devops之gcp core infrastructure fundamental,动手
作者:互联网
最后更新2022/02/02
gcp如果粗略参考着安全相关的内容,可以这么划分边界:
- google负责和管理基础设施安全
- 用户负责自身数据安全
- google为你提供各种最佳实践、模板、产品和解决方案
再进一步说,可以再详细切分一下:
图中黄色部分由google负责,篮色部分由用户负责,这算是个分工界面定义吧,最左侧,全是篮色,那就是传统的方案:用户自己全管,自己建数据中心、采购设备等等。右侧则依次根据用户使用gcp的程度,有不同的分工界面。当然,google不会忘记自我吹捧一下:由于哥的规模太大了,远超你们普通用户自己芝麻绿豆大的数据中心,所以我可以达到最高水准的安全,如果你们自己负担,可能是花不起这个钱的,但哥有的是钱!既要最好,不怕最贵。而且,只要你用了哥的gcp,直接就享受到这最顶级的安全保证,哪怕你只租一粒芝麻大的虚机,这便宜你占大了!
当然,尽管安全,哥也不能啥都帮你做,有些事还得你自己亲历亲为,但哥给你准备好了各种工具,例如IAM(identity access management),可以帮你快速部署并在特定层面实现你的安全要求。
万事安全第一,动手之前先讲安全(授权)
安全与资源分层有关,前面介绍过google的资源分为:
- organize node组织节点,通常来说一个公司就是一个组织节点,它应该覆盖公司的所有资源,如果不考虑对外服务,那么把所有资源封闭在一起,对外面(互联网)不可见也是可能的;
- folders直译是抽屉、打包,对应的可能可以算是一个机构吧,就是能或者需要独立实现某些功能。同时,folder还能层级包容,就是一个floder下面包含几个floder。这样赋予某个floder的(安全)特性,就可以传递给下属folder;
- projects项目,这个有点阶段性、局部性的意味,但应该还是一个完整的功能整体;
- resources资源,这是具体资源了,脱离了相关性,单以IT视角查看,例如vm,storage等等;
有了以上分层,就可以制定安全策略了,指派策略的颗粒度就可以最小为单一resource,最大为organize node,并且可以向下继承。
从计量角度看,GCP的服务以project为单位进行统计,包括:
- 跟踪资源分配和使用情况
- 计费
- 管理必保或预留资源分配
- 提供开启的服务或API
任何用户获得的资源一定属于某个GCP console project,控制资源使用、计费等等都是以project进行划分和统计,每个project可以有不同的所有者及用户(当然相同也没问题)。google提供了多种方案帮助你管理project,甚至可以通过API编程管理,例如:
- 显示归属一个账号下的所有项目
- 创建新项目
- 修改项目
- 删除项目
- 撤销删除、恢复被删除的项目(不知垃圾箱保留多久?)
编程访问方式包括RPC API或者REST API
标签:API,core,infrastructure,gcp,project,安全,google,资源 来源: https://blog.csdn.net/weixin_42051187/article/details/122775056