GCP - Compute Instances
Basiese Inligting
Google Cloud Berekeningsinstansies is aanpasbare virtuele masjiene op Google se wolk-infrastruktuur, wat skaalbare en aanvraagbare rekenkrag bied vir 'n wye verskeidenheid toepassings. Hulle bied kenmerke soos globale implementering, volhoubare stoorplek, buigsame OS-keuses, en sterk netwerk- en sekuriteitsintegrasies, wat hulle 'n veelsydige keuse maak vir die gasheer van webwerwe, die verwerking van data, en die doeltreffende hardloop van toepassings in die wolk.
Vertroulike VM
Vertroulike VM's maak gebruik van hardeware-gebaseerde sekuriteitskenmerke wat deur die jongste generasie AMD EPYC-verwerkers aangebied word, wat geheueversleuteling en veilige versleutelde virtualisering insluit. Hierdie kenmerke stel die VM in staat om die data wat daarin verwerk en gestoor word, selfs teen die gasbedryfstelsel en hipervisor te beskerm.
Om 'n Vertroulike VM te hardloop, mag dit nodig wees om dinge soos die tipe van die masjien, netwerk koppelvlak, opstartskyfbeeld te verander.
Skyf & Skyfversleuteling
Dit is moontlik om die skyf te kies wat gebruik moet word of 'n nuwe een te skep. As jy 'n nuwe een kies, kan jy:
Die grootte van die skyf kies
Die OS kies
Aandui of jy die skyf wil verwyder wanneer die instansie verwyder word
Versleuteling: Standaard sal 'n Google-bestuurde sleutel gebruik word, maar jy kan ook 'n sleutel van KMS kies of aandui ra-sleutel om te gebruik.
Implementeer Houverpakking
Dit is moontlik om 'n houer binne die virtuele masjien te implementeer. Dit is moontlik om die beeld wat gebruik moet word te konfigureer, die bevel wat binne-in uitgevoer moet word, argumente, 'n volume te koppel, en omgewingsveranderlikes (gevoelige inligting?) in te stel en verskeie opsies vir hierdie houer te konfigureer soos uitvoer as bevoorreg, stdin en pseudo TTY.
Diensrekening
Standaard sal die Rekenaar-ingenieursverwysingsdiensrekening gebruik word. Die e-pos van hierdie SA is soos: <proj-nr>-compute@developer.gserviceaccount.com
Hierdie diensrekening het Redakteursrol oor die hele projek (hoë voorregte).
En die standaardtoegangsbereike is die volgende:
https://www.googleapis.com/auth/devstorage.read_only -- Leestoegang tot emmers :)
https://www.googleapis.com/auth/logging.write
https://www.googleapis.com/auth/monitoring.write
https://www.googleapis.com/auth/servicecontrol
https://www.googleapis.com/auth/service.management.readonly
https://www.googleapis.com/auth/trace.append
Dit is egter moontlik om dit cloud-platform
te verleen met 'n kliek of spesifiseer aangepaste eenhede.
Vuurwal
Dit is moontlik om HTTP- en HTTPS-verkeer toe te laat.
Netwerke
IP-deurverwysing: Dit is moontlik om IP-deurverwysing vanaf die skepping van die instansie te aktiveer.
Gasheernaam: Dit is moontlik om die instansie 'n permanente gasheernaam te gee.
Koppelvlak: Dit is moontlik om 'n netwerkkoppelvlak by te voeg
Ekstra Sekuriteit
Hierdie opsies sal die sekuriteit van die VM verhoog en word aanbeveel:
Veilige opstart: Veilige opstart help om jou VM-instansies teen opstartvlak- en kernvlak-malware en rootkits te beskerm.
Aktiveer vTPM: Virtuele Vertroude Platformmodule (vTPM) valideer jou gas-VM se voor-opstart en opstartintegriteit, en bied sleutelgenerering en -beskerming.
Integriteitstoediening: Integriteitstoediening laat jou toe om die hardloop-opstartintegriteit van jou geskilde VM-instansies te monitor en verifieer met behulp van Stackdriver-rapporte. Vereis dat vTPM geaktiveer word.
VM-toegang
Die algemene manier om toegang tot die VM moontlik te maak, is deur sekere SSH-openbare sleutels toe te laat om toegang tot die VM te verkry.
Dit is egter ook moontlik om die toegang tot die VM moontlik te maak via die os-config
-diens met behulp van IAM. Dit is ook moontlik om 2FA te aktiveer om toegang tot die VM met hierdie diens te verkry.
Wanneer hierdie diens geaktiveer is, is die toegang via SSH-sleutels gedeaktiveer.
Metadata
Dit is moontlik om outomatisering (gebruikersdata in AWS) te definieer wat skelopdragte is wat elke keer uitgevoer sal word wanneer die masjien aangeskakel of herlaai word.
Dit is ook moontlik om ekstra metadatasleutel-waarde waardes by te voeg wat toeganklik sal wees vanaf die metadate-eindpunt. Hierdie inligting word gewoonlik gebruik vir omgewingsveranderlikes en aanvangs-/afsluitingskriptos. Dit kan verkry word deur die beskryf
-metode van 'n bevel in die opnoemingsafdeling te gebruik, maar dit kan ook van binne die instansie verkry word deur die metadate-eindpunt te benader.
Verder sal die outentiekeerder-token vir die gekoppelde diensrekening en algemene inligting oor die instansie, netwerk en projek ook beskikbaar wees vanaf die metadata-eindpunt. Vir meer inligting, kyk:
Versleuteling
'n Deur Google bestuurde versleutelingssleutel word standaard gebruik, maar 'n Kliëntbestuurde versleutelingssleutel (CMEK) kan gekonfigureer word. Jy kan ook konfigureer wat om te doen as die gebruikte CMEF herroep word: Niks of die VM afskakel.
Last updated