GCP Cloud Digital Leader

发表于2024-07-19|更新于2025-11-14|Certification

|字数总计:9.5k|阅读时长:34分钟|阅读量:

前言

官网: https://cloud.google.com/learn/certification/cloud-digital-leader

知识点

1. Regions and Zones

Regions and Zones

Google 在全球提供 20+ 个区域 (Regions)
优势:
- 高可用性 (High Availability)
- 低延迟 (Low Latency)
- 全球覆盖 (Global Footprint)
- 满足政府监管要求 (Government Regulation)

每个 Region 包含三个或更多 Zone (可用区)
Zone 的优势: 提高可用性和容错能力
考试提示: 多 Zone 部署 → 提高容错和可用性

2. Compute

Compute Engine

Compute Engine (GCE): 预配和管理虚拟机 (VMs)
核心功能:
- 创建和管理 VM 实例生命周期
- 负载均衡 (Load Balancing) 和自动扩展 (Auto Scaling)
- 附加存储, 管理网络连接和配置

VM Setup

Startup Script: 引导脚本
- VM 实例启动时安装 OS 补丁或软件
- 适用场景: 临时配置, 测试环境

Instance Templates: 指定 VM 实例详细信息的模板
- 用于创建 VM 实例和托管实例组 (Managed Instance Groups)
- 无法更新, 需要删除后重新创建
- 考试提示: Instance Templates 不可修改

Custom Image: 推荐方式 (比 Startup Script 更好)
- 预装 OS 补丁和软件
- 启动速度更快, 配置更一致
- 考试提示: 生产环境推荐 Custom Image

Use Discount

Sustained Use Discounts (持续使用折扣):
- 在计费月内运行 VM 实例达到一定比例时自动获得折扣
- 无需预留, 自动应用
- 折扣幅度: 使用越多, 折扣越大

Committed Use Discounts (承诺使用折扣):
- 1 年或 3 年预留, 适用于可预测的工作负载
- 折扣幅度更大 (最高 57%)
- 需要承诺使用, 适合稳定工作负载
- 考试提示: 可预测工作负载 → Committed Use Discounts

Preemptible VM

Preemptible VM: 短期低成本计算实例 (最多便宜 80%)
最长存活时间: 24 小时 (会被自动终止)
适用场景:
- 非关键时间的工作负载
- 容错能力强的应用 (批处理, 数据分析)
- 无状态应用
考试提示: 成本敏感 + 容错 → Preemptible VM; 24 小时限制

Spot VM

Spot VM: Preemptible VM 的最新版本
无最长运行时间限制 (与 Preemptible VM 的 24 小时限制不同)
同样提供最多 80% 折扣
随时可能被终止, 但没有时间上限
适用场景: 与 Preemptible VM 类似, 但更灵活
考试提示: Spot VM 无 24 小时限制, Preemptible VM 有 24 小时限制

Sole Tenant Nodes

Sole Tenant Nodes: 单租户节点 (类似 AWS Dedicated Host)
在专用于单个客户的硬件上运行虚拟化实例
适用场景:
- 合规性要求 (物理隔离)
- 自带许可证 (BYOL - Bring Your Own License)
- 性能敏感的工作负载
与共享硬件对比: 更高成本, 更强隔离性
考试提示: 许可证要求 + 物理隔离 → Sole Tenant Nodes

Custom Machine Types

Custom Machine Types: 自定义机器类型
可自定义资源:
- CPU (vCPUs 数量)
- 内存 (Memory)
- GPU (可选)
适用场景: 预定义机器类型不满足需求时
成本优化: 只为实际需要的资源付费
考试提示: 特殊资源需求 → Custom Machine Types

VM costs

使用 GCE 运行 VM 的两大主要成本:
- Infrastructure Cost: VM 基础设施成本 (CPU, 内存, 磁盘)
- Licensing Cost: 操作系统许可成本
成本优化策略:
- 使用 Sustained Use Discounts (自动应用)
- 使用 Committed Use Discounts (1-3 年承诺)
- 选择合适的机器类型
- 使用 Preemptible/Spot VM (非关键工作负载)

Instance Groups

Instance Group: 作为单一实体管理的 VM 实例组
两种类型:
- Managed: 使用模板创建的相同 VM (推荐)
- Unmanaged: 同一组中 VM 配置不同 (不推荐)
位置选择:
- Zonal: 单个 Zone (更简单)
- Regional: 跨多个 Zone (更高可用性)
考试提示: Regional Instance Groups → 更高可用性

Managed Instance Groups

Managed Instance Groups (MIG): 维护特定数量的实例
关键功能:
- 自我修复 (Self Healing): 使用健康检查检测应用故障, 自动替换失败实例
- 自动扩展 (Auto Scaling): 根据负载增减实例
- 负载均衡 (Load Balancing): 添加负载均衡器分配流量
- 滚动更新: 零停机部署新版本
适用场景: 无状态应用, 需要高可用性和自动扩展
考试提示: 需要自动扩展 + 自我修复 → Managed Instance Groups

Cloud Load balancing

Cloud Load Balancing: 在一个或多个区域的 VM 实例之间分配流量
特点:
- 全球负载均衡 (支持跨区域)
- 高可用性和容错能力
- 自动扩展
- 集成健康检查
负载均衡器类型:
- HTTP(S) Load Balancing: 全球 HTTP/HTTPS 流量
- TCP/UDP Load Balancing: 区域或全球 TCP/UDP 流量
- Internal Load Balancing: VPC 内部流量
考试提示: 跨区域流量分配 → Cloud Load Balancing

Bare Metal Solution

Bare Metal Solution: 在 Google Cloud 提供的专用硬件上运行特殊工作负载
核心优势:
- 利用现有软件许可证 (BYOL)
- 无需修改配置即可迁移
- 物理服务器级别的隔离和性能
适用场景:
- 需要物理硬件的应用 (Oracle 数据库, SAP HANA)
- 严格的许可证要求
- 超低延迟需求
与虚拟机对比: 更高性能, 更高成本, 物理隔离
考试提示: 专用硬件 + BYOL → Bare Metal Solution

3. Managed Services

IAAS (Infrastructure as a Service)

IaaS: 仅使用云提供商的基础设施
用户负责: 操作系统, 中间件, 运行时, 应用程序, 数据
云提供商负责: 虚拟化, 服务器, 存储, 网络
示例: 使用 VM 部署应用程序或数据库
GCP 服务: Compute Engine
考试提示: 需要完全控制 OS → IaaS

PAAS (Platform as a Service)

PaaS: 使用云提供商提供的平台
用户负责: 配置和应用程序代码
云提供商负责: 操作系统, 中间件, 运行时, 基础设施
优势: 简化部署, 自动扩展, 无需管理服务器
GCP 服务: App Engine
考试提示: 专注应用开发 → PaaS

SAAS (Software as a Service)

SaaS: 集中托管的软件 (大多在云上)
最小化管理级别
按订阅收费 (Pay-as-you-go)
用户负责: 内容, 访问策略, 使用
云提供商负责: 应用程序, 数据, 运行时, 中间件, OS, 基础设施
示例: Gmail, Google Workspace, Salesforce
考试提示: 完全托管的应用 → SaaS

Containers

容器: 确保微服务有统一的部署方式
为每个微服务创建 Docker 镜像, 包含:
- 应用运行时 (Application Runtime)
- 应用代码和依赖 (Application code and Dependencies)

容器优势:
- 轻量级 (无 Guest OS)
- 容器隔离
- 云中立 (在任何基础设施上运行相同)
- 快速启动

容器编排 (Container Orchestration, 基于 Kubernetes):
- 自动扩展 (Auto Scaling)
- 负载均衡 (Load Balancing)
- 自我修复 (Self Healing)
- 快速部署 (Fast Deployment)
GCP 服务: Google Kubernetes Engine (GKE)
考试提示: 容器编排 → Kubernetes/GKE

Serverless

Serverless: 专注代码, 云托管服务处理其他所有事务
按使用付费 (Pay for use)
优势:
- 无需管理服务器
- 自动扩展
- 高可用性
- 降低运营成本
GCP 服务: Cloud Functions, Cloud Run, App Engine
考试提示: 无服务器管理 + 事件驱动 → Serverless

Shared Responsibility Model

共同责任模型: 云安全是共同责任
责任划分:
- SaaS: 内容 + 访问策略 + 使用
- PaaS: SaaS + 部署 + Web 应用安全
- IaaS: PaaS + 运维 + 网络安全 + Guest OS
Google Cloud 始终负责: 硬件, 网络, 审计日志
考试提示: 用户责任随服务模型递增 (IaaS > PaaS > SaaS)

GCP Service Category

服务分类:
- Compute Engine: IaaS (提供自定义 OS)
- Google Kubernetes Engine: CaaS (Container as a Service)
- App Engine: PaaS
- Cloud Functions: FaaS (Function as a Service)
- Cloud Run: CaaS (快速运行单个容器)
考试提示:
- 需要控制 OS → Compute Engine (IaaS)
- 容器编排 → GKE (CaaS)
- 应用平台 → App Engine (PaaS)
- 事件驱动函数 → Cloud Functions (FaaS)

4. Managed Compute Service in GCP

App Engine

App Engine: GCP 最简单的 PaaS 应用部署平台, 自动负载均衡/自动扩展/版本管理/流量分割, 无使用费按预配资源付费
关键限制: 不提供 VM 基础设施的细粒度控制
Compute Engine vs App Engine: Compute Engine = IaaS (更多责任/更高灵活性); App Engine = PaaS Serverless (更少责任/更低灵活性)
考试提示: 快速部署 Web 应用 → App Engine; 需要完全控制 OS → Compute Engine

App Engine Environments

Standard Environment (标准环境): 特定语言沙箱运行 (Python/Java/Node.js/PHP/Ruby/Go), 支持扩展到 0 实例, 启动快
Flexible Environment (灵活环境): Docker 容器运行, 支持任何运行时, 至少 1 个实例运行 (无法扩展到 0), 启动较慢
考试提示: 扩展到 0 → Standard; 自定义运行时 → Flexible; Flexible 无法扩展到 0

Google Kubernetes Engine (GKE)

GKE: 托管的 Kubernetes 服务, Auto-repair (自动修复节点) + Auto-upgrade (自动升级 K8S) + Pod/Cluster 自动扩展
两种模式: Standard (用户管理/更多控制) vs Autopilot (GKE 完全管理/更少运维)
考试提示: 容器编排 → GKE; 完全托管零运维 → Autopilot

Cloud Functions (GCF)

Cloud Functions: Serverless 事件驱动函数, 按使用付费, 无需管理服务器/扩展/可用性
时间限制: 默认 1 分钟, 最长 60 分钟 (3600 秒)
适用场景: 文件上传处理, 数据库更改触发, API 后端, 轻量级数据处理
考试提示: 事件驱动函数 → Cloud Functions; 最长执行时间 60 分钟

Cloud Run & Anthos

Cloud Run: 完全托管 Serverless 容器平台, 自动扩展 (包括扩展到 0), 按请求付费, 支持任何语言/库
Cloud Run for Anthos: 部署到本地或 Anthos 集群, 混合云和多云支持
考试提示: 快速运行单个容器 → Cloud Run; 混合云容器 → Cloud Run for Anthos

Compute Service in GCP

GCP 计算服务总结
- 虚拟机 → Compute Engine
- 相似 VM 组 → Managed Instance Group
- 负载分配 → Cloud Load Balancing
- Web 应用 PaaS → App Engine
- 单个容器 Serverless → Cloud Run
- 容器编排 → GKE
- 事件驱动函数 → Cloud Functions
- 多云/本地 K8S → Anthos
考试提示: VM 控制 → Compute Engine; PaaS → App Engine; 容器编排 → GKE; 快速容器 → Cloud Run; 函数 → Cloud Functions; 混合云 → Anthos

5. Storage

Block Storage & File Storage

Persistent Disk: 网络块存储, Zonal/Regional 可选, VM 删除后数据保留, 支持快照/加密
Local SSDs: 本地临时块存储, 物理连接 VM, 极高性能 (IOPS/吞吐量), VM 删除后数据丢失
Filestore: 托管 NFS 文件服务器, 多 VM 同时访问, 适用于媒体渲染/共享文件系统/应用迁移
考试提示: 持久数据 → Persistent Disk; 极高性能临时 → Local SSDs; 共享文件 → Filestore

Cloud Storage

Cloud Storage: GCP 对象存储服务, 键值对存储大型对象, REST API 访问, 支持所有文件类型, 无限扩展/高可用/全球分布/低延迟
对象存储 vs 块存储: 对象 = 完整文件 (照片/视频/备份); 块 = 数据块 (VM 磁盘)
适用场景: 静态网站托管, 媒体文件存储分发, 备份归档, 数据湖存储
考试提示: 非结构化数据 + 全球访问 → Cloud Storage

Storage Classes

四种存储类别 (根据访问频率优化成本)
- Standard: 频繁访问, 无最短存储时间, 最高存储成本/无访问费用
- Nearline: 每月访问一次, 30 天最短存储时间, 较低存储成本/访问需付费
- Coldline: 每季度访问一次, 90 天最短存储时间, 更低存储成本/更高访问费用
- Archive: 每年访问少于一次, 365 天最短存储时间, 最低存储成本/最高访问费用
考试提示: 访问频率越低 → 存储成本越低/访问费用越高; 最短存储时间内删除仍需支付完整时间费用

Object Lifecycle Management

Object Lifecycle Management: 自动在存储类别之间转换对象以节省成本
条件配置: Age (天数) / CreatedBefore (日期) / IsLive (最新版本) / MatchesStorageClass / NumberOfNewerVersions, 多个条件需同时满足
操作类型: SetStorageClass (Standard → Nearline → Coldline → Archive 单向转换) / Deletion (删除对象)
典型场景: 日志文件 30 天后 → Nearline, 90 天后 → Coldline, 365 天后删除
考试提示: 自动成本优化 → Object Lifecycle Management; 可组合多个条件; 单向转换

Transferring Data to Cloud Storage

Online Transfer: gsutil/Cloud Storage API, < 1 TB, 通过互联网, 仅网络出口费用
Storage Transfer Service: PB 级在线传输, 1-20 TB, 从其他云 (AWS S3/Azure Blob) 或私有数据中心, 支持计划/增量传输
Transfer Appliance: 物理设备传输, > 20 TB 或传输时间 > 1 周, 离线传输避免网络瓶颈
考试提示: < 1 TB → Online Transfer; 1-20 TB → Storage Transfer Service; > 20 TB 或网络慢 → Transfer Appliance; 从其他云迁移 → Storage Transfer Service

Storage Services Summary

共享媒体/大文件协作 → Filestore (NFS 文件共享, 多 VM 访问)
全球分发非结构化数据 → Cloud Storage (成本效益/无限扩展/全球分布)
自动转换存储类别降低成本 → Object Lifecycle Management (基于访问频率优化)
大规模数据迁移 → Transfer Appliance (物理传输更快可靠)
考试提示: 文件共享 → Filestore; 对象存储 → Cloud Storage; 成本优化 → Lifecycle Management; > 20 TB 迁移 → Transfer Appliance

6. Database Fundamentals

`Cloud SQL` & `Cloud Spanner` (OLTP)

事务型数据库 (OLTP): 支持大量用户进行大量小型事务操作
- 常用数据库: MySQL, Oracle, SQL Server
GCP 托管服务
- Cloud SQL: 区域级关系数据库，支持 PostgreSQL, MySQL, SQL Server
- Cloud Spanner: 全球级关系数据库，支持无限扩展 (PB 级) 和 99.999% 可用性，通过水平扩展实现
- Cloud Spanner 跨区域实时复制数据

`BigQuery` (OLAP)

分析型数据库 (OLAP): 允许用户分析 PB 级数据
- 适用场景: 报表应用、数据仓库、商业智能、分析系统
GCP 托管服务
- BigQuery: PB 级分布式数据仓库

`OLAP` vs `OLTP`

OLAP 和 OLTP 数据结构相似，但存储方式不同
OLTP 数据库使用行存储 (Row Storage)
- 高效处理小型事务
OLAP 数据库使用列存储 (Columnar Storage)
- 高压缩率，分布式存储，单个查询可跨多个节点执行

`Cloud Firestore` vs `BigTable` (NOSQL)

NoSQL 数据库: 牺牲”强一致性和 SQL 特性”以获得”可扩展性和高性能”
NoSQL = Not Only SQL (不仅仅是 SQL)
GCP 托管服务: Cloud Firestore (Datastore) & BigTable

Cloud Datastore: 托管的 Serverless NoSQL 文档数据库
- 专为移动端和 Web 应用的事务型操作设计
BigTable: 托管的可扩展 NoSQL 宽列数据库
- 适用于大规模分析 (> 10 TB) 和运营工作负载 (非 Serverless)

`Memory Store` (In-memory Databases)

内存数据库: 从内存读取数据远快于从磁盘读取 (如 Redis)
GCP 托管服务: Memory Store
使用场景: 缓存、会话管理、游戏排行榜、地理空间应用

Database in GCP

关系型 OLTP 数据库: Cloud SQL, Cloud Spanner
- 预定义 Schema，强事务能力，行存储
关系型 OLAP 数据库: BigQuery
- 列存储，预定义 Schema，数据仓库和大数据工作负载
NoSQL 数据库: Cloud Firestore (Datastore), BigTable
- 需要快速演进结构的应用 (Schema-less)
内存数据库/缓存: Memory Store
- 需要微秒级响应的应用

7. IAM

Cloud IAM

Cloud IAM (Identity and Access Management): GCP 用户身份识别和访问控制
核心功能: 控制谁 (Who) 对哪些资源 (What) 执行哪些操作 (Action), 细粒度权限管理
IAM 三要素: Members (成员) + Roles (角色) + Resources (资源)
考试提示: IAM 控制”谁”可以做”什么”

IAM Example

实际场景: 授予同事管理特定 Cloud Storage bucket 的权限
操作步骤: 选择角色 (如 Storage Object Admin) → 创建 Policy 绑定成员和角色 → 应用到资源
Roles (角色): 权限集合, 通过 Policy 分配给成员
考试提示: 角色 = 权限集合; Policy = 绑定关系

IAM Roles

Basic Roles (基本角色): Owner (完全控制) / Editor (修改资源) / Viewer (只读), 粗粒度, 不推荐生产环境
Predefined Roles (预定义角色): Google 预定义的细粒度角色, 针对特定服务优化, 推荐使用
Custom Roles (自定义角色): 用户自定义权限组合, 满足特殊需求
考试提示: 生产环境 → Predefined Roles; Basic Roles 权限过大不安全; 特殊需求 → Custom Roles

IAM Policy

IAM Policy: 通过 JSON 文档分配角色, 包含 bindings (Members + Roles)
Policy 特性: 可附加到资源 (Project/Folder/Organization), 支持继承, 可包含条件
最佳实践: 使用组而非个人用户, 定期审查权限, 遵循最小权限原则
考试提示: Policy = Members + Roles 的绑定关系

8. Encryption

Data Lifecycle States

Data at rest (静态数据): 存储在设备/备份中, 风险是物理访问和未授权读取
Data in motion (传输中数据): 通过网络传输, 风险是中间人攻击和网络窃听
Data in use (使用中数据): 内存/CPU 缓存中处理, 风险是内存转储和进程访问
考试提示: 三种数据状态都需要不同的加密保护策略

Encryption

Symmetric Key Encryption (对称密钥加密): 相同密钥加密/解密, 速度快适合大数据, 但密钥分发困难 (AES, DES)

Asymmetric Key Encryption (非对称密钥加密): 公钥加密私钥解密, 密钥分发安全支持数字签名, 但速度慢 (RSA, ECC)
考试提示: 对称加密 → 速度快适合大数据; 非对称加密 → 安全性高适合密钥交换

Cloud KMS

Cloud KMS (Key Management Service): 创建和管理加密密钥 (对称/非对称)
核心功能: 集中管理密钥, 自动密钥轮换, 审计使用情况, 与 GCP 服务集成
密钥层级: Key Ring (逻辑分组) → Key (密钥本身) → Key Version (支持轮换)
加密选项
- GMEK: Google 自动管理 (默认加密)
- CMEK: 客户通过 Cloud KMS 管理 (需要控制密钥)
- CSEK: 客户完全自行管理 (完全自主控制)
考试提示: 需要控制密钥 → CMEK; 完全自行管理 → CSEK; 默认加密 → GMEK

9. Organizing GCP Resources

Resource Hierarchy

GCP 资源层级结构: Organization > Folder > Project > Resources
Organization (组织): 最顶层, 代表整个公司, 统一管理和权限控制
Folder (文件夹): 组织资源的逻辑分组 (部门/环境)
Project (项目): 资源的基本组织单位, 所有资源必须在其中创建
Resources (资源): 具体的 GCP 服务 (VM, Storage 等)
关键特性: IAM 权限继承 - 子资源自动继承父资源权限
考试提示: 层级结构实现统一管理; 权限从上到下继承

Billing Accounts

Billing Account (计费账户): 创建 GCP 资源的强制要求
核心功能: 跟踪费用, 关联多个 Project, 支持预算控制
Cloud Billing Budget: 设置预算阈值, 配置警报 (50%/90%/100%), 避免意外超支
关键区别: 一个 Billing Account 可关联多个 Project, 统一付费
考试提示: 创建资源必须有 Billing Account; Budget Alerts 控制成本

IAM Best Practices

IAM 最佳实践: 确保 GCP 环境安全和合规
Principle of Least Privilege (最小权限原则): 仅授予完成工作所需的最小权限, 避免使用 Owner 角色
Separation of Duties (职责分离): 敏感操作至少 2 人参与, 避免单点权限风险
Constant Monitoring (持续监控): 使用 Cloud Audit Logs 审计策略变更, 检测异常权限
考试提示: 最小权限 + 职责分离 + 持续监控 = IAM 安全三要素

Public, Private, Hybrid Cloud

Public Cloud (公有云): 资源托管在云提供商数据中心, 按需付费, 无需自建基础设施
Private Cloud (私有云): 资源在企业自有数据中心, 完全控制, 高成本高合规性

Hybrid Cloud (混合云): 公有云 + 私有云组合, 敏感数据本地 + 其他服务上云
Multi Cloud (多云): 同时使用多个云提供商 (GCP + AWS + Azure), 避免供应商锁定
关键区别: Hybrid = 本地 + 单一云; Multi = 多个云提供商
考试提示: Hybrid Cloud = 公有 + 私有; Multi Cloud = 多个提供商

Cloud VPN

Cloud VPN: 通过 IPsec 加密隧道连接本地网络与 GCP VPC
核心特性: 经过公共互联网, 成本低, 带宽受限 (< 3 Gbps)
关键限制: 依赖公共互联网 - 可能有延迟和不稳定性
考试提示: 低成本低带宽 → Cloud VPN; 不想经过互联网 → Cloud Interconnect

Cloud Interconnect

Cloud Interconnect: 本地与 GCP 之间的高速物理专线, 不经过公共互联网
Dedicated Interconnect: 直连 Google 网络 (10/100 Gbps)
Partner Interconnect: 通过服务提供商连接 (50 Mbps - 10 Gbps)
关键优势: 高带宽, 低延迟, 私有连接, 更稳定
与 VPN 对比: Interconnect = 高成本高性能私有; VPN = 低成本低性能公共
考试提示: 高带宽/低延迟/私有连接 → Cloud Interconnect

Private Google Access

Private Google Access: 允许无外部 IP 的实例访问 Google API 和服务
核心功能: 使用私有 IP 访问 Cloud Storage/BigQuery 等, 流量不经过公共互联网
配置方式: 在 VPC 子网级别启用, 应用于整个子网
考试提示: 无外部 IP 访问 Google 服务 → Private Google Access

Network Service Tier

Standard Tier (标准层级): 使用公共互联网路由, 区域级网络, 低成本
Premium Tier (高级层级): 使用 Google 全球私有网络, 低延迟高性能, 高成本
关键区别: Standard = 公共互联网路由; Premium = Google 骨干网路由
考试提示: 成本优先 → Standard; 性能优先/全球业务 → Premium

Organization Policy Service

Organization Policy Service: 对 Organization 所有资源实施集中约束和限制
核心功能: 在 Organization 级别配置统一策略, 限制资源创建 (如禁止外部 IP, 限制区域)
配置要求: Organization Policy Administrator 角色, 在 Organization 级别设置
与 IAM 的关键区别: IAM 控制 “谁” (Who), Organization Policy 控制 “什么” (What)
考试提示: 集中约束控制 → Organization Policy; IAM = WHO, Policy = WHAT

Corporate Directory Federation

Corporate Directory Federation: 将企业 Active Directory 与 GCP 集成, 实现单点登录 (SSO)
核心功能: 联合 Cloud Identity/Google Workspace 与外部 IdP (AD, Azure AD), 自动同步用户
关键优势: 无需为 GCP 单独创建账户; 员工离职在 AD 中禁用即失去 GCP 访问权限
考试提示: 企业 AD 集成 → Corporate Directory Federation

Identity Aware Proxy (IAP)

Identity-Aware Proxy (IAP): 基于身份控制应用访问, 无需 VPN
核心功能: 在应用前提供安全访问层, 验证用户身份后授权访问后端应用
关键优势: 零信任模型, 无需配置 VPN 或防火墙, 集成 Cloud IAM
考试提示: 保护应用访问 + 无需 VPN → IAP

Identity Platform

Identity Platform: 客户身份和访问管理 (CIAM), 处理客户用户的身份验证和授权
核心功能: 用户注册/登录/密码重置, 支持多种身份提供商 (Google, Facebook, GitHub)
与 Cloud IAM 的关键区别: Cloud IAM → 员工/内部资源; Identity Platform → 客户/外部用户
考试提示: Cloud IAM = 内部; Identity Platform = 客户/外部

10. DevOps

CI, CD Tools

Cloud Source Repositories: 私有 Git 仓库, 代码托管
Container Registry: 存储 Docker 镜像
Cloud Build: 构建可部署工件, 自动化 CI/CD
考试提示: Cloud Build → CI/CD 自动化

Cloud Build

Cloud Build: 完全托管的 CI/CD 平台
自动化构建、测试、部署应用程序
支持多种语言, 与 GitHub/Bitbucket 集成
考试提示: 自动化 CI/CD → Cloud Build

Cloud Deployment Manager

Cloud Deployment Manager: 使用模板自动化部署 GCP 资源
使用 YAML/Python 定义基础设施 (Infrastructure as Code)
重要: 不用于构建和测试, 只部署基础设施
考试提示: IaC 部署 → Deployment Manager; 构建 → Cloud Build

Container Registry and Artifact Registry

Container Registry: 仅支持容器镜像
Artifact Registry: 支持容器 + 其他工件 (Maven, npm, Python 等)
新项目推荐 Artifact Registry
考试提示: 仅容器 → Container Registry; 容器 + 其他 → Artifact Registry

Infrastructure as Code

IaC: 用代码管理基础设施
核心优势: 可重复 + 版本控制 + 自动化
GCP 服务: Deployment Manager
考试提示: IaC → Deployment Manager

Cloud Operations & Insights

Cloud Monitoring: 监控指标和警报
Cloud Logging: 集中式日志
Cloud Audit Logs: 审计日志
Error Reporting: 实时异常监控
Cloud Debugger: 生产环境实时调试
Cloud Trace: 分布式追踪
Cloud Profiler: 性能分析
考试提示: 监控 → Monitoring; 日志 → Logging; 调试 → Debugger; 追踪 → Trace

Site Reliability Engineering (SRE)

SRE: 通过软件工程实践确保系统可靠性
核心原则: SLO 驱动 + 自动化 + 最小化繁重工作 + 共享责任
考试提示: SRE → 可靠性工程

SRE - Key Metrics

SLI (服务级别指标): 量化度量 (可用性, 延迟, 吞吐量等)
SLO (服务级别目标): SLI + 目标值 (内部目标)
SLA (服务级别协议): SLO + 违约后果 (对外合同)
Error Budget (错误预算): 100% - SLO
考试提示: SLI = 度量; SLO = 内部目标; SLA = 外部合同; Error Budget = 允许失败

SRE - Best Practices

Load Shedding: 拒绝部分请求保护系统
Reduced Quality of Service: 降级服务
Avoiding Cascading Failures: 熔断器 + 超时重试
Penetration Testing: 渗透测试
Load Testing: 负载测试 (JMeter, Gatling 等)
Resilience Testing: 弹性测试 (混沌工程)
考试提示: 过载 → Load Shedding; 级联故障 → 熔断器

Single Sign-On (SSO)

SSO: 一组凭据访问多个应用
员工 AD 账户禁用时自动失去所有 GCP 访问权限
考试提示: SSO + AD → 离职自动失去访问

Google Cloud Directory Sync

GCDS: 同步 LDAP/AD 目录到 Google Cloud
单向同步: LDAP → Google Cloud
GCDS vs SSO: GCDS 同步用户信息, SSO 处理身份验证
考试提示: LDAP 同步 → GCDS; 身份验证 → SSO

11. Pub/Sub

Synchronous vs Asynchronous Communication

Synchronous Communication (同步通信)
- 应用直接调用日志服务
- 问题: 如果日志服务宕机怎么办?
- 耦合度高, 依赖性强
- 服务故障会影响调用方

Asynchronous Communication (异步通信)
- 创建主题 (Topic), 应用发送日志消息到主题
- 日志服务准备好时再处理消息
- 解耦发送方和接收方
- 提高系统可靠性和弹性
考试提示: 解耦服务 → 异步通信; 异步消息 → Pub/Sub

Pub/Sub

Pub/Sub: 可靠、可扩展、完全托管的异步消息服务
核心功能
- 高可用和高扩展解决方案的支柱
- 流式分析管道的事件摄取和分发
- 至少一次消息传递保证
- 全球分布式架构

Pub/Sub 组件
- Publisher (发布者): 消息发送方
- Subscriber (订阅者): 消息接收方
  - Pull (拉取): 订阅者准备好时主动拉取消息
  - Push (推送): 消息自动推送到订阅者
- Topic (主题): 消息发布的通道
- Subscription (订阅): 接收消息的端点
使用场景
- 微服务解耦
- 事件驱动架构
- 流数据处理
- 任务队列
考试提示: 异步消息 → Pub/Sub; 解耦服务 → Pub/Sub; Pull vs Push

Cloud Dataflow

Cloud Dataflow: Serverless 流式和批量数据处理服务
基于 Apache Beam (开源统一编程模型)
核心功能
- 统一的流式和批处理
- 自动扩展和资源管理
- 与 GCP 服务深度集成
- 实时数据转换和聚合
常见数据流
- 流式处理: Pub/Sub → Dataflow → BigQuery
- 流式文件: Pub/Sub → Dataflow → Cloud Storage
- 批处理: Cloud Storage → Dataflow → Bigtable/Cloud Spanner/Datastore/BigQuery
使用场景
- ETL (Extract, Transform, Load) 数据管道
- 实时数据分析
- 数据清洗和转换
- 流式数据聚合
考试提示: ETL 管道 → Dataflow; 流式 + 批处理 → Dataflow; Apache Beam

12. Data Architectures in GCP

Loose Coupling with Pub/Sub

解耦架构: 使用 Pub/Sub 解耦发布者和订阅者, 独立扩展
关键优势: 服务故障不影响其他组件, 支持多个订阅者, 提高弹性
考试提示: 解耦服务 → Pub/Sub

Data Formats

Structured (结构化): 表格/行/列 → Cloud SQL, Cloud Spanner, BigQuery
Semi Structured (半结构化): 灵活 Schema → Cloud Firestore/Datastore
Unstructured (非结构化): 视频/音频/图片/文本 → Cloud Storage
考试提示: 结构化 → 关系数据库; 非结构化 → Cloud Storage

Cloud Dataproc

Cloud Dataproc: 托管的 Spark 和 Hadoop 服务, 用于复杂批处理
关键特性: 快速创建集群, 按使用付费, 支持现有 Hadoop/Spark 作业
考试提示: Spark/Hadoop → Dataproc; Serverless ETL → Dataflow

Big Data Flow - Batch Ingest

批量数据摄取: ETL 加载数据到 BigQuery
Dataprep: 清理和准备数据 (可视化数据准备)
Dataflow: 创建数据管道和 ETL (Serverless)
Dataproc: 复杂处理 (Spark/Hadoop)
考试提示: 可视化清理 → Dataprep; ETL 管道 → Dataflow; Spark → Dataproc

Streaming Data

流式数据处理: Pub/Sub (接收消息) → Dataflow (分析/聚合/过滤)
存储选择: 预定义时序查询 → Bigtable; 复杂即席分析 → BigQuery
考试提示: 流式处理 → Pub/Sub + Dataflow; 时序 → Bigtable; 即席分析 → BigQuery

IoT

IoT 数据流: IoT Core (设备管理) → Pub/Sub (消息缓冲) → Dataflow (数据处理)
存储和分析
- 移动/Web 应用访问 → Datastore
- 预定义时序查询 → Bigtable
- 复杂即席分析 → BigQuery
考试提示: IoT 设备 → IoT Core; 缓冲 → Pub/Sub; ETL → Dataflow

Data Lake

Data Lake (数据湖): 数据存储 + 管理 + 分析的统一平台

存储: Cloud Storage (低成本 + 高可用 + 灵活处理)
数据摄取: 流式 → Pub/Sub + Dataflow; 批量 → Transfer Service/Appliance/gsutil
处理和分析: SQL 查询 → BigQuery; Hive → Dataproc
数据探索: 清理转换 → Dataprep; 数据科学 → Cloud Datalab (TensorFlow/NumPy)
考试提示: 数据湖存储 → Cloud Storage; 分析 → BigQuery

Data Governance

Data Governance (数据治理): 确保数据质量和安全
核心问题: 坏数据 → 错误决策; 数据泄露 → 声誉损失
考试提示: 数据质量和安全 → Data Governance

Dataplex

Dataplex: 统一数据管理平台 (Data Mesh), 可视化所有数据资产
核心功能: 集中管理数据湖、数据仓库等所有数据资产
考试提示: 统一数据管理 → Dataplex

13. API Management in GCP

API Management

Apigee API Management: 全功能 API 管理平台, 企业级解决方案
Cloud Endpoints: 基础 API 管理, 适用于 GCP 后端
API Gateway: 更新更简单的 API 管理, 适用于 GCP 后端
关键区别: Apigee = 企业级全功能; Endpoints/Gateway = 轻量级 GCP 后端
考试提示: 企业级 API 管理 → Apigee; GCP 后端 → Endpoints/Gateway

14. Trust and Security with GCP

Cloud Security

云安全五要素
- Control (控制): 决定谁可以访问
- Compliance (合规): 遵循法律法规
- Confidentiality (机密性): 保护信息私密
- Integrity (完整性): 确保数据准确
- Availability (可用性): 确保应用和数据始终可用
考试提示: 云安全 = Control + Compliance + Confidentiality + Integrity + Availability

Enhanced Security with 2SV

2SV (两步验证): 添加第二步验证用户身份, 提高账户安全性
最佳实践: 对 Google Cloud 账户强制启用 2SV
考试提示: 账户安全 → 2SV 强制启用

Security Command Center

Security Command Center (SCC): 提供 GCP 资源安全状态的全面视图
核心功能: 检测和响应威胁, 报告安全发现, 确保合规性
关键优势: 跨多个项目的集中式安全监控和洞察
考试提示: 集中式安全监控 → Security Command Center

Google Cloud Armor

Google Cloud Armor: 保护 Web 应用免受 DDoS 攻击和 Web 威胁
核心功能: IP 黑白名单, 速率限制, 应用层流量监控
考试提示: DDoS 防护 + Web 应用安全 → Cloud Armor

Cloud Data Loss Prevention

Cloud Data Loss Prevention (DLP): 识别、分类和保护敏感信息 (包括 PII)
核心功能: 发现敏感数据, 分类数据, 屏蔽敏感信息
考试提示: PII 保护 + 敏感数据 → Cloud DLP

GCP Security Offerings

KMS: 创建和管理加密密钥 (对称/非对称), 控制密钥使用
Secret Manager: 安全管理数据库密码和 API 密钥
Cloud Data Loss Prevention: 发现、分类、屏蔽敏感数据
Cloud Armor: 保护生产应用免受 DDoS 和 Web 攻击

Web Security Scanner: 运行安全测试识别漏洞
Binary Authorization: 确保仅部署受信任的容器镜像
Container Threat Detection: 检测容器运行时攻击
Security Command Center: 获取 GCP 安全的集中视图
考试提示
- 密钥管理 → KMS
- 密码管理 → Secret Manager
- PII 保护 → DLP
- DDoS 防护 → Cloud Armor
- 集中安全 → Security Command Center

Zero Trust Security Model

Zero Trust - “No person or device should be trusted by default, even if they are already inside an organization’s network”

15. ML in GCP

ML in GCP - Pre-Trained

预训练 API (无需训练模型, 直接使用)
- Speech-to-Text API: 语音转文本
- Text-to-Speech API: 文本转语音
- Translation API: 翻译 100+ 种语言
- Natural Language API: 从非结构化文本中提取洞察
- Cloud Vision API: 通用图像识别
考试提示: 通用场景无需训练 → 预训练 API

ML in GCP - Custom Models

AutoML: 用最少的 ML 专业知识构建自定义模型
- AutoML Vision: 基于图像构建自定义模型 (专用图像识别场景)
- AutoML Video Intelligence: 为视频添加标签
- AutoML Tables: 在结构化数据上自动构建模型
BigQuery ML: 使用 SQL 查询构建 ML 模型
Vertex AI: 更快构建和部署 ML 模型 (完整的 MLOps 平台)
考试提示
- 专用图像识别 → AutoML Vision
- 结构化数据 → AutoML Tables
- SQL 构建模型 → BigQuery ML
- 完整 MLOps → Vertex AI

16. Cloud Native

Cloud Native Pillars

四大支柱
- Microservices (微服务): 快速修复问题和交付新功能
- Containers (容器): 可移植和轻量级
- Container Orchestration (容器编排): Kubernetes (GKE) - 自动扩展/负载均衡/自我修复/零停机部署
- DevOps: 增强流程自动化 (CI/CD, IaC)
考试提示: 云原生 = 微服务 + 容器 + Kubernetes + DevOps

Container Compute Examples

Cloud Run: 开发和部署高度可扩展的容器化应用 (Serverless)
Google Kubernetes Engine (GKE): 在 Kubernetes 上编排容器化微服务
Anthos: 管理多云和本地 Kubernetes 集群
考试提示: Serverless 容器 → Cloud Run; 容器编排 → GKE; 多云 → Anthos

Serverless Examples

Serverless 服务示例
- Cloud Functions: 事件驱动应用的 Serverless 计算
- Cloud Run: 无需编排运行隔离容器
- Cloud Firestore: 快速演进结构的应用 (无 Schema)
- Cloud Dataflow: 使用 Apache Beam 的 Serverless 流式和批处理
- Cloud Pub/Sub: 云端实时消息, 按消息数量付费
- BigQuery: 关系型 OLAP, 数据仓库和大数据工作负载
考试提示: Serverless = 无需管理服务器, 按使用付费

17. Cost Management in GCP

CapEx vs OpEx

CapEx (资本支出): 购买基础设施的费用 (一次性大额投资)
OpEx (运营支出): 使用服务或产品的费用 (持续按使用付费)
关键区别: CapEx = 买; OpEx = 租
考试提示: 云计算 = OpEx 模型

Pricing Calculator

Pricing Calculator (定价计算器): 估算 Google Cloud 解决方案的成本
核心功能: 选择服务, 配置资源, 获取成本估算
考试提示: 成本估算 → Pricing Calculator

GCP Cost Management

Cost Management (成本管理): 监控、控制和优化成本的工具
核心工具: Billing dashboards (计费仪表板), Resource labels (资源标签), Budget Alerts (预算警报)
考试提示: 成本监控和优化 → Cost Management

Billing Dashboards

Billing Dashboards (计费仪表板): 提供云支出的全面概览
核心功能: 可视化成本趋势, 按服务/项目分析支出
考试提示: 可视化成本 → Billing Dashboards

Resource Labels

Resource Labels (资源标签): 使用键值对标记云资源
核心功能: 过滤和组织成本数据, 按部门/项目/环境分组
考试提示: 成本分组和过滤 → Resource Labels

18. GCP Review

Basic Compute Services

Compute Engine: 需要控制 OS 或运行自定义软件时使用 VM
Preemptible VMs: 非时间关键工作负载的短期 VM (最多便宜 80%)
Sole-tenant Nodes: 专用物理服务器 (物理隔离, BYOL)
VMware Engine: 在 GCP 上运行 VMware 工作负载
Managed Instance Groups: 创建多个相同的 Compute Engine VM
Cloud Load Balancing: 在多个实例之间平衡负载
考试提示: VM 控制 → Compute Engine; 短期低成本 → Preemptible; 物理隔离 → Sole-tenant

Firebase

Firebase: 构建 Web 和移动应用的综合云平台
核心功能: 后端即服务 (BaaS), 无需管理服务器和基础设施
关键优势: 处理动态内容和用户交互, 实时数据库, 身份验证
考试提示: 移动/Web 应用开发 → Firebase

Managed Compute Services

App Engine: PaaS, 快速部署 Web 应用和 RESTful API
Cloud Run: 无需编排运行隔离容器 (Serverless)
Kubernetes Engine (GKE): 托管的 Kubernetes 服务, 提供容器编排
Cloud Functions: 事件驱动应用的 Serverless 计算
Anthos: 管理多云和本地 Kubernetes 集群
Firebase: Google 移动平台, 构建 iOS/Android/Web/C++/Unity 应用
考试提示: PaaS → App Engine; 容器编排 → GKE; 事件驱动 → Cloud Functions; 多云 → Anthos

Storage

Persistent Disk: VM 的块存储 (持久性, VM 删除后保留)
Local SSD: VM 的本地临时块存储 (极高性能, VM 删除后丢失)
Cloud Filestore: 云端文件共享 (NFS)
Cloud Storage: 云端对象存储 (非结构化数据, 全球分布)
考试提示: 持久块 → Persistent Disk; 临时高性能 → Local SSD; 文件共享 → Filestore; 对象 → Cloud Storage

Databases

Cloud SQL: 区域级关系型 OLTP 数据库 (MySQL, PostgreSQL, SQL Server)
Cloud Spanner: 全球级关系型 OLTP 数据库, 无限扩展 + 99.999% 可用性 (水平扩展)
Cloud Firestore: 快速演进结构的应用 (无 Schema, Serverless NoSQL)
Cloud Bigtable: 大型数据库 (10 TB - PB 级), 流式 (IoT)/分析/运营工作负载 (非 Serverless)
Cloud Memorystore: 内存数据库/缓存, 需要微秒级响应的应用
考试提示: 区域 OLTP → Cloud SQL; 全球 OLTP → Spanner; NoSQL 文档 → Firestore; NoSQL 宽列 → Bigtable; 缓存 → Memorystore

Streams, Analytics, Big Data

Cloud Pub/Sub: 云端实时消息传递
BigQuery: 关系型 OLAP 数据库, 数据仓库和大数据工作负载
BigQuery ML: 使用 BigQuery 数据简化机器学习
Cloud Dataflow: 使用 Apache Beam 的 Serverless 流式和批处理
Cloud Dataproc: 托管的 Spark 和 Hadoop 服务 (非 Serverless)
Cloud Data Fusion: 可视化管理数据管道
Data Studio: 可视化数据
Looker: 企业商业智能
考试提示: 消息 → Pub/Sub; 数据仓库 → BigQuery; Serverless ETL → Dataflow; Spark → Dataproc

Migration

Database Migration Service: 迁移到 Cloud SQL
Storage Transfer Service: 在线传输到 Cloud Storage
Transfer Appliance: 使用设备进行物理传输
Migrate for Compute Engine: 迁移 VM 和 VM 存储到 GCE
Migrate for Anthos: 将 VM 迁移到 GKE 容器
BigQuery Data Transfer Service: 迁移分析数据
考试提示: 数据库迁移 → Database Migration Service; 大规模数据 → Transfer Appliance; VM 迁移 → Migrate for Compute Engine

相关推荐

GCP 实操练习

Google Cloud Associate Cloud Engineer

数据库加载中