Patrones de traspaso

Last reviewed 2023-12-14 UTC

Con el patrón de traspaso, la arquitectura se basa en el uso de los servicios de almacenamiento proporcionados por Google Cloud para conectar un entorno de computación privado con los proyectos en Google Cloud. Este patrón se aplica en especial en la configuración que sigue el patrón de arquitectura de múltiples nubes híbridas de estadísticas, donde:

Las cargas de trabajo que se ejecutan en un entorno de computación privado o en otra nube suben datos a ubicaciones de almacenamiento compartidas. Según los casos de uso, las cargas pueden realizarse de forma masiva o en incrementos más pequeños.
Las cargas de trabajo alojadas en Google Cloud y otros servicios de Google (por ejemplo, servicios de inteligencia artificial y análisis de datos) consumen datos de las ubicaciones de almacenamiento compartidas y los procesan en forma de transmisión o por lotes.

Arquitectura

En el siguiente diagrama, se muestra una arquitectura de referencia para el patrón de traspaso.

Los datos fluyen desde un entorno local hasta una carga de trabajo alojada en VPC y un servicio de análisis de datos alojado en un entorno de Google Cloud.

En el diagrama de arquitectura anterior, se muestran los siguientes flujos de trabajo:

En Google Cloud, implementa cargas de trabajo en una VPC de aplicación. Estas cargas de trabajo pueden incluir procesamiento de datos, estadísticas y aplicaciones de frontend relacionadas con las estadísticas.
Para exponer las aplicaciones de frontend de forma segura a los usuarios, puedes usar Cloud Load Balancing o API Gateway.
Un conjunto de buckets de Cloud Storage o colas de Pub/Sub sube los datos del entorno de computación privado y los pone a disposición para su procesamiento posterior mediante cargas de trabajo implementadas en Google Cloud. Mediante las políticas de administración de identidades y accesos (IAM), puedes restringir el acceso a las cargas de trabajo de confianza.
Usa los Controles del servicio de VPC para restringir el acceso a los servicios y minimizar los riesgos de robo de datos no garantizados de los servicios de Google Cloud.
En esta arquitectura, la comunicación con los buckets de Cloud Storage, o Pub/Sub, se realiza a través de redes públicas o a través de la conectividad privada mediante VPN, Cloud Interconnect o Cross-Cloud Interconnect. Por lo general, la decisión de cómo conectarse depende de varios aspectos, como los siguientes:
- Volumen de tráfico esperado
- Si es una configuración temporal o permanente
- Requisitos de seguridad y cumplimiento

Variante

Las opciones de diseño que se describen en el patrón de entrada cerrada, que usa extremos de Private Service Connect para las APIs de Google, también se pueden aplicar a este patrón. Específicamente, proporciona acceso a Cloud Storage, BigQuery y otras APIs de servicio de Google. Este enfoque requiere un direccionamiento IP privado a través de una conexión de red híbrida y de múltiples nubes, como VPN, Cloud Interconnect y Cross-Cloud Interconnect.

prácticas recomendadas

Bloquea el acceso a los buckets de Cloud Storage y los temas de Pub/Sub.
Cuando corresponda, usa soluciones integradas de movimiento de datos centradas en la nube, como el paquete de soluciones de Google Cloud. Para satisfacer las necesidades de tu caso de uso, estas soluciones están diseñadas para mover, integrar y transformar datos de manera eficiente.
Evalúa los diferentes factores que influyen en las opciones de transferencia de datos, como el costo, el tiempo de transferencia esperado y la seguridad. Para obtener más información, consulta Evalúa tus opciones de transferencia.
Para minimizar la latencia y evitar la transferencia y el movimiento de datos de gran volumen a través de la Internet pública, considera usar Cloud Interconnect o Cross-Cloud Interconnect, incluido el acceso a extremos de Private Service Connect en tu nube privada virtual para las APIs de Google.
Para proteger los servicios de Google Cloud en tus proyectos y mitigar el riesgo de robo de datos, usa los Controles del servicio de VPC. Estos controles de servicio pueden especificar perímetros de servicio a nivel de proyecto o de red de VPC.
- Puedes extender los perímetros de servicio a un entorno híbrido a través de una VPN autorizada o con Cloud Interconnect. Para obtener más información sobre los beneficios de los perímetros de servicio, consulta la Descripción general de los Controles del servicio de VPC.
Comunícate con las cargas de trabajo de análisis de datos publicadas de forma pública que se alojan en instancias de VM a través de una puerta de enlace de API, un balanceador de cargas o un dispositivo de red virtual. Usa uno de estos métodos de comunicación para obtener mayor seguridad y evitar que se pueda acceder directamente a estas instancias desde Internet.
Si se requiere acceso a Internet, se puede usar Cloud NAT en la misma VPC para controlar el tráfico saliente de las instancias a la Internet pública.
Revisa las prácticas recomendadas generales sobre las topologías de red para nube híbrida y múltiples nubes.