>Arquitecturas

avanzadas en
GCP
Istio Deep Dive
 Eduardo Rosales
https://www.linkedin.com/in/erosdz
Introducción
Arquitectura basadas en
Microservicios.

Ventajas:

● Modularidad.
● Escalabilidad.
● Resiliencia.
● Multitecnología
Inconvenientes.

Desventajas:
● Enrutamiento.
● Tolerancia a fallos.
● Latencia.
● Descubrimiento.
● Trazabilidad distribuida.
● Seguridad.
¿Qué es una malla de
servicios (Service Mesh)?
01
Podemos considerar un “Service Mesh” como una
infraestructura de software dedicada a manejar
arquitectura de microservicios.
Patrón de arquitectura: sidecar

El contenedor sidecar funciona como proxy, e implementa las funcionalidades comunes como
proxy, firewall, autenticación, monitoreo, comunicaciones entre servicios, etc, dejando los
microservicios libres para enfocarse en su funcionalidad específica.
Arquitectura de Istio
Plano de Datos:
Corresponde a los sidecar-proxies (Envoy) que se
ejecutarán en conjunto con cada pieza de la
aplicación interceptando su tráfico de entrada y
salida.

Plano de Control:
Se encargada de gestionar y configurar en los
proxies las reglas de enrutado, políticas de
seguridad… A esta parte corresponden piezas
como Pilot, Mixer…
 Arquitectura de la App Music
Reglas de Despliegue:
Política de Canary, A/B, GreenBlue
reintento,
timeout

Escribe aquí tu texto Escribe aquí tu texto Escribe aquí tu texto Escribe aquí tu
texto Escribe aquí tu texto Escribe aquí tu texto Escribe aquí tu texto Escribe
aquí tu texto Escribe aquí tu texto.

Cuantos errores y
que tipos por
segundo

Cúal es la
latencia? Acceso a
servicios externos
Herramientas y Aplicaciones

Cloud Code

Escribe aquí tu texto Escribe aquí tu texto

Al códigooooo!!
 Conclusiones

● Una arquitectura basada en Service Mesh no siempre será la solución a

los problemas de desarrollo y despliegue basados en microservicios.
● Por otra parte Istio está desarrollado como una alternativa para una
arquitectura basada en Service Mesh, por lo que está diseñado de
forma modular y los programadores pueden decidir que usar.
● Antes de implementar un Service Mesh evaluar si en verdad lo
necesitan, ya que puede ser muy costoso.
PCI DSS on GCP
IGNACIO AGUIRRE
Senior Cloud Engineer

ignacio.aguirre@globant.com
GLOBANT

El sol nunca se pone en las

oficinas de Globant. Belarus
UK Luxembourg
Los Globers trabajan en 39 Spain
Romania
United States
oficinas en 32 ciudades y 14
diferentes países.
Mexico
Stay relevant. India
Colombia

Have Fun. Brazil

Peru

Chile Uruguay
Argentina

14
 OUR
STUDIOS

STRATEGIC SPECIALTY FOUNDATION

Future of Consulting Stay UX Mobile Gaming Cloud Ops Quality

Organizations Relevant Studio Engineering

Product Process Artificial Big Data Digital Internet UI Scalable

Acceleration Automation Intelligence Content of Things Engineering Platforms

Agile Media OTT Cyber Continuous

Delivery Security Evolution

15
PCI DSS 3.2
https://es.pcisecuritystandards.org/_onelink_/pcisecurity/en2es/minisite/en/docs/PCI_DSS_v3-2_es-LA.pdf

1. Instale y mantenga una configuración de firewall para proteger los datos del titular de la tarjeta.
2. No usar los valores predeterminados suministrados por el proveedor para las contraseñas del sistema y
otros parámetros de seguridad.
3. Proteja los datos del titular de la tarjeta que fueron almacenados
4. Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas.
5. Proteger todos los sistemas contra malware y actualizar los programas o software antivirus
regularmente.
6. Desarrollar y mantener sistemas y aplicaciones seguros
7. Restringir el acceso a los datos del titular de la tarjeta según la necesidad de saber que tenga la
empresa.
8. Identificar y autenticar el acceso a los componentes del sistema.
9. Restringir el acceso físico a los datos del titular de la tarjeta.
10. Rastree y supervise todos los accesos a los recursos de red y a los datos del titular de la tarjeta
11. Probar periódicamente los sistemas y procesos de seguridad.
12. Mantener una política que aborde la seguridad de la información para todo el personal

16
 ARQUITECTURA

External
Customer Payment
Payment Processor
Requests
HTTPS

Virtual Private Cloud

External Internal Payment

Payment Form Authorization

Application Network

Cloud Load Application VPN VPN

NAT
Balancing System(s) Gateway Gateway
Cloud
WAF
SQL
Application
Squid Proxy
System(s)

Logging BigQuery

Monitoring

17
 AISLAMIENTO

┃ Virtual Private Cloud.

○ Private Google Access
○ Peering

┃ Firewalls.
○ Puerto, IP origen y destino
○ 0.0.0.0/0

┃ Enrutamiento.
○ Rangos mínimos en IP destino
○ Solo rutas específicas

18
 CONTROL
ACCESOS

┃ Consola.
○ Grupos G Suite

┃ Sistemas Operativo.
○ os-login

┃ Aplicativos de Gestión.
○ Usuarios G Suite

┃ Bases de Datos.
○ Eliminar root
○ Solo cuentas de servicio

┃ Buckets.
○ Eliminar herencia
○ Solo cuentas de servicio
19
 SECRETOS

┃ KMS.
Kubernetes

┃ Buckets.
Engine

┃ Automatización de inyección.
Key Management
Compute
Engine
Service

Cloud
Storage

20
 LOGGING, ALERTING AND
MONITORING

┃ Login y Logout.
○ Consola, SO, Aplicativos, Bases de Datos.
○ Login audit log (G Suite) to Stackdriver.

┃ Stackdriver + BigQuery.
○ Stackdriver Monitoring agent.
○ Stackdriver Logging agent.
○ Logs-based metrics.

┃ FIle Integrity Monitoring (FIM).

○ OSSEC.
○
┃ Administración de Agentes de Antivirus (ePO).

21
 GOBIERNO

┃ Billing.

┃ Inventario.

┃ Procedimientos.

22
PREGUNTAS

23
Disaster Recovery Cloud
con GCP
Contenido

Situación Actual
Conceptos clave
Disaster Recovery
RTO-RPO
High Availability
Tolerance Failure
Responsabilidad compartida
Patrones de recuperación de desastre (DR)
Factores Clave
Situación actual
Situación Actual
Situación Actual
Situación Actual
Situación Actual
DRP / HA / FT
High availability
High Availability (HA)

● Instancias activa - activa

● Disminuir los tiempos de downtime
● La mayor dificultad son las bases de datos ACID.

ZONE A ZONE A

Content Server Content Server

Compute Engine Compute Engine

Autoscaling Autoscaling

Cloud Load
Balancing
ZONE B ZONE B

Content Server Content Server

Compute Engine Compute Engine

Autoscaling Autoscaling
Failure Tolerance
Failure Tolerance (FT)

● La instancia de FailOver se encuentra standby.

● Puede existir downtime.
● Principalmente usado para bases de datos.

ZONE A ZONE A
Content Server Content Server
Compute Engine Compute Engine
Autoscaling Autoscaling
Cloud Load Cloud Load
Balancing Balancing
ZONE B ZONE B
Content Server Content Server
Compute Engine Compute Engine
Autoscaling Autoscaling
DRP
Disaster Recovery (DR)

● Basado en un plan de continuidad de negocio.

● El DRP es un procedimiento.

● El DRP se ejecuta bajo demanda.

RPO - RTO
RPO - RTO
Shared responsibility model
Shared responsibility model
Patrones de recuperación de desastre
1.- No existe ningún tipo de infraestructura en otra región y todo el ambiente se debe reconstruir.

● Tiempo de RTO alto

● Tiempo de RPO Alto

Region XYQ
Standard
zone XYZ
Devices

Instance Group
Cloud Load Compute Engine Master
Balancing Cloud SQL
Web Applications

Region DR
2.- Existe un ambiente en otra región pero se encuentra apagado, no existe réplica de datos.

● Tiempo de RTO medio

● Tiempo de RPO alto

Region XYQ
Standard
zone XYZ
Devices

Instance Group
Cloud Load Compute Engine Master
Balancing Cloud SQL
Web Applications

Region DR

zone XYZ

Instance Group
Compute Engine Slave
Cloud SQL
Web Applications
3.- Existe un ambiente en otra región pero se encuentra apagado, con una réplica activa.

● Tiempo de RTO medio

● Tiempo de RPO medio

Region XYQ
Standard
zone XYZ
Devices

Instance Group
Cloud Load Compute Engine Master
Balancing Cloud SQL
Web Applications

Region DR

zone XYZ

Instance Group
Compute Engine Slave
Cloud SQL
Web Applications
4.- Existe un ambiente activo con todos los componentes de infraestructura creados, réplica de datos activa.

● Tiempo de RTO bajo

● Tiempo de RPO bajo

Region XYQ
Standard
zone XYZ
Devices

Instance Group
Cloud Load Compute Engine Master
Balancing Cloud SQL
Web Applications

Region XYQ

zone XYZ

Instance Group
Compute Engine Master
Cloud SQL
Web Applications
Factores clave
Factores clave

● Infraestructura como código. ● Deployment envoirement.

● En la confianza está el peligro. ● Pruebas de proceso ejecutivo.
● Sin Pruebas no hay DRP. ● Monitoreo.
● Calcular el costo de Downtime. ● Pruebas, pruebas y más
● Circuit Breaker. pruebas.
Gracias!