採用「轉換」模式時,架構會使用Google Cloud提供的資料儲存服務,將私人運算環境連線至 Google Cloud中的專案。這類模式主要適用於採用數據分析混合多雲端架構模式的設定,其中:
- 在私人運算環境或其他雲端中執行的工作負載,會將資料上傳到共用的儲存空間位置。視用途而定,上傳可能會以批量或小型訊息的方式進行。
- Google Cloud託管的工作負載或其他 Google 服務 (例如資料分析和人工智慧服務) 會使用共用儲存空間位置的資料,並以串流或批次的方式處理資料。
架構
下圖顯示轉換模式的參考架構。
上方的架構圖顯示以下工作流程:
- 在 Google Cloud 端,將工作負載部署至應用程式虛擬私人雲端中。這些工作負載可包含資料處理、數據分析,以及與數據分析相關的前端應用程式。
- 如要以安全的方式向使用者公開前端應用程式,您可以使用 Cloud Load Balancing 或 API Gateway。
- 一組 Cloud Storage 值區或 Pub/Sub 佇列會從私人運算環境上傳資料,並讓資料可供部署在 Google Cloud中的工作負載進行後續處理。您可以使用身分與存取權管理 (IAM) 政策,限制可信任工作負載的存取權。
- 使用 VPC Service Controls 限制服務存取權,並將 Google Cloud 服務的資料竊取風險降到最低。
- 在這個架構中,與 Cloud Storage 值區或 Pub/Sub 之間的通訊會使用公開網路,或是透過 VPN、Cloud Interconnect 或跨雲 Interconnect 的私人連線進行。通常,決定如何連線取決於多個因素,例如:
- 預期流量
- 是否為臨時或永久設定
- 安全性和法規遵循需求
變化版本
控管的入站模式中概略說明的設計選項,可用於 Google API 的 Private Service Connect 端點,也適用於這個模式。具體來說,它可讓您存取 Cloud Storage、BigQuery 和其他 Google 服務 API。這種做法需要透過混合型多雲端網路連線 (例如 VPN、Cloud Interconnect 和 Cross-Cloud Interconnect) 使用私人 IP 位址。
最佳做法
- 請鎖定 Cloud Storage 值區和 Pub/Sub 主題的存取權。
- 在適用情況下,請使用雲端優先的整合式資料遷移解決方案,例如 Google Cloud 解決方案套件。為了滿足您的用途需求,這些解決方案的設計可有效地移動、整合及轉換資料。
評估影響資料移轉選項的各種因素,例如費用、預期移轉時間和安全性。詳情請參閱「評估轉移選項」。
如要盡量減少延遲時間,並避免透過公開網際網路傳輸及移動大量資料,建議您使用 Cloud Interconnect 或 Cross-Cloud Interconnect,包括在虛擬私有雲中存取 Google API 的 Private Service Connect 端點。
如要保護專案中的 Google Cloud 服務,並降低資料竊取風險,請使用 VPC Service Controls。這些服務控制項可在專案或虛擬私有雲網路層級指定服務範圍。
- 您可以透過已授權的 VPN 或 Cloud Interconnect,將服務範圍延伸至混合式環境。如要進一步瞭解服務範圍的好處,請參閱 VPC Service Controls 總覽。
透過 API 閘道、負載平衡器或虛擬網路設備,與在 VM 執行個體上代管的公開發布資料分析工作負載進行通訊。請使用其中一種通訊方式,以便強化安全性,並避免讓這些執行個體可透過網路直接存取。
如果需要網際網路存取權,您可以在同一個 VPC 中使用 Cloud NAT,處理從執行個體傳送至公開網際網路的輸出流量。
請參閱混合式雲端和多雲端網路拓撲適用的一般最佳做法。