Con il pattern handover, l'architettura si basa sull'utilizzo Servizi di archiviazione forniti da Google Cloud per connettere un computing privato ai progetti in Google Cloud. Questo pattern si applica principalmente che seguono modello di architettura multi-cloud ibrido di analisi, dove:
- I carichi di lavoro in esecuzione in un ambiente di calcolo privato o in un altro cloud caricano i dati in posizioni di archiviazione condivise. In base all'uso casi, i caricamenti possono avvenire in blocco o a incrementi minori.
- I carichi di lavoro ospitati su Google Cloud o altri servizi Google (ad esempio, servizi di analisi dei dati e di intelligenza artificiale) consumano i dati dalle posizioni di archiviazione condivise e li elaborano in streaming o in batch.
Architettura
Il seguente diagramma mostra un'architettura di riferimento per il pattern di trasferimento.
Il diagramma di architettura precedente mostra i seguenti flussi di lavoro:
- Sul lato di Google Cloud, esegui il deployment dei carichi di lavoro in una VPC dell'applicazione. Questi carichi di lavoro possono includere l'elaborazione dei dati, l'analisi e le applicazioni frontend correlate all'analisi.
- Per esporre in modo sicuro le applicazioni frontend agli utenti, puoi utilizzare Cloud Load Balancing o API Gateway.
- Un insieme di bucket Cloud Storage o code Pub/Sub carica i dati dall'ambiente di calcolo privato e li rende disponibili per un'ulteriore elaborazione da parte dei carichi di lavoro di cui è stato eseguito il deployment in Google Cloud. Utilizzo i criteri IAM (Identity and Access Management), puoi limitare l'accesso ai carichi di lavoro attendibili.
- Utilizza Controlli di servizio VPC per limitare l'accesso ai servizi e ridurre al minimo i rischi ingiustificati di esfiltrazione di dati dai servizi Google Cloud.
- In questa architettura, la comunicazione
con i bucket Cloud Storage
o Pub/Sub, è condotto su reti pubbliche o tramite
la connettività privata tramite VPN, Cloud Interconnect
Cross-Cloud Interconnect. In genere, la decisione su come connettersi
dipende da diversi aspetti, ad esempio:
- Volume di traffico previsto
- Se si tratta di una configurazione temporanea o permanente
- Requisiti di sicurezza e conformità
Variante
Le opzioni di progettazione descritte Pattern in entrata con accesso riservato, che utilizza endpoint Private Service Connect per le API di Google, può anche da applicare a questo pattern. Nello specifico, fornisce accesso a Cloud Storage, BigQuery e altre API di servizi Google. Questo approccio richiede l'utilizzo di indirizzi IP privati su una connessione di rete ibrida e multicloud, come VPN, Cloud Interconnect e Cross-Cloud Interconnect.
Best practice
- Blocca l'accesso ai bucket Cloud Storage e agli argomenti Pub/Sub.
- Se applicabile, utilizzare soluzioni cloud-first integrate per lo spostamento dei dati ad esempio Google Cloud, suite di soluzioni. Per soddisfare le esigenze dei casi d'uso, queste soluzioni sono progettate per spostare, integrare e trasformare i dati in modo efficiente.
Valuta i diversi fattori che influenzano le opzioni di trasferimento dei dati come costi, tempo di trasferimento previsto e sicurezza. Per maggiori informazioni le informazioni, vedi Valutazione delle opzioni di trasferimento.
Per ridurre al minimo la latenza e impedire il trasferimento e lo spostamento di dati di grandi volumi sulla rete internet pubblica, ti consigliamo di utilizzare Cloud Interconnect o Cross-Cloud Interconnect, inclusa l'accesso agli endpoint Private Service Connect all'interno del tuo Virtual Private Cloud per le API Google.
Per proteggere i servizi Google Cloud nei tuoi progetti e per mitigare il rischio di esfiltrazione di dati, utilizza i Controlli di servizio VPC. Questi servizi possono specificare i perimetri di servizio a livello di progetto o di rete VPC.
- Puoi estendere i perimetri di servizio a un ambiente ibrido tramite una VPN autorizzata o Cloud Interconnect. Per ulteriori informazioni sui vantaggi dei perimetri di servizio, consulta la Panoramica dei Controlli di servizio VPC.
Comunica con carichi di lavoro di analisi dei dati pubblicati pubblicamente che sono ospitati su istanze VM tramite un gateway API, un bilanciatore del carico o l'appliance di rete virtuale. Utilizza uno di questi metodi di comunicazione per aggiungere ed evitare di rendere le istanze direttamente raggiungibili dal internet.
Se è necessario l'accesso a internet, Cloud NAT può essere utilizzato nella stessa VPC per gestire il traffico in uscita dalle istanze alla rete internet pubblica.
Consulta le best practice generali per le topologie di rete ibride e multi-cloud.