Padrões de entrega

Com o padrão de handover, a arquitetura é baseada no uso de serviços de armazenamento do Google Cloud para conectar um ambiente de computação privado a projetos no Google Cloud. Esse padrão se aplica principalmente às configurações que seguem o padrão de arquitetura multicloud híbrida de análise, em que:

• As cargas de trabalho em execução em um ambiente de computação privado ou em outra nuvem fazem o upload de dados para locais de armazenamento compartilhado. Dependendo dos casos de uso, os uploads podem ocorrer em massa ou em incrementos menores.
• Cargas de trabalho hospedadas pelo Google Cloud ou outros serviços do Google (por exemplo, análises de dados e serviços de inteligência artificial) consomem dados dos locais de armazenamento compartilhado e processam eles em streaming ou em lote.

Arquitetura

O diagrama a seguir mostra uma arquitetura de referência para o padrão de handover.

O diagrama de arquitetura anterior mostra os seguintes fluxos de trabalho:

• No lado do Google Cloud, você implanta cargas de trabalho em uma VPC de aplicativo. Essas cargas de trabalho podem incluir processamento de dados, análises e aplicativos front-end relacionados à análise.
• Para expor aplicativos front-end com segurança aos usuários, você pode usar o Cloud Load Balancing ou o gateway de API.
• Um conjunto de buckets do Cloud Storage ou filas do Pub/Sub faz o upload dos dados do ambiente de computação privado e os disponibiliza para o processamento por cargas de trabalho implantadas no Google Cloud. Usando as políticas do Identity and Access Management (IAM), é possível restringir o acesso a cargas de trabalho confiáveis.
• Use o VPC Service Controls para restringir o acesso a serviços e minimizar riscos de exfiltração de dados injustificada de serviços do Google Cloud.
• Nesta arquitetura, a comunicação com buckets do Cloud Storage ou do Pub/Sub é realizada em redes públicas ou pela conectividade privada usando VPN, Cloud Interconnect ou Cross-Cloud Interconnect. Normalmente, a decisão sobre como se conectar depende de vários aspectos, como:
  • Volume de tráfego esperado
  • Configuração temporária ou permanente
  • Requisitos de segurança e conformidade

Variação

As opções de design descritas no padrão de entrada controlado, que usa endpoints do Private Service Connect para APIs do Google, também podem ser aplicadas a esse padrão. Especificamente, ele dá acesso ao Cloud Storage, BigQuery, e outras APIs de serviços do Google. Essa abordagem requer um endereçamento IP privado em uma conexão de rede híbrida e multicloud, como VPN, Cloud Interconnect e Cross-Cloud Interconnect.

Práticas recomendadas

• Bloqueie o acesso a buckets do Cloud Storage e tópicos do Pub/Sub.
• Quando aplicável, use soluções de movimentação de dados integradas e com priorização da nuvem como o pacote de soluções do Google Cloud. Para atender às suas necessidades de caso de uso, essas soluções foram projetadas para mover, integrar e transformar os dados com eficiência.

• Avalie os diferentes fatores que influenciam as opções de transferência de dados como custo, tempo esperado de transferência e segurança. Para mais informações, consulte Avaliando as opções de transferência.

• Para minimizar a latência e evitar a transferência e a movimentação de alto volume de dados na Internet pública, use o Cloud Interconnect ou Cross-Cloud Interconnect, incluindo o acesso aos endpoints do Private Service Connect na nuvem privada virtual para APIs do Google.

• Para proteger os serviços do Google Cloud nos projetos e reduzir o risco de exfiltração de dados, use o VPC Service Controls. Esses controles de serviço podem especificar perímetros de serviço no nível do projeto ou da rede VPC.

  • Você pode estender perímetros de serviço para um ambiente híbrido usando uma VPN autorizada ou o Cloud Interconnect. Para mais informações sobre os benefícios dos perímetros de serviço, consulte Visão geral do VPC Service Controls.

• Comunique-se com cargas de trabalho de análise de dados veiculadas publicamente que são hospedadas em instâncias de VM usando um gateway de API, um balanceador de carga ou um dispositivo de rede virtual. Use um desses métodos de comunicação para aumentar a segurança e evitar tornar essas instâncias diretamente acessíveis na Internet.

• Se for necessário ter acesso à Internet, o Cloud NAT pode ser usado na mesma VPC para lidar com o tráfego de saída das instâncias na Internet pública.

• Reveja as práticas recomendadas gerais para topologias de rede híbrida e multicloud.