Рейтинг
0.00

Google Cloud Platform

9 читателей, 131 топик

Product updates | March 11, 2021



API-шлюз: GA
Создавайте, защищайте и отслеживайте API-интерфейсы для бессерверных рабочих нагрузок в Cloud Functions, Cloud Run, Compute Engine, App Engine и Google Kubernetes Engine (GKE). Повысьте масштабируемость и видимость, а также улучшите безопасность с помощью функций, включая аутентификацию и проверку ключей. cloud.google.com/api-gateway

Apigee X: GA
Получите повышенную безопасность и масштабируемость, беспрепятственно добавляя новые возможности API на платформе Apigee, включая Google Cloud Armor WAF, CMEK, IAM, Cloud CDN, reCAPTCHA Enterprise и другие.
cloud.google.com/blog/products/api-management/apigee-x-google-clouds-more-powerful-api-management-platform
cloud.google.com/apigee/docs/getstarted

AppSheet Automation: предварительный просмотр
Быстро автоматизируйте общие бизнес-процессы и рабочие процессы на основе документов, такие как прием на работу сотрудников и утверждение расходов, путем создания модульных приложений автоматизации с учетом намерений и приложений без кода — и все это на единой платформе без кода.
blog.appsheet.com/human-centric-automation-with-appsheet
community.appsheet.com/c/appsheet-automation/30
solutions.appsheet.com/automation

Автопилот GKE: GA
Уменьшите потребность в изучении конфигурации кластера, сократите эксплуатационные расходы и затраты на обслуживание и улучшите использование ресурсов с помощью автономной, полностью управляемой среды Kubernetes, которая позволяет вам больше сосредоточиться на рабочих нагрузках и меньше на управлении инфраструктурой кластера.
cloud.google.com/blog/products/containers-kubernetes/introducing-gke-autopilot
cloud.google.com/kubernetes-engine/docs/concepts/autopilot-overview

Менеджер ВМ: GA
Снизьте операционную нагрузку по обслуживанию парка виртуальных машин и повысьте эффективность за счет автоматизации исправлений ОС, инвентаризации и управления конфигурацией. Контролируйте соответствие и безопасность с помощью одной панели управления в режиме реального времени для распространенных сред Windows и Linux.
cloud.google.com/blog/products/compute/introducing-vm-manager
cloud.google.com/compute/docs/vm-manager

Расширение BigQuery BI Engine: предварительная версия
Повысьте скорость реагирования и параллелизм для рабочих нагрузок бизнес-аналитики (BI). Предварительный просмотр BigQuery BI Engine с Looker и партнерскими решениями бизнес-аналитики из Tableau, Microsoft Power BI или любой платформы бизнес-аналитики через стандартные драйверы JDBC / ODBC.
cloud.google.com/blog/products/data-analytics/bigquery-bi-engine-extends-integration-for-any-bi-solution
cloud.google.com/bi-engine/docs/sql-interface-overview

BigQuery — материализованные представления: GA
Повысьте производительность общих и повторяющихся запросов и обеспечьте максимально возможную актуальность данных без обслуживания. Материализованные представления периодически кэшируют результаты запросов, чтобы предоставить предварительно вычисленные представления для более быстрого выполнения запросов и ускорения обработки данных в реальном времени.
cloud.google.com/blog/products/data-analytics/bigquery-materialized-views-now-ga
cloud.google.com/bigquery/docs/materialized-views

Dataproc Hub: GA
Масштабируйте и защищайте общие библиотеки и записные книжки для анализа данных с помощью управляемых ИТ кластеров с открытым исходным кодом. Возможности включают управляемые записные книжки Jupyter, настраиваемые кластеры с открытым исходным кодом, интегрированную безопасность и возможность устанавливать политики автомасштабирования для управления затратами.
cloud.google.com/blog/products/data-analytics/run-data-science-scale-dataproc-and-apache-spark

Cloud SQL Insights
Быстро диагностируйте и устраняйте проблемы с производительностью базы данных в Cloud SQL. Используйте его, чтобы дополнить существующие инструменты мониторинга производительности и наблюдения за производительностью приложений, а также предоставить метрики и трассировки базы данных с помощью открытого стандарта OpenTelemetry.
cloud.google.com/blog/products/databases/get-ahead-of-database-performance-issues-with-cloud-sql-insights

Что в имени? Понимание "края" сети Google Cloud



Google занимается созданием инфраструктуры, которая позволяет модернизировать и запускать рабочие нагрузки, а также подключаться к большему количеству пользователей, независимо от того, где они находятся. Частью этой инфраструктуры является наша обширная глобальная сеть, которая обеспечивает лучшую в своем классе возможность подключения для клиентов Google Cloud, и нашу пограничную сеть, которая позволяет вам подключаться к интернет-провайдерам и конечным клиентам.

Когда дело доходит до выбора способа подключения к Google Cloud, мы предлагаем множество гибких вариантов, которые оптимизируют производительность и затраты. Но когда дело доходит до границы сети Google, что составляет границу? В зависимости от ваших требований и предпочтений в отношении подключения ваша организация может рассматривать различные точки разграничения в нашей сети как «границу», каждая из которых выполняет передачу трафика по-своему. Например, клиент телекоммуникационной компании может считать, что граница — это место, где расположены глобальные кеши Google (GGC), а не граничная точка присутствия (POP), где происходит пиринг.

В этом сообщении блога мы описываем различные точки присутствия в нашей сети, как они подключаются к Google Cloud и как происходит передача трафика. Вооружившись этой информацией, вы сможете принять более обоснованное решение о том, как лучше всего подключиться к Google Cloud.



Опорные регионы и зоны
Первое, о чем следует подумать при рассмотрении вариантов периферии, — это то, где ваши рабочие нагрузки выполняются в Google Cloud. Google Cloud размещает вычислительные ресурсы в нескольких местах по всему миру, которые включают разные регионы и зоны. Регион включает центры обработки данных в определенном географическом месте, где вы можете разместить свои ресурсы. В регионах есть три и более зон. Например, регион us-west1 обозначает регион на западном побережье США, который состоит из трех зон: us-west1-a, us-west1-b и us-west1-c.

cloud.google.com/compute/docs/regions-zones

Edge POPs
Наши пограничные точки присутствия — это место, где мы подключаем сеть Google к Интернету через пиринг. Мы присутствуем на более чем 180 интернет-коммутаторах и более чем 160 объектах межсетевого обмена по всему миру. Google управляет большой глобальной ячеистой сетью, которая соединяет наши пограничные точки доступа с нашими центрами обработки данных. Управляя разветвленной глобальной сетью точек подключения, мы можем приблизить трафик Google к нашим партнерам, тем самым уменьшив их затраты, задержку и улучшив работу конечных пользователей.
Google напрямую соединяется со всеми основными поставщиками интернет-услуг (ISP), и подавляющая часть трафика из сети Google к нашим клиентам передается через прямые соединения с интернет-провайдером клиента.
www.peeringdb.com/net/433
cloud.google.com/vpc/docs/edge-locations

Облачный CDN
Cloud CDN (сеть доставки контента) использует глобально распределенные граничные точки доступа Google для кэширования облачного контента рядом с конечными пользователями. Cloud CDN опирается на инфраструктуру на пограничных точках доступа, которую Google использует для кэширования контента, связанного с его собственными веб-ресурсами, которые обслуживают миллиарды пользователей. Такой подход приближает облачный контент к клиентам и конечным пользователям и связывает отдельные точки присутствия в максимально возможное количество сетей. Это сокращает время ожидания и гарантирует, что у нас будет емкость для больших всплесков трафика (например, для потоковой передачи мультимедийных событий или праздничных продаж).


Точки подключения Cloud Interconnect
Выделенное межсоединение обеспечивает прямые физические соединения между вашей локальной сетью и сетью Google. Выделенное межсоединение позволяет эффективно передавать большие объемы данных между сетями. Для Dedicated Interconnect ваша сеть должна физически соответствовать сети Google в поддерживаемом объекте размещения, также известном как место подключения Interconnect. Это средство — это место, где поставщик, поставщик средств совместного размещения, устанавливает канал между вашей сетью и точкой присутствия Google. Вы также можете использовать Partner Interconnect для подключения к Google через поддерживаемого поставщика услуг. Сегодня вы можете подключить межсоединение к Google Cloud в более чем 95 местах.
cloud.google.com/network-connectivity/docs/interconnect/concepts/choosing-colocation-facilities
cloud.google.com/network-connectivity/docs/interconnect/concepts/dedicated-overview

Пограничные узлы или Google Global Cache
Наши граничные узлы представляют собой уровень инфраструктуры Google, ближайший к пользователям Google, и работают в более чем 1300 городах в более чем 200 странах и территориях. С помощью наших граничных узлов сетевые операторы и интернет-провайдеры размещают кеши, предоставленные Google, внутри своей сети. Статический контент, популярный среди пользователей хоста (например, YouTube и Google Play), временно кэшируется на этих граничных узлах, что позволяет пользователям получать этот контент гораздо ближе к их местоположению. Это улучшает работу пользователей и снижает общие требования к пропускной способности сети.
peering.google.com/#/infrastructure

Расширения региона
Для определенных специализированных рабочих нагрузок, таких как Bare Metal Solution, Google размещает серверы в центрах колокации, близких к регионам GCP, чтобы обеспечить подключение с низкой задержкой (обычно <2 мс) для рабочих нагрузок, работающих в Google Cloud. Эти объекты называются расширениями региона.

К краю и обратно
Край в глазах смотрящего. Несмотря на эти и без того огромные вложения в инфраструктуру, сеть и партнерство, мы считаем, что путь к совершенству только начинается. По мере того, как Google Cloud расширяется по охвату и возможностям, ландшафт приложений снова развивается с такими чертами, как критическая надежность, сверхнизкая задержка, встроенный искусственный интеллект, а также тесная интеграция и взаимодействие с сетями 5G и не только. Мы с нетерпением ждем возможности стимулировать будущую эволюцию границ сети, а также возможностей граничного облака. Следите за обновлениями, поскольку мы продолжаем развертывать новые периферийные сайты, возможности и услуги.

Мы надеемся, что в этом посте проясняются предложения Google для границ сети и то, как они помогают соединить ваши приложения, работающие в Google Cloud, с вашими конечными пользователями. Чтобы узнать больше о сетевых возможностях Google Cloud, ознакомьтесь с этими руководствами и решениями по сетевым технологиям Google Cloud.
cloud.google.com/docs/tutorials#networking

Свобода выбора: твердотельные накопители емкостью 9 ТБ обеспечивают максимальное количество операций ввода-вывода в секунду на виртуальные машины Compute Engine



Приложения, выполняющие операции с малой задержкой и интенсивным вводом-выводом, должны запускаться на виртуальных машинах с высокопроизводительным хранилищем, тесно связанным с вычислительными ресурсами. Это особенно важно для приложений, построенных на основе аналитики в реальном времени, электронной коммерции, игр, социальных сетей и рекламных платформ. Пользовательские типы машин в Compute Engine не только позволяют подключать высокопроизводительные локальные твердотельные накопители, но и дают гибкость в настройке виртуальных машин в соответствии с конкретными потребностями вашей рабочей нагрузки.

Сегодня мы рады объявить о том, что вы можете подключить локальные твердотельные накопители емкостью 6 и 9 ТБ к виртуальным машинам N2 Compute Engine второго поколения с большим количеством операций ввода-вывода в секунду за доллар. Локальный твердотельный накопитель емкостью 9 ТБ обеспечивает до 2,4 миллиона операций ввода-вывода в секунду и пропускную способность 9,4 ГБ / с при задержках прямого подключения на любой виртуальной машине N2 с 24 или более виртуальными ЦП. А поскольку вы можете прикрепить эти твердотельные накопители к любой форме виртуальной машины N2 (включая пользовательские формы), вы можете определить точную виртуальную машину, которая нужна вашему приложению с точки зрения ЦП, ОЗУ и твердотельного накопителя. Вам не нужно подключать больше ЦП и памяти, чем требуется для вашей рабочей нагрузки с интенсивным вводом-выводом или хранилищем, поэтому вы можете оптимизировать специально для IOPS / $ или плотности / $ — или их комбинации.



Максимальная производительность хранилища с меньшим количеством виртуальных ЦП
Для виртуальных машин N1 доступны локальные твердотельные накопители емкостью 6 и 9 ТБ, что позволяет достичь максимальных 2,4 миллиона операций ввода-вывода в секунду с 32 виртуальными ЦП или более. С виртуальными машинами N2 вам потребуется всего 24 виртуальных ЦП для обеспечения такой же производительности. Это означает, что общая стоимость владения виртуальных машин N2 на 7% выше, чем у виртуальных машин N1.

Некоторые приложения предоставляют гибкость для дальнейшей оптимизации производительности при разной глубине очереди ввода-вывода или разных размерах блоков. Использование инструментов тестирования производительности, таких как FIO, может помочь вам сделать оптимальный выбор. Как показано ниже, внутреннее тестирование демонстрирует, что локальные твердотельные накопители обеспечивают стабильную производительность в широком диапазоне конфигураций, которые могут потребоваться для ваших рабочих нагрузок.



Максимальная пропускная способность
Подключение локального SSD к виртуальной машине также является хорошей стратегией для рабочих нагрузок, требующих высокой пропускной способности хранилища. Как видно из диаграмм ниже, локальный SSD может обеспечивать пропускную способность, близкую к максимальной, при широком диапазоне размеров блоков (4K, 16K, 128K) и глубины ввода-вывода, в зависимости от потребностей ваших баз данных и приложений.



Начни сегодня
Стоимость локальных твердотельных накопителей взимается за ГБ независимо от виртуальной машины, к которой они подключены. Посетите нашу страницу с ценами, чтобы узнать о ценах для вашего региона. Локальные твердотельные накопители емкостью 6 и 9 ТБ теперь обычно доступны как на виртуальных машинах N2, так и на N2D. Для получения дополнительной информации ознакомьтесь с нашей документацией для локальных SSD. Если у вас есть вопросы или отзывы, посетите страницу «Получение помощи».
cloud.google.com/compute/disks-image-pricing
cloud.google.com/compute/docs/disks/local-ssd
cloud.google.com/compute/docs/getting-support

Ограничение общедоступных IP-адресов в Google Cloud



Вы слышали такое высказывание: надежда — это не стратегия, когда дело касается безопасности. Вы должны подходить к безопасности со всех сторон, сводя к минимуму нагрузку на разработчиков и SecOps. Но с постоянно растущим числом конечных точек, сетей и поверхностей для атак установка автоматических и сквозных политик безопасности в вашей облачной инфраструктуре может стать проблемой. Вдобавок к этому администраторам необходимо установить ограждения, чтобы гарантировать, что их рабочие нагрузки всегда соответствуют требованиям безопасности и отраслевым нормам.

Общедоступные IP-адреса являются одними из наиболее распространенных способов доступа корпоративных сред к Интернету, что делает их уязвимыми для атак и кражи данных. Вот почему ограничение общедоступных IP-адресов имеет первостепенное значение для защиты этих сред. В Google Cloud Platform важно понимать, какие ресурсы используют общедоступные IP-адреса в вашей сети, в том числе:
  • Виртуальные машины
  • Балансировщики нагрузки
  • VPN-шлюзы
Когда вы начинаете развертывать системы производственного уровня, вы видите потенциально тысячи экземпляров, в которых ваши разработчики могут развертывать общедоступные IP-адреса.

Политика организации
Политики организации предоставляют вам централизованный контроль над ресурсами Google Cloud вашей организации. Как администратор политики организации вы можете настраивать ограничения для всей иерархии ресурсов.

Например, вы можете установить политики организации для своей организации GCP верхнего уровня, для вложенных папок или для проектов. Эти политики могут быть унаследованы вложенными папками и проектами или переопределены в каждом конкретном случае. Используя политики организации, вы можете наложить ограничения на ресурсы Google Cloud, такие как виртуальные машины и балансировщики нагрузки, чтобы всегда соблюдать основные требования безопасности.


Вы можете использовать политики организации в качестве ограждения, чтобы гарантировать, что в вашей сети Google Cloud запрещены общедоступные IP-адреса. Это идеальный инструмент для ИТ-администраторов или администраторов безопасности, позволяющий убедиться, что все облачные развертывания соответствуют их стандартам безопасности. Давайте посмотрим, как их настроить.

Ограничение общедоступных IP-адресов для виртуальных машин
Экземпляры Compute Engine могут быть доступны в Интернете напрямую, если вы:
  • Назначьте виртуальной машине общедоступный IP-адрес
  • Использовать пересылку протокола с виртуальной машиной в качестве конечной точки
Чтобы экземпляры Compute Engine не получали общедоступные IP-адреса, сначала убедитесь, что у вас есть роль администратора политики организации в организации, чтобы вы могли добавлять и редактировать политики организации.

Затем на странице политик организации в Google Cloud Console найдите и отредактируйте ограничение политики организации с именем constraints / compute.vmExternalIpAccess. Это ограничение позволяет вам определить набор виртуальных машин Compute Engine, которым разрешено использовать общедоступные IP-адреса в вашей сети. (Другим виртуальным машинам нельзя назначить общедоступный IP-адрес.) Измените политику со следующими значениями:


В разделе «Пользовательские значения» вставьте путь к любому экземпляру, для которого вы хотите разрешить создание внешнего IP-адреса, например: projects / {project-id} / Zone / {zone} / instance / {instance-name}.

Теперь вы ограничили создание общедоступных IP-адресов только для явно указанных вами экземпляров и запретили создание общедоступных IP-адресов для любых других экземпляров в вашей организации.

Запретить перенаправление протокола на виртуальную машину
Чтобы предотвратить включение пересылки протокола, используйте ограничение политики организации с именем constraints / compute.restrictProtocolForwardingCreationForTypes и установите для него следующие значения. Обратите внимание, что значение политики чувствительно к регистру.


Это ограничение позволяет ограничить виртуальный хостинг общедоступных IP-адресов экземплярами ВМ Compute Engine в вашей организации.

Ограничить публичные IP-адреса VPN-шлюзов
Для виртуальных частных сетей VPN-шлюзу требуется общедоступный IP-адрес для подключения вашей локальной среды к Google Cloud. Чтобы убедиться, что ваш VPN-шлюз защищен, используйте ограничение политики организации с именем constraints / compute.restrictVpnPeerIPs. Это ограничение ограничит общедоступные IP-адреса, которым разрешено инициировать сеансы IPSec с вашим VPN-шлюзом.


Ограничение общедоступных IP-адресов балансировщиков нагрузки
Google Cloud предлагает множество внутренних и внешних балансировщиков нагрузки. Чтобы предотвратить создание всех типов внешних балансировщиков нагрузки, используйте ограничение политики организации с именем constraints / compute.restrictLoadBalancerCreationForTypes. Затем обязательно добавьте все внешние балансировщики нагрузки для значений политики, как показано ниже:


Вместо того, чтобы вручную вводить каждый балансировщик нагрузки, вы также можете просто добавить: EXTERNAL, который всегда будет охватывать все типы внешних балансировщиков нагрузки. По мере появления новых типов балансировщиков нагрузки вы можете быть уверены, что ваша инфраструктура останется безопасной.

Ограничение услуг GKE
Google Kubernetes Engine (GKE) позволяет разработчикам легко создавать и предоставлять свои сервисы в Интернете. Но если вы примените ранее описанные политики для виртуальных машин и балансировщиков нагрузки, никакие новые службы GKE не будут доступны в Интернете без ведома администратора организации.

Например, если разработчик пытается создать службу GKE с внешним балансировщиком нагрузки, правило переадресации для требуемого балансировщика нагрузки не может быть создано с ограничением политики организации. Кроме того, проверка статуса службы GKE доставит ожидающий внешний IP-адрес. Когда они запускают kubectl description service, они получат ошибку из-за ограничения политики организации балансировщика нагрузки.



Помните, что политики организации не имеют обратной силы. Они будут применяться к новым запросам инфраструктуры только после установки политики. Поэтому вам не нужно беспокоиться о нарушении существующих рабочих нагрузок при добавлении этих политик в свою организацию. Вы можете легко и эффективно применять организационные политики ко всей иерархии организации или к подмножеству ресурсов из единого централизованного места, а также предотвращать назначение общедоступных IP-адресов случайным ресурсам, когда они не должны иметь их. Попробуйте сами и узнайте больше в документации по ограничениям политики организации.

Как Cloud Storage обеспечивает 11 девяток надежности - и чем вы можете помочь



Одним из важнейших аспектов любого решения для хранения данных является надежность — насколько хорошо ваши данные защищены от потери или повреждения? И это может показаться особенно важным для облачной среды. Облачное хранилище рассчитано на надежность не менее 99,999999999% в год, или 11 девяток. Это означает, что даже с одним миллиардом объектов вы, вероятно, проживете сто лет, не потеряв ни одного!

Мы очень серьезно относимся к достижению наших целей по долговечности. В этом посте мы рассмотрим основные способы защиты данных в облачном хранилище. В то же время защита данных — это, в конечном счете, общая ответственность (наиболее частой причиной потери данных является случайное удаление пользователем или администратором хранилища), поэтому мы предоставим передовые методы защиты ваших данных от таких рисков, как стихийные бедствия и пользовательские ошибки.

Физическая прочность
Большинство людей думают о надежности в контексте защиты от сбоев сети, серверов и оборудования хранения.

В Google философия заключается в том, что программное обеспечение — это, в конечном счете, лучший способ защиты от сбоев оборудования. Это позволяет нам достичь более высокой надежности по привлекательной цене, вместо того, чтобы полагаться на экзотические аппаратные решения. Мы предполагаем, что оборудование будет постоянно выходить из строя — потому что это так! Но это не значит, что страдает долговечность.

Чтобы сохранить объект в облачном хранилище, мы разбиваем его на несколько «блоков данных», которые размещаем на разных серверах с разными источниками питания. Мы также создаем ряд «фрагментов кода» для избыточности. В случае отказа оборудования (например, сервера, диска) мы используем фрагменты данных и кода для восстановления всего объекта. Этот метод называется кодированием со стиранием. Кроме того, мы храним несколько копий метаданных, необходимых для поиска и чтения объекта, чтобы в случае отказа одного или нескольких серверов метаданных мы могли продолжить доступ к объекту.

Ключевым требованием здесь является то, что мы всегда сохраняем данные с избыточностью в нескольких зонах доступности, прежде чем запись будет признана успешной. Используемые нами кодировки обеспечивают достаточную избыточность для поддержки цели более 11 девятки устойчивости к аппаратным сбоям. После сохранения мы регулярно проверяем контрольные суммы, чтобы защитить данные в состоянии покоя от определенных типов ошибок данных. В случае несоответствия контрольной суммы данные автоматически восстанавливаются с использованием избыточности, присутствующей в наших кодировках.
Лучшая практика: используйте двух- или многорегиональные местоположения

Эти уровни защиты от рисков физической прочности хороши и хороши, но они не могут защитить от значительного физического разрушения региона — подумайте о военных действиях, падении астероида или других крупномасштабных катастрофах.

Целевой показатель прочности Cloud Storage 11 девяток применяется к одному региону. Чтобы пойти дальше и защититься от стихийных бедствий, которые могут уничтожить целый регион, подумайте о хранении наиболее важных данных в сегментах с двумя или несколькими регионами. Эти сегменты автоматически обеспечивают избыточность ваших данных в географических регионах. Использование этих сегментов не требует дополнительной настройки или изменений API в ваших приложениях, обеспечивая дополнительную устойчивость к очень редким, но потенциально катастрофическим событиям. В качестве дополнительного преимущества эти типы местоположений также имеют значительно более высокую доступность SLA, поскольку мы можем прозрачно обслуживать ваши объекты из более чем одного местоположения, если регион временно недоступен.

Долговечность при транспортировке
Другой класс рисков устойчивости связан с повреждением передаваемых данных. Это могут быть данные, передаваемые по сетям в самой службе облачного хранилища или при выгрузке или загрузке объектов в / из облачного хранилища.

Для защиты от этого источника повреждения данные, передаваемые в облачном хранилище, всегда без исключения защищены контрольной суммой. В случае ошибки проверки контрольной суммы запрос автоматически повторяется или возвращается ошибка, в зависимости от обстоятельств.
Лучшая практика: используйте контрольные суммы для выгрузки и скачивания

В то время как Google Cloud проверяет суммы всех объектов облачного хранилища, которые перемещаются в рамках нашего сервиса, для обеспечения сквозной защиты мы рекомендуем вам указывать контрольные суммы при загрузке данных в облачное хранилище и проверять эти контрольные суммы на клиенте при загрузке объекта..

Риски долговечности, вызванные деятельностью человека
Возможно, самый большой риск потери данных связан с человеческой ошибкой — не только с ошибками, совершаемыми нами как разработчиками и операторами службы, но и с ошибками, совершаемыми пользователями облачного хранилища!

Ошибки программного обеспечения потенциально являются самым большим риском для надежности данных. Чтобы избежать потери долговечности из-за ошибок программного обеспечения, мы в первую очередь стараемся избегать ошибок, приводящих к повреждению или стиранию данных. Затем мы обеспечиваем меры безопасности для быстрого обнаружения этих типов ошибок с целью их отлова до того, как ухудшение долговечности превратится в потерю долговечности.

Чтобы заранее выявлять ошибки, мы выпускаем новую версию Cloud Storage в рабочую среду только после того, как она пройдет большой набор интеграционных тестов. Сюда входит выполнение различных сценариев сбоя в крайних случаях, таких как выход из строя зоны доступности, и сравнение поведения API-интерфейсов кодирования и размещения данных с предыдущими версиями для выявления регрессий.

После утверждения новой версии программного обеспечения мы развертываем обновления поэтапно по зонам доступности, начиная с очень ограниченной начальной области воздействия и постепенно увеличиваясь до тех пор, пока она не станет широко распространенной. Это позволяет нам выявлять проблемы до того, как они окажут большое влияние, и пока есть дополнительные копии данных (или достаточное количество фрагментов кода стирания), из которых можно восстановить при необходимости. Эти развертывания программного обеспечения тщательно отслеживаются, и в случае необходимости предусмотрены планы быстрого отката.
Вы также можете многое сделать, чтобы защитить свои данные от потери.
Рекомендация: включите управление версиями объектов

Одним из наиболее распространенных источников потери данных является случайное удаление данных администратором хранилища или конечным пользователем. Когда вы включаете управление версиями объектов, Cloud Storage сохраняет удаленные объекты на случай, если вам потребуется восстановить их позже. Настроив политики управления жизненным циклом объектов, вы можете ограничить время хранения объектов с версиями до их окончательного удаления, чтобы лучше контролировать расходы на хранение.
Лучшая практика: сделайте резервную копию ваших данных

Целевая надежность Cloud Storage 11 девяток не избавляет от необходимости резервного копирования ваших данных. Например, подумайте, что может сделать злоумышленник, если получит доступ к вашей учетной записи Cloud Storage. В зависимости от ваших целей резервная копия может быть второй копией данных в другом регионе или облаке, локально или даже физически изолированной с воздушным зазором на ленте или диске.
Рекомендация: используйте политики сохранения доступа к данным и журналы аудита

Для долгосрочного хранения данных используйте функцию блокировки корзины облачного хранилища, чтобы задать политики хранения и обеспечить блокировку данных на определенные периоды времени. Это предотвращает случайное изменение / удаление и в сочетании с журналом аудита доступа к данным может удовлетворить нормативные и нормативные требования, такие как FINRA, SEC и CFTC, а также определенные правила хранения в отрасли здравоохранения.
Лучшая практика: используйте политики управления доступом на основе ролей

Вы можете ограничить радиус действия злонамеренных хакеров и случайных удалений, убедившись, что политики контроля доступа к данным IAM соответствуют принципам разделения обязанностей и наименьших привилегий. Например, отделите тех, кто может создавать сегменты, от тех, кто может удалять проекты.

Ключи шифрования и надежность
Все данные облачного хранилища всегда зашифрованы при хранении и передаче в облаке. Поскольку объекты невозможно прочитать без их ключей шифрования, потеря ключей шифрования представляет собой значительный риск для надежности — в конце концов, какой смысл в данных с высокой надежностью, если вы не можете их прочитать? В облачном хранилище у вас есть три варианта управления ключами: 1) доверить Google управление ключами шифрования за вас, 2) использовать ключи шифрования, управляемые клиентом (CMEK) с Cloud KMS, или 3) использовать ключи шифрования, предоставленные клиентом (CSEK) с внешний сервер ключей.

Google предпринимает аналогичные шаги, описанные ранее (включая кодирование стирания и проверку согласованности), для защиты ключей шифрования, находящихся под его контролем.
Лучшая практика: защитите свои ключи шифрования

Выбирая CMEK или CSEK для управления своими ключами, вы получаете прямой контроль над управлением своими собственными ключами. В этих случаях жизненно важно, чтобы вы также защищали свои ключи таким образом, чтобы обеспечить по крайней мере 11 девяток долговечности. Для CSEK это означает поддержание внешних резервных копий ваших ключей, чтобы у вас был путь к восстановлению, даже если ваши ключи каким-либо образом потеряны или повреждены. Если такие меры предосторожности не приняты, стойкость ключей шифрования будет определять надежность данных.

Выход за пределы 11 девяток
Google Cloud очень серьезно относится к защите ваших данных. На практике многочисленные методы, описанные здесь, позволили облачному хранилищу на сегодняшний день увеличить годовой срок службы более 11 девят. Добавьте к этому лучшие практики, которыми мы поделились в этом руководстве, и вы поможете гарантировать, что ваши данные будут здесь, когда они вам понадобятся — будь то сегодня позже или через десятилетия в будущем. Для начала ознакомьтесь с этой обширной коллекцией практических руководств по облачному хранилищу.

Представляем VM Manager: с легкостью управляйте большими парками Compute Engine



Предприятия ускоряют цифровую трансформацию, перемещая все больше и больше рабочих нагрузок в облако. Однако облако часто может быть сложным с незнакомыми инструментами для управления большим парком виртуальных машин (ВМ) и управления им. В частности, управление безопасностью инфраструктуры и видимость соответствия в облачном масштабе может быть сложной задачей для администраторов инфраструктуры и операций. Клиенты говорят нам, что им нужны упрощенные облачные инструменты для работы и управления своими облачными ресурсами, аналогичные их знакомым инструментам управления локальной инфраструктурой.

Сегодня мы рады анонсировать VM Manager, набор инструментов управления инфраструктурой, который упрощает и автоматизирует обслуживание большого парка виртуальных машин Compute Engine. Это облачное решение ориентировано на инфраструктуру масштаба Google и предоставляет упрощенный набор инструментов для автоматизированной отчетности о соответствии требованиям и масштабного развертывания программного обеспечения.

Автоматизированные функции VM Manager упрощают и сокращают сложность обеспечения соответствия, наблюдаемости и поддержания безопасности большого парка виртуальных машин. Он оснащен единой информационной панелью для повышения прозрачности соблюдения нормативных требований и отслеживания данных инвентаризации в реальном времени для получения полезных аналитических данных и поддержания максимальной производительности инфраструктуры. Пакет поддерживает наиболее распространенные среды операционных систем Windows и Linux и включает следующие службы:
  • Управление исправлениями: эта услуга поддерживает ваши системы в актуальном состоянии от уязвимостей, позволяя применять исправления ОС к набору виртуальных машин, получать данные о соответствии исправлений в средах вашей ОС и автоматизировать установку исправлений ОС на виртуальных машинах — все из одной централизованной расположение.
  • Служба управления исправлениями состоит из двух основных компонентов: отчетов о соответствии исправлений, которые предоставляют информацию о состоянии исправлений ваших виртуальных машин в дистрибутивах Windows и Linux; и развертывание исправлений, которое автоматизирует процесс обновления исправлений ОС и программного обеспечения. Развертывание исправлений планирует задания исправлений.
  • Управление конфигурацией: эта служба позволяет развертывать, запрашивать и поддерживать согласованные конфигурации для ваших виртуальных машин. Он поставляется с функциями автоматического исправления, чтобы уменьшить ручные усилия и поддерживать соответствие вашего парка. Гостевые политики на каждой виртуальной машине Compute Engine обеспечивают согласованность конфигураций программного обеспечения.

С инфраструктурой, которая поддерживает сотни миллионов игроков по всему миру, поддержание согласованных конфигураций наших экземпляров виртуальных машин имеет решающее значение. Управление конфигурацией сократило ручные усилия, связанные с этим процессом, благодаря функциям, которые позволяют King управлять нашими ресурсами в любом масштабе
Мартин Данко, старший инженер DevOps, King.com

  • Управление инвентаризацией позволяет собирать информацию о вашей ОС и пакете. Вы можете определить, на каких виртуальных машинах работает определенная версия системы ОС, просмотреть пакеты, установленные на виртуальной машине, создать список обновлений пакетов, доступных для каждой виртуальной машины, и определить отсутствующие пакеты, обновления или исправления для виртуальной машины.
  • Управление запасами интегрировано с другим продуктом Google Cloud, Cloud Asset Inventory, чтобы упростить просмотр, мониторинг и анализ данных вашего парка Google Cloud.

В дополнение к вышесказанному у VM Manager есть четкая дорожная карта интересных возможностей, которые будут запущены в ближайшие месяцы, так что следите за обновлениями.
cloud.google.com/asset-inventory/docs/overview

С легкостью управляйте крупнейшим автопарком
VM Manager снижает сложность, улучшает отчетность по безопасности и соответствию, а также упрощает мониторинг ресурсов в большой облачной среде. Используя преимущества автоматизированных инструментов для поддержания систем в актуальном состоянии, снижения риска простоев и повышения производительности внутренних пользователей, первые пользователи VM Manager сообщают нам, что это позволяет их ИТ-администраторам сосредоточиться на других критически важных для бизнеса задачах.

Мы очень рады запуску VM Manager в Google Cloud. Управление облачной инфраструктурой является проблемой для предприятий любого размера, и мы уже добились повышения эффективности с помощью автоматизированных функций Patch и Configuration Manager как для себя, так и для наших клиентов. Atos рада предоставить клиентам дополнительную ценность с помощью облачного решения Google Cloud для управления большим парком виртуальных машин
Овидиу Хулеан, архитектор башни, Atos

Решение Bare Metal: новые регионы, новые серверы и новые сертификаты



В 2021 году мало что можно сказать наверняка, но на что вы можете рассчитывать, так это на приверженность Google Cloud нашим клиентам и лидерство в области открытого облака. Поддержка нескольких рабочих нагрузок и встречи с клиентами там, где они находятся, является частью этого обязательства по открытому облаку, как и Bare Metal Solution, наше решение для выполнения рабочих нагрузок баз данных Oracle в Google Cloud.

Поскольку мы продолжаем разработку Bare Metal Solution для удовлетворения ваших потребностей и удовлетворения ваших потребностей там, где вы находитесь, мы объявляем о трех усовершенствованиях Bare Metal Solution:
  • Доступность в Монреале, нашем 10-м регионе;
  • Новый 8-ядерный сервер меньшего размера;
  • Поддержка PCI DSS и HIPAA.

В 2021 году мы продолжим наращивать динамику решения Google Cloud Bare Metal, которое позволяет предприятиям запускать базы данных Oracle рядом с Google Cloud с чрезвычайно низкой задержкой. Посмотрите, как StubHub использует Bare Metal Solution, чтобы уменьшить свою зависимость от Oracle, снизить общие затраты и повысить производительность.

Новые регионы, чтобы встретить вас там, где вы находитесь
В прошлом году мы запустили Bare Metal Solution в пяти регионах и за год добавили еще четыре. Запустив сегодня Bare Metal Solution в Монреале, мы начинаем этот год с доставки Bare Metal Solution в Канаду, чтобы обеспечить наших клиентов доступностью на местном уровне. Мы запустим Bare Metal Solution во множестве других новых регионов в 2021 году (и даже в некоторых регионах, где доступны два региона). Мы понимаем, что для наших клиентов необходимы местные варианты, поэтому, если вы заинтересованы в Bare Metal Solution, обратитесь к своему торговому представителю, и мы поможем вам ознакомиться с нашей дорожной картой. Ниже зеленым цветом показаны 10 регионов GA:


Сервер меньшего размера, чтобы помочь вам сэкономить на лицензировании и затратах на оборудование
Чтобы помочь вам оптимизировать рабочие нагрузки и сократить расходы, мы добавили новый 8-ядерный сервер меньшего размера в нашу линейку во всех регионах. Этот новый 8-ядерный сервер, в котором используются наши современные вычислительные ресурсы, хранилище и сеть, означает, что переход на Bare Metal Solution может помочь уменьшить объем вашего оборудования и, таким образом, потенциально снизить затраты на лицензирование Oracle, которые часто зависят от количество ядер. Вот наша полная линейка серверов Bare Metal, доступных во всех наших регионах:


PCI DSS и HIPAA для поддержки рабочих нагрузок вашего предприятия
И последнее, но не менее важное: решение Bare Metal Solution теперь может помочь клиентам обеспечить соответствие требованиям PCI DSS и HIPAA. Поддержка PCI DSS позволит нашим розничным партнерам передавать данные кредитных карт своих клиентов и выполнять свои рабочие нагрузки в соответствии со Стандартами безопасности данных индустрии платежных карт (PCI DSS). Поддержка HIPAA также означает, что наши партнеры в сфере здравоохранения могут предоставлять медицинские данные своих клиентов и выполнять свои рабочие нагрузки в соответствии с требованиями Закона о переносимости и подотчетности медицинского страхования (HIPAA). По мере того, как мы расширяемся в новые регионы и работаем над улучшением возможностей конкретных отраслей, вы можете ожидать в будущем объявлений о региональных и отраслевых сертификатах.

Быстрый поиск журналов с помощью новой функции «tail -f» в Cloud Logging

Когда вы устраняете неполадки в приложении или развертывании, на счету каждая секунда! Cloud Logging помогает устранять неполадки путем объединения журналов из Google Cloud, локальных или других облаков, индексации, объединения журналов в метрики, сканирования уникальных ошибок с помощью отчетов об ошибках и предоставления журналов для поиска менее чем за минуту. А теперь мы создали две новые функции для потоковой передачи журналов, чтобы вы могли получить еще более свежую информацию на основе данных журналов.

По многочисленным просьбам пользователей Linux мы добавили новый инструмент для имитации поведения команды tail -f, который позволяет отображать содержимое файла журнала на консоли в режиме реального времени. Мы также включили обновления, выходящие за рамки любимого хвостового инструмента, такие как одновременный поиск по всем журналам из всех ваших ресурсов и возможность использовать мощный язык запросов журнала Cloud Logging, включая глобальный поиск, регулярные выражения, совпадения подстрок и т. Д., Все все еще в режиме реального времени.

Вы можете использовать язык запросов журналов с новой функцией в реальном времени, чтобы находить информацию в журналах в режиме реального времени. Например, предположим, что вы только что развернули новое приложение и хотите просмотреть все журналы ошибок:
gcloud alpha logging tail "severity> = ERROR"


Но это возвращает слишком много результатов, поэтому вы сужаете область до журналов, содержащих текст «валюта»:
gcloud alpha logging tail "серьезность> = ОШИБКА И валюта"

Этот поиск возвращает значимый набор журналов, все еще в реальном времени.

Отслеживание журналов с gcloud теперь доступны для всех пользователей в Preview. Зайдите в нашу документацию, чтобы настроить ее и начать следить.

А если вы предпочитаете использовать Google Cloud Console, у нас для вас тоже есть отличные новости. Теперь вы можете передавать журналы в проводник журналов, а также легко выполнять потоковую передачу, приостанавливать, исследовать, связывать с трассировками, возобновлять потоковую передачу, визуализировать счетчики и загружать журналы — все из облачной консоли.

Итак, предпочитаете ли вы командную строку tail -f или специальный пользовательский интерфейс для изучения журналов, ознакомьтесь с новыми инструментами Cloud Logging и сэкономьте время на устранение неполадок.
cloud.google.com/sdk/gcloud/reference/alpha/logging/tail
cloud.google.com/logging/docs/view/logs-viewer-interface

Будьте готовы к миграции рабочих нагрузок SAP, Windows и VMware в 2021 году

В этом году мы стали свидетелями огромных изменений не только в нашей повседневной жизни, но и в том, как работает бизнес. Для нас это частично означало помощь предприятиям в переносе и модернизации наиболее важных корпоративных рабочих нагрузок — например, SAP, Windows и VMware — в Google Cloud, что помогало им добиться масштабируемости, гибкости и экономии средств. Давайте быстро оглянемся на прогресс, которого мы достигли в этом году, и на то, что нас ждет впереди.

SAP в Google Cloud обеспечивает гибкость
Среда SAP часто находится в самом центре деятельности предприятия. От финансового учета до управления цепочкой поставок и управления человеческим капиталом — приложения SAP требуют высочайшего уровня гибкости, безопасности и времени безотказной работы. Заказчики, рассматривающие возможность миграции SAP в облако, стремятся улучшить свои возможности по обеспечению непрерывности бизнеса. Им необходимо безопасное облако с повышенной надежностью, сетью и высокой производительностью. Они выделяются возможностями анализа данных и машинного обучения. И они хотят, чтобы миграция в облако была свободна от драматизма и сбоев, которые обычно сопровождают проекты корпоративного программного обеспечения.

В июне 2020 года компания Forrester провела оценку SAP в Google Cloud и нашла впечатляющие результаты для клиентов, планирующих миграцию:
  • Компании, внедряющие SAP в Google Cloud, экономят в среднем более 3 миллионов долларов в год за счет отказа от покупки оборудования, оптимизации лицензий на программное обеспечение и оптимизации своего ИТ-персонала, а также за счет других средств повышения эффективности работы.
  • Миграция сред SAP в Google Cloud эффективно устранила беспокойство клиентов по поводу времени безотказной работы системы, и они сэкономили 1,5 миллиона долларов в год, избегая проблем с простоями.
  • Google Cloud значительно снизил влияние узких мест на сервере, сбоев инфраструктуры, проблем с пропускной способностью сети и других проблем с производительностью, что привело к увеличению производительности на 500 000 долларов в среднем для каждого пользователя SAP в Google Cloud.
  • В зависимости от типа льгот пробег может быть разным. Но из этих исследований проявилась ясная история: внедрение SAP в Google Cloud оказалось инвестицией, которая быстро окупается.
inthecloud.withgoogle.com/forrester-economic-sap/dl-cd.html

Сократите затраты на лицензии Microsoft и Windows
Многие компании не захотели стать «магазинами Windows», но полагались на платформы Microsoft в результате многолетнего роста, приобретений и изменений. Давние пользователи Microsoft часто стремятся снизить свои затраты на лицензирование, избежать блокировки и лучше использовать открытые стандарты и программное обеспечение с открытым исходным кодом, а также убедиться, что их инвестиции в приложения Windows Server являются вопросом выбора.

Google Cloud предлагает продуманный путь к миграции и модернизации рабочих нагрузок Microsoft. За последний год мы вложили значительные средства в предоставление первоклассных возможностей для Windows Server и других платформ Microsoft, таких как SQL Server и .NET в Google Cloud. Вот некоторые из основных моментов, которые вы могли пропустить:
  • Группа Enterprise Strategy Group оценила преимущества переноса рабочих нагрузок Microsoft в Google Cloud.
  • IDC обнаружила, что Google Cloud является идеальной платформой для приложений на базе Windows Server.
  • Мы представили способы помочь вам снизить затраты на лицензии с помощью CPU Overcommit, миграции с Windows Server 2008 и запуска контейнеров Windows в GKE.
  • Мы запустили функции, упрощающие управление виртуальными машинами Windows Server в Google Cloud.
  • Мы также запустили управляемый SQL Server и управляемые службы Active Directory.
  • Google Cloud анонсировала новое партнерское решение для виртуальных рабочих столов, которое вернет удаленных сотрудников к работе

Google Cloud VMware Engine обеспечивает беспрепятственный успех облака
Каждое предприятие стремится принять стратегию, ориентированную на облако, но сделать это легче сказать, чем сделать. Google Cloud VMware Engine позволяет обойти проблемы переноса и модернизации критически важных рабочих нагрузок в облако, позволяя легко переносить рабочие нагрузки VMware из локальных центров обработки данных непосредственно в Google Cloud.

Google Cloud VMware Engine стал общедоступным в США в июне. С тех пор мы быстро расширили доступность до восьми регионов в Северной и Южной Америке, Европе и Азиатско-Тихоокеанском регионе, а в следующем году мы планируем увеличить количество доступных. Мы также стали свидетелями значительного принятия решений предприятиями в таких отраслях, как розничная торговля, финансы, здравоохранение и биологические науки, а также рост спроса на решения виртуальных рабочих столов (VDI) для сотрудников, которые быстро начали работать из дома.

Мы также наладили партнерские отношения с разработчиками защиты данных и DR, чтобы вы могли легко перейти в облако. Google Cloud VMware Engine интегрирован с Actifio, Zerto, Veeam, NetApp, Dell Technologies и другими, помогая вам использовать те же технологии защиты данных, которые вы используете локально, в Google Cloud, без необходимости изменять свои приложения.

Отсюда становится только лучше
С нетерпением ожидая 2021 года, мы стремимся встретить каждую организацию, где бы она ни находилась на пути к облаку, с широким спектром специализированных услуг, инфраструктуры и инструментов для упрощения процесса. Наши возможности миграции недавно сделали еще один большой шаг вперед с программой быстрой оценки и миграции Google Cloud (RAMP). Это целостная, сквозная программа миграции с еще большим набором инструментов, стимулов и предложений, которые помогут вам спланировать и осуществить успешный перенос. Независимо от того, через что прошел ваш бизнес в этом году, вот до 2021 года — это все, на что вы надеетесь!
cloud.google.com/blog/products/cloud-migration/google-cloud-ramp-program-simplifies-cloud-migration

Представляем новую панель общедоступного статуса Google Maps Platform

Команда Google Maps Platform стремится предоставить нашим пользователям максимально возможный уровень обслуживания. Тем не менее, время от времени случаются непредвиденные сбои в обслуживании. Когда ваша команда испытывает сбой или другую техническую проблему, одна из первых оценок, которую они должны сделать, заключается в том, связана ли проблема со сторонним поставщиком услуг или внутри компании. В рамках нашей приверженности прозрачности и скорости передачи информации о состоянии наших продуктов и инцидентах, когда они происходят, мы развернули панель общедоступного статуса платформы Google Maps.
status.cloud.google.com/maps-platform/


Панель общедоступного статуса предоставляет информацию о статусе продуктов, которые общедоступны и покрываются соглашением об уровне обслуживания платформы Google Maps. Вы можете проверить панель управления, чтобы просмотреть текущий статус любой из этих служб. Вы даже можете нажать «Просмотреть историю», чтобы увидеть инциденты, произошедшие за последние 365 дней. Инциденты, отображаемые на панели инструментов, классифицируются как сбои (оранжевый) или простои (красный) в зависимости от их серьезности. Все инциденты сначала проверяются нашими инженерами службы поддержки, поэтому может быть небольшая задержка с момента, когда они действительно произошли.

Для быстрого доступа к панели управления вы можете добавить сайт в закладки. А в ближайшем будущем вы сможете использовать веб-каналы для push-уведомлений. Если у вас возникла проблема, которой нет в списке на панели инструментов, обратитесь в службу поддержки. А чтобы узнать больше о том, что публикуется на панели управления, просмотрите этот FAQ.

Панель общедоступного статуса — это первое место, где вы можете проверить, когда вы обнаружите, что проблема затрагивает вас. Но это не единственный способ сообщить об известных или зарегистрированных проблемах и оказать поддержку. В зависимости от вашей конкретной ситуации и потребностей вы также можете воспользоваться одним из других наших ресурсов. Вот краткое изложение некоторых других, о которых вам следует знать:

Трекер проблем
В нашей общедоступной системе отслеживания проблем мы активно ведем список известных и зарегистрированных проблем. Средство отслеживания проблем включает технические проблемы, которые недостаточно серьезны для отображения на панели состояния. Здесь вы можете легко просмотреть ошибки, о которых уже сообщали, и добавить свои собственные комментарии, чтобы помочь нашим командам исследовать проблемы или найти обходные пути. В случае сбоя в работе в разделе поддержки карт Google Cloud Console появится баннерное сообщение со ссылкой на средство отслеживания проблем для получения дополнительной информации о состоянии проблемы в режиме реального времени. Если вы хотите сообщить об ошибке или получить новую функцию, начните с подачи запроса. Добавление образца кода или снимка экрана поможет нам определить проблему и быстрее отреагировать.
issuetracker.google.com/savedsearches/5050992

Группы уведомлений по электронной почте
Чтобы получать технические обновления продуктов платформы Google Maps, уведомления о сбоях и объявления о функциях, вам следует подписаться на нашу группу уведомлений по электронной почте, чтобы получать обновления прямо на свой почтовый ящик.
groups.google.com/a/googlemaps.community/forum/#!forum/google-maps-platform-notifications

Основные контакты
Скоро мы начнем отправлять важные уведомления вашим основным контактам. Чтобы настроить, какие члены команды будут получать эти уведомления платформы Google Maps в ближайшем будущем, вы можете настроить свои основные контакты в Google Cloud Console, указав свой собственный список контактов. Вы можете добавлять как отдельных лиц, так и псевдонимы групп, чтобы превентивно снизить влияние кадровых изменений. Вы можете узнать больше о категориях уведомлений и о том, как включить основные контакты здесь.
cloud.google.com/resource-manager/docs/managing-notification-contacts