Modelli di passaggio

Con il pattern handover, l'architettura si basa sull'utilizzo dei servizi di archiviazione forniti da Google Cloud per collegare un ambiente di computing privato ai progetti in Google Cloud. Questo pattern si applica principalmente alle configurazioni che seguono il modello di architettura multi-cloud ibrido di analisi, in cui:

• Carichi di lavoro in esecuzione in un ambiente di computing privato o in un altro cloud per caricare dati in posizioni di archiviazione condivise. A seconda dei casi d'uso, i caricamenti potrebbero avvenire in blocco o a incrementi più piccoli.
• I carichi di lavoro ospitati su Google Cloud o altri servizi Google (ad esempio servizi di analisi dei dati e di intelligenza artificiale) utilizzano i dati provenienti dalle posizioni di archiviazione condivisa e li elaborano in modalità flusso o batch.

Architettura

Il seguente diagramma mostra un'architettura di riferimento per il pattern di passaggio.

Il diagramma dell'architettura precedente mostra i seguenti flussi di lavoro:

• Sul lato Google Cloud, esegui il deployment dei carichi di lavoro in un VPC dell'applicazione. Questi carichi di lavoro possono includere applicazioni frontend correlate all'elaborazione dei dati, all'analisi e all'analisi.
• Per esporre in modo sicuro le applicazioni frontend agli utenti, puoi utilizzare Cloud Load Balancing o API Gateway.
• Un insieme di bucket Cloud Storage o code Pub/Sub carica i dati dall'ambiente di computing privato e li rende disponibili per l'ulteriore elaborazione da parte dei carichi di lavoro di cui è stato eseguito il deployment in Google Cloud. Utilizzando i criteri IAM (Identity and Access Management), puoi limitare l'accesso ai carichi di lavoro attendibili.
• Utilizza Controlli di servizio VPC per limitare l'accesso ai servizi e ridurre al minimo i rischi di esfiltrazione di dati ingiustificati dai servizi Google Cloud.
• In questa architettura, la comunicazione con i bucket Cloud Storage, o Pub/Sub, avviene su reti pubbliche o tramite connettività privata tramite VPN, Cloud Interconnect o Cross-Cloud Interconnect. In genere, la decisione su come stabilire una connessione dipende da diversi aspetti, tra cui:
  • Volume di traffico previsto
  • Che si tratti di una configurazione temporanea o definitiva
  • Requisiti di sicurezza e conformità

Variante

A questo pattern possono essere applicate anche le opzioni di progettazione descritte nel pattern in entrata con accesso riservato, che utilizza gli endpoint Private Service Connect per le API di Google. In particolare, fornisce accesso a Cloud Storage, BigQuery e ad altre API dei servizi Google. Questo approccio richiede indirizzi IP privati su una connessione di rete ibrida e multi-cloud come VPN, Cloud Interconnect e Cross-Cloud Interconnect.

Best practice

• Blocca l'accesso ai bucket Cloud Storage e agli argomenti Pub/Sub.
• Ove applicabile, utilizza soluzioni cloud-first integrate per lo spostamento dei dati come la suite di soluzioni Google Cloud. Per soddisfare le tue esigenze relative ai casi d'uso, queste soluzioni sono progettate per spostare, integrare e trasformare i dati in modo efficiente.

• Valuta i diversi fattori che influenzano le opzioni di trasferimento dei dati, come costo, tempo di trasferimento previsto e sicurezza. Per ulteriori informazioni, consulta la sezione Valutazione delle opzioni di trasferimento.

• Per ridurre al minimo la latenza e impedire trasferimenti e spostamenti di dati di volume elevato sulla rete internet pubblica, valuta l'utilizzo di Cloud Interconnect o Cross-Cloud Interconnect, incluso l'accesso agli endpoint Private Service Connect all'interno del Virtual Private Cloud per le API di Google.

• Per proteggere i servizi Google Cloud nei tuoi progetti e ridurre il rischio di esfiltrazione di dati, utilizza Controlli di servizio VPC. Questi controlli di servizio possono specificare i perimetri di servizio a livello di progetto o di rete VPC.

  • Puoi estendere i perimetri di servizio a un ambiente ibrido su una VPN autorizzata o Cloud Interconnect. Per ulteriori informazioni sui vantaggi dei perimetri di servizio, consulta Panoramica dei Controlli di servizio VPC.

• Comunica con carichi di lavoro di analisi dei dati pubblicati pubblicamente e ospitati su istanze VM tramite un gateway API, un bilanciatore del carico o un'appliance di rete virtuale. Utilizza uno di questi metodi di comunicazione per maggiore sicurezza e per evitare di rendere le istanze direttamente raggiungibili da internet.

• Se è necessario l'accesso a internet, puoi utilizzare Cloud NAT nello stesso VPC per gestire il traffico in uscita dalle istanze alla rete internet pubblica.

• Esamina le best practice generali per le topologie di networking ibride e multi-cloud.