在采用“切换”模式时,架构基于使用 Google Cloud 提供的存储服务将私有计算环境连接到 Google Cloud 中的项目。此模式主要适用于遵循分析混合多云架构模式的设置,其中:
- 在私有计算环境或其他云中运行的工作负载会将数据上传到共享存储位置。根据使用场景,可能以批量或小型消息的形式上传。
- Google Cloud 托管的工作负载或其他 Google 服务(例如数据分析和人工智能服务)会使用共享存储位置中的数据,并以流式或批量方式对其进行处理。
架构
下图展示了切换模式的参考架构。
上图显示了以下工作流:
- 在 Google Cloud 端,将工作负载部署到应用 VPC 中。这些工作负载可包括数据处理、分析以及与分析相关的前端应用。
- 如需将前端应用安全地公开给用户,您可以使用 Cloud Load Balancing 或 API Gateway。
- 一组 Cloud Storage 存储桶或 Pub/Sub 队列会从私有计算环境上传数据,并使其可供 Google Cloud 中部署的工作负载做进一步处理。您可以使用 Identity and Access Management (IAM) 政策来限制对可信工作负载的访问。
- 使用 VPC Service Controls 可以限制对服务的访问权限,并最大限度地降低 Google Cloud 服务中发生数据渗漏的风险。
- 在此架构中,是通过公共网络或使用 VPN、Cloud Interconnect 或跨云互连的专用连接与 Cloud Storage 存储桶或 Pub/Sub 通信的。通常,如何连接取决于多方面因素,例如:
- 预计的流量
- 是临时设置还是永久设置
- 安全和合规性要求
变体
受控入口模式中概述的设计选项(使用 Google API 的 Private Service Connect 端点)也可以应用于此模式。具体而言,它可提供对 Cloud Storage、BigQuery 和其他 Google 服务 API 的访问权限。此方法需要通过混合和多云网络连接(例如 VPN、Cloud Interconnect 和 Cross-Cloud Interconnect)使用专用 IP 寻址。
最佳做法
- 锁定对 Cloud Storage 存储桶和 Pub/Sub 主题的访问。
- 在适用的情况下,使用云优先的集成数据迁移解决方案,例如 Google Cloud 解决方案套件。为了满足您的用例需求,这些解决方案旨在高效地移动、集成和转换数据。
评估影响数据传输选项的不同因素,例如费用、预计传输时间和安全性。如需了解详情,请参阅评估转移选项。
为了尽可能缩短延迟时间并避免通过公共互联网进行大量数据传输和移动,请考虑使用 Cloud Interconnect 或 Cross-Cloud Interconnect,包括通过 Virtual Private Cloud 访问 Google API 的 Private Service Connect 端点。
为了保护项目中的 Google Cloud 服务并降低数据渗漏的风险,请使用 VPC Service Controls。这些服务控件可以在项目或 VPC 网络级别指定服务边界。
- 您可以通过授权 VPN 或 Cloud Interconnect 将服务边界扩展到混合环境。如需详细了解服务边界的优势,请参阅 VPC Service Controls 概览。
通过 API 网关、负载均衡器或虚拟网络设备与在虚拟机实例上托管的公开发布的数据分析工作负载进行通信。使用这些通信方法之一可提高安全性,并避免从互联网直接访问这些实例。
如果需要访问互联网,可以在同一 VPC 中使用 Cloud NAT 来处理从实例到公共互联网的出站流量。
查看混合云和多云网络拓扑的一般最佳实践。