Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Last reviewed 2025-01-23 UTC
Avec le modèle de transfert, l'architecture repose sur l'utilisation de services de stockage fournis parGoogle Cloudpour connecter un environnement IT privé à des projets dans Google Cloud. Ce modèle s'applique principalement aux configurations qui suivent le modèle d'architecture multicloud hybride d'analyse, selon lequel:
Les charges de travail qui s'exécutent dans un environnement informatique privé ou dans un autre cloud importent les données dans des emplacements de stockage partagés. En fonction des cas d'utilisation, les importations peuvent s'effectuer de façon groupée ou par petits incréments.
Les charges de travail hébergées parGoogle Cloudou d'autres services Google (services d'analyse de données et d'intelligence artificielle, par exemple) consomment les données des emplacements de stockage partagés et les traitent par flux ou par lots.
Architecture
Le diagramme suivant illustre une architecture de référence appliquant une topologie de transfert.
Le diagramme d'architecture précédent présente les workflows suivants:
Du côté de Google Cloud , vous déployez les charges de travail dans un VPC d'application. Ces charges de travail peuvent inclure des applications de traitement de données, d'analyse et d'interface analytique.
Pour exposer de manière sécurisée les applications d'interface aux utilisateurs, vous pouvez utiliser Cloud Load Balancing ou API Gateway.
Un ensemble de buckets Cloud Storage ou de files d'attente Pub/Sub importe les données à partir de l'environnement informatique privé et les rend disponibles pour un traitement ultérieur par les charges de travail déployées dans Google Cloud. Les stratégies IAM (Identity and Access Management) vous permettent de limiter l'accès aux charges de travail validées.
Utilisez VPC Service Controls pour limiter l'accès aux services et minimiser les risques d'exfiltration de données non justifiée provenant des services Google Cloud .
Dans cette architecture, la communication avec les buckets Cloud Storage ou Pub/Sub s'effectue sur les réseaux publics ou via une connectivité privée à l'aide de VPN, de Cloud Interconnect ou de Cross-Cloud Interconnect. En règle générale, la décision de connecter des éléments dépend de plusieurs aspects, par exemple :
Volume de trafic attendu
S'il s'agit d'une configuration temporaire ou permanente
Exigences de sécurité et de conformité
Variante
Les options de conception décrites dans le modèle d'entrée contrôlée, qui utilise des points de terminaison Private Service Connect pour les API Google, peuvent également être appliquées à ce modèle.
Plus précisément, il permet d'accéder à Cloud Storage, BigQuery et d'autres API de services Google. Cette approche nécessite une adresse IP privée sur une connexion réseau hybride et multicloud, telle que VPN, Cloud Interconnect et Cross-Cloud Interconnect.
Bonnes pratiques
Verrouillez l'accès aux buckets Cloud Storage et aux sujets Pub/Sub.
Le cas échéant, utilisez des solutions de transfert de données intégrées et cloud first, comme la Google Cloud
suite de solutions.
Pour répondre aux besoins de votre cas d'utilisation, ces solutions sont conçues pour déplacer, intégrer et transformer efficacement les données.
Évaluez les différents facteurs qui influencent les options de transfert de données, tels que le coût, le temps de transfert prévu et la sécurité. Pour en savoir plus, consultez la section Évaluer vos options de transfert.
Pour réduire la latence et éviter de transférer et de déplacer de grandes quantités de données sur Internet, envisagez d'utiliser Cloud Interconnect ou Cross-Cloud Interconnect, y compris pour accéder aux points de terminaison Private Service Connect dans votre cloud privé virtuel pour les API Google.
Pour protéger les services Google Cloud de vos projets et limiter le risque d'exfiltration de données, utilisez VPC Service Controls. Ces contrôles de service peuvent spécifier des périmètres de service au niveau du projet ou du réseau VPC.
Communiquez avec des charges de travail d'analyse de données publiées publiquement et hébergées sur des instances de VM via une passerelle API, un équilibreur de charge ou une appliance de réseau virtuel. Utilisez l'une de ces méthodes de communication pour renforcer la sécurité et éviter de rendre ces instances directement accessibles depuis Internet.
Si un accès à Internet est nécessaire, Cloud NAT peut être utilisé dans le même VPC pour gérer le trafic sortant des instances vers l'Internet public.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/01/23 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/01/23 (UTC)."],[[["\u003cp\u003eThe handover pattern uses Google Cloud storage services to bridge data between private computing environments and Google Cloud projects, especially within analytics hybrid multicloud architectures.\u003c/p\u003e\n"],["\u003cp\u003eData is uploaded from private environments to shared Cloud Storage buckets or Pub/Sub queues, where Google Cloud workloads can then consume and process it.\u003c/p\u003e\n"],["\u003cp\u003eAccess to Cloud Storage and Pub/Sub can be secured using IAM policies and VPC Service Controls, limiting access to trusted workloads and minimizing data exfiltration risks.\u003c/p\u003e\n"],["\u003cp\u003eConnectivity between private environments and Google Cloud can be over public networks, VPN, Cloud Interconnect, or Cross-Cloud Interconnect, depending on factors like traffic volume, security, and setup duration.\u003c/p\u003e\n"],["\u003cp\u003eTo minimize latency and data movement over public networks, utilize Cloud Interconnect or Cross-Cloud Interconnect, and for added protection, use Private Service Connect endpoints within your Virtual Private Cloud for accessing Google APIs.\u003c/p\u003e\n"]]],[],null,["# Handover patterns\n\nWith the *handover* pattern, the architecture is based on using\nGoogle Cloud-provided storage services to connect a private computing\nenvironment to projects in Google Cloud. This pattern applies primarily to\nsetups that follow the\n[*analytics hybrid multicloud* architecture pattern](/architecture/hybrid-multicloud-patterns#analytics-hybrid-multicloud-patterns),\nwhere:\n\n- Workloads that are running in a private computing environment or in another cloud upload data to shared storage locations. Depending on use cases, uploads might happen in bulk or in smaller increments.\n- Google Cloud-hosted workloads or other Google services (data analytics and artificial intelligence services, for example) consume data from the shared storage locations and process it in a streaming or batch fashion.\n\nArchitecture\n------------\n\nThe following diagram shows a reference architecture for the handover\npattern.\n\nThe preceding architecture diagram shows the following workflows:\n\n- On the Google Cloud side, you deploy workloads into an application VPC. These workloads can include data processing, analytics, and analytics-related frontend applications.\n- To securely expose frontend applications to users, you can use Cloud Load Balancing or API Gateway.\n- A set of Cloud Storage buckets or Pub/Sub queues uploads data from the private computing environment and makes it available for further processing by workloads deployed in Google Cloud. Using Identity and Access Management (IAM) policies, you can restrict access to trusted workloads.\n- Use [VPC Service Controls](/vpc-service-controls) to restrict access to services and to minimize unwarranted data exfiltration risks from Google Cloud services.\n- In this architecture, communication with Cloud Storage buckets, or Pub/Sub, is conducted over public networks, or through private connectivity using VPN, Cloud Interconnect, or Cross-Cloud Interconnect. Typically, the decision on how to connect depends on several aspects, such as the following:\n - Expected traffic volume\n - Whether it's a temporary or permanent setup\n - Security and compliance requirements\n\nVariation\n---------\n\nThe design options outlined in the\n[*gated ingress* pattern](/architecture/hybrid-multicloud-secure-networking-patterns/gated-ingress),\nwhich uses Private Service Connect endpoints for Google APIs, can also\nbe applied to this pattern.\nSpecifically, it provides access to Cloud Storage, BigQuery,\nand other Google Service APIs. This approach requires private IP addressing over\na hybrid and multicloud network connection such as VPN, Cloud Interconnect\nand Cross-Cloud Interconnect.\n\nBest practices\n--------------\n\n- Lock down access to Cloud Storage buckets and Pub/Sub topics.\n- When applicable, use cloud-first, integrated data movement solutions like the Google Cloud [suite of solutions](/data-movement). To meet your use case needs, these solutions are designed to efficiently move, integrate, and transform data.\n- Assess the different factors that influence the data transfer options,\n such as cost, expected transfer time, and security. For more\n information, see\n [Evaluating your transfer options](/architecture/migration-to-google-cloud-transferring-your-large-datasets#step_3_evaluating_your_transfer_options).\n\n- To minimize latency and prevent high-volume data transfer and movement over\n the public internet, consider using Cloud Interconnect or\n Cross-Cloud Interconnect, including accessing\n Private Service Connect endpoints within your Virtual Private Cloud for\n Google APIs.\n\n- To protect Google Cloud services in your projects and to mitigate\n the risk of data exfiltration, use VPC Service Controls. These service\n controls can specify service perimeters at the project or VPC network level.\n\n - You can [extend service perimeters](/vpc-service-controls/docs/overview#hybrid_access) to a hybrid environment over an authorized VPN or Cloud Interconnect. For more information about the benefits of service perimeters, see [Overview of VPC Service Controls](/vpc-service-controls/docs/overview).\n- Communicate with publicly published data analytics workloads that are\n hosted on VM instances through an API gateway, a load balancer, or a\n virtual network appliance. Use one of these communication methods for added\n security and to avoid making these instances directly reachable from the\n internet.\n\n- If internet access is required,\n [Cloud NAT](/nat/docs)\n can be used in the same VPC to handle outbound traffic from the instances\n to the public internet.\n\n- Review the\n [general best practices](/architecture/hybrid-multicloud-secure-networking-patterns/general-best-practices)\n for hybrid and multicloud networking topologies."]]
