借助切换模式,该架构基于使用Google Cloud提供的存储服务将私有计算环境连接到 Google Cloud中的项目。此模式主要适用于遵循分析混合多云架构模式的设置,其中:
- 在私有计算环境或其他云中运行的工作负载会将数据上传到共享存储位置。根据使用场景,可能以批量或较小的增量形式上传。
- Google Cloud托管的工作负载或其他 Google 服务(例如数据分析和人工智能服务)会使用共享存储位置的数据,并以流式或批量的方式处理它。
架构
下图展示了切换模式的参考架构。
上述架构图显示了以下工作流:
- 在 Google Cloud 端,将工作负载部署到应用 VPC 中。这些工作负载可包括数据处理、分析以及与分析相关的前端应用。
- 如需安全地向用户公开前端应用,您可以使用 Cloud Load Balancing 或 API 网关。
- 一组 Cloud Storage 存储分区或 Pub/Sub 队列会从私有计算环境上传数据,并使其可供 Google Cloud中部署的工作负载做进一步处理。借助 Identity and Access Management (IAM) 政策,您可以限制对可信工作负载的访问权限。
- 使用 VPC Service Controls 限制对服务的访问,并最大限度地减少 Google Cloud 服务中意外的数据渗漏风险。
- 在此架构中,是通过公共网络或使用 VPN、Cloud Interconnect 或跨云互连的专用连接与 Cloud Storage 存储桶或 Pub/Sub 通信的。通常,连接方式的决定取决于以下几个方面:
- 预期流量
- 是临时设置还是永久设置
- 安全与合规性要求
变体
门控入站流量模式中概述的设计选项使用 Google API 的 Private Service Connect 端点,也可应用于此模式。具体而言,它提供对 Cloud Storage、BigQuery 和其他 Google 服务 API 的访问权限。此方法需要通过混合云和多云网络连接(例如 VPN、Cloud Interconnect 和跨云互连)使用专用 IP 地址。
最佳做法
- 锁定对 Cloud Storage 存储桶和 Pub/Sub 主题的访问。
- 在适用的情况下,使用云优先的集成式数据迁移解决方案,例如 Google Cloud 解决方案套件。 为了满足您的使用情形需求,这些解决方案旨在高效地移动、集成和转换数据。
评估影响数据传输选项的不同因素,例如费用、预期传输时间和安全性。如需了解详情,请参阅评估转移选项。
为了最大限度地减少延迟并防止通过公共互联网进行大量数据传输和移动,请考虑使用 Cloud Interconnect 或跨云互连,包括在虚拟私有云中访问 Google API 的 Private Service Connect 端点。
为了保护项目中的 Google Cloud 服务并降低数据渗漏的风险,请使用 VPC Service Controls。这些服务控制措施可以在项目或 VPC 网络级层指定服务边界。
- 您可以通过授权 VPN 或 Cloud Interconnect 将服务边界扩展到混合环境。如需详细了解服务边界的优势,请参阅 VPC Service Controls 概览。
通过 API 网关、负载均衡器或虚拟网络设备与在虚拟机实例上托管的公开发布的数据分析工作负载进行通信。使用这些通信方法可提高安全性,并避免从互联网直接访问这些实例。
如果需要访问互联网,可以在同一 VPC 中使用 Cloud NAT 来处理从实例到公共互联网的出站流量。
查看混合云和多云网络拓扑的一般最佳实践。