ハンドオーバー パターンでは、Google Cloudが提供するストレージ サービスを使用して、プライベート コンピューティング環境を Google Cloudのプロジェクトに接続します。このパターンは、分析のハイブリッド マルチクラウド アーキテクチャ パターンに従っている設定に主に適用され、次のように機能します。
- プライベート コンピューティング環境または別のクラウドで実行中のワークロードは、共有ストレージの場所にデータをアップロードします。ユースケースに応じて、アップロードは一括で行われることも、小刻みに行われることもあります。
- Google Cloudでホストされるワークロードや他の Google サービス(データ分析サービスや人工知能サービスなど)は、共有ストレージ ロケーションからデータを使用して、ストリーミング方式またはバッチ方式で処理します。
アーキテクチャ
次の図は、ハンドオーバー パターンのリファレンス アーキテクチャを示しています。
上記のアーキテクチャ図は、次のワークフローを示しています。
- Google Cloud 側では、ワークロードをアプリケーション VPC にデプロイします。こうしたワークロードには、データ処理、分析、分析関連のフロントエンド アプリケーションが含まれます。
- フロントエンド アプリケーションをユーザーに安全に公開するには、Cloud Load Balancing または API Gateway を使用します。
- Cloud Storage バケットまたは Pub/Sub キューのセットは、プライベート コンピューティング環境からデータをアップロードし、 Google Cloudにデプロイされたワークロードでそのデータを処理できるようにします。Identity and Access Management(IAM)ポリシーを使用して、信頼できるワークロードのみにアクセスを制限できます。
- VPC Service Controls を使用して、サービスへのアクセスを制限し、 Google Cloud サービスからの不正なデータ引き出しのリスクを最小限に抑えます。
- このアーキテクチャでは、Cloud Storage バケットまたは Pub/Sub との通信は、公開ネットワーク経由で行われるか、VPN、Cloud Interconnect、Cross-Cloud Interconnect を使用したプライベート接続経由で行われます。通常、接続方法の決定は、次のようなさまざまな側面に左右されます。
- 予想されるトラフィック量
- 一時的なセットアップか永続的なセットアップか
- セキュリティとコンプライアンス要件
バリエーション
ゲート付き上り(内向き)パターンで説明されている設計オプション(Google API 用の Private Service Connect エンドポイントを使用)も、このパターンに適用できます。具体的には、Cloud Storage、BigQuery、その他の Google サービス API へのアクセスを提供します。このアプローチでは、VPN、Cloud Interconnect、Cross-Cloud Interconnect などのハイブリッドおよびマルチクラウド ネットワーク接続を介したプライベート IP アドレス指定が必要です。
ベスト プラクティス
- Cloud Storage バケットと Pub/Sub トピックへのアクセスを制限します。
- 該当する場合は、 Google Cloud ソリューション スイートなどのクラウド ファーストの統合データ移動ソリューションを使用します。これらのソリューションは、ユースケースのニーズを満たすために、データの移動、統合、変換を効率的に行うように設計されています。
費用、想定される転送時間、セキュリティなど、データ転送オプションに影響するさまざまな要素を評価します。詳細については、移行オプションの評価をご覧ください。
レイテンシを最小限に抑え、公共のインターネット経由での大容量のデータ転送と移動を防ぐには、Cloud Interconnect または Cross-Cloud Interconnect の使用を検討してください。これには、Google API 用の Virtual Private Cloud 内の Private Service Connect エンドポイントへのアクセスも含まれます。
プロジェクト内の Google Cloud サービスを保護し、データの漏洩のリスクを軽減するには、VPC Service Controls を使用します。これらのサービス制御では、プロジェクト レベルまたは VPC ネットワーク レベルでサービス境界を指定できます。
- 承認済みの VPN または Cloud Interconnect 経由でハイブリッド環境にサービス境界を拡張できます。サービス境界の利点については、VPC Service Controls の概要をご覧ください。
API ゲートウェイ、ロードバランサ、または仮想ネットワーク アプライアンスを介して、VM インスタンスでホストされている一般公開のデータ分析ワークロードと通信します。セキュリティを強化し、これらのインスタンスがインターネットから直接アクセスできないようにするには、次のいずれかの通信方法を使用します。
インターネット アクセスが必要な場合は、同じ VPC で Cloud NAT を使用して、インスタンスからパブリック インターネットへのアウトバウンド トラフィックを処理できます。
ハイブリッド クラウドとマルチクラウドのネットワーキング トポロジに関する一般的なベスト プラクティスを確認します。