因此 Trusted Cloud by S3NS 更適合法規要求較高的專案和工作負載,例如需要託管在符合 SecNumCloud 規範的環境中。
本頁面提供 Trusted Cloud及其功能和服務的高階總覽,並指出文件中的後續步驟。
與 Google Cloud 的差異
雖然 Trusted Cloud 與 Google Cloud 採用完全相同的技術,但兩者之間存在一些重大差異,只有部分 Google Cloud 功能和產品適用於 Trusted Cloud。其中一個原因是 Trusted Cloud可做為完全獨立的單一 Cloud 區域運作,且不會連線至 Google Cloud 網路,因此有助於確保資料主權。因此,依賴多個 Google 區域的 Google Cloud 功能 (例如跨區域負載平衡或多區域儲存空間) 在 Trusted Cloud中不受支援。
Trusted Cloud 支援常見用途和工作負載類型,並提供全代管服務。系統支援更進階的用途,但與 Google Cloud 相比,可能需要額外的設定和管理。不過,我們已規劃更多功能,可減少或消除這類需求。如果您是 Google Cloud 使用者,習慣使用無法使用的功能或產品,我們會在可行的情況下提供替代做法的指引。
其他差異包括:
- 僅支援使用外部識別資訊提供者的身分進行驗證和授權
- 網域名稱與 Google Cloud 的對應名稱不同。舉例來說,Compute Engine 服務的服務端點網域名稱是
compute.s3nsapis.fr,而不是compute.googleapis.com。 - 部分 Google Cloud 工具和工作流程無法使用,或運作方式略有不同。
- 無法使用舊版 Compute Engine 機器類型。
如要進一步瞭解 Trusted Cloud和 Google Cloud 的差異,請參閱「與 Google Cloud 的主要差異」。如果您已熟悉 Google Cloud,建議您在設計或實作應用程式前,仔細閱讀這項資訊。
Universe、區域和可用區
您在 Trusted Cloud上執行的所有作業,都是以實體機器為基礎,這些機器會執行工作負載和 Trusted Cloud服務。這些機器位於資料中心,並在邏輯上劃分為宇宙、地區和區域。
這個階層的頂端是「宇宙」。宇宙是完全獨立的雲端,具有自己的網路,與公開網際網路和其他宇宙分開。Google Cloud 是原始的宇宙,資源遍布全球各地的資料中心。 Trusted Cloud是另一個較小的宇宙,所有資源都位於單一管轄區,可嚴格遵守主權規定。
每個宇宙都有地理區域。Google Cloud 在全球各地設有多個區域,而 Trusted Cloud目前只有一個區域,即 u-france-east1。
最後,區域會劃分成「可用區」。區域會有高頻寬、低延遲的網路連線至同一地區中的其他區域。在 Google Cloud 和 Trusted Cloud中,將資源放在區域內的不同可用區,可避免許多基礎架構、硬體和軟體故障。 Trusted Cloudu-france-east1-a、u-france-east1-b 和 u-france-east1-c 是 Trusted Cloud的三個可用區。
部分資源和服務屬於區域性 (例如在特定區域執行的 Compute Engine 虛擬機器)、地區性 (在地區的各個區域中複製及提供),或是全球/多地區性 (在多個或所有地區中複製)。在 Google Cloud 中,全域資源的範圍涵蓋 Google Cloud 的所有區域,因此可供全球使用。全域資源仍存在於 Trusted Cloud中 (例如,您可重複使用以這些資源為目標的現有 Google Cloud 程式碼),但等同於範圍限定為 u-france-east1 的資源。
Trusted Cloud 資源和服務
在雲端運算中,過去您曾經稱為軟體和硬體產品的內容,現在都變成「服務」,這些服務可存取基礎資源,讓您為應用程式新增各種功能,從代管 Kubernetes 到資料儲存空間皆可。如要查看可用 Trusted Cloud 服務清單,請參閱產品清單。
在 Trusted Cloud上開發應用程式時,您可以混合搭配這些服務,找出理想的組合,打造符合自身需求的基礎架構,然後新增程式碼來啟用所需建構的情境。
與 Trusted Cloud互動
您可以使用多種方式與 Trusted Cloud中的資源和服務互動,包括:
- Trusted Cloud 控制台提供網頁式的圖形使用者介面,可讓您用於管理 Trusted Cloud專案和資源。
- Google Cloud CLI 可讓您直接透過指令列管理開發工作流程和資源。Trusted Cloud 舉例來說,您可以在 Shell 環境中執行
gcloud compute instances create指令,建立 Compute Engine 虛擬機器 (VM) 執行個體。 - 我們提供的用戶端程式庫可協助您以多種常見語言,透過程式輔助方式與服務互動。Cloud 用戶端程式庫使用每一種受支援語言的自然慣例與風格,以提供最佳開發人員體驗,這些程式庫也可讓您不必再撰寫重複不變的程式碼,因為程式庫的設計可讓您在瞭解服務隱喻的情況下工作,而非實作細節或服務 API 概念。
- 您可以使用 Terraform 和 Google Cloud Terraform 供應商,採用「基礎架構即程式碼」(IaC) 方法。
詳情請參閱「與 Trusted Cloud互動」。
專案
您分配及使用的任何 Trusted Cloud 資源都必須位於專案中。您可以將專案視為用來整理您所建構內容的實體。專案是由設定、權限,以及用於描述您應用程式的其他中繼資料所組成的。單一專案中的資源可藉由多種方式 (例如透過內部網路進行通訊) 順利共同運作,實際情況要依地區和區域的規則而定。如果某項專案要存取其他專案的資源,則必須使用共用虛擬私有雲或虛擬私有雲網路對等互連。
每個 Trusted Cloud 專案都有以下項目:
- 您提供的專案名稱。
- 您提供或 Trusted Cloud為您提供的專案 ID。所有 Trusted Cloud專案 ID 都會自動加上
s3ns:前置字元。 - GCP 提供的專案編號。 Trusted Cloud
舉例來說,同一個專案可能會有:
- 專案名稱
Ponycopter - 專案 ID
s3ns:ponycopter - 專案編號
123456789012
當您使用 Trusted Cloud時,就會在指令和 API 呼叫中用到上述 ID。舉例來說,您可以使用下列指令,指定要將專案設為 Google Cloud CLI 的預設專案:
gcloud config set project s3ns:ponycopter
您可以建立多項專案,以適合自己的方式使用專案分隔工作。舉例來說,您可能有一個專案可供所有團隊成員存取,另一個專案則僅供特定團隊成員存取。
專案可當做命名空間來使用。這代表每個專案中的各個資源都必須要有唯一的名稱,但您通常可以讓不同專案中的資源擁有相同的名稱。某些資源的名稱在 Trusted Cloud中不得重複。詳情請參閱該資源的說明文件。
每項專案都與一個帳單帳戶相關聯。如果您有好幾個專案需要計費,系統會把各個專案的資源使用量費用計入同一個帳戶。
詳情請參閱「建立及管理專案」。
後續步驟
- 如要進一步瞭解 Trusted Cloud和 Google Cloud 的差異,請參閱「與 Google Cloud 的主要差異」。
- 歡迎探索我們提供的產品和服務。
- 瞭解如何開始使用 Trusted Cloud。