Pola serah terima

Last reviewed 2023-12-14 UTC

Dengan pola pengalihan, arsitektur didasarkan pada penggunaan layanan penyimpanan yang disediakan Google Cloud untuk menghubungkan lingkungan komputasi pribadi ke project di Google Cloud. Pola ini terutama berlaku untuk penyiapan yang mengikuti pola arsitektur multicloud hybrid analisis, dengan:

  • Workload yang berjalan di lingkungan komputasi pribadi atau di cloud lain mengupload data ke lokasi penyimpanan bersama. Bergantung pada kasus penggunaan, upload mungkin terjadi secara massal atau dalam penambahan yang lebih kecil.
  • Workload yang dihosting Google Cloud atau layanan Google lainnya (misalnya, layanan analitik data dan kecerdasan buatan) menggunakan data dari lokasi penyimpanan bersama dan memprosesnya secara streaming atau batch.

Arsitektur

Diagram berikut menunjukkan arsitektur referensi untuk pola pengalihan.

Data mengalir dari lingkungan lokal ke beban kerja yang dihosting VPC dan layanan analisis data yang dihosting di lingkungan Google Cloud.

Diagram arsitektur sebelumnya menunjukkan alur kerja berikut:

  • Di sisi Google Cloud, Anda men-deploy workload ke dalam VPC aplikasi. Workload ini dapat mencakup pemrosesan data, analisis, dan aplikasi frontend terkait analisis.
  • Untuk mengekspos aplikasi frontend dengan aman kepada pengguna, Anda dapat menggunakan Cloud Load Balancing atau API Gateway.
  • Sekumpulan bucket Cloud Storage atau antrean Pub/Sub mengupload data dari lingkungan komputasi pribadi dan menyediakannya untuk diproses lebih lanjut oleh workload yang di-deploy di Google Cloud. Dengan kebijakan Identity and Access Management (IAM), Anda dapat membatasi akses ke workload tepercaya.
  • Gunakan Kontrol Layanan VPC untuk membatasi akses ke layanan dan meminimalkan risiko pemindahan data yang tidak sah dari layanan Google Cloud.
  • Dalam arsitektur ini, komunikasi dengan bucket Cloud Storage, atau Pub/Sub, dilakukan melalui jaringan publik, atau melalui konektivitas pribadi menggunakan VPN, Cloud Interconnect, atau Cross-Cloud Interconnect. Biasanya, keputusan tentang cara menghubungkannya bergantung pada beberapa aspek, seperti berikut:
    • Volume traffic yang diharapkan
    • Apakah penyiapan bersifat sementara atau permanen
    • Persyaratan keamanan dan kepatuhan

Variasi

Opsi desain yang diuraikan dalam pola ingress terkontrol, yang menggunakan endpoint Private Service Connect untuk Google API, juga dapat diterapkan ke pola ini. Secara khusus, API ini memberikan akses ke Cloud Storage, BigQuery, dan API Layanan Google lainnya. Pendekatan ini memerlukan pengalamatan IP pribadi melalui koneksi jaringan hybrid dan multicloud seperti VPN, Cloud Interconnect, dan Cross-Cloud Interconnect.

Praktik terbaik

  • Kunci akses ke bucket Cloud Storage dan topik Pub/Sub.
  • Jika berlaku, gunakan solusi perpindahan data terintegrasi cloud-first seperti rangkaian solusi Google Cloud. Untuk memenuhi kebutuhan kasus penggunaan Anda, solusi ini dirancang untuk memindahkan, mengintegrasikan, dan mengubah data secara efisien.
  • Nilai berbagai faktor yang memengaruhi opsi transfer data, seperti biaya, perkiraan waktu transfer, dan keamanan. Untuk mengetahui informasi selengkapnya, lihat Mengevaluasi opsi transfer Anda.

  • Untuk meminimalkan latensi dan mencegah transfer dan pergerakan data dalam volume tinggi melalui internet publik, sebaiknya gunakan Cloud Interconnect atau Cross-Cloud Interconnect, termasuk mengakses endpoint Private Service Connect dalam Virtual Private Cloud untuk Google API.

  • Untuk melindungi layanan Google Cloud dalam project Anda dan memitigasi risiko pemindahan data yang tidak sah, gunakan Kontrol Layanan VPC. Kontrol layanan ini dapat menentukan perimeter layanan di tingkat project atau jaringan VPC.

  • Berkomunikasi dengan beban kerja analisis data yang dipublikasikan secara publik yang dihosting di instance VM melalui gateway API, load balancer, atau perangkat jaringan virtual. Gunakan salah satu metode komunikasi ini untuk keamanan tambahan dan untuk menghindari agar instance ini dapat dijangkau langsung dari internet.

  • Jika akses internet diperlukan, Cloud NAT dapat digunakan di VPC yang sama untuk menangani traffic keluar dari instance ke internet publik.

  • Tinjau praktik terbaik umum untuk topologi jaringan hybrid dan multicloud.