從混合雲到資安防護:Google Cloud OnBoard Extension 精彩回顧!

Google Cloud OnBoard Extension 精彩內容一手掌握

暨 Google 7/4 在台北盛大舉辦 2018 第一場 Cloud OnBoard 大會後,隔天 Google Cloud 與 GCP專門家特地移師台中舉辦 Cloud OnBoard Extension,希望能與中部地區的夥伴做更深入的講解。在此特別感謝夢森林提供場地,我們更有幸在開場時,邀請到微程式技術長 Luke 與我們進行分享:希望能藉由這次活動讓中部地區的朋友進行技術交流,並活絡中南部地區的社群發展。

深入淺出了解 GCP 特色與優勢

第一位講師有請到 Google Cloud 的 Customer Engineer , Edward 為我們簡單介紹 Google Cloud Platform (GCP)。Google 本身有 7 個產品是超過十億名用戶的,所以在處理大型服務架構上,Google 是相當有經驗的。

1. 網路速度

到場的有非常多遊戲產業,應該都會有個疑問:要如何讓自家的服務品質低延遲並且穩定?Google 花非常多心力在打造自己的機房與網路系統,全球有 16 座機房包括位於彰化的彰濱機房,並預計在今年與明年開放洛杉磯、香港、大阪機房,以提供更好的服務。而這些機房都是用 Google 自建的海底纜線連接,延遲非常低。

GCP 的 Global HTTP Load Balancer 會幫助服務分散流量,不需要任何的暖機時間。Load Balancer 除了幫助服務分散進來的流量,還可以把流量導到距離該使用者最近的機房。Google VPC (Virtual Private Cloud),在這個 VPC Network 裡的 VM (不管在哪一個 Region) 都可以直接透過 Private IP 溝通。

2. GCP Compute Server:

IaaS:Google Compute Engine 虛擬機器

•   以秒計費、用越久單位計價越便宜
•   高吞吐量(CPU 數量越多吞吐量越高,一台 VM 最高可達 16 Gbps)
•   客製化的機器規格
•   Live Migration:硬體維護或是故障時,GCP 會自動把 VM 搬到另一台實體機器上,讓用戶不會有任何 downtime。

Container Service:

•   Google Kubernetes Engine (GKE):Google Cloud 上運行 Kubernetes 的服務,方便管理、版本更新。
•   Google Container Builder:從 Cloud Storage 中提取程式並生成 Docker 映像檔。
•   Google Container Registry:存放 Docker 映像檔

PaaS:Google App Engine

•   不用管理底層的問題,只需要上傳程式即可執行
•   GCP 幫用戶 autoscale

Serverless:Cloud Functions

•   目前只支援 node.js
•   單一邏輯的應用程式

3. 價格:

•   Sustained use discount (持續使用折扣):開滿一整個月就會有 25%的折扣。
•   每月根據相同規格的機器的使用時間加總給予折扣。

4. 安全性:雲端安全嗎?

Google 對於每個服務、每個網路層都有對應的安全防護。Google 機房、網路、晶片都是自己製作自己建置的,減少使用第三方而被開後門的風險。由龐大的 Google 資安團隊打造的資安防護絕對會比自身架設的伺服器還要穩固,畢竟 Google 旗下的產品都是經過數十年的淬煉才會有今天的成就。

最後,Edward 總結 GCP 的幾項特點:全球性的基礎建設、實在的價格、高可用性、高安全性。

GCP 有什麼好處 – 從機房到雲端

第二位是我們自家 GCP 專門家的首席架構師 Gene,之前也曾在 Garena 擔任英雄聯盟遊戲服務的 Tech Lead。

1. 為什麼要使用雲端?

雲端不只是趨勢,運用雲端的基礎架構已經大大地減少了我們創新所需的時間。Google 過去二十年致力於打造全世界最強大的基礎架構。實際使用大廠如:可口可樂、Snapchat。

如果是實體機房需要預估會有多少玩家,以便採買多少機器,多買就會浪費、少買就會讓玩家等。但在 GCP 上開一台 VM 只需要 30 秒至 90 秒之間,如果有在 instance group 設定autoscale,GCP 會自動幫使用者關掉閒置的 VM。這樣的彈性可以同時解決大量玩家的高峰時間以及少量玩家在線的離峰時間。另外,在 GCP 上開設的 VM 所享受到的頻寬是比實體機房的 VM 還要多的。

研究發現,國外的大企業花了約 70% 的成本在事前基礎設施的建設以及維護、只有 30% 是花在研發上。如果把 70% 的時間及成本都交給 Google 的話,就有更多時間及成本可以投入在公司產品的研發及創新。

2. 大家怎麼用?

另一個研究,國外有 85% 的 IT 產業會逐漸走向混合雲(混私有雲以及公有雲)。主要是三個原因:

 •   可以同時使用私有雲或是公有雲,比較好用的工具
 •   防止被鎖在其中一個公司
 •   更高的容錯率

美國一家家庭裝飾品與建材的零售商,The Home Depot。使用了混合地端以及雲端的混合雲,成功地在美國的 Black Friday 購物日 (類似台灣的 1111 光棍節)承受大量地用戶湧入。

3. 用了有什麼好處

在管理虛擬化的實體機房時,最常發生一個問題是:同一台實體機器上有多台 VM,如何確保其中一台 VM 不會吃掉其他 VM 的資源。Google 下了非常大的功夫來解決這個問題 (Noisy Neighbors)。Live migration 也是使用 GCP 的一大特點,能夠幫助使用者無痛轉移 VM。

Preemptible VMs 的特點:省下 80%的成本、最多只會運行 24 小時、關掉前只會有 30 秒的告警時間、不支援 Live migration。

4. GCP 專門家實際客戶:用過都說讚!

KKBOX 台灣有名的音樂串流公司:

•   營運成本減低 30%
•   速度較他牌的供應商快 3倍
•   GCP 專門家的技術諮詢

Rayark 全球知名的遊戲廠商:

•   全球千萬下載量
•   GCP 專門家提供即時、專業的技術諮詢

Dcard 全台灣最大的匿名社群網站:

 •   降低營運成本 50%
 •   GCP 專門家提供即時、專業的技術諮詢

5. 國外實際客戶

Wix(全球最大架站供應商)、Spotify(瑞典的音樂串流公司)、ocado(英國的生鮮、日常用品銷售商)等。

GCP 上的資安防護

最後一位我們請到互聯安睿(ARCRAN INC.)的資安專家 Sean,針對混合雲這部分以資安的角度來切入。互聯安睿結合 GCP 專門家,可以打造一條從地端至雲端的安全防護。

Google 投資基礎建設的好處是什麼?低網路延遲、高可用性雲端服務以及最重要的更安全的網路環境(內網特性、易做資安防禦對策的佈署)。使用 GCP 只要透過當地的 ISP 再到 Google 設置的 PoP (Point of Presence),就等同於進入到 Google 的防護服務。

GCP 如何保障雲端靜態數據?

多數企業會把對外的資源架設在雲端上,但是像 ERP 系統、人資系統可能還是會保留在地端的伺服器。上傳到 GCP 的靜態數據會分割成數個 Chunk,並為各個 Chunk 個別加密。一個 Chunk 都會對應到一個 Data Encryption Key (DEK)。每一個 Chunk 可能會被分配到不同的機器上,而每一台機器也會有相對應的 Encryption Key。

數據加密幾次都不是重點,加密過後的 Encryption Key 放在哪裡才是重點。GCP 上的每一把 DEK 都會再受到 Key Encryption Key 做加密,這個加密的過程我們稱做 Wrap。而這些 KEK 會被記錄在 Key Management Service (KMS),當需要某一個 Chunk 的數據時,會由 Chunk 發送 Request 給 KMS。確認身份無誤之後,便會把解密完的 KEK 存在記憶體中給 Chunk 進行解密,解密完即消除記憶體中的 KEK。

Google 如何確保存取控制?

管理面向來看,GCP 本身就有提供一個企業級的存取控制服務,Identity Access Management (IAM) 分為 Identity, Role, Resource。另外,Google 還落實 2nd Factor Authentication (兩步驟驗證) 來確保身份的正確性。

被 DDoS 時,要怎麼應對?

對於 DDoS 不外乎就是邊境流量控管、負載平衡控管、流量清洗。GCP 從 PoPs、Google Front End、Load Balancing、WAF(Web Application Firewal) 都是為了用來抵擋掉 DDoS 攻擊所設計的服務。

Cloud CDN:可扮演 Proxy的角色,利用暫存的資料回應給使用者請求。當遇到 DDoS 攻擊時,能將流量透過 PoPs 分散到全球。

Proxy-based Load Balancing:啟用 HTTP(S) Load Balancing,GCP可以減輕來自 Layer 4 的攻擊。

Cloud Armor:抵擋 L7 DDoS 的防禦服務

第三方 DDoS 防護方案:可以到 Cloud Launcher 來安裝

Google’s Project Zero 全世界最專業的資安團隊之一(2014年~):大部分的資安漏洞都是此團隊的提供者,例如 2017, 2014年的 CPU 重大漏洞 Spectre 以及 Meltdown。

世代的變化越來越快,雲端的基礎架構帶給整個軟體產業有很大的影響。如何在市場中搶快就是關鍵。GCP 存在的意義就是可以讓使用者快速開發、專注在產品的創新,減少許多維運以及安全性需要擔心的問題。

 


iKala - GCP 專門家

GCP 專門家,Google Cloud 首席合作夥伴暨代理商,協助逾 200 家企業使用 Google Cloud,客戶廣布遊戲、媒體、數據廣告、電商、金融等多種產業。我們擁有超過 30 位技術人員,更通過 Google 原廠雲端架構師及資料工程師認證,具備第一手 GCP 產品開發及導入經驗,能提供您紮實的客製化技術服務。

我們提供了多項的 GCP 加值服務:

了解更多: https://gcp.expert/
加入我們: https://goo.gl/rg9D3Q
Facebook Fan Page: https://www.facebook.com/gcp.expert/
聯絡我們:+886 2 87681110 或請來信 gcp@ikala.tv