Trusted Cloud 与 Google Cloud 之间的主要差异

Trusted Cloud by S3NS 是基于 Google Cloud 的本地隔离云。并非 Google Cloud 中所有提供的产品、功能和工作流都可以在Trusted Cloud中使用。本页面介绍了 Google Cloud 与Trusted Cloud之间的主要差异。如需详细了解Trusted Cloud 及其应用场景,请参阅Trusted Cloud 概览页面

如果您已熟悉 Google Cloud,则应仔细阅读并了解本指南中的差异。我们还建议您查看您要使用的每个Trusted Cloud 产品的详细差异指南:这些指南会显示在每个产品的文档集中。您设计、运行和管理应用的方式可能需要与您在 Google Cloud 中习惯的方式有一些变化。

服务和功能的可用性

Trusted Cloud 中的产品和服务与 Google Cloud 中的产品和服务同名,并使用 Google 开发的相同代码和基础设施。不过,它们并不总是提供完全相同的功能。例如,Google Kubernetes Engine (GKE) 中仅提供 Autopilot 模式,Compute Engine 的旧版虚拟机类型不可用,并且您无法使用某些 Identity and Access Management (IAM) 政策。部分服务尚未在Trusted Cloud中提供。

其他差异包括:

  • Google Cloud 中发布的新功能可能不会在 Trusted Cloud中同时发布。
  • 服务等级协议 (SLA) 由各个Trusted Cloud 运营商管理。这些 SLA 可能与 Google Cloud 中提供的 SLA 不同。如果您对 SLA 有任何疑问,请与您的Trusted Cloud 运营商联系。

如需在Trusted Cloud中部署新服务和新功能时收到通知,请订阅版本说明。如果您需要特定服务或功能,请与支持团队联系

服务和平台管理

Trusted Cloud 中的某些产品或功能名称可能包含“Google 管理”,但这并不意味着 Google 实际管理您的数据。您的Trusted Cloud 运营商始终会管理产品、服务和您的数据。

而应将产品或功能视为“由 Google 提供支持”。为了Trusted Cloud 更清晰地说明这一点,我们更改了一些产品或功能名称。例如,“Google 管理的加密密钥”已重命名,以明确表明 Google 不会管理或访问这些密钥。密钥的名称改为“由 Google Cloud 提供支持的加密密钥/由 [运营商] 在Trusted Cloud 中管理”。该功能使用与 Google Cloud 中相同的技术,但由您的Trusted Cloud 运营商实现和管理。

Trusted Cloud 拥有自己的站点可靠性工程 (SRE) 团队来监控和管理环境。SRE 团队使用独立于 Google Cloud 的监控和提醒栈。

结算由您的 Trusted Cloud运营商处理,而不是 Google。如需了解详情,请参阅Trusted Cloud 结算与您的 Trusted Cloud 运营商联系。

开发者需要注意的主要差异

作为开发者,您可以通过以下概要差异来构建在 Trusted Cloud中运行的应用:

  • 默认 API 服务名称与 Google Cloud 中的名称相同(例如 bigquery.googleapis.com)。例如,当您启用或停用 API 时,这些服务名称可见。服务端点 FQDN 因Trusted Cloud 主机名而异。例如,bigquery.googleapis.com 会变为 bigquery.s3nsapis.fr
  • Google Cloud 和Trusted Cloud之间的 OAuth 范围是一致的。如果 OAuth 范围包含“Google”一词,则在Trusted Cloud中运行时,该范围仍会包含“Google”。
  • 与在 Google Cloud 中不同,在设置和使用开发者工具(例如 Google Cloud CLI 和客户端库)时,您需要指定目标宇宙(在本例中为 Trusted Cloud)。例如,您必须先设置 GOOGLE_CLOUD_UNIVERSE_DOMAIN 环境变量,然后才能运行使用我们的客户端库的任何代码示例。如需了解详情,请参阅为 Trusted Cloud设置 gcloud CLI在 Trusted Cloud中使用客户端库
  • 您必须提供适当的Trusted Cloud 前缀(例如 s3ns:)来标识项目。此前缀会自动添加到您在 Trusted Cloud中创建的所有项目的名称前面。例如,必须以 s3ns:example-project 的形式引用名为 example-project 的项目。
  • 由于Trusted Cloud中没有 Cloud Shell,因此您必须在本地或在Trusted Cloud中运行的虚拟机上安装命令行工具。如果您的工作流或工具需要访问 Cloud Shell,请更新它们以使用客户端库或 Google Cloud CLI 在本地进行安装访问。

如需详细了解 Google Cloud 与 Trusted Cloud之间的其他差异,请查看每个产品的产品特有差异页面。

架构师和运营商需要注意的主要差异

仔细查看您在 Google Cloud 中使用的现有架构实践和设计。相同的设计在Trusted Cloud中可能无法正常起作用。以下差异对管理员、架构师和运营商而言非常重要:

  • Trusted Cloud 没有区域间冗余,只有包含多个可用区的单个区域。如果您的架构和应用基于多区域方法构建,以实现冗余或负载均衡,请更改设计以适应单区域 Trusted Cloud。
  • 与 Google Cloud 相比,Compute Engine 在Trusted Cloud 中提供的虚拟机类型选择有限。如果工作负载是针对Trusted Cloud中不可用的特定大小或系列的虚拟机设计的,请更新您的应用,包括任何基础设施即代码 (IaC) 资源,例如 Terraform 文件或脚本。
  • 您只能通过员工身份联合使用外部身份或使用服务账号在 Trusted Cloud中进行身份验证和授权。不支持 Google 账号。如需详细了解如何配置身份提供方,请参阅设置身份提供方
  • Trusted Cloud中没有 Cloud Shell,因此您必须在本地或在Trusted Cloud中运行的虚拟机上安装命令行工具。更新需要访问 Cloud Shell 的工作流或工具以使用客户端库或 Google Cloud CLI 在本地进行安装访问。

如需详细了解 Google Cloud 与 Trusted Cloud之间的其他差异,请查看每个产品的产品特有差异页面。

一般差异

以下部分详细介绍了Trusted Cloud 与 Google Cloud 之间的一些关键概要差异。除了这些差异之外,每个受支持的产品在其文档集中都有自己的特有差异页面,详细介绍了该产品在Trusted Cloud中的工作原理。如果您打算使用Trusted Cloud中的产品或服务,请仔细查看这些页面以及本指南。

如果您遇到任何问题,请与支持团队联系

硬件和操作系统

  • Trusted Cloud 不提供与 Google Cloud 相同的硬件和操作系统支持。例如,Compute Engine 不支持基于 ARM 的映像,并且 TPU 不可用。如需了解详情,请参阅 Compute Engine 差异页面
  • Google Cloud 中新机器类型或操作系统的公开发布并不表示Trusted Cloud将来会支持该机器类型或操作系统。

可用性和灾难恢复

  • Trusted Cloud 没有多个区域。而是 Trusted Cloud 在一个包含三个可用区的区域中运行。使用多个可用区(而不是多个区域)可跨不同位置复制资源以实现冗余。无法使用多区域 Google Cloud 功能。在Trusted Cloud中部署任何现有应用或架构之前,请先查看并更新这些应用或架构,以确保它们支持多区域冗余或负载均衡。

费用管理

  • Trusted Cloud 中的产品和功能的价格可能与 Google Cloud 中的产品和功能的价格不同。如有任何价格问题,请与您的 Trusted Cloud 运营商联系
  • Trusted Cloud中没有免费试用层级。
  • Trusted Cloud 配额可能与您在 Google Cloud 中习惯使用的配额不同。如果您需要调整配额增加,必须与Trusted Cloud 支持团队联系。

集成

  • 如果某些产品和功能与Trusted Cloud中不可用的其他产品交互,则可能无法使用。请查看产品特有的差异页面,了解 Trusted Cloud中可能无法使用的集成。

安全性和访问权限控制

  • 通过员工身份联合使用第三方身份(例如 Microsoft 或 Okta 平台中的身份)或使用服务账号在 Trusted Cloud中进行身份验证和授权。在Trusted Cloud中,Google 账号和群组无法用于 Identity and Access Management (IAM)。

网络

  • Trusted Cloud 运行一个与 Google Cloud 隔离的单独不同的网络。 Trusted Cloud 的数据中心基础设施不会与 Google Cloud 共享。
    • 数据中心间网络流量使用单独的 WAN,与 Google Cloud 不共享。
    • 系统会使用对等互连或中转网络与互联网建立单独的连接。
  • 在 Trusted Cloud中创建项目时,为要使用的应用创建或分配 Virtual Private Cloud (VPC)。与在 Google Cloud 中不同,系统不会为项目自动创建默认网络。

工作流和工具

  • Cloud Shell 在Trusted Cloud中不可用。您必须在本地安装命令行工具。更新或调整需要访问 Cloud Shell 的任何工作流或工具,包括包含集成式 Cloud Shell 体验的任何文档示例。
  • 默认情况下,gcloud CLI 与 Google Cloud 搭配使用,并使用 Google 账号进行身份验证和授权。将 gcloud CLI 与 Trusted Cloud搭配使用需要进行一些额外设置,以便以Trusted Cloud 为目标并使用外部身份。如需了解详情,请参阅为Trusted Cloud设置 gcloud CLI
    • 更新工作流或流程,以确保 gcloud CLI 以 Trusted Cloud为目标。
    • 如果某个功能或产品在Trusted Cloud中不可用,则相应的 gcloud CLI 命令和参数也会不可用。
  • 使用客户端库时,请确保您已设置目标 GOOGLE_CLOUD_UNIVERSE_DOMAIN 环境变量。
  • 提供适当的 Trusted Cloud前缀(例如 s3ns)以标识 Trusted Cloud中的项目。例如,必须以 s3ns:example-project 的形式引用名为 example-project 的项目
  • 在 Trusted Cloud中,运营商会创建并为您提供一个空组织。与在 Google Cloud 中不同,您无法自行创建新组织。

后续步骤

查看每个产品的产品特有差异页面,详细了解 Google Cloud 与Trusted Cloud之间的其他差异。

如需开始使用 Trusted Cloud,请查看以下页面: