Avec le modèle de transfert, l'architecture repose sur l'utilisation de services de stockage fournis par Google Cloud pour connecter un environnement informatique privé à des projets dans Google Cloud. Ce modèle s'applique principalement aux configurations qui suivent le modèle d'architecture multicloud hybride d'analyse, selon lequel:
- Les charges de travail qui s'exécutent dans un environnement informatique privé ou dans un autre cloud importent les données dans des emplacements de stockage partagés. En fonction des cas d'utilisation, les importations peuvent s'effectuer de façon groupée ou par petits incréments.
- Les charges de travail hébergées par Google Cloud ou d'autres services Google (services d'analyse de données et d'intelligence artificielle, par exemple) consomment les données provenant des emplacements de stockage partagés et les traitent par flux ou par lots.
Architecture
Le diagramme suivant illustre une architecture de référence appliquant une topologie de transfert.
Le diagramme d'architecture précédent présente les workflows suivants:
- Du côté de Google Cloud, vous déployez les charges de travail dans un VPC d'application. Ces charges de travail peuvent inclure des applications de traitement de données, d'analyse et d'interface analytique.
- Pour exposer de manière sécurisée les applications d'interface aux utilisateurs, vous pouvez utiliser Cloud Load Balancing ou API Gateway.
- Un ensemble de buckets Cloud Storage ou de files d'attente Pub/Sub importe les données à partir de l'environnement informatique privé et les rend disponibles pour traitement ultérieur par les charges de travail déployées dans Google Cloud. Les stratégies IAM (Identity and Access Management) vous permettent de limiter l'accès aux charges de travail validées.
- Utilisez VPC Service Controls pour restreindre l'accès aux services et minimiser les risques d'exfiltration de données non justifiée à partir des services Google Cloud.
- Dans cette architecture, la communication avec les buckets Cloud Storage ou Pub/Sub s'effectue sur les réseaux publics ou via une connectivité privée à l'aide de VPN, de Cloud Interconnect ou de interconnexion cross-cloud. En règle générale, la décision de connecter des éléments dépend de plusieurs aspects, par exemple :
- Volume de trafic attendu
- S'il s'agit d'une configuration temporaire ou permanente
- Exigences de sécurité et de conformité
Variante
Les options de conception décrites dans le modèle d'entrée contrôlée, qui utilise des points de terminaison Private Service Connect pour les API Google, peuvent également être appliquées à ce modèle. Plus précisément, il permet d'accéder à Cloud Storage, BigQuery et d'autres API de services Google. Cette approche nécessite une adresse IP privée sur une connexion réseau hybride et multicloud, telle que VPN, Cloud Interconnect et interconnexion cross-cloud.
Bonnes pratiques
- Verrouillez l'accès aux buckets Cloud Storage et aux sujets Pub/Sub.
- Le cas échéant, utilisez des solutions de transfert de données intégrées cloud-first, comme la suite de solutions Google Cloud. Pour répondre aux besoins de votre cas d'utilisation, ces solutions sont conçues pour déplacer, intégrer et transformer efficacement les données.
Évaluez les différents facteurs qui influencent les options de transfert de données, tels que le coût, le temps de transfert prévu et la sécurité. Pour en savoir plus, consultez la section Évaluer vos options de transfert.
Pour réduire la latence et éviter les transferts et mouvements de données à fort volume sur Internet public, envisagez d'utiliser Cloud Interconnect ou interconnexion cross-cloud, y compris pour accéder aux points de terminaison Private Service Connect dans votre cloud privé virtuel pour les API Google.
Pour protéger les services Google Cloud dans vos projets et limiter le risque d'exfiltration de données, utilisez VPC Service Controls. Ces contrôles de service peuvent spécifier des périmètres de service au niveau du projet ou du réseau VPC.
- Vous pouvez étendre les périmètres de service à un environnement hybride via un VPN ou Cloud Interconnect autorisé. Pour en savoir plus sur les avantages des périmètres de service, consultez la page Présentation de VPC Service Controls.
Communiquez avec des charges de travail d'analyse de données publiées publiquement et hébergées sur des instances de VM via une passerelle API, un équilibreur de charge ou une appliance de réseau virtuel. Utilisez l'une de ces méthodes de communication pour renforcer la sécurité et éviter de rendre ces instances directement accessibles depuis Internet.
Si un accès à Internet est nécessaire, Cloud NAT peut être utilisé dans le même VPC pour gérer le trafic sortant des instances vers l'Internet public.
Consultez les bonnes pratiques générales pour les topologies de réseaux hybrides et multicloud.