Pattern di passaggio

Con il pattern handover, l'architettura si basa sull'utilizzo dei servizi di archiviazione forniti daGoogle Cloudper collegare un ambiente di calcolo privato ai progetti in Google Cloud. Questo pattern si applica principalmente alle configurazioni che seguono il pattern di architettura multicloud ibrida per l'analisi, dove:

• I carichi di lavoro in esecuzione in un ambiente di calcolo privato o in un altro cloud caricano dati in posizioni di archiviazione condivise. A seconda dei casi d'uso, i caricamenti possono avvenire collettivamente o in incrementi più piccoli.
• I carichi di lavoro ospitati suGoogle Cloudo su altri servizi Google (ad esempio, servizi di analisi dei dati e di intelligenza artificiale) consumano i dati dalle posizioni di archiviazione condivise e li elaborano in modalità streaming o batch.

Architettura

Il seguente diagramma mostra un'architettura di riferimento per il pattern di trasferimento.

Il diagramma di architettura precedente mostra i seguenti flussi di lavoro:

• Sul lato Google Cloud , esegui il deployment dei carichi di lavoro in una VPC dell'applicazione. Questi carichi di lavoro possono includere l'elaborazione dei dati, l'analisi e le applicazioni frontend correlate all'analisi.
• Per esporre in modo sicuro le applicazioni frontend agli utenti, puoi utilizzare Cloud Load Balancing o API Gateway.
• Un insieme di bucket Cloud Storage o code Pub/Sub carica i dati dall'ambiente di calcolo privato e li rende disponibili per un'ulteriore elaborazione da parte dei carichi di lavoro di cui è stato eseguito il deployment in Google Cloud. Utilizzando i criteri IAM (Identity and Access Management), puoi limitare l'accesso ai carichi di lavoro attendibili.
• Utilizza Controlli di servizio VPC per limitare l'accesso ai servizi e ridurre al minimo i rischi di esfiltrazione di dati ingiustificati dai servizi Google Cloud .
• In questa architettura, la comunicazione con i bucket Cloud Storage o Pub/Sub avviene su reti pubbliche o tramite connettività privata utilizzando VPN, Cloud Interconnect o Cross-Cloud Interconnect. In genere, la decisione su come effettuare la connessione dipende da diversi aspetti, tra cui:
  • Volume di traffico previsto
  • Se si tratta di una configurazione temporanea o permanente
  • Requisiti di sicurezza e conformità

Variazione

Le opzioni di progettazione descritte nel pattern di ingresso controllato, che utilizza gli endpoint Private Service Connect per le API di Google, possono essere applicate anche a questo pattern. Nello specifico, fornisce accesso a Cloud Storage, BigQuery e altre API di servizi Google. Questo approccio richiede l'utilizzo di indirizzi IP privati su una connessione di rete ibrida e multicloud, come VPN, Cloud Interconnect e Cross-Cloud Interconnect.

Best practice

• Blocca l'accesso ai bucket Cloud Storage e agli argomenti Pub/Sub.
• Se applicabile, utilizza soluzioni di trasferimento dei dati integrate e cloud-first come la suite di soluzioni Google Cloud. Per soddisfare le esigenze dei casi d'uso, queste soluzioni sono progettate per spostare, integrare e trasformare i dati in modo efficiente.

• Valuta i diversi fattori che influiscono sulle opzioni di trasferimento dei dati, come il costo, il tempo di trasferimento previsto e la sicurezza. Per ulteriori informazioni, consulta Valutare le opzioni di trasferimento.

• Per ridurre al minimo la latenza e impedire il trasferimento e lo spostamento di dati di grandi volumi sulla rete internet pubblica, ti consigliamo di utilizzare Cloud Interconnect o Cross-Cloud Interconnect, inclusa l'accesso agli endpoint Private Service Connect all'interno del tuo Virtual Private Cloud per le API Google.

• Per proteggere i servizi Google Cloud nei tuoi progetti e per mitigare il rischio di esfiltrazione di dati, utilizza i Controlli di servizio VPC. Questi controlli di servizio possono specificare perimetri di servizio a livello di progetto o rete VPC.

  • Puoi estendere i perimetri di servizio a un ambiente ibrido tramite una VPN autorizzata o Cloud Interconnect. Per ulteriori informazioni sui vantaggi dei perimetri di servizio, consulta la Panoramica dei Controlli di servizio VPC.

• Comunicare con i carichi di lavoro di analisi dei dati pubblicati pubblicamente che sono ospitati su istanze VM tramite un gateway API, un bilanciatore del carico o un'appliance di rete virtuale. Utilizza uno di questi metodi di comunicazione per una maggiore sicurezza ed evita di rendere queste istanze direttamente raggiungibili da internet.

• Se è necessario l'accesso a internet, Cloud NAT può essere utilizzato nella stessa VPC per gestire il traffico in uscita dalle istanze alla rete internet pubblica.

• Consulta le best practice generali per le topologie di rete ibride e multi-cloud.