Con il pattern handover, l'architettura si basa sull'utilizzo Servizi di archiviazione forniti da Google Cloud per connettere un computing privato ai progetti in Google Cloud. Questo pattern si applica principalmente che seguono modello di architettura multi-cloud ibrido di analisi, dove:
- Carichi di lavoro in esecuzione in un ambiente di computing privato o in un altro cloud caricare i dati in posizioni di archiviazione condivise. In base all'uso casi, i caricamenti possono avvenire in blocco o a incrementi minori.
- Carichi di lavoro ospitati su Google Cloud o altri servizi Google (dati servizi di analisi dei dati e di intelligenza artificiale, ad esempio, consumano dati dalle posizioni di archiviazione condivisa e li elaborano in modalità flusso moda.
Architettura
Il seguente diagramma mostra un'architettura di riferimento per il passaggio pattern.
Il diagramma dell'architettura precedente mostra i seguenti flussi di lavoro:
- Sul lato Google Cloud, esegui il deployment dei carichi di lavoro VPC dell'applicazione. Questi carichi di lavoro possono includere elaborazione dati, analisi e applicazioni di frontend legate all'analisi.
- Per esporre in modo sicuro le applicazioni frontend agli utenti, puoi utilizzare Cloud Load Balancing o API Gateway.
- I dati vengono caricati da un insieme di bucket Cloud Storage o code Pub/Sub dall'ambiente di computing privato e lo rende disponibile per da parte dei carichi di lavoro di cui è stato eseguito il deployment in Google Cloud. Utilizzo i criteri IAM (Identity and Access Management), puoi limitare l'accesso ai carichi di lavoro attendibili.
- Utilizza le funzionalità di Controlli di servizio VPC per limitare l'accesso ai servizi e ridurre al minimo i dati ingiustificati rischi di esfiltrazione dai servizi Google Cloud.
- In questa architettura, la comunicazione
con i bucket Cloud Storage
o Pub/Sub, è condotto su reti pubbliche o tramite
la connettività privata tramite VPN, Cloud Interconnect
Cross-Cloud Interconnect. In genere, la decisione su come connettersi
dipende da diversi aspetti, ad esempio:
- Volume di traffico previsto
- Che si tratti di una configurazione temporanea o definitiva
- Requisiti di sicurezza e conformità
Variante
Le opzioni di progettazione descritte Pattern in entrata con accesso riservato, che utilizza endpoint Private Service Connect per le API di Google, può anche da applicare a questo pattern. In particolare, fornisce accesso a Cloud Storage, BigQuery, e altre API dei servizi Google. Questo approccio richiede l'indirizzamento IP privato una connessione di rete ibrida e multi-cloud come VPN, Cloud Interconnect e Cross-Cloud Interconnect.
Best practice
- Blocca l'accesso ai bucket Cloud Storage e gli argomenti Pub/Sub.
- Se applicabile, utilizzare soluzioni cloud-first integrate per lo spostamento dei dati ad esempio Google Cloud, suite di soluzioni. Per soddisfare le tue esigenze relative ai casi d'uso, queste soluzioni sono progettate per spostare, integrare e trasformare i dati.
Valuta i diversi fattori che influenzano le opzioni di trasferimento dei dati come costi, tempo di trasferimento previsto e sicurezza. Per maggiori informazioni le informazioni, vedi Valutazione delle opzioni di trasferimento.
Per ridurre al minimo la latenza ed evitare trasferimenti e spostamenti di dati ad alto volume sulla rete internet pubblica, valuta l'utilizzo di Cloud Interconnect Cross-Cloud Interconnect, compreso l'accesso Endpoint Private Service Connect all'interno del Virtual Private Cloud per API di Google.
Per proteggere i servizi Google Cloud nei tuoi progetti e mitigare il rischio di esfiltrazione di dati, usa i Controlli di servizio VPC. Questi servizi possono specificare i perimetri di servizio a livello di progetto o di rete VPC.
- Puoi estendere i perimetri di servizio in un ambiente ibrido su VPN autorizzata e Cloud Interconnect. Per ulteriori informazioni sui vantaggi delle perimetri di servizio, Panoramica dei Controlli di servizio VPC.
Comunica con carichi di lavoro di analisi dei dati pubblicati pubblicamente che sono ospitati su istanze VM tramite un gateway API, un bilanciatore del carico o l'appliance di rete virtuale. Utilizza uno di questi metodi di comunicazione per aggiungere ed evitare di rendere le istanze direttamente raggiungibili dal internet.
Se è necessario l'accesso a internet, Cloud NAT possono essere utilizzate nello stesso VPC per gestire il traffico in uscita dalle istanze alla rete internet pubblica.
Esamina il best practice generali per topologie di networking ibride e multi-cloud.