Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
Last reviewed 2025-01-23 UTC
Beim Handover-Muster basiert die Architektur auf der Verwendung von vonGoogle Cloudbereitgestellten Speicherdiensten, um eine private Rechenumgebung mit Projekten in Google Cloudzu verbinden. Dieses Muster gilt hauptsächlich für Einrichtungen, die dem Architekturmuster der Hybrid-Multi-Cloud für Analysen folgen. Dabei gilt:
Von den in einer privaten Rechenumgebung oder in einer anderen Cloud ausgeführten Arbeitslasten werden Daten in freigegebene Speicher hochgeladen. Je nach Anwendungsfall können Daten in Bulk-Uploads oder in kleineren Schritten hochgeladen werden.
InGoogle Cloudgehostete Arbeitslasten oder andere Google-Dienste (z. B. Datenanalyse- und KI-Dienste) nutzen Daten von den freigegebenen Speicherorten und verarbeiten sie per Streaming oder Batch.
Architektur
Das folgende Diagramm zeigt eine Referenzarchitektur für das Handover-Muster.
Das obige Architekturdiagramm zeigt die folgenden Workflows:
Auf der Google Cloud -Seite stellen Sie Arbeitslasten in einer Anwendungs-VPC bereit. Diese Arbeitslasten können Datenverarbeitungs-, Analyse- und analysebezogene Front-End-Anwendungen umfassen.
Frontend-Anwendungen können Nutzern mit Cloud Load Balancing oder API Gateway sicher zur Verfügung gestellt werden.
Mit einer Reihe von Cloud Storage-Buckets oder Pub/Sub-Warteschlangen werden Daten aus der privaten Rechenumgebung hochgeladen und für die weitere Verarbeitung durch Arbeitslasten zur Verfügung gestellt, die in Google Cloudausgeführt werden. Mit IAM-Richtlinien (Identity and Access Management) können Sie den Zugriff auf vertrauenswürdige Arbeitslasten einschränken.
Verwenden Sie VPC Service Controls, um den Zugriff auf Dienste einzuschränken und das Risiko einer unrechtmäßigen Daten-Exfiltration aus Google Cloud -Diensten zu minimieren.
Bei dieser Architektur erfolgt die Kommunikation mit Cloud Storage-Buckets oder Pub/Sub über öffentliche Netzwerke oder über eine private Verbindung mit VPN, Cloud Interconnect oder Cross-Cloud Interconnect. Die Entscheidung, wie eine Verbindung hergestellt werden soll,
hängt von mehreren Aspekten ab, wie zum Beispiel:
Erwartetes Traffic-Volumen
Ob es sich um eine vorübergehende oder dauerhafte Einrichtung handelt
Sicherheits- und Complianceanforderungen
Variante
Die Designoptionen, die im Muster für gatewaygesteuerten eingehenden Traffic beschrieben werden, das Private Service Connect-Endpunkte für Google APIs verwendet, können auch auf dieses Muster angewendet werden.
Insbesondere bietet er Zugriff auf Cloud Storage, BigQuery und andere Google-Dienst-APIs. Dieser Ansatz erfordert private IP-Adressen über eine Hybrid- und Multi-Cloud-Netzwerkverbindung wie VPN, Cloud Interconnect und Cross-Cloud Interconnect.
Best Practices
Sperren Sie den Zugriff auf Cloud Storage-Buckets und Pub/Sub-Themen.
Verwenden Sie nach Möglichkeit Cloud-first-Lösungen für die Datenübertragung, z. B. die Google Cloud
Suite von Lösungen.
Diese Lösungen sind so konzipiert, dass sie Daten effizient verschieben, einbinden und transformieren können, um Ihren Anwendungsfallanforderungen gerecht zu werden.
Bewerten Sie die verschiedenen Faktoren, die sich auf die Datenübertragungsoptionen auswirken, z. B. Kosten, erwartete Übertragungszeit und Sicherheit. Weitere Informationen finden Sie unter Übertragungsoptionen bewerten.
Ziehen Sie die Verwendung von Cloud Interconnect oder Cross-Cloud Interconnect in Betracht, um die Latenz zu minimieren und die Übertragung und Verschiebung großer Datenmengen über das öffentliche Internet zu verhindern, einschließlich des Zugriffs auf Private Service Connect-Endpunkte in Ihrer Virtual Private Cloud für Google APIs.
Verwenden Sie VPC Service Controls, um Google Cloud Dienste in Ihren Projekten zu schützen und das Risiko einer Daten-Exfiltration zu minimieren. Mit diesen Dienststeuerungen können Sie Dienstperimeter auf Projekt- oder VPC-Netzwerkebene angeben.
Kommunikation mit öffentlich veröffentlichten Datenanalyse-Arbeitslasten, die auf VM-Instanzen über ein API-Gateway, einen Load Balancer oder eine virtuelle Netzwerk-Appliance gehostet werden. Verwenden Sie eine dieser Kommunikationsmethoden für zusätzliche Sicherheit und um zu vermeiden, dass diese Instanzen direkt vom Internet aus erreichbar sind.
Wenn ein Internetzugriff erforderlich ist, kann Cloud NAT in derselben VPC verwendet werden, um ausgehenden Traffic von den Instanzen zum öffentlichen Internet zu verarbeiten.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-01-23 (UTC)."],[[["\u003cp\u003eThe handover pattern uses Google Cloud storage services to bridge data between private computing environments and Google Cloud projects, especially within analytics hybrid multicloud architectures.\u003c/p\u003e\n"],["\u003cp\u003eData is uploaded from private environments to shared Cloud Storage buckets or Pub/Sub queues, where Google Cloud workloads can then consume and process it.\u003c/p\u003e\n"],["\u003cp\u003eAccess to Cloud Storage and Pub/Sub can be secured using IAM policies and VPC Service Controls, limiting access to trusted workloads and minimizing data exfiltration risks.\u003c/p\u003e\n"],["\u003cp\u003eConnectivity between private environments and Google Cloud can be over public networks, VPN, Cloud Interconnect, or Cross-Cloud Interconnect, depending on factors like traffic volume, security, and setup duration.\u003c/p\u003e\n"],["\u003cp\u003eTo minimize latency and data movement over public networks, utilize Cloud Interconnect or Cross-Cloud Interconnect, and for added protection, use Private Service Connect endpoints within your Virtual Private Cloud for accessing Google APIs.\u003c/p\u003e\n"]]],[],null,["# Handover patterns\n\nWith the *handover* pattern, the architecture is based on using\nGoogle Cloud-provided storage services to connect a private computing\nenvironment to projects in Google Cloud. This pattern applies primarily to\nsetups that follow the\n[*analytics hybrid multicloud* architecture pattern](/architecture/hybrid-multicloud-patterns#analytics-hybrid-multicloud-patterns),\nwhere:\n\n- Workloads that are running in a private computing environment or in another cloud upload data to shared storage locations. Depending on use cases, uploads might happen in bulk or in smaller increments.\n- Google Cloud-hosted workloads or other Google services (data analytics and artificial intelligence services, for example) consume data from the shared storage locations and process it in a streaming or batch fashion.\n\nArchitecture\n------------\n\nThe following diagram shows a reference architecture for the handover\npattern.\n\nThe preceding architecture diagram shows the following workflows:\n\n- On the Google Cloud side, you deploy workloads into an application VPC. These workloads can include data processing, analytics, and analytics-related frontend applications.\n- To securely expose frontend applications to users, you can use Cloud Load Balancing or API Gateway.\n- A set of Cloud Storage buckets or Pub/Sub queues uploads data from the private computing environment and makes it available for further processing by workloads deployed in Google Cloud. Using Identity and Access Management (IAM) policies, you can restrict access to trusted workloads.\n- Use [VPC Service Controls](/vpc-service-controls) to restrict access to services and to minimize unwarranted data exfiltration risks from Google Cloud services.\n- In this architecture, communication with Cloud Storage buckets, or Pub/Sub, is conducted over public networks, or through private connectivity using VPN, Cloud Interconnect, or Cross-Cloud Interconnect. Typically, the decision on how to connect depends on several aspects, such as the following:\n - Expected traffic volume\n - Whether it's a temporary or permanent setup\n - Security and compliance requirements\n\nVariation\n---------\n\nThe design options outlined in the\n[*gated ingress* pattern](/architecture/hybrid-multicloud-secure-networking-patterns/gated-ingress),\nwhich uses Private Service Connect endpoints for Google APIs, can also\nbe applied to this pattern.\nSpecifically, it provides access to Cloud Storage, BigQuery,\nand other Google Service APIs. This approach requires private IP addressing over\na hybrid and multicloud network connection such as VPN, Cloud Interconnect\nand Cross-Cloud Interconnect.\n\nBest practices\n--------------\n\n- Lock down access to Cloud Storage buckets and Pub/Sub topics.\n- When applicable, use cloud-first, integrated data movement solutions like the Google Cloud [suite of solutions](/data-movement). To meet your use case needs, these solutions are designed to efficiently move, integrate, and transform data.\n- Assess the different factors that influence the data transfer options,\n such as cost, expected transfer time, and security. For more\n information, see\n [Evaluating your transfer options](/architecture/migration-to-google-cloud-transferring-your-large-datasets#step_3_evaluating_your_transfer_options).\n\n- To minimize latency and prevent high-volume data transfer and movement over\n the public internet, consider using Cloud Interconnect or\n Cross-Cloud Interconnect, including accessing\n Private Service Connect endpoints within your Virtual Private Cloud for\n Google APIs.\n\n- To protect Google Cloud services in your projects and to mitigate\n the risk of data exfiltration, use VPC Service Controls. These service\n controls can specify service perimeters at the project or VPC network level.\n\n - You can [extend service perimeters](/vpc-service-controls/docs/overview#hybrid_access) to a hybrid environment over an authorized VPN or Cloud Interconnect. For more information about the benefits of service perimeters, see [Overview of VPC Service Controls](/vpc-service-controls/docs/overview).\n- Communicate with publicly published data analytics workloads that are\n hosted on VM instances through an API gateway, a load balancer, or a\n virtual network appliance. Use one of these communication methods for added\n security and to avoid making these instances directly reachable from the\n internet.\n\n- If internet access is required,\n [Cloud NAT](/nat/docs)\n can be used in the same VPC to handle outbound traffic from the instances\n to the public internet.\n\n- Review the\n [general best practices](/architecture/hybrid-multicloud-secure-networking-patterns/general-best-practices)\n for hybrid and multicloud networking topologies."]]
