Google Cloud OnBoard Extension 精彩內容一手掌握

深入淺出了解 GCP 特色與優勢

第一位講師有請到 Google Cloud 的 Customer Engineer , Edward 為我們簡單介紹 Google Cloud Platform (GCP)。Google 本身有 7 個產品是超過十億名用戶的，所以在處理大型服務架構上，Google 是相當有經驗的。

GCP 的 Global HTTP Load Balancer 會幫助服務分散流量，不需要任何的暖機時間。Load Balancer 除了幫助服務分散進來的流量，還可以把流量導到距離該使用者最近的機房。Google VPC (Virtual Private Cloud)，在這個 VPC Network 裡的 VM (不管在哪一個 Region) 都可以直接透過 Private IP 溝通。

2. GCP Compute Server：

IaaS：Google Compute Engine 虛擬機器

•   以秒計費、用越久單位計價越便宜
•   高吞吐量(CPU 數量越多吞吐量越高，一台 VM 最高可達 16 Gbps)
•   客製化的機器規格
•   Live Migration：硬體維護或是故障時，GCP 會自動把 VM 搬到另一台實體機器上，讓用戶不會有任何 downtime。

Container Service：

•   Google Kubernetes Engine (GKE)：Google Cloud 上運行 Kubernetes 的服務，方便管理、版本更新。
•   Google Container Builder：從 Cloud Storage 中提取程式並生成 Docker 映像檔。
•   Google Container Registry：存放 Docker 映像檔

PaaS：Google App Engine

•   不用管理底層的問題，只需要上傳程式即可執行
•   GCP 幫用戶 autoscale

Serverless：Cloud Functions

•   目前只支援 node.js
•   單一邏輯的應用程式

3. 價格：

•   Sustained use discount (持續使用折扣)：開滿一整個月就會有 25%的折扣。
•   每月根據相同規格的機器的使用時間加總給予折扣。

4. 安全性：雲端安全嗎？

Google 對於每個服務、每個網路層都有對應的安全防護。Google 機房、網路、晶片都是自己製作自己建置的，減少使用第三方而被開後門的風險。由龐大的 Google 資安團隊打造的資安防護絕對會比自身架設的伺服器還要穩固，畢竟 Google 旗下的產品都是經過數十年的淬煉才會有今天的成就。

最後，Edward 總結 GCP 的幾項特點：全球性的基礎建設、實在的價格、高可用性、高安全性。

GCP 有什麼好處 – 從機房到雲端

第二位是我們自家 iKala Cloud 的首席架構師 Gene，之前也曾在 Garena 擔任英雄聯盟遊戲服務的 Tech Lead。

如果是實體機房需要預估會有多少玩家，以便採買多少機器，多買就會浪費、少買就會讓玩家等。但在 GCP 上開一台 VM 只需要 30 秒至 90 秒之間，如果有在 instance group 設定autoscale，GCP 會自動幫使用者關掉閒置的 VM。這樣的彈性可以同時解決大量玩家的高峰時間以及少量玩家在線的離峰時間。另外，在 GCP 上開設的 VM 所享受到的頻寬是比實體機房的 VM 還要多的。

研究發現，國外的大企業花了約 70% 的成本在事前基礎設施的建設以及維護、只有 30% 是花在研發上。如果把 70% 的時間及成本都交給 Google 的話，就有更多時間及成本可以投入在公司產品的研發及創新。

2. 大家怎麼用？

另一個研究，國外有 85% 的 IT 產業會逐漸走向混合雲(混私有雲以及公有雲)。主要是三個原因：

 •   可以同時使用私有雲或是公有雲，比較好用的工具
 •   防止被鎖在其中一個公司
 •   更高的容錯率

美國一家家庭裝飾品與建材的零售商，The Home Depot。使用了混合地端以及雲端的混合雲，成功地在美國的 Black Friday 購物日 (類似台灣的 1111 光棍節)承受大量地用戶湧入。

3. 用了有什麼好處

在管理虛擬化的實體機房時，最常發生一個問題是：同一台實體機器上有多台 VM，如何確保其中一台 VM 不會吃掉其他 VM 的資源。Google 下了非常大的功夫來解決這個問題 (Noisy Neighbors)。Live migration 也是使用 GCP 的一大特點，能夠幫助使用者無痛轉移 VM。

Preemptible VMs 的特點：省下 80%的成本、最多只會運行 24 小時、關掉前只會有 30 秒的告警時間、不支援 Live migration。

4. iKala Cloud 實際客戶：用過都說讚！

KKBOX 台灣有名的音樂串流公司：

•   營運成本減低 30%
•   速度較他牌的供應商快 3倍
•   iKala Cloud 的技術諮詢

Rayark 全球知名的遊戲廠商：

•   全球千萬下載量
•   iKala Cloud 家提供即時、專業的技術諮詢

Dcard 全台灣最大的匿名社群網站：

 •   降低營運成本 50%
 •   iKala Cloud 提供即時、專業的技術諮詢

5. 國外實際客戶

Wix(全球最大架站供應商)、Spotify(瑞典的音樂串流公司)、ocado(英國的生鮮、日常用品銷售商)等。

GCP 上的資安防護

最後一位我們請到互聯安睿(ARCRAN INC.)的資安專家 Sean，針對混合雲這部分以資安的角度來切入。互聯安睿結合 iKala Cloud，可以打造一條從地端至雲端的安全防護。

GCP 如何保障雲端靜態數據？

多數企業會把對外的資源架設在雲端上，但是像 ERP 系統、人資系統可能還是會保留在地端的伺服器。上傳到 GCP 的靜態數據會分割成數個 Chunk，並為各個 Chunk 個別加密。一個 Chunk 都會對應到一個 Data Encryption Key (DEK)。每一個 Chunk 可能會被分配到不同的機器上，而每一台機器也會有相對應的 Encryption Key。

數據加密幾次都不是重點，加密過後的 Encryption Key 放在哪裡才是重點。GCP 上的每一把 DEK 都會再受到 Key Encryption Key 做加密，這個加密的過程我們稱做 Wrap。而這些 KEK 會被記錄在 Key Management Service (KMS)，當需要某一個 Chunk 的數據時，會由 Chunk 發送 Request 給 KMS。確認身份無誤之後，便會把解密完的 KEK 存在記憶體中給 Chunk 進行解密，解密完即消除記憶體中的 KEK。

Google 如何確保存取控制？

管理面向來看，GCP 本身就有提供一個企業級的存取控制服務，Identity Access Management (IAM) 分為 Identity, Role, Resource。另外，Google 還落實 2nd Factor Authentication (兩步驟驗證) 來確保身份的正確性。

被 DDoS 時，要怎麼應對？

對於 DDoS 不外乎就是邊境流量控管、負載平衡控管、流量清洗。GCP 從 PoPs、Google Front End、Load Balancing、WAF(Web Application Firewal) 都是為了用來抵擋掉 DDoS 攻擊所設計的服務。

Cloud CDN：可扮演 Proxy的角色，利用暫存的資料回應給使用者請求。當遇到 DDoS 攻擊時，能將流量透過 PoPs 分散到全球。

Proxy-based Load Balancing：啟用 HTTP(S) Load Balancing，GCP可以減輕來自 Layer 4 的攻擊。

Cloud Armor：抵擋 L7 DDoS 的防禦服務

第三方 DDoS 防護方案：可以到 Cloud Launcher 來安裝

Google’s Project Zero 全世界最專業的資安團隊之一(2014年~)：大部分的資安漏洞都是此團隊的提供者，例如 2017, 2014年的 CPU 重大漏洞 Spectre 以及 Meltdown。

世代的變化越來越快，雲端的基礎架構帶給整個軟體產業有很大的影響。如何在市場中搶快就是關鍵。GCP 存在的意義就是可以讓使用者快速開發、專注在產品的創新，減少許多維運以及安全性需要擔心的問題。