Cloud NAT 全稱是 Cloud Network Address Translation,是 Google Cloud 代管的 IP 轉譯服務,可在不公開 IP 位址的情況下,讓 GCP VM 或 GKE 內的 Pod 可以高效的連接上「外部網路 Internet」,而外部資源無法直接存取 Cloud NAT gateway 後方的資源,維持獨立性與安全性。對應其他的雲端服務是 :
- Amazon Web Services (AWS) : NAT gateways
- Microsoft Azure : Azure NAT Gateway
Cloud NAT 是以 Software-defined Networking 服務,中間不存在 proxy instance ,故性能方面比傳統 NAT 好上不少。除了 VM、GKE 之外,也可使用在 Cloud Run、Cloud Functions、App Engine 等服務。
Cloud DNS 是 Google 提供的代管式的全球 Domain Name System(網域名稱系統服務),為一個分布式的分層資料庫(hierarchical distributed database) 用於存儲 IP addresses 和 Domain Name 的對應關係,還可以建立 DNS Zone 並在其下管理和創建 Record 。對應其他的雲端服務是 :
- Amazon Web Services (AWS) : Amazon Route 53
- Microsoft Azure : Azure DNS
Cloud DNS 是提供代管功能而不是註冊,而代管的好處是有一個「共同管理維護」的介面 ; 還能「基於地理位置」將流量轉到最接近的服務器從而提高性能與速度 ; 結合「 GCP 雲端安全服務」保護應用程式免於如 DDoS 攻擊。 最後比較特別的是 Google 的 Cloud DNS 服務號稱是 100% SLA 服務保證絕對不會中斷, Google 對其 DNS 服務設計非常的有信心。
GCP Firewall 提供精細的安全控制機制的雲端資源,可以讓資源管理者保護其 VPC 內資料,不會收到未經授權的訪問或者意外流出資料,從而提高安全性和隱私性。 GCP 防火牆其實是一個蠻大的類別,產品全稱是 Cloud Next Generation Firewall 簡稱 Cloud NGFW,其中可分成:「 Cloud NGFW Essentials 」、「 Cloud NGFW Enterprise 」、「 Cloud NGFW Standard 」。但通常在我們在 GCP 提到的防火牆,其實都是指最常用的 Firewall-Rules 防火牆規則 ,隸屬於 Cloud NGFW Essentials,只能應用在給定的 project 和指定的 VPC,對應其他的雲端服務是 :
- Amazon Web Services (AWS) : Security Groups
- Microsoft Azure : Network security groups
如果想要把 Firewall-Rules 應用到 organization 下的其他 project 或者其他 VPC,則要使用 Firewall-Policies,本篇重點介紹 Firewall-Rules。
Virtual Private Cloud 虛擬私有雲網路,可簡寫成 VPC、網路、VPC Network、Network 等等都可以,是 Google 使用 Andromeda(/ænˈdrɑː.mə.də/) 網路虛擬化技術實現的一個雲端資源,提供如 GCP-VM、GKE、Serverless Workloads 和 App Engine 等等雲端服務的網路功能,能讓 User 可以高自由度地建立管理和優化網路架構。對應其他的雲端服務是 :
- Amazon Web Services (AWS) : Amazon VPC
- Microsoft Azure : Azure Virtual Network
GCP-VPC 和 AWS-VPC 架構上蠻不一樣的,GCP-VPC 是全球性的,只要在同一個 GCP-VPC 內,就算不同 Region 也能使用 Internal IP ; 但如果是不同的 GCP-VPC 就算在同一個 Region 也不能互相通訊。而 AWS-VPC 是針對 Region 來設計的,故只要跨 Region 就不是內網無法直接溝通需再多做其他設定。
