..

Google Cloud OnBoard Extension 精彩内容一手掌握

暨 Google 7/4 在台北盛大举办 2018 第一场 Cloud OnBoard 大会后，隔天 Google Cloud 与 GCP专门家特地移师台中举办 Cloud OnBoard Extension，希望能与中部地区的伙伴做更深入的讲解。在此特别感谢梦森林提供场地，我们更有幸在开场时，邀请到微程式技术长 Luke 与我们进行分享：希望能借由这次活动让中部地区的朋友进行技术交流，并活络中南部地区的社群发展。

深入浅出了解 GCP 特色与优势

第一位讲师有请到 Google Cloud 的 Customer Engineer , Edward 为我们简单介绍 Google Cloud Platform (GCP)。Google 本身有 7 个产品是超过十亿名用户的，所以在处理大型服务架构上，Google 是相当有经验的。

1. 网络速度

到场的有非常多游戏产业，应该都会有个疑问：要如何让自家的服务品质低延迟并且稳定？Google 花非常多心力在打造自己的机房与网络系统，全球有 16 座机房包括位于彰化的彰滨机房，并预计在今年与明年开放洛杉矶、香港、大阪机房，以提供更好的服务。而这些机房都是用 Google 自建的海底缆线连接，延迟非常低。

GCP 的 Global HTTP Load Balancer 会帮助服务分散流量，不需要任何的暖机时间。Load Balancer 除了帮助服务分散进来的流量，还可以把流量导到距离该使用者最近的机房。Google VPC (Virtual Private Cloud)，在这个 VPC Network 里的 VM (不管在哪一个 Region) 都可以直接透过 Private IP 沟通。

2. GCP Compute Server：

IaaS：Google Compute Engine 虚拟机器

•   以秒计费、用越久单位计价越便宜
•   高吞吐量(CPU 数量越多吞吐量越高，一台 VM 最高可达 16 Gbps)
•   客制化的机器规格
•   Live Migration：硬件维护或是故障时，GCP 会自动把 VM 搬到另一台实体机器上，让用户不会有任何 downtime。

Container Service：

•   Google Kubernetes Engine (GKE)：Google Cloud 上运行 Kubernetes 的服务，方便管理、版本更新。
•   Google Container Builder：从 Cloud Storage 中提取程式并生成 Docker 映像档。
•   Google Container Registry：存放 Docker 映像档

PaaS：Google App Engine

•   不用管理底层的问题，只需要上传程式即可执行
•   GCP 帮用户 autoscale

Serverless：Cloud Functions

•   目前只支援 node.js
•   单一逻辑的应用程式

3. 价格：

•   Sustained use discount (持续使用折扣)：开满一整个月就会有 25%的折扣。
•   每月根据相同规格的机器的使用时间加总给予折扣。

4. 安全性：云端安全吗？

Google 对于每个服务、每个网络层都有对应的安全防护。Google 机房、网络、芯片都是自己制作自己建置的，减少使用第三方而被开后门的风险。由庞大的 Google 资安团队打造的资安防护绝对会比自身架设的服务器还要稳固，毕竟 Google 旗下的产品都是经过数十年的淬炼才会有今天的成就。

最后，Edward 总结 GCP 的几项特点：全球性的基础建设、实在的价格、高可用性、高安全性。

GCP 有什么好处 – 从机房到云端

第二位是我们自家 GCP 专门家的首席架构师 Gene，之前也曾在 Garena 担任英雄联盟游戏服务的 Tech Lead。

1. 为什么要使用云端？

云端不只是趋势，运用云端的基础架构已经大大地减少了我们创新所需的时间。Google 过去二十年致力于打造全世界最强大的基础架构。实际使用大厂如：可口可乐、Snapchat。

如果是实体机房需要预估会有多少玩家，以便采买多少机器，多买就会浪费、少买就会让玩家等。但在 GCP 上开一台 VM 只需要 30 秒至 90 秒之间，如果有在 instance group 设定autoscale，GCP 会自动帮使用者关掉闲置的 VM。这样的弹性可以同时解决大量玩家的高峰时间以及少量玩家在线的离峰时间。另外，在 GCP 上开设的 VM 所享受到的频宽是比实体机房的 VM 还要多的。

研究发现，国外的大企业花了约 70% 的成本在事前基础设施的建设以及维护、只有 30% 是花在研发上。如果把 70% 的时间及成本都交给 Google 的话，就有更多时间及成本可以投入在公司产品的研发及创新。

2. 大家怎么用？

另一个研究，国外有 85% 的 IT 产业会逐渐走向混合云(混私有云以及公有云)。主要是三个原因：

 •   可以同时使用私有云或是公有云，比较好用的工具
 •   防止被锁在其中一个公司
 •   更高的容错率

美国一家家庭装饰品与建材的零售商，The Home Depot。使用了混合地端以及云端的混合云，成功地在美国的 Black Friday 购物日 (类似台湾的 1111 光棍节)承受大量地用户涌入。

3. 用了有什么好处

在管理虚拟化的实体机房时，最常发生一个问题是：同一台实体机器上有多台 VM，如何确保其中一台 VM 不会吃掉其他 VM 的资源。Google 下了非常大的功夫来解决这个问题 (Noisy Neighbors)。Live migration 也是使用 GCP 的一大特点，能够帮助使用者无痛转移 VM。

Preemptible VMs 的特点：省下 80%的成本、最多只会运行 24 小时、关掉前只会有 30 秒的告警时间、不支援 Live migration。

4. GCP 专门家实际客户：用过都说赞！

KKBOX 台湾有名的音乐串流公司：

•   营运成本减低 30%
•   速度较他牌的供应商快 3倍
•   GCP 专门家的技术咨询

Rayark 全球知名的游戏厂商：

•   全球千万下载量
•   GCP 专门家提供即时、专业的技术咨询

Dcard 全台湾最大的匿名社群网站：

 •   降低营运成本 50%
 •   GCP 专门家提供即时、专业的技术咨询

5. 国外实际客户

Wix(全球最大架站供应商)、Spotify(瑞典的音乐串流公司)、ocado(英国的生鲜、日常用品销售商)等。

GCP 上的资安防护

最后一位我们请到互联安睿(ARCRAN INC.)的资安专家 Sean，针对混合云这部分以资安的角度来切入。互联安睿结合 GCP 专门家，可以打造一条从地端至云端的安全防护。

Google 投资基础建设的好处是什么？低网络延迟、高可用性云端服务以及最重要的更安全的网络环境(内网特性、易做资安防御对策的布署)。使用 GCP 只要透过当地的 ISP 再到 Google 设置的 PoP (Point of Presence)，就等同于进入到 Google 的防护服务。

GCP 如何保障云端静态数据？

多数企业会把对外的资源架设在云端上，但是像 ERP 系统、人资系统可能还是会保留在地端的服务器。上传到 GCP 的静态数据会分割成数个 Chunk，并为各个 Chunk 个别加密。一个 Chunk 都会对应到一个 Data Encryption Key (DEK)。每一个 Chunk 可能会被分配到不同的机器上，而每一台机器也会有相对应的 Encryption Key。

数据加密几次都不是重点，加密过后的 Encryption Key 放在哪里才是重点。GCP 上的每一把 DEK 都会再受到 Key Encryption Key 做加密，这个加密的过程我们称做 Wrap。而这些 KEK 会被记录在 Key Management Service (KMS)，当需要某一个 Chunk 的数据时，会由 Chunk 发送 Request 给 KMS。确认身份无误之后，便会把解密完的 KEK 存在内存中给 Chunk 进行解密，解密完即消除内存中的 KEK。

Google 如何确保存取控制？

管理面向来看，GCP 本身就有提供一个企业级的存取控制服务，Identity Access Management (IAM) 分为 Identity, Role, Resource。另外，Google 还落实 2nd Factor Authentication (两步骤验证) 来确保身份的正确性。

被 DDoS 时，要怎么应对？

对于 DDoS 不外乎就是边境流量控管、负载平衡控管、流量清洗。GCP 从 PoPs、Google Front End、Load Balancing、WAF(Web Application Firewal) 都是为了用来抵挡掉 DDoS 攻击所设计的服务。

Cloud CDN：可扮演 Proxy的角色，利用暂存的资料回应给使用者请求。当遇到 DDoS 攻击时，能将流量透过 PoPs 分散到全球。

Proxy-based Load Balancing：启用 HTTP(S) Load Balancing，GCP可以减轻来自 Layer 4 的攻击。

Cloud Armor：抵挡 L7 DDoS 的防御服务

第三方 DDoS 防护方案：可以到 Cloud Launcher 来安装

Google’s Project Zero 全世界最专业的资安团队之一(2014年~)：大部分的资安漏洞都是此团队的提供者，例如 2017, 2014年的 CPU 重大漏洞 Spectre 以及 Meltdown。

世代的变化越来越快，云端的基础架构带给整个软件产业有很大的影响。如何在市场中抢快就是关键。GCP 存在的意义就是可以让使用者快速开发、专注在产品的创新，减少许多维运以及安全性需要担心的问题。