Pattern di passaggio

Con il pattern di trasferimento, l'architettura si basa sull'utilizzo di servizi di archiviazione forniti daGoogle Cloudper connettere un ambiente di computing privato ai progetti in Google Cloud. Questo pattern si applica principalmente alle configurazioni che seguono il pattern di architettura ibrida multi-cloud di Analytics, in cui:

• I workload in esecuzione in un ambiente di computing privato o in un altro cloud caricano i dati in posizioni di archiviazione condivise. A seconda dei casi d'uso, i caricamenti potrebbero avvenire in blocco o in incrementi più piccoli.
• Google Cloud-hosted workloads or other Google services (data analytics and artificial intelligence services, for example) consume data from the shared storage locations and process it in a streaming or batch fashion.

Architettura

Il seguente diagramma mostra un'architettura di riferimento per il pattern di trasferimento.

Il diagramma dell'architettura precedente mostra i seguenti flussi di lavoro:

• Sul lato Google Cloud , esegui il deployment dei carichi di lavoro in un VPC dell'applicazione. Questi carichi di lavoro possono includere l'elaborazione dei dati, l'analisi e le applicazioni frontend correlate all'analisi.
• Per esporre in modo sicuro le applicazioni frontend agli utenti, puoi utilizzare Cloud Load Balancing o API Gateway.
• Un insieme di bucket Cloud Storage o code Pub/Sub carica i dati dall'ambiente di computing privato e li rende disponibili per l'ulteriore elaborazione da parte dei carichi di lavoro di cui è stato eseguito il deployment in Google Cloud. Utilizzando i criteri IAM (Identity and Access Management), puoi limitare l'accesso ai carichi di lavoro attendibili.
• Utilizza i controlli di servizio VPC per limitare l'accesso ai servizi e ridurre al minimo i rischi ingiustificati di esfiltrazione di dati dai servizi Google Cloud .
• In questa architettura, la comunicazione con i bucket Cloud Storage o Pub/Sub viene condotta su reti pubbliche o tramite connettività privata utilizzando VPN, Cloud Interconnect o Cross-Cloud Interconnect. In genere, la decisione su come connettersi dipende da diversi aspetti, ad esempio:
  • Volume di traffico previsto
  • Se si tratta di una configurazione temporanea o permanente
  • Requisiti di sicurezza e conformità

Variante

Le opzioni di progettazione descritte nel pattern di ingresso controllato, che utilizza gli endpoint Private Service Connect per le API di Google, possono essere applicate anche a questo pattern. In particolare, fornisce l'accesso a Cloud Storage, BigQuery e altre API dei servizi Google. Questo approccio richiede l'indirizzamento IP privato tramite una connessione di rete ibrida e multicloud come VPN, Cloud Interconnect e Cross-Cloud Interconnect.

Best practice

• Limitare l'accesso ai bucket Cloud Storage e agli argomenti Pub/Sub.
• Se applicabile, utilizza soluzioni di spostamento dei dati integrate e cloud-first come la Google Cloud suite di soluzioni. Per soddisfare le esigenze del tuo caso d'uso, queste soluzioni sono progettate per spostare, integrare e trasformare i dati in modo efficiente.

• Valuta i diversi fattori che influenzano le opzioni di trasferimento dei dati, come costo, tempo di trasferimento previsto e sicurezza. Per ulteriori informazioni, vedi Valutare le opzioni di trasferimento.

• Per ridurre al minimo la latenza ed evitare il trasferimento e lo spostamento di grandi volumi di dati su internet pubblico, valuta la possibilità di utilizzare Cloud Interconnect o Cross-Cloud Interconnect, incluso l'accesso agli endpoint Private Service Connect all'interno di Virtual Private Cloud per le API di Google.

• Per proteggere i servizi nei tuoi progetti e ridurre il rischio di esfiltrazione di dati, utilizza i Controlli di servizio VPC. Google Cloud Questi controlli del servizio possono specificare i perimetri di servizio a livello di progetto o di rete VPC.

  • Puoi estendere i perimetri di servizio a un ambiente ibrido tramite una VPN autorizzata o Cloud Interconnect. Per saperne di più sui vantaggi dei perimetri di servizio, consulta Panoramica dei Controlli di servizio VPC.

• Comunica con i carichi di lavoro di analisi dei dati pubblicati pubblicamente ospitati su istanze VM tramite un gateway API, un bilanciatore del carico o un'appliance di rete virtuale. Utilizza uno di questi metodi di comunicazione per una maggiore sicurezza ed evitare che queste istanze siano raggiungibili direttamente da internet.

• Se è necessario l'accesso a internet, Cloud NAT può essere utilizzato nello stesso VPC per gestire il traffico in uscita dalle istanze alla rete internet pubblica.

• Consulta le best practice generali per le topologie di rete ibride e multicloud.