引き継ぎパターンでは、Google Cloudが提供するストレージ サービスを使用して、プライベート コンピューティング環境を Google Cloudのプロジェクトに接続します。このパターンは、分析ハイブリッド マルチクラウド アーキテクチャ パターンに従う設定に主に適用されます。次のように機能します。
- プライベート コンピューティング環境または別のクラウドで実行されているワークロードは、共有ストレージの場所にデータをアップロードします。ユースケースに応じて、アップロードは大量のメッセージまたは少量のメッセージで行われることがあります。
- Google Cloudでホストされているワークロードまたは他の Google サービス(データ分析サービスや人工知能サービスなど)は、共有ストレージ ロケーションからデータを使用します。また、ストリーミングまたはバッチ形式でデータを処理します。
アーキテクチャ
次の図は、ハンドオーバー パターンのリファレンス アーキテクチャを示しています。
上のアーキテクチャ図は、次のワークフローを示しています。
- Google Cloud 側では、ワークロードをアプリケーション VPC にデプロイします。こうしたワークロードには、データ処理、分析、分析関連のフロントエンド アプリケーションが含まれます。
- フロントエンド アプリケーションをユーザーに安全に公開するには、Cloud Load Balancing または API Gateway を使用します。
- Cloud Storage バケットまたは Pub/Sub キューのセットは、プライベート コンピューティング環境からデータをアップロードし、 Google Cloudにデプロイされたワークロードでそのデータを処理できるようにします。Identity and Access Management(IAM)ポリシーを使用して、信頼できるワークロードへのアクセスを制限できます。
- VPC Service Controls を使用して、サービスへのアクセスを制限し、 Google Cloud サービスからの不正なデータ漏洩のリスクを最小限に抑えます。
- このアーキテクチャでは、Cloud Storage バケットまたは Pub/Sub との通信は、公開ネットワーク経由で行われるか、VPN、Cloud Interconnect、または Cross-Cloud Interconnect を使用したプライベート接続を介して行われます。通常、接続方法の決定は、次のようないくつかの側面によって異なります。
- 予想されるトラフィック量
- 一時的なセットアップか、永続的なセットアップか
- セキュリティとコンプライアンス要件
バリエーション
Google API に Private Service Connect エンドポイントを使用するゲート付き上り(内向き)パターンで説明されている設計オプションも、このパターンに適用できます。具体的には、Cloud Storage、BigQuery、その他の Google Service API へのアクセスを提供します。このアプローチでは、VPN、Cloud Interconnect、Cross-Cloud Interconnect などのハイブリッド ネットワーク接続とマルチクラウド ネットワーク接続を介したプライベート IP アドレス指定が必要です。
ベスト プラクティス
- Cloud Storage バケットと Pub/Sub トピックへのアクセスを制限します。
- 必要に応じて、 Google Cloud ソリューション スイートなどのクラウド ファーストの統合データ移動ソリューションを使用してください。これらのソリューションは、ユースケースのニーズを満たすために、データを効率的に移動、統合、変換するように設計されています。
費用、転送時間の見積もり、セキュリティなど、データ転送オプションに影響するさまざまな要素を評価します。詳細については、移行オプションの評価をご覧ください。
レイテンシを最小限に抑え、公共のインターネットを介した大量のデータ転送と移動を防ぐには、Cloud Interconnect または Cross-Cloud Interconnect の使用を検討してください。たとえば、Google API 用の Virtual Private Cloud 内の Private Service Connect エンドポイントにアクセスします。
プロジェクト内の Google Cloud サービスを保護し、データ漏洩のリスクを軽減するには、VPC Service Controls を使用します。これらのサービス制御では、プロジェクトまたは VPC ネットワーク レベルでサービス境界を指定できます。
- 承認済みの VPN または Cloud Interconnect 経由でハイブリッド環境にサービス境界を拡張できます。サービス境界の利点については、VPC Service Controls の概要をご覧ください。
API ゲートウェイ、ロードバランサ、または仮想ネットワーク アプライアンスを使用して、VM インスタンスでホストされている一般公開されたデータ分析ワークロードと通信します。セキュリティを強化し、これらのインスタンスにインターネットから直接アクセスできないようにするには、次のいずれかの通信方法を使用します。
インターネット アクセスが必要な場合は、同じ VPC で Cloud NAT を使用して、インスタンスからパブリック インターネットへのアウトバウンド トラフィックを処理できます。
ハイブリッド クラウドとマルチクラウドのネットワーク トポロジに関する一般的なベスト プラクティスを確認します。