GCP - Compute Instances
मूल जानकारी
Google Cloud Compute Instances Google के क्लाउड इंफ्रास्ट्रक्चर पर अनुकूलनीय वर्चुअल मशीन हैं, जो विभिन्न एप्लिकेशन्स के लिए स्केलेबल और आवश्यक कंप्यूटिंग पावर प्रदान करते हैं। ये ग्लोबल डिप्लॉयमेंट, स्थायी स्टोरेज, लचीले ओएस विकल्प, और मजबूत नेटवर्किंग और सुरक्षा एकीकरण जैसी विशेषताएँ प्रदान करते हैं, जो उन्हें वेबसाइट्स को होस्ट करने, डेटा प्रोसेसिंग करने, और एप्लिकेशन्स को क्लाउड में कुशलतापूर्वक चलाने के लिए एक बहुमुखी विकल्प बनाती हैं।
गोपनीय वीएम
गोपनीय वीएम्स नवीनतम पीढ़ी के AMD EPYC प्रोसेसर्स द्वारा प्रदान की जाने वाली हार्डवेयर-आधारित सुरक्षा विशेषताएँ का उपयोग करती हैं, जिनमें मेमोरी एन्क्रिप्शन और सुरक्षित एन्क्रिप्टेड वर्चुअलाइजेशन शामिल हैं। ये विशेषताएँ वीएम को उसमें प्रसंस्कृत और संग्रहित डेटा को होस्ट और प्रसंस्कृत करने की क्षमता प्रदान करती हैं, यहाँ तक कि होस्ट ऑपरेटिंग सिस्टम और हाइपरवाइजर से भी।
गोपनीय वीएम चलाने के लिए इसे मशीन के प्रकार, नेटवर्क इंटरफेस, बूट डिस्क इमेज जैसी चीजें बदलने की आवश्यकता हो सकती है।
डिस्क और डिस्क एन्क्रिप्शन
डिस्क का चयन करना या नया बनाना संभव है। अगर आप नया चुनते हैं तो आप:
डिस्क का आकार चुन सकते हैं
ओएस का चयन कर सकते हैं
इंडिकेट कर सकते हैं कि आप चाहते हैं कि इंस्टेंस हटाए जाने पर डिस्क को हटाया जाए
एन्क्रिप्शन: डिफ़ॉल्ट रूप से एक Google managed key का उपयोग होगा, लेकिन आप KMS से एक कुंजी का चयन भी कर सकते हैं या उपयोग करने के लिए रॉ कुंजी चुना सकते हैं।
कंटेनर डिप्लॉय
वर्चुअल मशीन के अंदर एक कंटेनर डिप्लॉय करना संभव है। इसमें इमेज को कॉन्फ़िगर करना संभव है, अंदर चलाने के लिए कमांड सेट करना, आर्ग्यूमेंट्स, वॉल्यूम माउंट करना, और एनवी वेरिएबल्स (संवेदनशील जानकारी?) और इस कंटेनर के लिए कई विकल्पों को कॉन्फ़िगर करना संभव है जैसे कि प्रिविलेज्ड के रूप में निष्पादित करना, stdin और pseudo TTY।
सेवा अकाउंट
डिफ़ॉल्ट रूप से कंप्यूट इंजन डिफ़ॉल्ट सेवा अकाउंट का उपयोग होगा। इस सेवा अकाउंट का ईमेल इस प्रकार होता है: <proj-num>-compute@developer.gserviceaccount.com
इस सेवा अकाउंट के पास पूरे प्रोजेक्ट पर संपादक भूमिका (उच्च विशेषाधिकार) होती है।
और डिफ़ॉल्ट एक्सेस स्कोप्स निम्नलिखित हैं:
https://www.googleapis.com/auth/devstorage.read_only -- बकेट्स के लिए पढ़ने का एक्सेस :)
https://www.googleapis.com/auth/logging.write
https://www.googleapis.com/auth/monitoring.write
https://www.googleapis.com/auth/servicecontrol
https://www.googleapis.com/auth/service.management.readonly
https://www.googleapis.com/auth/trace.append
हालांकि, इसे एक क्लिक के साथ cloud-platform
देना या कस्टम वाले स्पष्ट करना संभव है।
फ़ायरवॉल
HTTP और HTTPS ट्रैफ़िक को अनुमति देना संभव है।
नेटवर्किंग
IP फ़ॉरवर्डिंग: इंस्टेंस के निर्माण से IP फ़ॉरवर्डिंग सक्षम करना संभव है।
होस्टनेम: इंस्टेंस को स्थायी होस्टनेम देना संभव है।
इंटरफेस: नेटवर्क इंटरफेस जोड़ना संभव है
अतिरिक्त सुरक्षा
ये विकल्प वीएम की सुरक्षा को बढ़ाएंगे और सिफारिश किए जाते हैं:
सुरक्षित बूट: सुरक्षित बूट आपकी वीएम इंस्टेंस को बूट स्तर और कर्नेल स्तर के मैलवेयर और रूटकिट्स के खिलाफ सुरक्षित करने में मदद करता है।
vTPM सक्षम करें: वर्चुअल ट्रस्टेड प्लेटफ़ॉर्म मॉड्यूल (vTPM) आपकी गेस्ट वीएम प्री-बूट और बूट अखंडता की पुष्टि करता है, और कुंजी जनरेशन और सुरक्षा प्रदान करता है।
अखंडता निगरानी: इंटेग्रिटी मॉनिटरिंग आपको अपनी शील्डेड वीएम इंस्टेंस की रनटाइम बूट अखंडता की मॉनिटरिंग और पुष्टि करने की अनुमति देता है, स्टैकड्राइवर रिपोर्ट्स का उपयोग करके। vTPM को सक्षम किया जाना चाहिए।
वीएम एक्सेस
वीएम तक पहुंचने का सामान्य तरीका निश्चित SSH पब्लिक कुंजियों को वीएम तक पहुंचने की अनुमति देना है।
हालांकि, यह संभव है कि आईएएम का उपयोग करके वीएम तक पहुंचने की सेवा को os-config
सेवा के माध्यम से सक्षम किया जाए। इस सेवा का सक्षम होने पर SSH कुंजियों के माध्यम से पहुंचना अक्षम हो जाता है।
मेटाडेटा
ऑटोमेशन (AWS में userdata) को परिभाषित करना संभव है जो शैल कमांड्स हैं जो मशीन को बार-बार चालू करने या पुनरारंभ करने पर क्रियान्वित होंगे।
यह
इसके अलावा, लगाए गए सेवा खाते के लिए प्रमाणीकरण टोकन और उदाहरण सामान्य जानकारी इंस्टेंस, नेटवर्क और परियोजना के बारे में मेटाडेटा एंडपॉइंट से भी उपलब्ध होगा। अधिक जानकारी के लिए देखें:
एन्क्रिप्शन
डिफ़ॉल्ट रूप से गूगल-प्रबंधित एन्क्रिप्शन कुंजी का उपयोग किया जाता है, लेकिन एक ग्राहक-प्रबंधित एन्क्रिप्शन कुंजी (CMEK) कॉन्फ़िगर किया जा सकता है। आप यह भी कॉन्फ़िगर कर सकते हैं कि जब उपयोग की गई CMEF रद्द की जाती है तो क्या करना है: कुछ नहीं या वीएम को बंद करें।
Last updated