Trusted Cloud by S3NS 是以 Google Cloud 為基礎的本機獨立雲端。並非所有 Google Cloud 提供的產品、功能和工作流程,都能在Trusted Cloud中使用。本頁說明 Google Cloud 與Trusted Cloud的主要差異,如要進一步瞭解Trusted Cloud 和應用實例,請參閱Trusted Cloud 總覽頁面。
如果您已熟悉 Google Cloud,請仔細閱讀並瞭解本指南中的差異。此外,建議您查看各Trusted Cloud 產品的詳細差異指南,這些指南會顯示在各產品的說明文件集中。您可能需要變更應用程式的設計、執行及管理方式,才能適應 Google Cloud 的環境。
服務與功能適用情形
Trusted Cloud 中的產品和服務與 Google Cloud 對應項目同名,且使用相同的 Google 開發程式碼和基礎架構。不過,兩者提供的功能不一定完全相同。舉例來說,Google Kubernetes Engine (GKE) 僅提供 Autopilot 模式,Compute Engine 舊版 VM 類型無法使用,且您無法使用特定 Identity and Access Management (IAM) 政策。Trusted Cloud尚未開放部分服務。
其他差異包括:
- Google Cloud 推出的新功能可能不會同時在 Trusted Cloud推出。
- 服務水準協議 (SLA) 由各Trusted Cloud 營運商管理。這些 SLA 可能與 Google Cloud 提供的 SLA 不同。如有任何有關服務等級協議的問題,請洽詢您的Trusted Cloud 電信業者。
如要在Trusted Cloud部署新服務和功能時收到通知,請訂閱版本資訊。如要使用特定服務或功能,請與支援團隊聯絡。
服務和平台管理
部分產品或功能名稱可能包含「Google 管理」,但這不代表 Google 實際管理您的資料。Trusted Cloud 您的Trusted Cloud 營運商一律會管理產品、服務和您的資料。
請改為將產品或功能視為「Google 支援」。為求明確,部分產品或功能名稱已變更為Trusted Cloud 。舉例來說,「Google 代管的加密金鑰」已重新命名,清楚說明這些金鑰並非由 Google 管理或存取。金鑰名稱會改為「採用 Google Cloud 技術的加密金鑰 / 由 [運算子] 在Trusted Cloud 中管理」。這項功能使用的技術與 Google Cloud 相同,但由Trusted Cloud 電信業者實作及管理。
Trusted Cloud 有自己的網站穩定性工程 (SRE) 團隊,負責監控及管理環境。SRE 團隊使用的獨立監控和快訊堆疊與 Google Cloud 無關。
帳單是由你的 Trusted Cloud 電信業者處理,而非 Google。詳情請參閱Trusted Cloud 帳單或與您的 Trusted Cloud 電信業者聯絡。
開發人員適用的主要差異
開發人員可以參考下列高階差異,建構可在 Trusted Cloud中執行的應用程式:
- 預設 API 服務名稱與 Google Cloud 中的名稱相同,例如
bigquery.googleapis.com。啟用或停用 API 時,系統會顯示這些服務名稱。服務端點 FQDN 會因Trusted Cloud hostname 而異。舉例來說,bigquery.googleapis.com會變為bigquery.s3nsapis.fr。 - Google Cloud 和Trusted Cloud的 OAuth 範圍名稱一致。如果 OAuth 範圍在 Google Cloud 中包含
googleapis,則在Trusted Cloud中也會包含。 - 與 Google Cloud 不同,設定及使用 Google Cloud CLI 和用戶端程式庫等開發人員工具時,您需要指定目標宇宙 (在本例中為 Trusted Cloud)。舉例來說,您必須先設定
GOOGLE_CLOUD_UNIVERSE_DOMAIN環境變數,才能執行使用用戶端程式庫的任何程式碼範例。詳情請參閱「設定 gcloud CLI 以搭配 Trusted Cloud使用」和「在 Trusted Cloud中使用用戶端程式庫」。 - 您必須提供適當的Trusted Cloud 前置字元 (例如
s3ns:),才能識別專案。系統會自動在您於 Trusted Cloud中建立的任何專案名稱前面加上這個前置字串。舉例來說,IDexample-project必須參照為s3ns:example-project。 - 由於Trusted Cloud中沒有 Cloud Shell,您必須在本機或在Trusted Cloud中執行的 VM 上安裝指令列工具。如果您有工作流程或工具需要存取 Cloud Shell,請使用用戶端程式庫或 Google Cloud CLI,更新這些工作流程或工具的本機安裝存取權。
如要進一步瞭解 Google Cloud 和 Trusted Cloud之間的差異,請查看各產品的產品差異頁面。
架構師和作業人員的主要差異
請仔細檢查您在 Google Cloud 中使用的現有架構做法和設計。相同設計可能無法在Trusted Cloud中正常運作。以下差異對管理員、架構師和營運人員來說十分重要:
- Trusted Cloud 沒有跨區域備援機制,只有一個包含多個可用區的區域。如果您的架構和應用程式是採用多區域方法建構,以利備援或負載平衡,請變更設計,以配合單一區域 Trusted Cloud。
- 相較於 Google Cloud,Compute Engine 提供的 VM 類型選擇有限。Trusted Cloud 如果工作負載是為特定大小或系列的 VM 設計,但Trusted Cloud中沒有這類 VM,請更新應用程式,包括任何基礎架構即程式碼 (IaC) 資源,例如 Terraform 檔案或指令碼。
- 您只能透過員工身分聯盟或服務帳戶使用外部身分,在 Trusted Cloud中進行驗證和授權。不支援 Google 帳戶。如要進一步瞭解如何設定身分識別提供者,請參閱「設定身分識別提供者」。
- Trusted Cloud沒有 Cloud Shell,因此您必須在本機或Trusted Cloud中執行的 VM 上安裝指令列工具。更新工作流程或工具,這些工作流程或工具預期會存取 Cloud Shell,以使用用戶端程式庫或 Google Cloud CLI 進行本機安裝存取。
如要進一步瞭解 Google Cloud 和 Trusted Cloud之間的差異,請查看各產品的產品差異頁面。
一般差異
以下各節詳細說明Trusted Cloud 與 Google Cloud 之間的一些主要頂層差異。除了上述差異,每個支援的產品在說明文件集中都有專屬的差異頁面,可提供更多關於產品在Trusted Cloud中運作方式的詳細資料。如果您打算在Trusted Cloud使用產品或服務,請詳閱這些頁面和本指南。
如果遇到任何問題,請與支援團隊聯絡。
硬體和作業系統
- Trusted Cloud 提供的硬體和作業系統支援與 Google Cloud 不同。舉例來說,Compute Engine 不支援以 ARM 為基礎的映像檔,且無法使用 TPU。詳情請參閱 Compute Engine 差異頁面。
- Google Cloud 公開發布的新機器類型或作業系統,不代表Trusted Cloud會在日後支援。
可用性和災難復原
- Trusted Cloud 沒有多個區域。而是會在具有三個區域的
u-france-east1地區中執行。 Trusted Cloud 請使用多個可用區,而非多個區域,在不同位置複製資源,以確保備援。無法使用多區域 Google Cloud 功能。在Trusted Cloud中部署現有應用程式或架構之前,請先檢查並更新這些項目,確保它們支援多區域備援或負載平衡。 即使 Trusted Cloud 沒有多個區域,
global資源 (例如globalCloud Key Management Service 位置或 Secret Manager 全域Secret資源) 仍可使用。與 Google Cloud 相同,這些資源的範圍涵蓋整個宇宙。不過,與 Google Cloud 不同的是,宇宙只有一個區域,因此結果與使用範圍限定為u-france-east1的資源相同。舉例來說,如果您想重複使用處理全域端點的現有 Google Cloud 程式碼,或是使用 CMEK 和 Cloud KMS 保護在
global位置建立的資源,可能就會想使用global。
成本管理
- Trusted Cloud 中的產品和功能定價可能與 Google Cloud 不同。如有任何價格相關問題,請與 Trusted Cloud 電信業者聯絡。
- Trusted Cloud沒有免費試用方案。
- Trusted Cloud 配額可能與您在 Google Cloud 中習慣的配額不同。如需調整配額上限,請與Trusted Cloud 支援團隊聯絡。
整合
- 如果某些產品和功能會與Trusted Cloud中無法使用的其他產品互動,可能就無法使用。請參閱產品差異頁面,瞭解哪些整合功能可能無法在 Trusted Cloud中使用。
安全性和存取權控管
- 透過 Workforce Identity Federation 使用第三方身分,例如 Microsoft 或 Okta 平台的身分,或使用服務帳戶在 Trusted Cloud中進行驗證和授權。Google 帳戶和群組無法用於Trusted Cloud的 Identity and Access Management (IAM)。
- Google Cloud 和Trusted Cloud的 OAuth 範圍名稱一致。如果 OAuth 範圍在 Google Cloud 中包含
googleapis,則在Trusted Cloud中也會包含。
網路
- Trusted Cloud 會執行與 Google Cloud 隔離的獨立網路。 Trusted Cloud 的資料中心基礎架構不會與 Google Cloud 共用。
- 資料中心間的網路流量使用獨立的 WAN,不會與 Google Cloud 共用。
- 使用對等互連或轉送時,需要另外連上網際網路。
- 在 Trusted Cloud中建立專案時,請建立或指派虛擬私有雲 (VPC),供應用程式使用。與 Google Cloud 不同,系統不會自動為專案建立預設網路。
工作流程和工具
- Cloud Shell 不適用於Trusted Cloud。您必須在本機安裝指令列工具。更新或調整任何需要存取 Cloud Shell 的工作流程或工具,包括任何包含整合式 Cloud Shell 體驗的文件範例。
- 根據預設,gcloud CLI 會與 Google Cloud 搭配使用,並使用 Google 帳戶進行驗證和授權。使用 gcloud CLI 搭配 Trusted Cloud時,需要進行一些額外設定,才能以Trusted Cloud 為目標,並使用外部身分。詳情請參閱「設定 gcloud CLI 以進行Trusted Cloud」。
- 更新工作流程或程序,確保 gcloud CLI 以 Trusted Cloud為目標。
- 如果Trusted Cloud中沒有某項功能或產品,對應的 gcloud CLI 指令和參數也無法使用。
- 使用用戶端程式庫時,請務必設定目標
GOOGLE_CLOUD_UNIVERSE_DOMAIN環境變數。 - 提供適當的 Trusted Cloud前置字串,例如
s3ns,以識別 Trusted Cloud中的專案。舉例來說,名為example-project的專案必須參照為s3ns:example-project - 在 Trusted Cloud中,運算子會建立並提供空白的機構。與 Google Cloud 不同,您無法自行建立新機構。
服務名稱、端點和資源
如果您打算以程式輔助方式或從指令列使用 Trusted Cloud服務,請仔細查看這些差異,尤其是要重複使用現有的 Google Cloud 程式碼或指令碼時。
服務名稱:服務名稱 (例如
bigquery.googleapis.com) 在 和 Google Cloud 中 Trusted Cloud �舉例來說,當您為專案啟用或停用 API 時,就會看到這些名稱。服務端點:服務端點 (也稱為 API 端點) 是用於向 API (包括 Discovery 服務) 發出要求的網址。 Trusted Cloud與服務名稱不同,這些名稱在 Trusted Cloud中不同,且具有不同的宇宙專屬網域。舉例來說,
bigquery.googleapis.com會變為bigquery.s3nsapis.fr。服務資源:您可以透過多種方式指定服務資源。請注意,指定服務資源時,所有專案 ID 都會加上 Trusted Cloud前置字元 (
s3ns:),因此指定專案做為資源名稱或網址的一部分時,必須包含這個前置字元。 Trusted Cloud如果您使用不重複的完整資源名稱 (FRN) 指定服務資源,FRN 會與您在 Google Cloud 中使用的相同,包括
googleapis。舉例來說,//bigquery.googleapis.com/projects/my-project/datasets/my-dataset在兩個宇宙中都相同。如果您使用沒有父項 API 的資源名稱,例如
projects/my-project/dataset/my-dataset,則該名稱也與您在 Google Cloud 中使用的相同。如果您使用網址,該網址會使用宇宙專屬的服務端點網域,因此與 Google Cloud「不同」。舉例來說,
https://bigquery.googleapis.com/bigquery/v2/projects/my-project/datasets/my-dataset會在 Trusted Cloud中變為https://bigquery.s3nsapis.fr/bigquery/v2/projects/my-project/datasets/my-dataset。
後續步驟
請參閱各產品的差異頁面,進一步瞭解 Google Cloud 和Trusted Cloud之間的差異。
如要開始使用 Trusted Cloud,請參閱下列網頁: