diferentes serviços em nuvem, promovendo uma colaboração eficiente e operações mais fáceis. Uma consideração importante aqui é o uso de nuvens privadas virtuais (VPCs). Para simplificar as coisas, considere criar padrões sobre como as VPCs são criadas e monitoradas. Considere criar esses padrões de forma programática e planeje usar uma solução de gerenciamento de endereços IP (IPAM). Aloque espaço IP suficiente para permitir o crescimento e projete estruturas de sub-rede para facilitar a solução de problemas ao usar várias zonas de disponibilidade. Certifique-se de seguir as práticas recomendadas de segurança para VPCs ao projetar e implementar a conectividade de rede. 

  • Conectividade entre a rede on-premises e os ambientes de nuvem. Esse aspecto trata da integração de sua infraestrutura on-premises com seu ambiente baseado em nuvem. Ao criar conexões seguras e confiáveis entre os dois, as organizações se beneficiam das vantagens das arquiteturas híbridas. Por exemplo, você pode usar recursos on-premises e serviços em nuvem simultaneamente para melhorar a performance, a escalabilidade e a otimização de custos.

Ao abordar essas três áreas principais de conectividade de rede, você pode criar uma infraestrutura de nuvem robusta que seja compatível com suas aplicações e workloads de forma eficaz, para que você possa aproveitar os benefícios da adoção da nuvem. Anote os requisitos de rede e crie um design simples que permita que você escale de acordo com sua estratégia de várias contas. 

Definir a estratégia de DNS

Uma estratégia de DNS bem planejada ajuda a evitar complicações à medida que seus ambientes de nuvem crescem. Se você mantiver recursos de DNS on-premises, recomendamos que você crie arquiteturas de DNS híbridas que usem a infraestrutura de DNS on-premises junto com o DNS na nuvem para quaisquer requisitos de DNS baseados na nuvem. Integre a resolução de DNS com ambientes DNS on-premises usando endpoints de resolução e regras de encaminhamento. Use zonas hospedadas privadas para armazenar informações sobre como você quer que o DNS da nuvem responda a consultas para um domínio e seus subdomínios dentro de uma ou mais redes.

Definir padrões de marcação

A marcação de recursos é uma prática essencial para gerenciar custos de forma eficaz e identificar a propriedade dos recursos. Considere como sua organização permitirá ainda mais o consumo na nuvem, incluindo o uso de serviços específicos dentro da plataforma. Defina uma estratégia de marcação que rastreie quais recursos estão sendo implantados por quais equipes. Obtenha informações da perspectiva de operações do AWS CAF e use tags para automatizar tarefas em sua infraestrutura implantada. 

Além disso, ao marcar recursos com metadados relevantes, você pode agrupar e monitorar seus gastos com base nos requisitos organizacionais ditados no recurso de gerenciamento financeiro da nuvem (CFM) na perspectiva de governança do AWS CAF. Identifique um mecanismo de geração de relatórios que apoie suas práticas contábeis e financeiras, incluindo medidas a serem tomadas quando as políticas financeiras forem violadas.

Definir uma estratégia de observabilidade

Estabelecer uma estratégia de observabilidade é uma etapa fundamental para otimizar e proteger sua arquitetura de nuvem. Essa estratégia gira em torno da transformação das métricas e logs produzidos por seus serviços em nuvem em insights acionáveis para a tomada de decisões estratégicas. Priorize o monitoramento dos principais indicadores de performance e a configuração de alertas para abordar preventivamente possíveis problemas. Para evitar a proliferação de ferramentas, otimizar custos e focar o que é mais importante para sua organização, incorpore essa estratégia de observabilidade em sua plataforma e aplicações. Para obter mais orientações, consulte nossa apresentação Developing an observability strategy (AWS re:Invent 2022).

Avançado

Definir controles proativos e de detecção

Para avançar, sua organização deve identificar a necessidade de controles proativos e de detecção (barreiras de proteção) no ambiente. Crie políticas que definam as barreiras de proteção ou os limites que os perfis e os usuários têm nas contas localizadas em uma unidade organizacional (UO). Analise todas as barreiras de proteção padrão de detecção da plataforma e escolha quais aplicar. Crie controles preventivos e de detecção adicionais, conforme necessário, e agrupe-os por UOs para alinhá-los à sua estratégia de várias contas. Considere de quais ferramentas e mecanismos organizacionais você precisa para inspecionar recursos não compatíveis identificados pelos controles de detecção.

Definir padrões para integração de serviços

Crie padrões para o uso aceitável da plataforma e os padrões associados ao consumo de serviços e como isso será governado. Considere quais serviços iniciais podem ser usados. Crie um documento que descreva esses padrões e publique-os para usuários e operadores da plataforma. Garanta que esses padrões se adaptem ao longo do tempo para atender às mudanças nos objetivos da organização e às capacidades em evolução da computação em nuvem.

Definir padrões e princípios

Considere quais padrões de arquitetura serão permitidos em sua organização usando as informações dos proprietários de aplicações e comece a definir esquemas para a padronização. A padronização permite maior governança e menor carga administrativa à medida que você escala na nuvem. Defina padrões que usarão a infraestrutura como código (IaC) e planeje um modelo de implantação simplificado usando um catálogo de serviços integrado aos seus processos de controle de mudanças e sistemas de gerenciamento de serviços de TI (ITSM). Defina como esses esquemas serão usados e as circunstâncias para permitir exceções. Planeje essas exceções e sua governança, com considerações sobre autenticação, monitoramento de segurança e proteções. 

Excel

Definir padrões de remediação

Considere como anotar e priorizar suas descobertas de barreiras de proteção de detecção para que elas possam ser remediadas de acordo com suas estruturas de segurança e conformidade. Planeje usar a automação para detectar o provisionamento de recursos fora da política, incluindo aqueles que violam as políticas orçamentárias e de marcação. Identifique os recursos necessários para definir e medir os objetivos de serviço enquanto atualiza seus runbooks e playbooks. Defina revisões periódicas dessas práticas e um mecanismo de feedback para capturar dados relacionados à evolução da plataforma. Defina mecanismos para criar e atualizar runbooks e playbooks de forma apropriada. 

Comunicar e refinar políticas

Crie um sistema centralizado de gerenciamento de conteúdo para toda a documentação e distribua-o aos usuários e operadores da plataforma. Crie um mecanismo para coletar feedback para futuras considerações sobre mudanças na política.

Compreender os recursos de gerenciamento financeiro

As organizações prosperam quando mantêm uma compreensão transparente e abrangente de seu orçamento. Isso as capacita a tomar decisões bem informadas, alocar recursos com eficiência e atingir seus objetivos estratégicos. Uma visão clara do orçamento ajuda as organizações a se destacar, facilitando a tomada de decisões informadas, a alocação efetiva de recursos, o controle de custos, a avaliação de desempenho e a manutenção da responsabilidade e da conformidade. Em última análise, isso resulta em uma organização mais eficiente, financeiramente estável e próspera. Quando você tem uma estratégia de marcação bem-sucedida, pode usar filtros de custo no AWS Budgets para filtrar despesas com base nas tags de recursos. Isso ajuda você a criar um orçamento personalizado para projetos, departamentos, ambientes ou outros critérios específicos, aprimorando ainda mais os recursos de gerenciamento financeiro. Você pode associar as tags de alocação de custos e as Categorias de Custos da AWS a tags para gerar insights financeiros e transparência ao relatar custos.