Diese Seite wurde von der Cloud Translation API übersetzt.

Handover-Muster

Last reviewed 2023-12-14 UTC

Beim Handover-Muster basiert die Architektur auf der Verwendung von Speicherdiensten, die in Google Cloud bereitgestellt werden, um eine private Rechenumgebung mit Projekten in Google Cloud zu verbinden. Dieses Muster gilt hauptsächlich für Einrichtungen, die dem Architekturmuster der Hybrid-Multi-Cloud für Analysen folgen. Dabei gilt:

Von den in einer privaten Rechenumgebung oder in einer anderen Cloud ausgeführten Arbeitslasten werden Daten in freigegebene Speicher hochgeladen. Je nach Anwendungsfall können Daten in Bulk-Uploads oder in kleineren Schritten hochgeladen werden.
In Google Cloud gehostete Arbeitslasten oder andere Google-Dienste (z. B. Datenanalyse- und KI-Dienste) nutzen Daten von den freigegebenen Speicherorten und verarbeiten sie per Streaming oder Batch.

Architektur

Das folgende Diagramm zeigt eine Referenzarchitektur für das Handover-Muster.

Daten fließen von einer lokalen Umgebung zu einer in einer VPC gehosteten Arbeitslast und einem in einer Google Cloud-Umgebung gehosteten Dienst zur Datenanalyse.

Das obige Architekturdiagramm zeigt die folgenden Workflows:

In Google Cloud stellen Sie Arbeitslasten in einer Anwendungs-VPC bereit. Diese Arbeitslasten können Datenverarbeitungs-, Analyse- und analysebezogene Front-End-Anwendungen umfassen.
Frontend-Anwendungen können Nutzern mit Cloud Load Balancing oder API Gateway sicher zur Verfügung gestellt werden.
Mit einer Reihe von Cloud Storage-Buckets oder Pub/Sub-Warteschlangen werden Daten aus der privaten Rechenumgebung hochgeladen und für die weitere Verarbeitung durch Arbeitslasten zur Verfügung gestellt, die in Google Cloud ausgeführt werden. Mit IAM-Richtlinien (Identity and Access Management) können Sie den Zugriff auf vertrauenswürdige Arbeitslasten einschränken.
Verwenden Sie VPC Service Controls, um den Zugriff auf Dienste einzuschränken und das Risiko einer unrechtmäßigen Daten-Exfiltration aus Google Cloud-Diensten zu minimieren.
Bei dieser Architektur erfolgt die Kommunikation mit Cloud Storage-Buckets oder Pub/Sub über öffentliche Netzwerke oder über eine private Verbindung mit VPN, Cloud Interconnect oder Cross-Cloud Interconnect. Die Entscheidung, wie eine Verbindung hergestellt werden soll, hängt von mehreren Aspekten ab, wie zum Beispiel:
- Voraussichtliches Traffic-Volumen
- Ob es sich um eine vorübergehende oder dauerhafte Einrichtung handelt
- Sicherheits- und Complianceanforderungen

Variante

Die Designoptionen, die im Muster für gatewaygesteuerten eingehenden Traffic beschrieben werden, das Private Service Connect-Endpunkte für Google APIs verwendet, können auch auf dieses Muster angewendet werden. Insbesondere bietet er Zugriff auf Cloud Storage, BigQuery und andere Google-Dienst-APIs. Dieser Ansatz erfordert private IP-Adressen über eine Hybrid- und Multi-Cloud-Netzwerkverbindung wie VPN, Cloud Interconnect und Cross-Cloud Interconnect.

Best Practices

Sperren Sie den Zugriff auf Cloud Storage-Buckets und Pub/Sub-Themen.
Verwenden Sie nach Möglichkeit Cloud-first-Lösungen für die Datenübertragung, z. B. die Google Cloud-Lösungen. Diese Lösungen sind so konzipiert, dass sie Daten effizient verschieben, einbinden und transformieren können, um Ihren Anwendungsfallanforderungen gerecht zu werden.
Bewerten Sie die verschiedenen Faktoren, die sich auf die Datenübertragungsoptionen auswirken, z. B. Kosten, erwartete Übertragungszeit und Sicherheit. Weitere Informationen finden Sie unter Übertragungsoptionen bewerten.
Ziehen Sie die Verwendung von Cloud Interconnect oder Cross-Cloud Interconnect in Betracht, um die Latenz zu minimieren und die Übertragung und Verschiebung großer Datenmengen über das öffentliche Internet zu verhindern, einschließlich des Zugriffs auf Private Service Connect-Endpunkte in Ihrer Virtual Private Cloud für Google APIs.
Verwenden Sie VPC Service Controls, um Google Cloud-Dienste in Ihren Projekten zu schützen und das Risiko einer Daten-Exfiltration zu minimieren. Mit diesen Dienststeuerungen können Dienstperimeter auf Projekt- oder VPC-Netzwerkebene angegeben werden.
- Sie können Dienstperimeter über ein autorisiertes VPN oder Cloud Interconnect auf eine Hybridumgebung ausweiten. Weitere Informationen zu den Vorteilen von Dienstperimetern finden Sie unter VPC Service Controls.
Kommunikation mit öffentlich veröffentlichten Datenanalyse-Arbeitslasten, die auf VM-Instanzen über ein API-Gateway, einen Load Balancer oder eine virtuelle Netzwerk-Appliance gehostet werden. Verwenden Sie eine dieser Kommunikationsmethoden für zusätzliche Sicherheit und um zu vermeiden, dass diese Instanzen direkt vom Internet aus erreichbar sind.
Wenn ein Internetzugriff erforderlich ist, kann Cloud NAT in derselben VPC verwendet werden, um ausgehenden Traffic von den Instanzen zum öffentlichen Internet zu verarbeiten.
Lesen Sie die allgemeinen Best Practices für Hybrid- und Multi-Cloud-Netzwerktopologien.

Zurück

Gatewaygesteuerter ausgehender und gatewaygesteuerter eingehender Traffic

Weiter

Allgemeine Best Practices