Cloud DNS 是 Google 提供的高性能、代管式的全球網域名稱系統服務,是一個分布式的分層資料庫,可以創建 DNS Zone 和 record 而無需自己管理 DNS Service ,對應其他的雲端服務是 :
- Amazon Web Services (AWS) : Amazon Route 53
- Microsoft Azure : Azure DNS
Cloud DNS 是提供代管功能而不是註冊,而代管的好處是有一個「共同管理維護」的介面 ; 還能「基於地理位置」將流量轉到最接近的服務器從而提高性能與速度 ; 結合「 GCP 雲端安全服務」保護應用程式免於如 DDoS 攻擊。 最後比較特別的是 Google 的 Cloud DNS 服務號稱是 100% SLA ,服務絕對不會中斷,一旦使用上未能達到此標準,客戶都可以申請相關補償。
CDN 全名為 Content Delivery Network,是一種透過分散在不同地區的 server,用離使用者最近的伺服器來傳送快取內容。而 Google Cloud CDN,就是借助 Google 分佈在全球各地的網路節點,將內容以快取(Cache)形式預先儲存,以達到最快速的內容交付。以下是一個 CDN 的全球分布架構,如圖所示歐洲使用者可以從荷蘭的節點獲取資料,而不必透過跨大西洋電纜,到位於美國 host server 拿取資料。
Cloud CDN 會需要與 GCP-Load-Balancer 搭配使用,故建議可以先熟習 GCP 負載平衡器的基本用法和觀念。
Cloud Load Balancing 是 GCP 透過平均分發流量到多個 server ,以防止單一伺服器的過載從而減少系統故障的風險的產品,對應其他的雲端服務是 :
- Amazon Web Services (AWS) : Elastic Load Balancing
- Microsoft Azure : Azure Load Balancer
因為只需透過配置單個負載平衡器的對外 IP 地址和憑證,故可以達到降低維運成本的目的,目前若從 GCP console 上,由流量類型大概分成了兩類 : HTTP(S) load balancing、TCP/UPD load balancing,但實際上依照細部功能,還有分 Global/Regional 、Internal/External 等等,總體設定蠻細緻的 :
Cloud 是最能展現自動伸縮擴展服務功能的平台,而 GCP 的 Autoscaling Groups of Instances 代表產品是 Managed Instance Groups (簡稱 MIGs) ,雖然名稱有一點點不太直覺。 GCP 會根據自訂義 Autoscaling Policy 來自動添加或刪除 VM ,這些自動縮放而產生的 VM 會有一個群組來管體,就是 MIG。對應其他的雲端服務是 :
- AWS : Auto Scaling groups
- Azure : Virtual Machine Scale Set
MIGs 的 Autoscaling Policy 能夠基於 Application 的 CPU/Memory 使用率、網路流量等等設定,自動增加或減少資源,根據業務需求靈活調整資源數量從而保證高性能和成本彈性。
Network Tag 在 GCP 中只是一個簡單的字符串標示,會簡稱為 Tag ,可附加到如 VM 或 Instance template 上,設計想法上是可以由這個標示,更有效地控制和管理 VM 的網路防火牆安全設定。 Network Tag 算是 GCP 比較特別的設計,其他雲端似乎沒有比較類似的對應,由於不是一個獨立的 cloud resource ,所以是無法單獨建立 Tag 的,但對於其關聯的 GCP Firewall Rules ,對應其他的雲端服務是 :
- Amazon Web Services (AWS) : Security Groups
- Microsoft Azure : Network security groups
特別要注意的事情是在 GCP 中,Tag 和 Label 是不一樣的東西。通常 GCP 提到 tag 都是指 network tag 這個網路安全相關防火牆設定 ; 而 Label 是拿來作預算及資源管理使用。
GCP Firewall 提供精細的安全控制機制的雲端資源,可以讓資源管理者保護其 VPC 內資料,不會收到未經授權的訪問或者意外流出資料,從而提高安全性和隱私性。 GCP 防火牆其實是一個蠻大的類別,產品全稱是 Cloud Next Generation Firewall 簡稱 Cloud NGFW,其中基本可分成:
- Cloud NGFW Essentials
- Cloud NGFW Enterprise
- Cloud NGFW Standard
但通常在我們在 GCP 提到的防火牆,其實都是指最常用的 Firewall-Rules 防火牆規則 ,隸屬於 Cloud NGFW Essentials,只能應用在給定的 project 和指定的 VPC ; 如果想要把 Firewall-Rules 應用到 organization 下的其他 project 或者其他 VPC,則要使用 Firewall-Policies,本篇重點介紹 Firewall-Rules。
