Pola serah terima

Dengan pola handover, arsitektur didasarkan pada penggunaan layanan penyimpanan yang disediakan Google Cloud untuk menghubungkan lingkungan komputasi pribadi ke project di Google Cloud. Pola ini berlaku terutama untuk penyiapan yang mengikuti pola arsitektur hybrid multicloud analisis, dengan:

• Workload yang berjalan di lingkungan komputasi pribadi atau di data upload cloud lainnya ke lokasi penyimpanan bersama. Bergantung pada kasus penggunaan, upload dapat terjadi secara massal atau dalam peningkatan yang lebih kecil.
• Workload yang dihosting Google Cloud atau layanan Google lainnya (misalnya, analisis data dan layanan kecerdasan buatan) menggunakan data dari lokasi penyimpanan bersama dan memprosesnya dalam mode streaming atau batch.

Arsitektur

Diagram berikut menunjukkan arsitektur referensi untuk pola serah terima.

Diagram arsitektur sebelumnya menunjukkan alur kerja berikut:

• Di sisi Google Cloud, Anda men-deploy workload ke VPC aplikasi. Workload ini dapat mencakup pemrosesan data, analisis, dan aplikasi frontend terkait analisis.
• Untuk mengekspos aplikasi frontend kepada pengguna dengan aman, Anda dapat menggunakan Cloud Load Balancing atau Gateway API.
• Sekumpulan bucket Cloud Storage atau antrean Pub/Sub mengupload data dari lingkungan komputasi pribadi dan menyediakannya untuk diproses lebih lanjut berdasarkan workload yang di-deploy di Google Cloud. Dengan menggunakan kebijakan Identity and Access Management (IAM), Anda dapat membatasi akses ke workload tepercaya.
• Gunakan Kontrol Layanan VPC untuk membatasi akses ke layanan dan meminimalkan risiko pemindahan data yang tidak sah yang tidak beralasan dari layanan Google Cloud.
• Dalam arsitektur ini, komunikasi dengan bucket Cloud Storage, atau Pub/Sub, dilakukan melalui jaringan publik, atau melalui konektivitas pribadi menggunakan VPN, Cloud Interconnect, atau Cross-Cloud Interconnect. Biasanya, keputusan tentang cara terhubung bergantung pada beberapa aspek, seperti berikut:
  • Volume traffic yang diperkirakan
  • Penyiapan sementara atau permanen
  • Persyaratan keamanan dan kepatuhan

Variasi

Opsi desain yang diuraikan dalam pola gated ingress, yang menggunakan endpoint Private Service Connect untuk Google API, juga dapat diterapkan ke pola ini. Secara khusus, menyediakan akses ke Cloud Storage, BigQuery, dan Google Service API lainnya. Pendekatan ini memerlukan pengalamatan IP pribadi melalui koneksi jaringan hybrid dan multicloud seperti VPN, Cloud Interconnect, dan Cross-Cloud Interconnect.

Praktik terbaik

• Kunci akses ke bucket Cloud Storage dan topik Pub/Sub.
• Jika berlaku, gunakan solusi perpindahan data terintegrasi dan cloud-first seperti rangkaian solusi Google Cloud. Untuk memenuhi kebutuhan kasus penggunaan Anda, solusi ini dirancang untuk memindahkan, mengintegrasikan, dan mengubah data secara efisien.

• Lakukan penilaian terhadap berbagai faktor yang memengaruhi opsi transfer data, seperti biaya, waktu transfer yang diharapkan, dan keamanan. Untuk mengetahui informasi selengkapnya, lihat Mengevaluasi opsi transfer.

• Untuk meminimalkan latensi dan mencegah transfer data dan perpindahan data bervolume tinggi melalui internet publik, pertimbangkan untuk menggunakan Cloud Interconnect atau Cross-Cloud Interconnect, termasuk mengakses endpoint Private Service Connect dalam Virtual Private Cloud untuk Google API.

• Untuk melindungi layanan Google Cloud di project Anda dan mengurangi risiko pemindahan data yang tidak sah, gunakan Kontrol Layanan VPC. Kontrol layanan ini dapat menentukan perimeter layanan di level project atau jaringan VPC.

  • Anda dapat memperluas perimeter layanan ke lingkungan hybrid melalui VPN atau Cloud Interconnect resmi. Untuk mengetahui informasi selengkapnya tentang manfaat perimeter layanan, lihat Ringkasan Kontrol Layanan VPC.

• Berkomunikasi dengan workload analisis data yang dipublikasikan secara publik dan dihosting di instance VM melalui gateway API, load balancer, atau peralatan jaringan virtual. Gunakan salah satu metode komunikasi ini untuk meningkatkan keamanan dan menghindari agar instance ini tidak dapat dijangkau langsung dari internet.

• Jika akses internet diperlukan, Cloud NAT dapat digunakan di VPC yang sama untuk menangani traffic keluar dari instance ke internet publik.

• Tinjau praktik terbaik umum untuk topologi jaringan hybrid dan multicloud.