Das Handover-Muster beruht auf der Verwendung der in Google Cloud bereitgestellten Speicherdienste, um eine private Rechenumgebung mit Projekten in Google Cloud zu verbinden. Dieses Muster gilt hauptsächlich für Einrichtungen, die dem Architekturmuster der Hybrid-Multi-Cloud für Analysen folgen. Dabei gilt:
- Von den in einer privaten Rechenumgebung oder einer anderen Cloud ausgeführten Arbeitslasten werden Daten in freigegebene Speicher hochgeladen. Je nach Anwendungsfall können Uploads in Bulk-Uploads oder in kleineren Schritten erfolgen.
- In Google Cloud gehostete Arbeitslasten oder andere Google-Dienste (z. B. Datenanalyse- und KI-Dienste) nutzen Daten von den freigegebenen Speicherorten und verarbeiten sie per Streaming oder Batch.
Architektur
Das folgende Diagramm zeigt eine Referenzarchitektur für das Handover-Muster.
Das obige Architekturdiagramm zeigt die folgenden Workflows:
- In Google Cloud stellen Sie Arbeitslasten in einer Anwendungs-VPC bereit. Diese Arbeitslasten können Datenverarbeitungs-, Analyse- und analysebezogene Front-End-Anwendungen umfassen.
- Frontend-Anwendungen können Nutzern über Cloud Load Balancing oder API Gateway sicher zur Verfügung gestellt werden.
- Mit einer Reihe von Cloud Storage-Buckets oder Pub/Sub-Warteschlangen werden Daten aus der privaten Rechenumgebung hochgeladen und zur weiteren Verarbeitung durch Arbeitslasten zur Verfügung gestellt, die in Google Cloud ausgeführt werden. Mit IAM-Richtlinien (Identity and Access Management) können Sie den Zugriff auf vertrauenswürdige Arbeitslasten beschränken.
- Mit VPC Service Controls können Sie den Zugriff auf Dienste einschränken und das Risiko unerwünschter Daten-Exfiltration aus Google Cloud-Diensten minimieren.
- In dieser Architektur erfolgt die Kommunikation mit Cloud Storage-Buckets (Pub/Sub) über öffentliche Netzwerke oder über private Verbindungen mit VPN, Cloud Interconnect oder Cross-Cloud Interconnect. Die Entscheidung, wie eine Verbindung hergestellt werden soll,
hängt von mehreren Aspekten ab, wie zum Beispiel:
- Erwartetes Traffic-Volumen
- Ob es sich um eine temporäre oder permanente Einrichtung handelt
- Sicherheits- und Complianceanforderungen
Variante
Die Designoptionen, die im Muster für gatewaygesteuerten eingehenden Traffic beschrieben werden, das Private Service Connect-Endpunkte für Google APIs verwendet, können auch auf dieses Muster angewendet werden. Insbesondere erhalten Sie Zugriff auf Cloud Storage, BigQuery und andere Google Service APIs. Dieser Ansatz erfordert eine private IP-Adressierung über eine Hybrid- und Multi-Cloud-Netzwerkverbindung wie VPN, Cloud Interconnect und Cross-Cloud Interconnect.
Best Practices
- Sperren Sie den Zugriff auf Cloud Storage-Buckets und Pub/Sub-Themen.
- Verwenden Sie gegebenenfalls integrierte Cloud-First-Lösungen für die Datenverschiebung wie die Lösungssuite von Google Cloud. Diese Lösungen sind darauf ausgelegt, Daten effizient zu verschieben, zu integrieren und zu transformieren, um die Anforderungen Ihres Anwendungsfalls zu erfüllen.
Bewerten Sie die verschiedenen Faktoren, die sich auf die Datenübertragungsoptionen auswirken, z. B. Kosten, erwartete Übertragungszeit und Sicherheit. Weitere Informationen finden Sie unter Übertragungsoptionen bewerten.
Ziehen Sie die Verwendung von Cloud Interconnect oder Cross-Cloud Interconnect in Betracht, um die Latenz zu minimieren und die Übertragung und Verschiebung großer Datenmengen über das öffentliche Internet zu verhindern, einschließlich des Zugriffs auf Private Service Connect-Endpunkte in Ihrer Virtual Private Cloud für Google APIs.
Verwenden Sie VPC Service Controls, um Google Cloud-Dienste in Ihren Projekten zu schützen und das Risiko der Daten-Exfiltration zu minimieren. Diese Dienstkontrollen können Dienstperimeter auf Projekt- oder VPC-Netzwerkebene festlegen.
- Sie können Dienstperimeter über ein autorisiertes VPN oder Cloud Interconnect auf eine Hybridumgebung erweitern. Weitere Informationen zu den Vorteilen von Dienstperimetern finden Sie unter VPC Service Controls.
Kommunizieren Sie mit öffentlich veröffentlichten Datenanalyse-Arbeitslasten, die auf VM-Instanzen über ein API-Gateway, einen Load-Balancer oder eine virtuelle Netzwerk-Appliance gehostet werden. Verwenden Sie eine dieser Kommunikationsmethoden für zusätzliche Sicherheit und um zu vermeiden, dass diese Instanzen direkt vom Internet aus erreichbar sind.
Wenn Internetzugriff erforderlich ist, kann Cloud NAT in derselben VPC verwendet werden, um ausgehenden Traffic von den Instanzen zum öffentlichen Internet zu verarbeiten.
Allgemeine Best Practices für Hybrid- und Multi-Cloud-Netzwerktopologien