Patrones de transferencia

Con el patrón de transferencia, la arquitectura se basa en el uso de servicios de almacenamiento proporcionados porGoogle Cloudpara conectar un entorno de computación privado a proyectos en Google Cloud. Este patrón se aplica principalmente a las configuraciones que siguen el patrón de arquitectura multinube híbrida de analíticas, donde:

• Las cargas de trabajo que se ejecutan en un entorno informático privado o en otra nube suben datos a ubicaciones de almacenamiento compartido. En función de los casos de uso, las subidas pueden realizarse en bloque o en incrementos más pequeños.
• Las cargas de trabajo alojadas enGoogle Cloudu otros servicios de Google (como los servicios de analíticas de datos y de inteligencia artificial) consumen datos de las ubicaciones de almacenamiento compartido y los tratan en tiempo real o por lotes.

Arquitectura

En el siguiente diagrama se muestra una arquitectura de referencia para el patrón de transferencia.

En el diagrama de arquitectura anterior se muestran los siguientes flujos de trabajo:

• En el Google Cloud lado, despliega cargas de trabajo en una VPC de aplicación. Estas cargas de trabajo pueden incluir el procesamiento de datos, las analíticas y las aplicaciones frontend relacionadas con las analíticas.
• Para exponer de forma segura las aplicaciones frontend a los usuarios, puedes usar Cloud Load Balancing o API Gateway.
• Un conjunto de segmentos de Cloud Storage o colas de Pub/Sub sube datos del entorno de computación privado y los pone a disposición de las cargas de trabajo implementadas en Google Cloudpara que los procesen. Con las políticas de Gestión de Identidades y Accesos (IAM), puedes restringir el acceso a cargas de trabajo de confianza.
• Usa Controles de Servicio de VPC para restringir el acceso a los servicios y minimizar los riesgos de filtración externa de datos no autorizada de los servicios de Google Cloud .
• En esta arquitectura, la comunicación con los segmentos de Cloud Storage o Pub/Sub se lleva a cabo a través de redes públicas o mediante conectividad privada con VPN, Cloud Interconnect o Cross-Cloud Interconnect. Normalmente, la decisión sobre cómo conectarse depende de varios aspectos, como los siguientes:
  • Volumen de tráfico previsto
  • Si se trata de una configuración temporal o permanente
  • Requisitos de seguridad y cumplimiento

Variación

Las opciones de diseño descritas en el patrón de entrada controlada, que usa puntos finales de Private Service Connect para las APIs de Google, también se pueden aplicar a este patrón. En concreto, proporciona acceso a Cloud Storage, BigQuery y otras APIs de servicios de Google. Este enfoque requiere el uso de direcciones IP privadas a través de una conexión de red híbrida y multinube, como VPN, Cloud Interconnect y Cross-Cloud Interconnect.

Prácticas recomendadas

• Restringe el acceso a los segmentos de Cloud Storage y a los temas de Pub/Sub.
• Cuando sea posible, usa soluciones de transferencia de datos integradas y basadas en la nube, como la Google Cloud suite de soluciones. Para satisfacer tus necesidades, estas soluciones se han diseñado para mover, integrar y transformar datos de forma eficiente.

• Evalúa los distintos factores que influyen en las opciones de transferencia de datos, como el coste, el tiempo de transferencia previsto y la seguridad. Para obtener más información, consulta Evaluar las opciones de transferencia.

• Para minimizar la latencia y evitar la transferencia y el movimiento de grandes volúmenes de datos a través de Internet pública, considera la posibilidad de usar Cloud Interconnect o Cross-Cloud Interconnect, incluido el acceso a los endpoints de Private Service Connect en tu nube privada virtual para las APIs de Google.

• Para proteger los Google Cloud servicios de tus proyectos y reducir el riesgo de filtración externa de datos, usa Controles de Servicio de VPC. Estos controles de servicio pueden especificar perímetros de servicio a nivel de proyecto o de red de VPC.

  • Puedes ampliar los perímetros de servicio a un entorno híbrido a través de una VPN o Cloud Interconnect autorizados. Para obtener más información sobre las ventajas de los perímetros de servicio, consulta Información general sobre Controles de Servicio de VPC.

• Comunícate con cargas de trabajo de analíticas de datos publicadas públicamente que estén alojadas en instancias de VM a través de una pasarela de API, un balanceador de carga o un dispositivo de red virtual. Usa uno de estos métodos de comunicación para aumentar la seguridad y evitar que se pueda acceder directamente a estas instancias desde Internet.

• Si se necesita acceso a Internet, se puede usar Cloud NAT en la misma VPC para gestionar el tráfico saliente de las instancias a Internet.

• Consulta las prácticas recomendadas generales para las topologías de redes híbridas y multicloud.