# Google Cloud Computing Foundations: Infrastructure in Google Cloud --- 此筆記參考的課程內容來自**Google數位人才探索計畫**上的[Google Cloud](https://growonairtw.withgoogle.com/events/digitaleducation) 此堂課由**Google**所開設，其宗旨如下： > 針對不同背景的台灣人才，提供免費的數位技能培訓，涵蓋行銷及雲端工程兩大領域，並且包含 AI 應用及開發課程。透過完整學習路徑規劃，無論你是學生、即將進入職場的應屆畢業生或考慮轉換跑道的求職者，都能在短時間內具備相關知識！ 本課程有**兩大主題**，**「生成式 AI 開發者入門課程」以及「Google Cloud Computing Foundations」**，此堂課為**Google Cloud Computing Foundations**的課程：**Cloud Computing Fundamentals** 本課程系列適合**雲端新手**，提供基礎觀念與實作能力，涵蓋 Cloud、Big Data、Machine Learning 等主題，並說明 Google Cloud 的定位與應用，課程順序建議： 1. **Cloud Computing Fundamentals**：了解雲端運算概念、Google Cloud 的使用方式及運算選項。 2. **Infrastructure in Google Cloud**：探討 GCP 的基礎設施與虛擬機、儲存系統等資源。 3. **Networking and Security in Google Cloud**：學習 GCP 中的網路架構與資安機制。 4. **Data, ML, and AI in Google Cloud**：簡介資料處理與 GCP 上的機器學習、AI 工具。 ## Store the stuff ### 01 Storage option available in Google Cloud Google Cloud 提供的儲存與資料庫服務包括： 1. **物件儲存（Object Storage）**：Cloud Storage 2. **關聯式資料庫（Relational）**：Cloud SQL、Spanner 3. **非關聯式資料庫（Non-relational / NoSQL）**：Firestore、Bigtable * 選擇儲存方式的**關鍵依據**： * **資料類型（如圖片、影片、感測器資料）** * **商業需求（分析速度、存取頻率、可用性等）** 📌 這些服務具備高可**擴展性、可靠性，並且由 Google 管理，易於操作**。 #### 三大宗使用情境 1. **內容儲存與傳遞（Content Storage & Delivery）** * 例：網站圖片、影片串流 * 使用 Google 全球網路可提供快速且穩定的用戶體驗。 2. **資料分析與運算儲存（Analytics & Compute Storage）** * 可與 Google Cloud 的分析工具整合 * 例：IoT 資料分析、基因定序（Genomic sequencing） 3. 備份與歸檔（Backup & Archival） * 長期儲存、不常存取的資料可轉移至低成本方案 * 作為本地資料遺失時的災難備援（Disaster Recovery） #### 資料庫搬遷上雲 **第一步：資料庫搬遷上雲** * **典型例子：從本地 MySQL / PostgreSQL 遷移至 Cloud SQL** **第二步：雲端原生創新** * **支援行動應用（mobile apps）、快速擴展、未來擴充性設計** ### 02 Structured and unstructure data storage :::spoiler **☁️ Google Cloud 的儲存選項總覽** * Cloud Storage：適合存放非結構化資料（如圖片、影片、文件） * Cloud SQL：關聯式資料庫（支援 MySQL、PostgreSQL） * Spanner：全球可擴展的關聯式資料庫 * Firestore：NoSQL 文件導向資料庫，適合交易性資料但不使用 SQL * Bigtable：NoSQL 資料庫，適合高頻、低延遲的分析型應用 * BigQuery：分析型資料倉儲，支援 SQL，適合處理 PB 等級資料集 ::: 資料儲存三大常見用途包括 * **內容儲存與分發**：如影片、圖片；須低延遲、高效能 * **資料分析與運算支援**：如基因分析、IoT 資料處理 * **備份與歸檔**：降低儲存成本、支援災難復原 #### 資料類型的比較 | 分類 | 特徵 | 常見儲存選項 | | ------ | ------------------------------------- | ------------------- | | 非結構化資料 | - 沒有固定格式（如圖片、影片、文件）<br>- 難以使用傳統方法處理分析 | Cloud Storage | | 結構化資料 | - 表格形式（行、列）<br>- 容易存取、分析 | Cloud SQL、Spanner 等 | #### 結構化資料的分類 1. **交易性工作負載（OLTP）** * **快速寫入與更新（如訂單系統）** * **查詢標準、影響資料筆數少** * **適合使用**：Cloud SQL（區域性可擴展）、Spanner（全球可擴展）、Firestore（若不使用 SQL） 2. **分析型工作負載（OLAP）** * 需**讀取整體資料集**，包含**複雜查詢**（如總和、平均） * **適合使用**：BigQuery（使用 SQL）、Bigtable（即時、高頻率非 SQL 分析） ### 03 Unstructured storage using Cloud Storage **Cloud Storage 是 Google 提供的全託管、可擴展的物件儲存服務**。適用於**儲存非結構化資料**，如圖片、影片、備份檔案、中間處理結果等，且**支援大容量二進位檔案（BLOB）儲存與下載**。 #### Object Storage 資料以**「物件」形式儲存，而非檔案系統（file/folder）或區塊（block）形式**，且每個物件包含：**資料本身（binary）、、Metadata（建立時間、作者、類型、權限等）、全球唯一的識別碼（通常是 URL）** #### 四種儲存等級 | 儲存類型 | 適用情境 | 存取頻率建議 | 成本 | | -------- | --------------- | --------- | ---------- | | Standard | 熱資料（頻繁存取） | 常用或短期儲存 | 高 | | Nearline | 每月存取一次的冷資料 | 備份、歸檔資料 | 中 | | Coldline | 每 90 天存取一次的極冷資料 | 備份、災難備援 | 較低 | | Archive | 幾乎不存取（每年不到一次） | 歷史資料、長期歸檔 | 最低（但存取成本高） | :::info 通用特色（不分等級） * **無儲存上限，無最小檔案大小限制。** * **全球可用、低延遲、高耐久性。** * **支援安全控制、API、工具整合。** * **支援地理冗餘（multi-region/dual-region）來防災與負載平衡。** ::: #### Bucket 資料被儲存在稱為 **bucket 的容器**中，且**每個 bucket**：**必須有全域唯一名稱**與**指定儲存地點（建議選用靠近用戶的地區以降低延遲）。** #### Immutable & Versioning（不可變性與版本控制） Cloud Storage 的物件為**不可變（immutable）**，每次更動會建立新版本。 可啟用 **「版本控制」** 功能以保留歷史版本： * **可列出、還原、刪除指定版本**。 * 若未啟用版本控制，預設為覆蓋舊版本。 #### Lifecycle Management（生命週期管理） 可設定自動規則來清理資料，例如： * 刪除超過 365 天的物件。 * 刪除某特定日期前建立的物件。 * 僅保留最近 3 個版本。 ### 04 SQL managed services 雲端運算與基礎架構建置包括： 1. **雲端運算角色**：提供**可擴展、彈性的資源** 2. **虛擬機(VM)**：使用 **Compute Engine 建立與管理 VM** 3. **自動擴展應用程式**：利用**autoscaling 建立彈性應用服務**。 #### SQL管理型服務 其定義為有**組織**的資訊集合，可供**應用快速查詢/儲存**。 * **使用情境**：查詢使用者名稱、顯示產品價格、排行分析、廣告推播等。 * **關聯式資料庫（RDBMS / SQL DB）**： * 適合結構明確、需交易處理與表格關聯的應用。 * 使用 SQL 語法查詢。 * Google Cloud 提供的兩種管理型 SQL 服務： * **Cloud SQL**：傳統關聯式資料庫（如 MySQL, PostgreSQL）。 * **Spanner**：全球一致性、可擴展的 SQL 資料庫。 ### 05 Exploring Cloud SQL Cloud SQL 是 Google Cloud 提供的**完全託管式關聯式資料庫服務**。支援**常見的 SQL 資料庫引擎：MySQL、PostgreSQL、SQL Server** #### 特點 1. **自動化管理功能**使 Cloud SQL 卸下使用者的管理負擔，將以下任務交由 Google 處理： * **自動修補程式和更新** * **備份管理與還原** * **資料庫複寫設定** 2. **可擴展性** 3. **複寫與備份** 4. **資安與加密** ### 05 Spanner as a managed service Spanner 是 Google Cloud 提供的**全託管式關聯式資料庫服務**，支援**水平擴展（horizontal scaling）及SQL 查詢語言**，且保證**強一致性（strong consistency）** :::info 🆚 垂直與水平擴展比較 * **垂直擴展（Vertical Scaling）**：增加單一實例的資源（如 CPU、RAM） * **水平擴展（Horizontal Scaling）**：透過 增加伺服器數量 來擴充資料庫容量與效能（Spanner 的強項） ::: Spanner 特別適合**需要高可用性與大規模處理的產業**，如：**廣告技術（AdTech）、金融服務（FinTech）、行銷科技（MarTech）** #### 🌍 跨區域同步與容錯 * 使用**同步複寫（synchronous replication）**： * 資料會**即時被複製到不同地區** * 查詢在**任一區域執行時都會得到一致、有序的結果** * **地區性容錯**：若某區域下線，資料仍可由其他區域提供服務 ### 06 NoSQL managed service options | 項目 | **Firestore** | **Bigtable** | | -------- | --------------------- | ---------------------- | | **資料模型** | 文件型（Document Store） | 廣欄式（Wide-Column Store） | | **用途定位** | 應用程式後端、即時應用 | 大數據分析、高頻寫入 | | **管理模式** | 完全託管、無伺服器（Serverless） | 託管但需手動設定叢集數量 | | **交易支援** | ✅ 支援 **ACID 交易** | ❌ 不支援 ACID | | **資料規模** | 適中（中小型應用） | 大規模（數 PB 級別） | | **延遲** | 低 | **極低寫入延遲**（非常快速） | | **主要優勢** | 易於使用、整合 Firebase 生態系 | 適合海量數據、水平擴展能力強 | | **使用情境** | 聊天室、待辦清單、即時協作 | IoT 數據流、高速感測資料、時序資料 | ### 07 Firestore, a NoSQL document store 是一種 **完全託管（fully managed）**、**可擴展（scalable）**、**無伺服器（serverless）** 的 **NoSQL 文件型資料庫**。專為 **行動應用、網頁應用** 及 **伺服器端開發** 而設計。 --- #### 📦資料結構 * 資料儲存在 **文件（documents）** 中，文件由 **集合（collections）** 組織。 * 每個文件可包含： * 基本資料欄位 * 巢狀物件（nested objects） * **子集合（subcollections）** --- #### 🔍查詢能力 * 支援靈活的 **NoSQL 查詢語法** * 多重條件（chained filters） * 結合排序（filtering + sorting） * 查詢 **預設自動建立索引**，所以查詢效能與結果數量成正比，**而非資料總量**。 --- #### 即時同步與離線支援 * 資料會在裝置間 **自動同步（data synchronization）**。 * 支援 **離線模式（offline support）**： * 應用可在裝置離線時仍然寫入、讀取、監聽與查詢資料。 * 回到線上時，Firestore 會將本地變更自動同步上雲端。 ### 08 Bigtable as a NoSQL option 以下是你提供的四段影片內容的**核心重點整理**： --- #### 🔷 1. **Spanner：全球一致性的 SQL 資料庫** * **定位**：Google 提供的**全代管（Managed）、水平擴展、高一致性的關聯式資料庫服務**。 * **特點**： * 支援 SQL、JOIN、Secondary Index。 * 水平擴展能力強（適合大量 I/O 操作，如每秒數萬次讀寫）。 * 提供高可用性與強一致性（全球同步複製）。 * 採用同步複製與跨區域備援，即使某區域宕機資料仍可存取。 * **適用領域**：廣告、金融、MarTech 等需要管理終端用戶 metadata 的產業。 * **使用場景**：需要 RDBMS 特性但又需要可擴展性與高一致性的應用。 --- #### 🔷 2. **NoSQL 選項總覽** * **Google Cloud 提供兩種 NoSQL 選項**： 1. **Firestore**：文件型 NoSQL，支援 ACID 交易，適合 App 開發。 2. **Bigtable**：寬表（Wide-column）型 NoSQL，處理 PB 等級數據，寫入延遲極低，適合大數據與實時分析。 --- #### 🔷 3. **Firestore：適合 App 的文件型 NoSQL 資料庫** * **結構**：資料以 **文件（document）** 儲存，文件組成 **集合（collection）**。 * **特性**： * 支援巢狀物件與子集合。 * 預設索引支援複合查詢（可鏈結多條件與排序）。 * 查詢效率與結果集大小成正比（非總資料集）。 * **自動同步資料**：跨設備同步，支援離線緩存與資料同步回傳。 * 支援原子操作、ACID 交易、強一致性、跨區域備援。 * **用途**：App、行動裝置、Web 應用即時資料同步與儲存。 --- #### 🔷 4. **Bigtable：高吞吐量的大數據 NoSQL 資料庫** * **定位**：Google 內部核心服務（如 Gmail、Search）使用的 NoSQL 引擎。 * **特點**： * 處理 TB / PB 級數據，支援低延遲寫入與高吞吐量。 * 適合 **操作型** 或 **分析型** 大數據應用。 * 支援 NoSQL 格式（非關聯式，無需交易語義）。 * 適合時間序列資料或有明確排序語義的資料。 * **適用場景**： * IoT、金融資料分析、使用者行為分析。 * 運行即時串流處理（Dataflow、Spark Streaming 等）或批次處理（MapReduce 等）。 * 機器學習演算法的大數據儲存與處理。 * **整合性**：可透過 REST、HBase client、Managed VM 等 API 存取；結果常回寫至 Bigtable 或其他下游資料庫。 * **BigQuery**：雖未詳談，但強調它用於互動式查詢，不純為資料儲存用途。 ## An API for that 本單元介紹了如何利用 Google Cloud 的受管服務來建構應用程式，重點包括：了解 API 的用途與優點，比較 Cloud Endpoints 與 Apigee 兩種 API 管理工具，以及學習 Pub/Sub 這套可支援大規模分散式訊息架構的系統，幫助開發者更有效率地打造可擴展、模組化的雲端應用程式。 ### 01 The purpose of APIs **API（應用程式介面）** 能提供清楚、穩定的介面，隱藏實作細節，讓軟體模組能穩定互動。即使**內部程式變更，只要 API 介面不變，其他程式仍可正常運作**。 #### REST架構 * REST（Representational State Transfer） 是目前最常見的 API 架構。 * 使用 HTTP 動作（GET, POST, PUT, DELETE） 進行操作。 * 適合雲端與行動裝置，因為其 無狀態性 能提升擴展性與效率。 ### 02 Apigee API Management Apigee 是 **Google Cloud 提供的 API 管理平台**，專注於**商業層面的 API 管理**。 :::info ✅ 與 Cloud Endpoints 不同之處： 強調處理 配額（quotas）、流量限制（rate limiting）、使用分析（analytics） 等企業級需求。 ::: 常用於為**其他公司提供軟體服務**的情境，適合用來**拆解傳統大型應用程式（legacy apps）**。可逐步用**微服務（microservices）**取代舊系統功能，直到整個舊系統退役。 ### 03 Pub/Sub 🌐 **Google Cloud Pub/Sub 又稱為分散式非同步訊息服務**。**Pub/Sub** 是 **Publisher/Subscriber** 的縮寫。用於 **非同步消息傳遞**，支援大規模、分散式的資料流處理。適用於 IoT、遊戲事件、應用程式日誌等**高頻率事件來源**。 #### 📥 資料擷取與挑戰（Data Ingestion） Pub/Sub 解決資料擷取過程中的四大挑戰： 1. 資料來源多樣且彼此不相容，可能延遲或錯誤。 2. 難以將訊息正確分發給訂閱者。 3. 高速、大量資料進入時的可擴展性。 4. 系統必須可靠、安全，效能穩定。 --- #### 🧱 架構與流程 1. **Publisher** 發布訊息至「**Topic**」（訊息主題）。 2. **Pub/Sub** 讀取、儲存並廣播訊息。 3. **Subscriber**（例如 Dataflow）接收並處理訊息，將結果傳入 BigQuery。 4. 可串接 Looker、Vertex AI 進行分析與視覺化。 --- #### 📡 Topic 運作概念 * 類似「**電台頻道**」：不管是否有聽眾，訊號依然存在。 * **發佈者與訂閱者是完全解耦的**：可獨立運作、互不影響。 * 可有 **0 個或多個發佈者／訂閱者**。 --- #### 👥 範例應用：HR 系統 * 不同系統（如正式員工與外包）各自發布訊息至 HR 主題。 * 多個應用（如門禁系統、帳號建立等）根據訊息獨立處理後續操作。 --- #### ✅ Pub/Sub 優點 * 自動擴展、無需配置。 * 全球分佈、端到端加密。 * 適合建構 **鬆耦合、彈性高** 的系統架構。 * 支援**話題鏈接（topic chaining）**，訊息可由一個 topic 傳至另一個。 --- ## Secure the cloud 本模組介紹了 Google Cloud 的雲端安全最佳實踐，涵蓋共享責任模型、資料加密、IAM 身份與存取管理、以及 Identity-Aware Proxy（IAP）的應用，幫助學員理解並實作安全的驗證與授權機制，確保雲端環境中的資源受到妥善保護。 ### 01 Security in the cloud **🔐 Google Cloud 的具有五層安全防護架構：** #### 1️⃣ **硬體基礎設施層（Hardware Infrastructure）** * **硬體設計自主**：Google 自行設計伺服器與網路設備，包含專屬安全晶片。 * **安全開機機制**：使用加密簽章確保 BIOS、開機載入器、核心及作業系統完整性。 * **實體安全**：自建資料中心具多層物理保護，第三方機房也加設 Google 自控安全層級。 --- #### 2️⃣ **服務部署層（Service Deployment）** * **服務間加密通訊**：所有資料中心間的 RPC 皆預設自動加密，並導入硬體加速器強化加密效能。 * **用戶身份驗證強化**： * 使用風險因素判斷額外驗證需求。 * 支援 U2F（二次驗證）標準，提高登入安全性。 --- #### 3️⃣ **儲存服務層（Storage Services）** * **靜態資料加密（Encryption at Rest）**：所有存取儲存資源的資料自動經由儲存服務層進行加密，並支援硬碟/SSD 硬體加密。 --- #### 4️⃣ **網路通訊層（Internet Communication）** * **Google Front End（GFE）**： * 管理 TLS 連線，使用憑證與公開金鑰進行加密。 * 支援 Perfect Forward Secrecy（完全前向保密）。 * **DoS 保護**：基於 Google 規模可吸收多數攻擊，並有多層防禦架構應對。 --- #### 5️⃣ **營運安全層（Operational Security）** * **入侵偵測**：使用規則與機器學習偵測異常行為。 * **紅隊演練**：定期進行滲透測試以改進防禦與應變能力。 * **內部風險控制**：限制管理權限員工的操作，並進行監控。 * **U2F 安全鎖**：內部員工強制使用硬體金鑰防釣魚。 * **安全開發流程**： * 使用版本控制與雙人審查機制。 * 提供安全程式庫避免常見漏洞。 * 推動「漏洞獎勵計畫」，鼓勵通報系統弱點。 ### 02 The shared security model **🌩️ Google Cloud 的共享責任安全模型（Shared Responsibility Model）** #### 🛡️ Google Cloud 的責任： * 管理**基礎設施層級**的安全性： * 實體硬體與場所安全 * 磁碟加密（Encryption at Rest） * 網路通訊完整性與加密（如 TLS） #### 🔐 客戶的責任： * 管理**應用層級與資料層級**的安全性： * 資料存取控制（Data access） * 應用程式內容保護 * 設定與管理使用者權限 #### 🧰 Google 提供的工具（由客戶使用）： * **資源層級架構（Resource Hierarchy）** * **身份與存取管理（IAM）** * 控制「誰」或「什麼」可以存取資料 * 工具強大但需妥善設定才能真正保護資料 ### Encytion keys #### ✅ 預設加密（Default Encryption） * **Google 自動處理** * 傳輸中使用 **TLS** * 靜態資料使用 **AES-256** * 無需使用者操作 --- #### 🔑 客戶管理加密金鑰（CMEK） * 使用 **Cloud KMS** 管理金鑰 * 支援： * **對稱 / 非對稱加密** * **簽章與驗證** * **金鑰輪替**（可手動或自動） * 金鑰留在雲端，由客戶擁有控制權，但簡化管理 --- #### 🧷 客戶提供加密金鑰（CSEK） * 使用者自行產生 **AES-256 金鑰** * 需： * 負責金鑰的產生、儲存與提供 * 在 API 請求中附上金鑰 * 金鑰只存在記憶體中，使用後即被刪除 * 適用於如 Persistent Disk 等資源 --- #### 💻 用戶端加密（Client-side Encryption） * 使用者在本地端加密資料再上傳 * **純文字與解密金鑰不會離開本機** * 控制權最完整，但管理複雜度最高 ### 03 Authentication and Authorization with IAM 這段講述了 **如何使用 IAM（Identity and Access Management）強化 Google Cloud 基礎架構的安全性**。以下是核心重點總結（HackMD 格式）： * **IAM 定義：** 透過政策（Policy）管理「誰」可以對「哪些資源」做「哪些操作」。 * **政策元素：** * **身份（Who）：** Google 帳戶、群組、服務帳戶、Cloud Identity。 * **角色（Can do what）：** 權限的集合。 * **資源（On which resource）：** 政策會套用至該資源及其下層資源。 * **角色種類：** * **基本角色（Basic）：** owner, editor, viewer, billing admin，範圍較廣。 * **預先定義角色（Predefined）：** 針對特定服務如 Compute Engine 設計的專屬角色（例：instanceAdmin）。 * **自訂角色（Custom）：** 精細化權限管理，適用於最小權限原則，但需自行維護權限集。 * **拒絕政策（Deny Policies）：** * 可定義「不允許」的行為，即使有角色授權也無效。 * 拒絕政策會優先於允許政策。 * **身份與組織管理：** * 初期用 Gmail 和群組管理簡便，但不利於長期控管。 * 可透過 Cloud Identity 統一管理身份，整合 Active Directory / LDAP。 * **服務帳戶（Service Accounts）：** * 提供 VM 或應用程式對其他資源的授權方式。 * 以加密金鑰取代密碼，具備身份與資源的雙重性質。 * 可對服務帳戶本身設定 IAM 政策，例如 Alice 可編輯，Bob 只能查看。 ### 04 IAM authorization best practice #### ✅ 一般 IAM 管理建議 * **使用資源階層**：利用專案（Project）區分資源與信任邊界。 * **理解政策繼承**：資源的權限會從上層繼承，注意角色授予位置。 * **最小權限原則**：只賦予完成任務所需的最低權限。 * **審核 IAM 政策與群組成員**：使用 Cloud Audit Logs 稽核資源與群組。 #### 👥 建議使用群組授權 * 將角色賦予 **群組而非個人**，便於維護與人員異動。 * 使用多個群組細分權限（例如：read\_write、read\_only）。 * 控制群組的管理者，確保群組成員的正確性。 #### 🤖 服務帳戶最佳實踐 * **小心使用 Service Account User 角色**：它會授與使用該帳戶的完整存取權。 * **明確命名服務帳戶**：使用顯示名稱辨識用途，配合組織命名慣例。 * **建立金鑰輪替政策與方法**：避免長期使用單一金鑰，提升安全性。