Padrões de transferência

Com o padrão de transferência, a arquitetura baseia-se na utilização de serviços de armazenamento fornecidos pelaGoogle Cloudpara ligar um ambiente de computação privado a projetos no Google Cloud. Este padrão aplica-se principalmente a configurações que seguem o padrão de arquitetura multinuvem híbrida de estatísticas, em que:

• As cargas de trabalho que estão a ser executadas num ambiente de computação privado ou noutra nuvem carregam dados para localizações de armazenamento partilhadas. Consoante os exemplos de utilização, os carregamentos podem ocorrer em massa ou em incrementos mais pequenos.
• Google Cloud- As cargas de trabalho alojadas ou outros serviços Google (por exemplo, serviços de análise de dados e inteligência artificial) consomem dados das localizações de armazenamento partilhadas e processam-nos de forma de streaming ou em lote.

Arquitetura

O diagrama seguinte mostra uma arquitetura de referência para o padrão de transferência.

O diagrama de arquitetura anterior mostra os seguintes fluxos de trabalho:

• No Google Cloud lado, implementa cargas de trabalho numa VPC de aplicação. Estas cargas de trabalho podem incluir processamento de dados, estatísticas e aplicações de front-end relacionadas com estatísticas.
• Para expor aplicações de front-end aos utilizadores de forma segura, pode usar o Cloud Load Balancing ou o API Gateway.
• Um conjunto de contentores do Cloud Storage ou filas do Pub/Sub carregam dados do ambiente de computação privado e disponibilizam-nos para processamento adicional por cargas de trabalho implementadas no Google Cloud. Através das políticas de gestão de identidade e de acesso (IAM), pode restringir o acesso a cargas de trabalho fidedignas.
• Use os VPC Service Controls para restringir o acesso aos serviços e minimizar os riscos de exfiltração de dados injustificados dos Google Cloud serviços.
• Nesta arquitetura, a comunicação com contentores do Cloud Storage ou o Pub/Sub é realizada através de redes públicas ou de conetividade privada através de VPN, Cloud Interconnect ou Cross-Cloud Interconnect. Normalmente, a decisão sobre como estabelecer ligação depende de vários aspetos, como os seguintes:
  • Volume de tráfego esperado
  • Se é uma configuração temporária ou permanente
  • Requisitos de segurança e conformidade

Variação

As opções de design descritas no padrão de entrada controlada, que usa pontos finais do Private Service Connect para APIs Google, também podem ser aplicadas a este padrão. Especificamente, fornece acesso ao Cloud Storage, ao BigQuery e a outras APIs de serviços Google. Esta abordagem requer endereçamento IP privado através de uma ligação de rede híbrida e multicloud, como VPN, Cloud Interconnect e Cross-Cloud Interconnect.

Práticas recomendadas

• Restrinja o acesso a contentores do Cloud Storage e tópicos do Pub/Sub.
• Quando aplicável, use soluções de movimentação de dados integradas e baseadas na nuvem, como o Google Cloud conjunto de soluções. Para satisfazer as necessidades do seu exemplo de utilização, estas soluções foram concebidas para mover, integrar e transformar dados de forma eficiente.

• Avalie os diferentes fatores que influenciam as opções de transferência de dados, como o custo, o tempo de transferência esperado e a segurança. Para mais informações, consulte o artigo Avaliar as opções de transferência.

• Para minimizar a latência e evitar a transferência e a movimentação de dados de grande volume através da Internet pública, considere usar a Cloud Interconnect ou a Cross-Cloud Interconnect, incluindo o acesso a pontos finais do Private Service Connect na sua nuvem privada virtual para APIs Google.

• Para proteger os serviços nos seus projetos e mitigar o risco de exfiltração de dados, use os VPC Service Controls. Google Cloud Estes controlos de serviço podem especificar perímetros de serviço ao nível do projeto ou da rede VPC.

  • Pode estender os perímetros de serviço a um ambiente híbrido através de uma VPN autorizada ou do Cloud Interconnect. Para mais informações sobre as vantagens dos perímetros de serviço, consulte a vista geral do VPC Service Controls.

• Comunicar com cargas de trabalho de estatísticas de dados publicadas publicamente que estão alojadas em instâncias de VM através de um gateway de API, um equilibrador de carga ou um dispositivo de rede virtual. Use um destes métodos de comunicação para maior segurança e para evitar que estas instâncias sejam diretamente acessíveis a partir da Internet.

• Se for necessário acesso à Internet, pode usar o Cloud NAT na mesma VPC para processar o tráfego de saída das instâncias para a Internet pública.

• Reveja as práticas recomendadas gerais para topologias de rede híbridas e multicloud.