Google Cloud Platform

Мы достигли важного этапа в улучшении процесса документирования, запустив новый специализированный дом для всей технической документации Google Cloud по адресу docs.cloud.google.com

Эта инициатива является последним шагом в нашем переходе на ИИ-технологии в области предоставления технической документации, которой вы пользуетесь каждый день.

Строительство нового фундамента
ИИ меняет наш подход к работе, в том числе и то, как мы читаем и используем документацию. Мы знаем, что превосходный опыт использования ИИ основан на превосходном контенте.

Перенеся всю нашу техническую документацию на одну специализированную платформу, мы создали единую основу, которая значительно упрощает разработку следующего поколения решений на основе ИИ — от более интеллектуальной, учитывающей контекст помощи до более глубоко интегрированной помощи — именно там, где она вам нужна.

Мы также используем эту возможность для улучшения процесса создания контента. Мы не просто создаём функции ИИ для нашей документации, мы используем ИИ для создания самой документации.

Чтобы ускорить процесс создания, мы интегрировали Gemini непосредственно в среду разработки наших авторов. Это действует как мультипликатор производительности...

Более быстрый и глобальный опыт сегодня
Вы заметите более быструю и отзывчивую работу, позволяющую быстро находить нужный контент. Мы добились этого за счёт оптимизации кода и снижения сложности бэкэнда, чтобы сайт работал для вас ещё лучше.

Наш процесс перевода теперь основан на искусственном интеллекте. Это изменение позволило нам переводить значительно больше контента быстрее, чем когда-либо, и сделать документацию к большинству наших продуктов доступной на 12 языках.

Что это значит для вас?
Мы знаем, что изменения на сайте, которым вы пользуетесь каждый день, могут вызывать вопросы. Вот краткое руководство о том, что происходит.

Куда мне обратиться за документацией?
Вы можете начать использовать docs.cloud.google.com уже сегодня. Это новый основной ресурс для всей технической документации Google Cloud.

Что будет с cloud.google.com?
Такой контент, как блог Google Cloud, страницы знакомства с продуктами и информация о ценах, останется на cloud.google.com на неопределенный срок.

Вся документация, которая была на cloud.google.com, теперь доступна на docs.cloud.google.com В течение следующих нескольких недель мы начнём перенаправлять посетителей со страниц документации cloud.google.com на наш новый домен.

А как насчет моих закладок и URL-адресов?
В большинстве случаев меняется только домен. Если у вас есть рабочие нагрузки, зависящие от контента по определённым URL-адресам, вы можете начать их обновлять, но старые ссылки продолжат работать в обозримом будущем.

Чтобы обеспечить плавный переход и удобство использования, мы сохранили существующие шаблоны URL-адресов. Структура нового сайта в целом повторяет старую, сохраняя используемые вами ссылки.

Например:
Старый URL: cloud.google.com /compute/docs/instances
Новый URL: docs.cloud.google.com /compute/docs/instances

Что дальше?
Эта новая платформа открывает потенциал для множества дальнейших улучшений. Мы намерены развивать эту основу, чтобы в ближайшие месяцы предоставить разработчикам поистине первоклассный опыт.

Если вы хотите узнать о последних изменениях в нашей документации, посетите страницу «Что нового в облачных документах».

Трафик как от людей, так и от ботов находится на рекордно высоком уровне. С марта 2020 года использование reCAPTCHA увеличилось на 40% — компании и сервисы, которые ранее видели большинство своих пользователей лично, перешли на использование в первую очередь онлайн или только онлайн. Этот повышенный спрос на онлайн-услуги и транзакции может подвергнуть компании различным формам онлайн-мошенничества и злоупотреблений, и без специальных команд, знакомых с этими атаками и способами их предотвращения, мы видели, как сотни тысяч новых веб-сайтов приходят на reCAPTCHA для наглядности и охрана.

Во время COVID-19 reCAPTCHA играет важную роль, помогая глобальным агентствам государственного сектора распространять маски и другие расходные материалы, предоставлять актуальную информацию избирателям и защищать учетные записи пользователей от распределенных атак. Большинство этих агентств используют обнаружение на основе оценок, которое поступает из reCAPTCHA v3 или reCAPTCHA Enterprise, вместо того, чтобы отображать визуальные или звуковые проблемы, обнаруженные в reCAPTCHA v2. Это снижает трение для пользователей, а также дает командам гибкость в отношении того, как реагировать на запросы ботов и мошеннические действия.

reCAPTCHA Enterprise также может помочь защитить ваш бизнес. Независимо от того, переносите ли вы операции в сеть впервые или у вас есть собственная команда инженеров по безопасности, reCAPTCHA может помочь вам обнаружить новые веб-атаки, понять угрозы и принять меры для обеспечения безопасности ваших пользователей. Многим предприятиям не хватает видимости отдельных частей своего сайта, а добавление reCAPTCHA помогает выявить дорогостоящие атаки до того, как они произойдут. Консоль показывает риск, связанный с каждым действием, чтобы помочь вашему бизнесу оставаться впереди.

В отличие от многих других платформ для борьбы со злоупотреблениями и мошенничеством, reCAPTCHA не полагается на инвазивное снятие отпечатков пальцев. Эти методы часто могут наказывать пользователей, заботящихся о конфиденциальности, которые пытаются обезопасить себя с помощью таких инструментов, как частные сети, и которые по умолчанию вступают в конфликт с требованиями браузеров к конфиденциальности. Вместо этого мы переключили наше внимание на анализ поведенческих рисков во время сеанса, выявляя мошенническое поведение, а не заботясь о том, кто или что стоит за сетевым подключением. Мы обнаружили, что это чрезвычайно эффективно при обнаружении атак в мире, где злоумышленники контролируют миллионы IP-адресов и взломанных устройств и регулярно платят реальным людям за то, чтобы они вручную обходили обнаружения.

С тех пор, как мы выпустили reCAPTCHA Enterprise в прошлом году, мы смогли более тесно сотрудничать с существующими и новыми клиентами, совместно решая проблемы со злоупотреблениями и определяя передовые методы в конкретных случаях использования, таких как захват аккаунтов, кардинг и скрапинг. Более детальное распределение оценок, которое поставляется с reCAPTCHA Enterprise, дает клиентам более точный контроль над тем, когда и как предпринимать действия. reCAPTCHA Enterprise изучает, как оценивать запросы, специфичные для конкретного варианта использования, но оценку также лучше всего использовать в зависимости от контекста. Наши наиболее успешные клиенты используют функции для задержки обратной связи с злоумышленниками, такие как ограничение возможностей подозрительных учетных записей, требование дополнительной проверки для конфиденциальных покупок и ручная модерация контента, который, вероятно, создается ботом.

Мы также недавно выпустили отчет ESG, в котором они оценили эффективность reCAPTCHA Enterprise, развернутого на реальном гипермасштабируемом веб-сайте, для защиты от атак с автоматическим заполнением учетных данных и захватом учетных записей. ESG отметила: «Примерно через два месяца после развертывания reCAPTCHA Enterprise количество попыток входа в систему снизилось примерно на 90%, в то время как база зарегистрированных пользователей выросла естественным образом».



Мы постоянно разрабатываем новые типы сигналов для выявления масштабных злоупотреблений. На четырех миллионах сайтов с включенной защитой reCAPTCHA мы защищаем все, от учетных записей до транзакций электронной коммерции, раздачи еды после стихийных бедствий и голосования за вашу любимую знаменитость. Сейчас, как никогда раньше, мы гордимся тем, что защищаем наших клиентов и их пользователей.

Защита приложений, работающих в Интернете, становится все более сложной задачей. С тех пор как мы запустили Google Cloud Armor в декабре прошлого года, он помог предприятиям защитить себя и своих пользователей с помощью собственного решения, которое защищает большие и малые приложения от распределенного отказа в обслуживании (DDoS) и целевых веб-атак с помощью пользовательских политик безопасности, применяемых на грани Google. сеть, в Google-масштабе.

На прошлой неделе мы объявили о новых возможностях брандмауэра веб-приложений (WAF), которые теперь доступны в бета-версии. В этом выпуске Google Cloud Armor расширяет сферу защиты, которую он обеспечивает для защиты ваших приложений и других рабочих нагрузок от DDoS и целевых веб-атак. Это также может помочь вам удовлетворить требования соответствия из внутренних политик безопасности, а также внешние нормативные требования. В частности, Google Cloud Armor теперь позволяет создавать политики безопасности или расширять существующие для обеспечения соблюдения:

• Гео-контроль доступа
• Предварительно настроенные правила WAF и
• Пользовательские политики фильтрации L7 с использованием пользовательских правил

Видимость использования и эффективности средств контроля безопасности, а также защищенных приложений имеет важное значение для операций безопасности. Google Cloud Armor теперь отправляет результаты в Cloud Security Command Center (Cloud SCC), чтобы предупредить защитников о потенциальных атаках уровня 7. Это в дополнение к богатому набору телеметрии, который он уже отправляет в ведение журнала Stackdriver и мониторинг Stackdriver.

Обзор Google Cloud Armor
Google Cloud Armor смягчает DDoS-атаки и защищает приложения от наиболее распространенных веб-атак, позволяя создавать настраиваемые политики фильтрации L7 для обеспечения детального контроля доступа к общедоступным приложениям и веб-сайтам.

Google Cloud Armor развернут на границе сети Google и тесно связан с нашей глобальной инфраструктурой балансировки нагрузки. В результате Google Cloud Armor помогает вам решать самые насущные задачи обеспечения безопасности приложений и соответствия требованиям в любом масштабе, блокируя нежелательный или злонамеренный трафик на границе сети, далеко от ваших VPC или другой инфраструктуры.



Что нового
Следующие возможности теперь доступны в бета-версии.

Пользовательские правила
Чтобы обеспечить безопасную работу и доступность защищенных приложений, средства управления безопасностью должны быть контекстно-зависимыми и адаптироваться к уникальным потребностям отдельных приложений. С помощью пользовательских правил Cloud Armor теперь можно создавать правила с расширенными условиями сопоставления для фильтрации входящего трафика по различным атрибутам и параметрам от уровней 3 до 7. Для начала вы можете найти полную спецификацию языка и примеры выражений в политике безопасности. правила языковой ссылки.

Пользовательские правила могут быть простыми или сложными в зависимости от требований безопасности и бизнес-требований ваших приложений. Взять, к примеру:


Это пример правила, которое блокирует входящий трафик, который соответствует каждому из условий:

• Из Соединенных Штатов,
• с пользовательским агентом, который содержит фразу «Bad Bot»
• и содержит cookie с именем «discount» со значением «ab1d8732»

Гео-контроль доступа
В некоторых случаях вам может потребоваться ограничить доступ к приложению для определенных стран — будь то для соответствия нормативным требованиям, лицензирования авторских прав или для других бизнес-целей. С помощью Google Cloud Armor вы теперь можете настраивать политики безопасности, чтобы создавать списки разрешенных или запрещенных списков на основе кода страны из запроса клиента, пытающегося достичь вашего приложения. Это гарантирует, что вы будете получать только трафик и предоставлять контент пользователям в определенных странах. Вы также можете использовать исходную географию в сочетании с другими атрибутами в языке пользовательских правил Cloud Armor, чтобы применять детальный контроль над тем, к чему можно получить доступ, кем и откуда.


Предварительно настроенные правила WAF (SQLi & XSS)
Google Cloud Armor теперь включает предварительно настроенные правила WAF для защиты приложений от наиболее распространенных атак в Интернете (например, OWASP Top 10 Risk), что упрощает настройку и эксплуатацию брандмауэра веб-приложений и удовлетворение ваших требований соответствия и безопасности. Сегодня правила Cloud Armor WAF защищают вас от наиболее распространенных типов атак в Интернете — SQL-инъекций и межсайтовых сценариев — с помощью более предварительно настроенных правил WAF.

Мы создали эти предварительно сконфигурированные правила WAF, внедрив сигнатуры и субподписи, описанные в наборе правил ядра с открытым исходным кодом ModSecurity для SQLi и XSS. В руководстве по настройке правил WAF мы также опишем, как выполнить предварительную настройку предварительно настроенных правил, чтобы оптимизировать их по уровням чувствительности и настроить их для каждого защищенного приложения. Со временем мы введем дополнительные правила из ModSecurity CRS, чтобы упростить защиту вашего приложения от рисков OWASP Top 10 и выше.


Результаты поиска в командном центре Cloud Security
Google Cloud Armor теперь автоматически отправляет результаты в Cloud SCC, чтобы предупредить вас о подозрительных схемах трафика уровня 7. Организации с включенным Cloud SCC теперь будут получать уведомления в режиме реального времени о двух событиях:

• Разрешенный всплеск трафика: внезапное увеличение объема запросов уровня 7, разрешенное с помощью существующей политики безопасности Google Cloud Armor для каждой серверной службы.
• Увеличение коэффициента запрета: внезапное увеличение доли трафика, который отклоняется, по сравнению с общим трафиком, предназначенным для конкретной серверной службы.

Вместе эти выводы могут предупредить владельцев приложений и тех, кто реагирует на инциденты, о потенциальных атаках уровня 7, пока они все еще нарастают. С ранним уведомлением реагирующие на инциденты могут начать расследование и сортировку раньше, развертывая средства смягчения контроля раньше, чтобы защитить от атаки, прежде чем она повлияет на доступность вашего приложения.

Следующие шаги
С выпуском бета-версии этого богатого набора возможностей WAF Google Cloud Armor теперь позволяет предприятиям любого размера легко защищать ваши общедоступные приложения, удовлетворяя при этом ваши риски и требования соответствия. Кроме того, новая телеметрия Google Cloud Armor в Cloud SCC помогает ускорить обнаружение инцидентов и реагирование на них, обеспечивая безопасность и доступность критически важных приложений. Наконец, комбинация Google Cloud Armor и Google Cloud Load Balancing позволяет вам развертывать и настраивать глобальную пограничную инфраструктуру Google для защиты ваших приложений от наиболее распространенных атак в Интернете, предоставления детального контроля доступа уровня 7 и защиты от объемных, протоколов и приложений. Уровень DDoS-атак.

Возможности Google Cloud Armor WAF доступны для всех. Для начала перейдите в Network Security -> Cloud Armor в Google Cloud Console.

Выучить больше:
Страница продукта Google Cloud Armor
Документация Google Cloud Armor
Пользовательские правила Язык ссылки
Руководство по настройке правил WAF

Click here for the Finnish version, thank you!



Our sixteenth Google Cloud Platform (GCP) region, located in Finland, is now open for you to build applications and store your data.





cloud.google.com/about/locations/finland/

Мы рады объявить о планах по созданию нового региона Google Cloud в Турции в рамках 10-летней программы инвестиций Google в страну на сумму 2 миллиарда долларов.

Создание этой цифровой инфраструктуры мирового класса в сотрудничестве с Turkcell знаменует собой значительные многолетние инвестиции в ускорение цифровой трансформации в Турции и облачных инноваций во всем регионе.

Партнёрство Google Cloud и Turkcell ещё больше ускорит процесс цифровой трансформации Турции. Оно отражает уверенность мировых технологических лидеров в силе, устойчивости и инновационном потенциале нашей экономики. Интегрируя передовую инфраструктуру данных и облачные технологии нового поколения в нашу цифровую экосистему, этот альянс повысит эффективность и будет способствовать инновациям в государственном и частном секторах. Более того, он поддерживает наше долгосрочное видение укрепления цифрового суверенитета и позиционирования Турции как регионального центра технологий, связи и устойчивого роста. Джевдет Йылмаз, вице-президент Турецкой Республики

Наше партнерство с Google Cloud однозначно укрепляет лидерство Turkcell в цифровой трансформации Турции. Это стратегическое партнерство — больше, чем просто инвестиция в технологии. Это важный этап на пути к цифровому будущему Турции, ускоряющий реализацию нашей национальной стратегии за счет использования глобальных технологий Google Cloud и открытия возможностей для инноваций в области искусственного интеллекта. Это сотрудничество предоставляет нашим клиентам беспрепятственный доступ к передовым возможностям Google Cloud. Новый регион Google Cloud позволит предприятиям быстрее внедрять инновации и конкурировать на мировом рынке. В рамках этого партнерства Turkcell планирует инвестировать 1 миллиард долларов в центры обработки данных и облачные технологии

д-р Али Таха Коч, генеральный директор Turkcell

После открытия регион Турции поможет удовлетворить растущий спрос клиентов на облачные сервисы и инновации на основе искусственного интеллекта в стране и по всему региону EMEA, предоставляя высокопроизводительные сервисы, которые позволят организациям быстрее, безопаснее и надёжнее обслуживать своих конечных пользователей. Местные клиенты и партнёры получат выгоду от ключевых средств контроля, позволяющих им поддерживать низкую задержку и соответствовать самым высоким международным стандартам безопасности и защиты данных.

Облачные технологии играют важнейшую роль в процессе цифровой трансформации финансового сектора. Благодаря новому региону Google Cloud в Турции, Garanti BBVA сможет повысить свою операционную устойчивость, продолжая внедрять инновации, безопасно внедряя искусственный интеллект и передовые технологии аналитики данных. Это сотрудничество подтверждает нашу приверженность предоставлению клиентам надежных и высокопроизводительных цифровых услуг, гарантируя при этом, что суверенитет данных, конфиденциальность и доверие остаются в основе всего, что мы делаем

Илкер Куруоз, Garanti BBVA

Turkish Airlines, будучи глобальной авиакомпанией, соединяющей Турцию со всем миром, опирается на высокопроизводительные и отказоустойчивые технологии для обеспечения бесперебойного обслуживания клиентов круглосуточно и без выходных. План Google Cloud по запуску локального региона в Турции в сочетании с глобальной сетью компании меняет правила игры для наших полетов, пассажирских систем и приложений, работающих с большими объемами данных. Наличие гипермасштабной облачной инфраструктуры ближе к дому обеспечивает низкую задержку, необходимую для внедрения передовой аналитики, надежных решений по кибербезопасности и будущих возможностей искусственного интеллекта, ускоряя реализацию нашей цифровой стратегии и подтверждая нашу приверженность превосходному обслуживанию

Керем Кызылтунч, Turkish Airlines

Yapı Kredi стремится к постоянным инновациям и модернизации нашей базовой банковской инфраструктуры, чтобы предоставить нашим клиентам безграничный банковский опыт. Планируемый регион Google Cloud в Турции обеспечивает надежную, масштабируемую и безопасную инфраструктуру гипермасштабного облака, необходимую для поддержки наших передовых инициатив в области искусственного интеллекта и кибербезопасности. Это локальное присутствие значительно повысит производительность и гибкость, необходимые для поддержки нашего роста, и позволит нам создавать новое поколение безопасных, в первую очередь цифровых финансовых продуктов

Гекхан Оздинч, Yapı Kredi Bank

Глобальная сеть облачных регионов Google Cloud, охватывающая 42 региона и 127 зон по всему миру, формирует основу для поддержки клиентов любого масштаба и из разных отраслей. Ведущие организации, от розничной торговли, СМИ и индустрии развлечений до финансовых услуг, здравоохранения и государственного сектора, обращаются к Google Cloud как к своему надежному технологическому партнеру.

Ключевые особенности региона Google Cloud в Турции включают:
Передовые возможности и технологии: В регионе будут предоставляться ведущие сервисы Google Cloud для аналитики данных, кибербезопасности и решений для цифрового бизнеса. Передовые инновации Google в области искусственного интеллекта укрепят цифровую экосистему Турции и позволят предприятиям и государственным организациям работать с большей эффективностью, скоростью и безопасностью.

Бескомпромиссный суверенитет и безопасность данных: новый регион в Турции получит выгоду от нашей надежной инфраструктуры, включая шифрование данных при хранении и передаче, детальный контроль доступа к данным, резидентство данных и сложные системы обнаружения угроз. Мы придерживаемся самых высоких международных стандартов безопасности и защиты данных, чтобы гарантировать конфиденциальность, целостность и суверенитет ваших данных.

Высокая производительность и малая задержка: обеспечивает конечным пользователям по всей Турции и соседним странам быструю связь с малой задержкой, а также позволяет легко передавать большие объемы данных между сетями через глобальную сеть Google.

Масштабируемость и гибкость по требованию: инфраструктура Google Cloud легко масштабируется в соответствии с потребностями любого бизнеса. Независимо от того, являетесь ли вы небольшим стартапом или крупной корпорацией, вы можете легко адаптировать свои ресурсы к меняющимся потребностям.

Узнайте больше о нашей глобальной облачной инфраструктуре, включая новые и развивающиеся регионы.
cloud.google.com/infrastructure

В Google Cloud наши сервисы разработаны с учётом принципов взаимодействия и открытости, что позволяет клиентам делать выбор и использовать многооблачные стратегии. Мы стали пионерами в создании многооблачного хранилища данных, обеспечивающего выполнение рабочих нагрузок в разных облаках. Мы стали первой компанией, предложившей решения для обеспечения цифрового суверенитета европейским правительствам и отменившей плату за выход для клиентов, прекративших использование Google Cloud.
cloud.google.com/blog/products/identity-security/google-advances-sovereignty-choice-and-security-in-the-cloud?e=48754805
cloud.google.com/blog/products/networking/eliminating-data-transfer-fees-when-migrating-off-google-cloud

Мы продолжаем этот открытый подход, запуская сегодня наш новый сервис Data Transfer Essentials для клиентов из Европейского союза и Великобритании. Сервис Data Transfer Essentials, созданный в соответствии с принципами совместимости и выбора облачных сервисов, изложенными в Законе ЕС о данных, представляет собой новое и простое решение для передачи данных между Google Cloud и другими поставщиками облачных услуг. Хотя Закон позволяет поставщикам облачных услуг перекладывать расходы на клиентов, сегодня сервис Data Transfer Essentials доступен клиентам бесплатно.
cloud.google.com/data-transfer-essentials/docs/overview
cloud.google.com/blog/products/identity-security/navigating-the-eu-ai-act-google-clouds-proactive-approach

Data Transfer Essentials, разработанный для параллельной обработки рабочих нагрузок одной организации, распределенных между двумя или более поставщиками облачных услуг, позволяет создавать гибкие многооблачные стратегии и использовать лучшие в своем классе решения для разных поставщиков облачных услуг. Это способствует повышению цифровой операционной устойчивости без дополнительных затрат на передачу исходящих данных из Google Cloud.

Чтобы начать работу, ознакомьтесь с нашим руководством по настройке, чтобы узнать, как включить и настроить мультиоблачный трафик. Соответствующий мультиоблачный трафик будет учитываться отдельно и будет отображаться в вашем счёте без оплаты, в то время как весь остальной трафик будет по-прежнему оплачиваться по текущим тарифам уровня сетевых услуг
cloud.google.com/data-transfer-essentials/docs/create-resources
cloud.google.com/network-tiers/docs

Изначально облако обещало быть открытым, эластичным и свободным от искусственных ограничений. Google Cloud продолжает поддерживать эту открытость и возможность для клиентов выбирать поставщика облачных услуг, который наилучшим образом подходит для их рабочих нагрузок. cloud.google.com/data-transfer-essentials/docs

Управление IP-адресами в Kubernetes может быть сложной и трудоёмкой задачей, но она крайне важна.Движок Google Kubernetes(GKE), важно эффективно управлять IP-адресами, учитывая ограниченность ресурсов адресного пространства IPv4. Неоптимальные конфигурации могут привести к:

• Неэффективность IP: неэффективное использование ограниченного адресного пространства IPv4
• Сложность: значительные административные расходы на планирование и выделение IP-адресов.
• Ошибки: повышенный риск возникновения ошибок IP_SPACE_EXHAUSTED, которые останавливают масштабирование кластера и развертывание приложений.

Чтобы помочь вам, мы рады объявить о публичном предварительном просмотре новой функции, предназначенной для упрощения управления IP-адресами (IPAM) и повышения эффективности IP в ваших кластерах GKE: GKE auto IPAM.
cloud.google.com/kubernetes-engine/docs/how-to/enable-auto-ipam

Упрощенное и эффективное управление интеллектуальной собственностью
GKE auto IPAM упрощает управление IPAM, динамически выделяя и/или отменяя диапазоны IP-адресов для узлов и модулей по мере роста кластера. Это устраняет необходимость в масштабном и потенциально неэкономном предварительном резервировании IP-адресов и ручном вмешательстве при масштабировании кластера.

Преимущества GKE auto IPAM
Оптимизируйте распределение ресурсов и повысьте эффективность IP-адресов: начните с меньших диапазонов IP-адресов и позвольте автоматическому IPAM легко расширять их по мере необходимости, помогая обеспечить эффективное использование вашего ценного адресного пространства IPv4.

Масштабируйтесь уверенно и предотвращайте нехватку IP-адресов: минимизируйте вероятность нехватки IP-адресов. Auto IPAM проактивно управляет и динамически выделяет/освобождает адреса по мере роста кластера, упрощая масштабирование.

Сокращение административных расходов: упростите управление IPAM с помощью автоматического распределения и настройки, освободив драгоценное время для вашей команды — ручное вмешательство не требуется.

Обеспечьте поддержку требовательных к ресурсам рабочих нагрузок: поддерживайте ресурсоемкие приложения, которым требуется быстрое масштабирование, гарантируя достаточную емкость IP-адресов, динамически доступную по требованию для роста и производительности.

Эта функция совместима как с новыми, так и с существующими кластерами на базе GKE версии 1.33 или выше. Сегодня её можно настроить через интерфейс командной строки (CLI) или API gcloud. Поддержка Terraform и пользовательского интерфейса (UI) появится в ближайшее время.

Обновленный UI/UX создания кластера
Мы также обновили пользовательский интерфейс создания кластера GKE, сделав его более простым и интуитивно понятным. В старом интерфейсе критически важные параметры IPAM были скрыты глубоко в процессе создания кластера, что затрудняло поиск, настройку и проверку ключевых сетевых параметров. Выведение IPAM на передний план обеспечивает более интуитивно понятный и оптимизированный интерфейс, позволяя легко и уверенно определять топологию сети с самого начала, обеспечивая более надёжное и безошибочное развертывание кластера.

Управление IP-адресами стало проще
GKE auto IPAM позволяет масштабировать кластеры по требованию, оптимизируя распределение ресурсов IP-адресов и сокращая административные расходы на операции с кластером. Попробуйте сегодня!
cloud.google.com/kubernetes-engine/docs/how-to/enable-auto-ipam

Yahoo находится в самом разгаре многолетнего процесса миграции своего знаменитого приложения Yahoo Mail в Google Cloud. В приложении задействовано более 100 сервисов и компонентов промежуточного ПО, поэтому Yahoo Mail в первую очередь использует подход «переноса и переноса» для своей локальной инфраструктуры, стратегически трансформируя и перенастраивая ключевые компоненты и промежуточное ПО для использования возможностей облачной инфраструктуры.

Чтобы обеспечить успешную миграцию, команды Google и Yahoo Mail активно сотрудничали, собирая информацию о текущей архитектуре и принимая решения относительно границ проекта, сетевой архитектуры и настройки кластеров Google Kubernetes Engine (GKE). Эти решения были критически важны ввиду глобального характера приложения, которое должно быть высокодоступным и избыточным для обеспечения бесперебойной работы пользователей по всему миру.

По мере того, как Yahoo Mail продвигается к миграции первой волны рабочих нагрузок в производственную среду, мы выделяем ключевые элементы архитектуры, в частности, многопользовательскую платформу GKE, которая сыграла ключевую роль в создании прочной основы для миграции. Благодаря многопользовательской поддержке приложение Yahoo Mail может эффективно работать в Google Cloud, помогая удовлетворять разнообразные требования различных арендаторов приложений.

Процесс проектирования
Организация Google по предоставлению профессиональных услуг (PSO) начала процесс проектирования с детального анализа текущего использования системы и требований к емкости. Это включало проведение бенчмарков, сбор исходных данных о существующих рабочих нагрузках и оценку необходимого количества узлов на основе типов машин, которые наилучшим образом соответствовали бы требованиям к производительности и ресурсам для этих рабочих нагрузок. Одновременно мы обсуждали оптимальное количество кластеров GKE и их типы, а также наилучшее размещение и организацию рабочих нагрузок в кластерах. Другим аспектом процесса проектирования было определение количества сред (помимо производственной среды). Мы стремились найти баланс между сложностью эксплуатации, ростом зависимости от локальных сервисов при развёртывании и снижением потенциальных рисков, связанных с дефектами и ошибками приложений.

Но прежде чем принимать решения о кластерах GKE, нам необходимо было определить количество проектов и VPC. На эти решения влияли различные факторы, включая требования заказчика к рабочей нагрузке и масштабируемости, а также ограничения сервисов и квот Google Cloud. В то же время мы хотели минимизировать эксплуатационные расходы. Анализ количества кластеров GKE, VPC и т.д. был довольно простым: достаточно было задокументировать плюсы и минусы каждого подхода. Тем не менее, мы тщательно следовали обширному процессу, учитывая значительное и далеко идущее влияние этих решений на общую архитектуру.

Мы использовали несколько критериев для определения необходимого количества кластеров GKE и организации рабочих нагрузок в них. Основными характеристиками, которые мы учитывали, были требования к потреблению ресурсов различными рабочими нагрузками, схемы межсервисного взаимодействия и баланс между эксплуатационной эффективностью и минимизацией радиуса воздействия сбоя.

Архитектурная схема
Ниже представлено упрощенное представление текущей архитектуры. Основная архитектура состоит из четырёх кластеров GKE на каждую группу регионов (например, в регионах «Восток США» — один VPC) и на каждую среду. Архитектура охватывает несколько регионов, обеспечивая отказоустойчивость и высокую доступность на уровне сервисов. Существует четыре группы регионов, и, следовательно, четыре VPC. Внешний пользовательский трафик направляется в ближайший регион с помощью политики геолокации, настроенной в публичных зонах Cloud DNS. Внутри трафик маршрутизируется между группами регионов через прокси-приложение, а трафик между кластерами GKE — через внутренний балансировщик нагрузки (ILB), где каждый ILB имеет собственную запись DNS.


Характеристики многопользовательской платформы GKE
Как указано в общедоступной документации Google, при запуске и эксплуатации кластера GKE необходимо учитывать ряд факторов. Команда платформы усердно работала над решением следующих вопросов и удовлетворением требований различных команд арендаторов:

• Размещение рабочей нагрузки: команда платформы назначает метки пулам узлов для поддержки соответствия рабочей нагрузки, а арендаторы используют комбинацию маркеров и допусков, чтобы гарантировать распределение рабочих нагрузок по правильным пулам узлов. Это необходимо, поскольку каждый пул узлов предъявляет особые требования к межсетевому экрану в зависимости от типа обрабатываемого трафика (HTTPS, POPS и т.д.). Кроме того, теги диспетчера ресурсов используются для управления правилами межсетевого экрана и связывания пула узлов с соответствующим правилом межсетевого экрана.
• Управление доступом: управление доступом на основе ролей (RBAC) в Kubernetes — основной способ управления и ограничения доступа пользователей к ресурсам кластера. У каждого арендатора есть одно или несколько пространств имён в кластере, и кластер загружается со стандартными политиками в процессе подключения арендатора.
• Сетевые политики: все кластеры организованы на основе dataplane v2, а Yahoo Mail использует стандартную сетевую политику Kubernetes для управления потоками трафика. В основе лежит Cilium — решение с открытым исходным кодом для обеспечения, защиты и мониторинга сетевого соединения между рабочими нагрузками.
• Квоты ресурсов: для оптимизации использования ресурсов и предотвращения чрезмерного потребления команда платформы применяет квоты ресурсов для ЦП/памяти в пределах пространства имен.
• Масштабирование: определяется командой платформы на основе запросов квот, поданных арендатором при подключении. Из-за определённых ограничений функций, связанных с автоматической подготовкой узлов, связанных с использованием безопасных тегов для правил брандмауэра и определением определённого типа и формы машины, это не удалось реализовать, но мы совместно с командой инженеров разработали запросы функций для устранения этого пробела.

Проблемы
В ходе этой миграции как Yahoo Mail, так и Google столкнулись с техническими ограничениями и проблемами. Ниже мы описываем некоторые из основных проблем и подходы, принятые для их решения:

• Подключение к плоскости управления: Как и большинство корпоративных клиентов, Yahoo Mail предоставила частные кластеры GKE и нуждалась в подключении между плоскостью управления и инструментом CI/CD (отвёрткой) извне сети VPC. Команда платформы развернула хосты-бастионы, которые использовались для проксирования подключения к плоскости управления, но столкнулась с проблемами масштабируемости. Google совместно с клиентом протестировала два решения, использующие шлюз Connect и конечную точку на основе DNS, чтобы исключить необходимость в хосте-бастионе.
• Сквозной mTLS: одним из ключевых принципов безопасности Yahoo Mail было обеспечение сквозного mTLS, который должен быть реализован как в архитектуре в целом, так и в базовых сервисах Google Cloud. Это привело к серьёзным проблемам, поскольку один из ключевых продуктов балансировки нагрузки ( Application Load Balancer ) на тот момент не поддерживал сквозной mTLS. Мы исследовали альтернативные решения, такие как внедрение специализированного прокси-приложения и использование балансировщиков нагрузки уровня 4 во всём стеке. Профессиональные сервисы также сотрудничали с инженерами Google Cloud для определения требований к поддержке mTLS в рамках Application Load Balancer.
• Интеграция с Athenz: Yahoo Mail использовала внутренний инструмент управления идентификацией и доступом Athenz, с которым должны были интегрироваться все сервисы Google Cloud для реализации федерации идентификационных данных рабочей нагрузки. В контексте Kubernetes это означало, что пользователям по-прежнему требовалась аутентификация через Athenz, но федерация идентификационных данных рабочей нагрузки использовалась в качестве посредника. Поскольку федерация идентификационных данных рабочей нагрузки также была относительно новой функцией, для успешного внедрения в среду Yahoo Mail нам потребовалось тесное сотрудничество с инженерами Google Cloud.
• Kubernetes externalTrafficPolicy: Одной из отличительных функций, о которой Yahoo Mail горячо и с нетерпением рассуждала, была взвешенная маршрутизация для балансировщиков нагрузки. Эта функция позволяла оптимально направлять входящий трафик к бэкендам. Хотя эта функция поддерживалась для управляемых групп экземпляров, на тот момент встроенной интеграции с GKE не было. В связи с её отсутствием команде платформы пришлось исследовать и экспериментировать с режимами externalTrafficPolicy, такими как локальный и кластерный режимы, чтобы определить влияние на производительность и ограничения.
• Планирование ресурсов: Наконец, что не менее важно, специалисты Google Professional Services выполнили планирование ресурсов – краеугольный камень успешной миграции в облако. В данном случае это включало в себя совместную работу нескольких команд разработчиков приложений для определения базового уровня потребностей в ресурсах, формирования ключевых предположений и оценки ресурсов, необходимых для удовлетворения текущих и будущих потребностей. Планирование ресурсов – это высоко итеративный процесс, который должен меняться по мере изменения рабочих нагрузок и требований. Поэтому регулярные проверки и поддержание четкой коммуникации с Google имели первостепенное значение для обеспечения адаптации поставщика облачных услуг к потребностям клиента.

Следующая веха Yahoo Mail
Миграция такого большого приложения, как Yahoo Mail, — это сложнейшая задача. Благодаря двуединому подходу — «поднятию и переносу» для большинства сервисов и стратегической перестройке архитектуры для некоторых — Yahoo уверенно движется к настройке своей почтовой системы для следующего поколения клиентов. Хотя небольшая часть системы Yahoo Mail уже находится в эксплуатации, ожидается, что большинство её сервисов будут запущены в течение следующего года. Подробнее о том, как Google PSO может помочь с другими аналогичными сервисами, см. на этой странице.
cloud.google.com/consulting/portfolio

Google Cloud стремится быть надежным партнером для клиентов, которые сталкиваются с европейскими нормами в области ИИ. Мы давно понимаем, что для обеспечения доступа европейцев к безопасным и первоклассным инструментам ИИ по мере их появления требуется проактивный и совместный подход.

На этой неделе компания Google объявила о намерении подписать Кодекс практики Европейского союза в области искусственного интеллекта (далее – Кодекс). Google Cloud поддерживает заявленную цель Управления по искусственному интеллекту (ИИ): предложить простой и прозрачный способ подтверждения соответствия требованиям Закона об искусственном интеллекте, который предполагает оптимизированный процесс соответствия, а контроль за соблюдением Кодекса будет сосредоточен на его реализации. Мы считаем, что такой подход может повысить предсказуемость и снизить административную нагрузку.
blog.google/around-the-globe/google-europe/eu-ai-code-practice

Мы уверены, что благодаря нашему участию наши клиенты получат выгоду, поскольку смогут сравнить лучшие облачные сервисы и получить собственные преимущества в плане соответствия требованиям.

Заглядывая вперед, заказчикам следует ознакомиться с этими тремя документами о соответствии, поскольку они стремятся разрабатывать и внедрять ИИ в ЕС.

Закон ЕС об ИИ представляет собой нормативно-правовую базу, устанавливающую обязательства для определенных систем ИИ с учетом их потенциальных рисков и уровней воздействия.
digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai

Кодекс практики в области искусственного интеллекта общего назначения — это добровольный инструмент, подготовленный независимыми экспертами в ходе многостороннего процесса, призванный помочь отрасли соблюдать обязательства, предусмотренные Законом об искусственном интеллекте для поставщиков моделей искусственного интеллекта общего назначения.
digital-strategy.ec.europa.eu/en/policies/contents-code-gpai

Отдельно в рекомендациях GPAI основное внимание уделяется объему обязательств для поставщиков универсальных моделей ИИ, изложенных в Законе об ИИ, в свете их предстоящего вступления в силу 2 августа 2025 года.
digital-strategy.ec.europa.eu/en/library/guidelines-scope-obligations-providers-general-purpose-ai-models-under-ai-act

Подход Google Cloud к оказанию помощи клиентам в соответствии с Законом
Основой нашего подхода к доверию к ИИ и важнейшим компонентом соблюдения Закона об ИИ является управление данными и конфиденциальность. Клиенты контролируют, как и где используются их данные. Мы внедряем принципы конфиденциальности на всех этапах жизненного цикла наших продуктов, в том числе при разработке ИИ, обеспечивая архитектуру с такими мерами защиты конфиденциальности, как шифрование данных, и обеспечивая существенную прозрачность и контроль над использованием данных.
services.google.com/fh/files/misc/ociso-ai-trust-paper-v2.pdf

Мы выполнили обещание, данное европейским клиентам в 2020 году, помочь им трансформировать свой бизнес и соответствовать строгим требованиям к безопасности данных и конфиденциальности. На сегодняшний день мы инвестировали миллиарды евро в расширение доступа к безопасным и высокопроизводительным вычислительным ресурсам, используя семь центров обработки данных в Европе, а также 13 облачных зон в Польше, Финляндии, Германии, Италии, Испании, Франции, Бельгии, Швеции, Нидерландах, Швейцарии и других регионах, находящихся в стадии разработки.
cloud.google.com/about/locations

Наши услуги по защите конфиденциальных данных и средства управления услугами VPC дополнительно помогают клиентам защищать конфиденциальные данные и соблюдать требования к размещению данных. Мы уже работаем над добавлением новых функций для поддержки управления данными в соответствии с требованиями Закона об искусственном интеллекте.

Поддержка вашего соответствия
Мы были одной из первых организаций, опубликовавших принципы ИИ в 2018 году, и с 2019 года публикуем ежегодный отчет о прозрачности. Мы постоянно пересматриваем наши политики, практики и структуры, включая надежные методы обеспечения безопасности, конфиденциальности по умолчанию и оценки рисков.
ai.google/responsibility/principles/

Мы стремимся предоставлять и регулярно обновлять документацию о наших инструментах и сервисах ИИ. Центр соответствия требованиям облачных технологий (Cloud Compliance Center) остаётся самым актуальным ресурсом для всех артефактов соответствия требованиям клиентов, включая сертификацию системы управления ИИ Google Cloud по стандарту ISO 42001 и документацию, связанную с Законом ЕС об ИИ. По мере подготовки к обеспечению соответствия требованиям всех новых моделей, которые будут запущены по всему миру, в том числе в ЕС, мы обновим все артефакты, чтобы обеспечить своевременную интеграцию в клиентские приложения Google Cloud.
cloud.google.com/compliance

Наша постоянно обновляемая платформа Secure AI Framework (SAIF) представляет собой концептуальную основу для защиты систем ИИ в масштабах данных, инфраструктуры, приложений и моделей, делая акцент на глубокой защите и проектной безопасности. Это обеспечивает раннее внедрение мер предотвращения и обнаружения, адаптированных к конкретным рискам продукта и пользователя.
saif.google/

Конечно, практическое применение любой отраслевой структуры требует тесного сотрудничества с другими участниками рынка, и прежде всего, наличия площадки для его реализации. Именно поэтому в прошлом году мы совместно с отраслевыми партнёрами создали Коалицию за безопасный ИИ (CoSAI) для разработки комплексных мер безопасности и устранения уникальных рисков, связанных с ИИ, как актуальных, так и долгосрочных.
www.coalitionforsecureai.org/

Что могут сделать клиенты, чтобы подготовиться
Клиентам следует тесно сотрудничать с Управлением ЕС по искусственному интеллекту (ИИ), чтобы понимать свои правовые и нормативные обязательства при изменении базовой модели или её интеграции в крупную систему. Важно следить за новыми рекомендациями и разработками, публикуемыми Управлением ЕС по искусственному интеллекту (ИИ).

Мы продолжим соблюдать все юридические обязательства в соответствии с Законом и продемонстрируем, как мы выполняем и поддерживаем требования соответствия, включая новые будущие модели, на которые будет распространяться действие Кодекса.

Мы по-прежнему стремимся предоставлять нашим корпоративным клиентам передовые решения на основе искусственного интеллекта, которые одновременно являются инновационными и соответствуют требованиям. У нас есть необходимые возможности и опыт, и мы продолжим сотрудничать с политиками и клиентами по мере разработки новых нормативных актов, структур и стандартов.

Сегодня мы представляем Sol — новую трансатлантическую подводную кабельную систему, которая соединит США, Бермудские острова, Азорские острова и Испанию. Название Sol переводится с испанского и португальского как «солнце», что указывает на то, что кабельная система имеет выходы на берег в более тёплом климате. Наряду с подводным кабелем Nuvem, Sol дополняет наши уникальные инвестиции в трансатлантическую устойчивость, соединяя две системы наземным способом в США и на Пиренейском полуострове, а также на Бермудских островах и Азорских островах.

Кабель Sol будет производиться в США и после ввода в эксплуатацию повысит пропускную способность и надежность нашей растущей сети из 42 регионов Google Cloud по всему миру, помогая удовлетворять растущий спрос клиентов на услуги Google Cloud и ИИ в США, Европе и за их пределами.

Палм-Кост, Флорида, проложит кабель Sol в США. Мы будем сотрудничать с DC BLOX для прокладки кабеля и создания нового узла связи в этом солнечном штате. Мы также разработаем наземный маршрут, соединяющий Палм-Кост с нашим облачным регионом в Южной Каролине.

После завершения строительства Sol станет единственным действующим оптоволоконным кабелем между Флоридой и Европой. В Испании мы будем сотрудничать с Telxius, чтобы обеспечить необходимую инфраструктуру для прокладки кабеля Sol в Сантандере, что позволит ещё больше интегрировать регион Google Cloud в Мадриде в нашу глобальную сеть.

Флорида вновь оказалась в авангарде укрепления цифровой инфраструктуры нашей страны. Прокладка подводного кабеля Sol в нашем штате свидетельствует о стремлении штата создавать благоприятную среду для технологических инвестиций и инноваций. Мы гордимся сотрудничеством с такими компаниями, как Google и DC BLOX, в реализации стратегических инфраструктурных проектов, которые будут способствовать развитию инноваций в области искусственного интеллекта и принесут ощутимую пользу нашим сообществам и всему «Солнечному штату

Дж. Алекс Келли, министр торговли Флориды

Это знаменательный момент для Палм-Коста, Флаглер-Бич и округа Флаглер, и это чёткий сигнал о том, что мы — сообщество будущего, инвестирующее в наше экономическое развитие и жизнеспособность. Подводный кабель Sol — это больше, чем просто инфраструктура; это шлюз к беспрецедентной глобальной связности, которая привлечёт новые высокотехнологичные отрасли, которых заслуживают наши жители. Мы не просто делаем Палм-Кост и наше сообщество известными; мы прокладываем прямой путь к мировой цифровой экономике, обеспечивая процветающее и динамичное будущее для нашего сообщества

Вице-мэр Тереза ​​Карли Понтьери, Палм-Кост, Флорида

DC BLOX гордится и гордится тем, что расширяет основополагающую цифровую инфраструктуру, жизненно важную для растущей экономики Флориды. Поддерживая кабель Google Sol и предоставляя возможность для прокладки дополнительных кабелей, новый кампус Palm Coast Cable Landing Station укрепляет позиции Флориды как центра глобальных коммуникаций

Крис Гэтч, директор по доходам DC BLOX.

Цифровая связь сегодня является стратегическим фактором экономического и социального развития любого города. В городском совете Сантандера мы стремимся содействовать развитию этой инфраструктуры, поскольку её внедрение привлекает инвестиции, таланты и технологические компании, а также создаёт рабочие места и позиционирует нас как город, готовый к удалённой работе, передовым услугам и модели «умного города». Именно поэтому мы ценим интерес Google к нашему побережью и выбор Сантандера в качестве трансатлантического связующего звена!

мэр городского совета Хема Игуаль, Сантандер, Испания.

Telxius рад поддержать Google в прокладке кабеля Sol в Испанию. Это важный шаг, который улучшит трансатлантическую связь благодаря повышению пропускной способности, надежности и отказоустойчивости. Благодаря нашим услугам по высадке на подводных лодках мы ускоряем реализацию проектов и помогаем расширять глобальные сети для наших клиентов

Марио Мартин, генеральный директор Telxius.

Правительство Азорских островов с большим энтузиазмом приветствует эти важные инвестиции в регион и поздравляет Google с её дальновидным, новаторским и стратегическим подходом, который полностью соответствует нашему собственному видению: Азорские острова являются важным стратегическим центром цифровой связи в Европе и Северной Атлантике

Артур Лима, вице-президент правительства Азорских островов

Содействие расширению и модернизации подводной кабельной инфраструктуры в целях укрепления международной связи и цифровой конкурентоспособности страны является важнейшей задачей правительства для развития нашей страны. Проект нового кабеля «Sol» компании Google, состоящего из 16 оптоволоконных пар и потенциально обеспечивающего резервирование кабеля «Nuvem», также принадлежащего этой компании, повысит устойчивость и удовлетворит растущий спрос на цифровую инфраструктуру в Португалии и Европе

Мигел Пинту Луш, министр инфраструктуры и жилищного строительства Португалии

Бермудские острова приветствуют продолжающиеся инвестиции Google, анонсировав второй кабель «Sol», который ещё больше укрепляет позиции Бермудских островов как цифрового центра в Атлантике. Бермудские острова высоко ценят свои позитивные отношения с Google. Этот второй кабель подчёркивает преимущества стратегии правительства по развитию Бермудских островов как прогрессивной ведущей мировой юрисдикции для технологических компаний

Алекса Лайтборн, министр внутренних дел Бермудских островов

Sol увеличит пропускную способность, повысит надежность и сократит задержки для пользователей Google и клиентов Google Cloud по всему миру. Наряду с такими кабельными системами, как Nuvem, Firmina, Equiano и Grace Hopper, Sol также создаёт ключевые точки по ту сторону Атлантики в качестве узлов связи, укрепляя местную экономику и предоставляя преимущества ИИ людям и компаниям по всему миру.