GCP帳單功能簡介,和設定預算

各位如果從GCP主控台的產品選單裡面會找到帳單這個選項: 進來之後會有兩個選項: 如果你點擊「前往連結的帳單帳戶」,就會進到你現在所在的GCP專案的帳單管理頁面,如果你點擊「管理帳單帳戶」,他這裡會有多個帳單帳戶的統一管理介面,我們今天先選擇前往「連結的帳單帳戶 」。 當你進來之後可能會看到不太一樣的畫面,如果你是自己透過信用卡來使用GCP的話,看到的畫面會長這樣: 如果你是透過經銷商來使用GCP的話,看到的畫面會長這樣: 你有沒有發現當你透過經銷商的時候好像少了一些功能? 但是不用擔心,因為那些功能是針對付款所需要的設定,你今天透過經銷商就不用處理這些複雜的設定。 我們現在來看帳單帳戶Billing Account和GCP專案Project的關係: 一個帳單帳戶底下可以掛多個不同的GCP專案,如果你是刷信用卡的,Google會給你一張invoice包含三個專案的費用,也就是說你只要刷一筆款項就可以付清三個專案,不用分三次付款。  如果透過經銷商也是一樣,我們可以開一張發票同時包含三個專案的費用。 當然你也可以再建立一個帳單帳戶,把要分開付款的專案掛進來: 這樣子我們就可以開兩張發票,第一張發票包含專案1和專案2的費用,第二張發票包含專案三個費用,可以針對貴公司帳務上面的需求,或是做成本區分的需求(有些公司是各部門各自付款) 。 剛開始你看到的畫面是用不同的專案來區分費用的: 在圖表的下方會看到各個專案的費用加總: 當然你會想要看到更細的東西,例如我到底是用什麼功能花這麼多錢,你可以在分組依據選擇產品或是sku在這裡我直接用sku可以看到最細分的使用金額 如果你想要把詳細的金額全部匯出的話,可以去費用表查看到明細: 注意你要選費用表(英文介面叫做Cost

Read more

第一次使用GCP就上手 – GCP主控台簡介

今天來為各位介紹GCP的主要操作畫面,假設各位的GCP專案已經開起來了。 請進入這個網址:https://console.cloud.google.com/ 會看到大致如下的畫面: 為什麼我會說大致上呢?因為GCP其實不斷的在更新,它的功能,甚至操作介面也不斷的在更改,也許兩個禮拜後又突然多一個按鈕,甚至多出一個視窗都有可能。 以下我挑幾個比較重要的區會詳細說明。 首先是你的專案資訊: 其實這部分最重要的是,當你的組織越來越大的時候,你手上可能會有數十個專案需要管理,你要確定你是在正確的專案環境裡面,不要做錯專案喔! 如果要切換專案,可以點擊右邊的倒三角形: 開啟小視窗 為什麼有些人的專案是在某個組織底下,有些人的專案是「無組織」?最主要的原因就是因為你所屬的公司有沒有使用G suite(或是Cloud identity)身份識別工具,如果有的話,系統管理員在建立第一個GCP專案的時候,就會自動建立這個組織單位,如果沒有使用的話會一直保持在無組織的狀態。 有了組織這個功能,它就可以用階層式去管理你的公司下面所有的專案,也可以針對不同部門,授權不同用戶來管理,如果沒有組織,每個專案的管理都是各自為政,如果公司規定每個專案都要啟用某項功能,管理員必須要逐一去設定。 接下來是已使用的資源: 這部分看起來很簡單不是嗎?只是知道自己開了哪些東西而已。你剛開始使用GCP可能沒有感覺,當你開了許多大台機器,或是大數據分析、機器學習的時候,你就會很有感覺,因為你使用的資源越多下個月收到的帳單金額就會越大。 所以你最好把這個頁面當作你的初始頁面,每次打開瀏覽器都可以進來確認你有沒有什麼機器或服務忘記關掉或刪除,否則你下個月就會收到Google給你的驚喜,本人就是苦主之一。 全球GCP服務狀況: 您可以再點擊Go to Cloud

Read more

GCP/AWS/Azure的Kubernetes(k8s)比較

近期 Platform9, 發布了一份三個雲端的Kubernetes比較表. 內容提到在選擇Kubernetes比較時,除了價格考量外.”可擴展性”,”標準化”,”版本更新的頻率”,”高可用性”還有”Service mesh”的支援都是在選擇K8s要被考量的 在三個cloud service provider中, GCP的Anthos 的方案可讓您的Micro Service橫跨GKE跟您的地端機房.也就是您的Micro Service可以在GKE與您的地端機房無縫接軌的移動. 在這份比較表可以看出, GCP的GKE的穩定版本優於其他兩家, control plane的upgrade也可已有自動化.k8s的監控也與GCP的stack driver高度整合.每一個k8s的cluster的work node更可以高達5000個.Network Policies 也是三家中唯一自行整合有提供的.Global

Read more

雲端平台的風險管理

雲端平台的風險評估與分析 企業IT的主要任務是結合公司的業務提供前線單位方便快速的IT系統服務,從企業IT角度來看,雲端運算基本上就是一種IT外包(outsourcing)作業。變成是企業供應鏈管理的其中一部分。既然是外包作業哪就一定有不可抗力的因素會發生而且是企業本身自己無法控制的。這樣一來雲端平台的風險管控就變得相對重要。這一篇文章我們來看一下針對雲端平台的風險管理有哪點需要注意.既能讓我們有使用雲端的益處又可以把風險降低到最小。 組織與政策上的風險之前說到當我們選擇使用雲端運算時就是將一些IT外包出去了。既然外包這些IT需求哪就可能發生一些情況1. 被某個特定廠商給綁死,怕用了之後要去到別的平台很困難或是轉移成本很高2. 失去控制權,雲端平台的特性讓我們在管理上不像傳統機房一樣有很大的控制權3. 法規法令上的風險,有些法令法規可能有的雲端平台無法符合.例如HIPPA/PCI-DSS/ISO27001等等4. 雲端業者無法經營下去,例如小型的雲端業者. ㄧ般性風險這邊大都是技術性問題,雲端平台的效能問題可用性可靠性等等的問題。但通常來說雲端業者的平台的這些狀況會比您的傳統的資料中心來得少。因為他們的規模通常都是很大的所以雲端業者的技術含量或規模都會比一般傳統企業來得好。但所有的事情有一體兩面,所以也有以下的狀況產生1. 高度集中的服務意味著當嚴重的事件發生時也會有高度的衝擊影響2. 雲端業者也需要有很強的IT工程師們才能維護這個雲端平台3. 把大部分技術風險轉移給雲端雲台業者(這對客戶是好事) 虛擬層的風險1. 備份或snapshot 的image沒有作好管控,若image被複製到其他地方則敏感資料就可能外洩2. 不受控制的VM增長,若沒有做好相對應的權限控管與核可機制。您會發現會有越來越多的虛擬機與image不斷的增生. 雲端特有的風險1. 管理控制台/介面被入侵,由於雲端的管理介面是向internet開放的.所以外部的駭客或內部惡意的使用者都有可能去入侵並取得最高管理權限2. 雲端資源被耗盡,大部分可能是DDoS的發生造成資源不足,或是有可能程式更新後沒有注意到資源的使用方式等等3. 不安全或不完整的資料刪除,由於資料的備份與移動性可能會有資料刪除遺留的問題發生。 法律上的風險:1.

Read more

雲端平台的資料管理

在雲端平台中,有兩個部分大概是最重要的.第一是平台的穩定性與可靠性,另一種就是資料面的管理。這一篇文章分成三個步驟來談以及在各個步驟我們如何保護資料安全.Step 1 : 資料的生命週期階段 Step 2 :資料的位置與存取方式Step 3: 資料的管理 資料生命週期 在雲端平台中資料週期有六個階段1. Create 這裡泛指新增資料/搬移資料到雲端/甚至是修改資料都算.因為只要資料異動了都與原來的狀態有所不同了.所以都是新增資料.然而在這階段最重要的服務就是根據您公司的資料分級政策做好分類.因為如果在一開始沒有做好分類,哪麼錯誤的資料保護方式可能就讓您的資料有外洩的可能 2. Store 這是緊接著上一個階段,當資料被新增時資料也就被存放在某一個地方.相對應的保護措施也開始被實施.如果您的資料分級政策有正確的如您公司的要求正確地實行.例如加密/存取控制/監控/稽核/備份等等的資料保護機制GCP的SCC/stackdriver/DLP還有備份機制能提供您以上的需求. 3.Use在這一階段資料是被做來使用而沒有任何修改,例如資料從Server端複製到使用者的電腦中.在這一段過程中,中間的通道可能沒有加密。資料到了使用者電腦後沒有相對應的管理。例如只能暫存多久的時間就會自動消失。在這一過程中。 DLP(Data Loss prevention)

Read more

雲端平台的威脅潛伏與因應方式

2019最後一天,我們來談一下 CSA(Cloud security Alliance)雲端安全聯盟在2019年的八月發表了11項的雲端平台威脅,而針對這些威脅我們又該如何去應對呢? 首先我們先來看一下有哪11種的雲端威脅,並一一來說明如何影對這些威脅. 第一名是資料外洩/竊取 這不只是在雲端運算平台會發生,這會發生在任何電子裝置上.只要裡有有價值的資料.但這在雲端平台上發生的機會可能更高,這是因為雲端平台的本質是基礎設施共享及多種的裝置透過幾乎是永不斷線與高頻寬的網路只要稍微不注意哪後果大都會比較嚴重。面對這種狀況我們該如何防範呢?簡單來說就是要監控資料的“存取”以及“移動/複製”.被“誰”?哪個”程式“存取/被移動/複製到哪個地方去.並建立這些規則存取/移動/複製規則加上稽核系統.當然最基本的資料加密也是需要做的.但並不是所有資料都需要如此,故,您的資料分級政策也需要制定.這些方式在GCP的SCC ( security command center)提供了這些方案讓您的資料能夠安全無虞. 第二名是 不正確的設定檔案及不適合的變更控制 這個部分與貴公司的雲端安全要求有關。例如firewall rules什麼port該開什麼該關或是windows web server 應該只有IIS會開啟等等。這些在日常的維運中由於工程師的不注意的誤設定或是整個組織沒有去對應公司的最高資安指導而去採取一些不符合政策的變更控制,屬於人為性錯誤。這一部分GCP的SCC也能幫助您做到這類的防止人為性錯誤發生 第三名就缺乏整體於雲端平台的資安架構與策略 這類就比較屬於戰略戰術的資安顧問服務且要非常了解雲端平台的整個細節內容。Cloud

Read more

淺談雲端平台的加密解決方案

從資料的傳輸到落地的資料保密方式 資料加密這件事不管在地端機房或雲端平台一定是避免不掉的,從軍用等級的資料密到您的execl 檔案用密碼保護.無處不存在著資料加密只是加密的強度不一樣故防護能力也不盡相同.哪麼在雲端平台上的加密又是該怎麼做呢?大概有兩點1. 良好的加密金鑰管理系統2. 一套安全的加密金鑰週期管理 如何選擇加密的解決方案呢?一般的經驗法則來看資料的重要性及安全性來看,也就是說先對您的資料做分級再來決定加密與否與加密的方式.整個加密的終極目標就是“安全與合法的資訊存取”與“加強阻絕非法的存取”.然而控制得越多可能會造成公司業務經營上的困難,例如用戶需要記不一樣的系統的密碼造成用戶困擾及業務中斷.完全不採取作為資訊就就有可能外洩.如何採取適當的加密解決方案.就要依據您公司的政策/業務/風險/資料分級等等方面來考量. 以下我們來說明整個雲端平台中有兩個面向需要做加密處理 1. Data in Transit –資料在傳輸的過程中這邊是指資料從一個點移動到另一個點,可能是資料庫移動到程式端也可能是系統A到系統B或者是系統到終端用戶.這些通通都算資料的傳輸.哪麼是不是每一個點到點都需要加密呢?這個視您你對這一段傳輸的路徑信不信任.是不是有可能被攔截/監聽/未授權的人可以連線等等.若這個風險越高表示您需要加密的程度與力道就需要更強.在雲端平台中特別需要制定您的”信任範圍”.ㄧ但定義好,接下來在這些端點上的資料加密相關程序就需要靠加密金鑰管理系統來做了.一般傳輸過程中大家熟知的SSL/TLS這些用在Https加密協定中.不管是終端用戶到網頁伺服器或只是服務器之間的溝通甚至是雲端平台到地端機房都可以使用.另外還有使用IPsec VPN / SSL VPN等加密方式也適用於上述所說的情況.在GCP中,也提供了這些加密方式且不需要您自建系統來管理. 2. Data at Rest

Read more

非Gmail(例如yahoo, outlook)可以使用GCP嗎?答案是可以

很多公司並沒有使用G Suite,但又想用GCP,導致員工使用個人的Gmail來檔做管理GCP專案的最高權限擁有者Owner,這樣的結果是,若該員工離職,GCP Project綁在他身上,然後他消失了,完全找不到他,那就麻煩大了。 其實Google有開放非Google帳號使用GCP的方式,只要公司相關團隊成員都用e-mail去註冊,就不用擔心人員異動的問題。 請到這個網址申請,而且「只能」透過這個網址: 一開始你會看到@後面只有gmail.com,但可以點擊「改為使用我目前的電子郵件地址」 例如我使用outlook,我真的輸入outlook帳號,然後設定它在Google的帳號密碼 設定後需要驗證 回到我的Outlook收信接收驗證碼 驗證後又要輸入生日、姓別,驗證手機號碼 輸入後再驗證手機號碼 接下來可以按略過沒關係 最後接受隱私權與條款就完成了 它會轉到Google帳號主頁 點擊右上角,你會發現功能都有,但其實你不能用Gmail 但是你可以用15GB的雲端硬碟 不過重點是要用GCP, 我們去GCP的IAM授權Owner給Outlook帳號 GCP console=>IAM與管理=>新增=>加入成員的outlook帳號

Read more

雲端運算的服務模式與部署模式 part 2

上一篇我們介紹了雲端運算的3種服務模式及4種部署模式,這一篇我們再深入探討一下,如何選擇這些不一樣的服務與部署模式呢?上一篇說的這些看起來好像都是很偏技術面的事項,所以我們應當從技術規格來選擇這服務模式與部署模式嗎?若以用之前傳統採購資料中心的軟硬體來做選擇,哪麼結果可能會不如你的預期.以採購軟硬體的心態的選擇,考慮的只是當下的需求,在雲端運算的時代我們需要配合公司的業務面及公司未來的營運策略來做整體考量.為何這麼說呢?原因有以下兩個1. 所有的IT技術的決定應該依循公司的整體的業務方向與策略作為核心.2. 當涉及到公司的成本資金與業務商機時,這個決定從公司業務層級來考量. 雲端運算的高度轉變能力能夠支援公司在業務面或公司主要任務,在現今商業世界瞬息萬變的狀況下得以讓公司持續成功. 選擇一個適合自己公司的雲端運算平台需要一個好的雲端平台架構設計師 能夠架構整個雲端運算的的應該是能夠知道公司大戰略的人,他/她應當是策略者/計畫者/諮詢者.也須還需要了解公司現階段需求與未來成長的需求,才能設計出符合當下與未來的系統架構並且能夠考量到資訊安全方面的事項.以下提設計整個雲端運算平台一些關鍵原則1. 定義一個能夠保護公司系統的架構,列出這些需求逐步核對到我們能夠信任的程度2. 公司的的關鍵業務功能能夠這幾種部署模式或服務模式中跨平台的使用3. 有效率的安全管控機制包含針對identification/authentication/authorization/administration/auditability4. 能夠有一個定期及不定期的資訊安全的監管方式/模式/方案5. 集中式的資訊安全政策及維運模式與監管功能6. 進入雲端平台能夠兼具安全性與方便性7. 確認整個平台是具彈性與靈活性以下為一個簡單的GCP架構示意圖 另外NIST也提供了一些建議讓您在設計整個雲端平台時需要注意的事項 1. 平台功能的互通性 你的平台程式中個每個功能之間不會因其中一個功能被其他功能取代而造成整體功能無法運作 2. 平台功能的可攜性您的平台的程式功能是否能讓你很容易的在這幾種服務模式或部署模式中移動,而不會影響到程式功能與程式功能之間的互動 3.平台的可用性不會因爲任何系統或資源的單點故障造成服務無法使用

Read more