Please enable JavaScript.
Coggle requires JavaScript to display documents.
GCP Cloud Architect Certification - Coggle Diagram
GCP Cloud Architect Certification
Resources and Access
to the Cloud
Network
Location
Sono 5:
Nord e Sud America
Europa
Asia
Australia
Divise in
Region
Attualmente 34
Divise in
Zones
Dove stanno effettivamente le risorse
Attualmente 103
Esistono risorse multi region
Sicurezza
Hardware layer
Design e produzione Hardware
Produce Sofware
On Premise security (multi layers di sw e hw)
Service deployment layer
Encryption of inter-service communication
comunicazione attraverso RPC e criptato
User identity layer
Autenticazione 2 fattori e altri sistemi
Storage services layers
encryption at-rest
encrypt hw
Internet communication layer
Google Front End (GFE)
TLS, X.509
DoS Protection
Operation security layers
Intrusion detection
Monitoraggio delle attività dipendenti interna
Per tutti i dipendenti attivata U2F
Best practices per lo sviluppo (ad esempio doppia code review)
Pricing
Quota
Rate
quote in base all'uso.
Ad esempio 1000 call.
Allocation quota
Numero di risorse per project
Sconti in base utilizzo
ad esempio Compute engine
da 25% di uso nel mese
Virtual Private Cloud
Network
VPC
secure, individual, private cloud-computing model hosted within a public cloud
combine the scalability and convenience of public cloud computing with the data isolation of private cloud computing
Segmentazione (subnet)
Firewall
Routes
Globali
Subnet
possono essere in più zone di una region
IP allocati possono essere estesi
Routing table
built-in
regole di instradamento
si può passare tra zone senza external IP
Firewall
regole per accesso in-out traffic
configurabili con tag
Sharing VPC tra progetti
con VPC Peering
Shared VPC
gestibili con IAM
Segmentazione (subnet)
Network global, subnet regional
Compute Engine
VM Google
Linux/ Windows
Marketplace con soluzioni preconfigurate
Fatturazione
bills by the second with a one-minute minimum
sustained-use discounts
for each VM that runs for more than 25% of a month, Compute Engine automatically applies a discount for every additional minute.
committed-use discounts
se uso per 1/3 anni sconti
Preemptible and Spot VMs
risparmio
possono essere requisite
da usare con Job resumable
Preemptible VMs max runtime 24h
P e Spot stesso prezzo (spot + feature)
Autoscaling
in base a monitor possono essere avviate/stoppate VM
Caratteristiche come ad es. # max di cpu cambiano in base
zone, famiglia processori
Cloud Balancing
Distribuisce traffico tra servizi
http
tcp
ssl
udp
può essere cross-region
gestire failover tra region
Global HTTP(S)
cross-regional load balancing
Global SSL Proxy
Per Secure Socket non HTTP
lavora su specifiche porte e solo TCP
Global TCP Proxy
se come prima ma non usa SSL
lavora su specifiche porte e solo TCP
Region
per traffico UDP e su qualsiasi porta
Region Internal
per traffico interno
DNS
8.8.8.8
gratis
Cloud DNS
managed
It has low latency and high availability, and it’s a cost-effective way to make your applications and services available to your users
programmabile
CDN
lower network latency, the origins of your content will experience reduced load, and you can even save money.
Connertersi a VPC
IPsec VPN protocol to create a “tunnel” connection
Cloud Router
Connessione dinamica tramite Border Gateway Protocol
Se vengono aggiunte subnet si vedono subito automaticamente on premise
usa internet per connettersi => poca banda, meno sicurezza
Direct Peering
Installare un router nel data center (PoP)
scambia traffico con tra reti
Carrier Peering
collegamento via provider
coperto da SLA
Dedicated Interconnect
quando uptimes critico
può arrivare a SLA 99.99%
one or more direct, private connections to Google
Partner Interconnect
provides connectivity between an on-premises network and a VPC network through a supported service provider
da usare se non si riesce a usare Dedicated
se bisogno di 10 GB/s
Access in the Cloud
Gerarchia risorse su 4 livelli:
Organization node
Folder
Project
Risorse
Policy
Principalmente per i livelli
più alti ma ne esistono
anche per le risorse (poche)
Vengono applicate dal basso quindi possono
sovrascrivere politiche a livello più alto
Risorse
Fanno capo ad un solo project
Project
Hanno 3 identificativi:
ID dato da Google non modificabile, univoco
Name: modificabile, dato da utente
number come ID
Folder
Possono contenere Folder o project
Per usarle bisogna avere Organization Node
Organization Node
Ruoli speciali per modificare policy
Se il cliente è Google Workspace creato in automatico
altrimenti si crea con Google Identity
Resouce Manager Tool
Tool per gestione progetti
RPC e REST API
IAM
Chi può fare cose su cosa
Who (id email)
Google Account
Google Group
Service Account
Cloud Identity domain
Chiamato Principal
Can do that
Modellato con ruoli
IAM Role è un insieme di permessi
Role
Basic (owner, editor, viewer, billing admin)
Viewer visibilità
Editor + modifica
Owner + gestione accesso e billing
Billing Admin visibilità + billing
Predifined Roles
Set di permessi
Custom Roles
Set di permission custom
si possono applicare a livello organization e project (no folder)
Service Account
Permette di autenticare applicazione
Nome e chiavi crittografiche
Cloud Identity
Tool per la gestione dell'organizzazione, policy, ecc...
Possibilità di usare LDAP, Activity Directory
Tool
Google Cloud Console
Gestione con GUI
CLI
Tool command line per gestire risorse e project
Cloud Shell
APIs
Mobile App
limitate a Compute engine, Cloud SQL, AppEngine, metriche e alert
Storage in the cloud
Cloud Storage
Consigliato per blob > 10 MB
max 5 TB per object
Oggetti organizzati in bucket
bucket hanno id univoco
hanno location (region, multi-region)
Object
binario
metadati
id univoco (url)
valido anche per BLOB
immutabili, si creano nuove versioni
versioning può essere abilitato per history
se non versioning => override
Per permessi
si usa IAM (ereditato da bucket)
si può usare ACLs
-- ACL composta da Who (user/gruppo), permission (r/w)
lifecycle
cancellazione automatica con regole
Classi
Standard: hot data, perfetto per performance ma periodi piccoli di tempo;
Nearline: accesso una volta al mese. Es. backup
Coldline: low cost, una volta ogni 90 giorni
Archive: lowest cost, per disaster ricovery e backup. 1 volta all'anno
dati criptati
no min size
redundancy
collegamento
online transfer
storage transfer service: per molti dati ad esempio per trasferimenti da altri cloud, region, ecc...
transfer applicance: connessioni alla rete Google, per Petabyte
Cloud SQL
Full SQL support e transaction
Max 64 TB
PostGreSQL
MySQL
SQL Server
Gestito
Manutenzione automatica
Repliche
Backup
Firewall
Encrypt
Spanner
Full SQL support e transaction
Scalabilità orizzontale
Petabyte
fully managed
scala
SQL
High avalability
Strong consistency
Firestore
Scalabilità
Real time query
Offline support
Max 1MB per entity
NoSQL
Documenti salvati in collezioni
gestione offline
multi-region replication
Strong consistency
atomic batch operation
transaction
ingress free, 10GiB egress
si paga per operazioni (read, write, ecc..)
BigTable
Large number of data
non supporta SQL e multi-row transactional
best for analytical data with heavy read and write events, like AdTech, financial, or IoT data
Max unit 10MB per cell, 100 MB per riga
NoSQL big Data
Massive workloads (> 1 TB)
low latency
High troughput
Operational Application
Analitics
Containers
independent scalability
abstraction layer of the OS and hardware
invisible box around your code and its dependencies
limited access to its own partition of the file system and hardware
requires a few system calls to create and it starts as quickly as a process