Модуль 2.12: Архітектурні патерни GCP
Складність: [COMPLEX] | Час на виконання: 1.5 год | Передумови: Модулі 1-11 (усі попередні модулі основ GCP)
Чому цей модуль важливий
Розділ «Чому цей модуль важливий»У 2021 році швидкозростаюча медична компанія мала 6 проєктів у GCP. До середини 2022 року їх стало 84. Кожен проєкт створювався вручну тим інженером, якому він був потрібен. Не було єдиних назв, мережі були налаштовані як заманеться, а логи ніхто не збирав централізовано. Коли прийшов час аудиту на відповідність HIPAA, виявилося, що у 23 проєктах досі активна стандартна мережа (default VPC), у 11 бакетах дані відкриті всім, а ключі сервісних акаунтів не змінювалися роками. Аудит було провалено, а виправлення помилок коштувало компанії $500 000 та затримку виходу нового продукту на три місяці.
Ця історія про компанію, яка масштабувалася без архітектури. Окремі сервіси — IAM, VPC, Cloud Run — це лише цеглини. Архітектурні патерни — це те, як ви збираєте ці цеглини в систему, яка залишається безпечною та керованою, коли ваша компанія росте.
У цьому фінальному модулі ви дізнаєтеся про патерни, які відрізняють професійно спроєктоване середовище GCP від випадкового набору ресурсів. Саме ці речі впроваджують платформні інженери, щоб зробити роботу всієї компанії надійною.
Project Vending: Автоматичне створення проєктів
Розділ «Project Vending: Автоматичне створення проєктів»Створення проєктів вручну — це шлях до хаосу. Професійні команди використовують “Project Factory” (фабрику проєктів). Це автоматизована система (зазвичай на базі Terraform), яка при створенні нового проєкту автоматично:
- Дає йому правильну назву.
- Підключає білінг.
- Видаляє небезпечну мережу
default. - Підключає проєкт до спільної безпечної мережі (Shared VPC).
- Налаштовує збір логів аудиту.
- Встановлює бюджет та сповіщення про витрати.
Landing Zones: Організаційний фундамент
Розділ «Landing Zones: Організаційний фундамент»Landing Zone — це базове налаштування вашої організації в GCP. Вона визначає ієрархію папок:
- Shared Services: для мережевих налаштувань, логів та безпеки.
- Production: тільки для робочих додатків із суворим доступом.
- Non-Production: для розробки та тестування.
- Sandbox: де інженери можуть експериментувати (з автовидаленням ресурсів).
Identity-Aware Proxy (IAP): Доступ без VPN
Розділ «Identity-Aware Proxy (IAP): Доступ без VPN»Традиційні VPN працюють за принципом: “якщо ти всередині мережі — ми тобі довіряємо”. IAP працює інакше: він перевіряє особу користувача та контекст (напр. чи це корпоративний ноутбук) при кожному запиті до конкретного додатка. Це дозволяє вашим співробітникам заходити в адмінки або підключатися по SSH до серверів прямо через браузер, безпечно і без зайвого софту.
GKE: Коли Cloud Run замало
Розділ «GKE: Коли Cloud Run замало»Google Kubernetes Engine (GKE) — це “важка артилерія”. Обирайте його, якщо:
- Вам потрібні бази даних у контейнерах (Stateful).
- У вас складні мережеві вимоги.
- Вам потрібен повний контроль над тим, як і де запускаються контейнери. GKE Autopilot — рекомендований режим, де Google сам керує серверами, а ви платите тільки за запущені поди.
Типові помилки
Розділ «Типові помилки»| Помилка | Чому це стається | Як виправити |
|---|---|---|
| Проєкти без ієрархії | ”Просто створили в корені” | Використовуйте папки для розділення Prod/Dev та команд |
| Використання VPN для всього | Звичка з минулого | Впроваджуйте IAP для веб-додатків та SSH доступу |
| Відсутність лімітів бюджету | ”Ми ж моніторимо вручну” | Налаштуйте Budget Alerts на рівні папок, щоб хмара не стала сюрпризом |
| Ігнорування Organization Policies | Не знають про їх існування | Встановіть заборону на створення публічних IP та зовнішніх ключів на рівні всієї компанії |
Тест
Розділ «Тест»1. Чому варто видаляти мережу "default" у кожному новому проєкті?
Тому що мережа default має занадто відкриті правила файрвола (дозволяє SSH, RDP, ICMP всім). Це небезпечно. Професійний підхід — створювати власну мережу з нульовою довірою.
2. У чому головна перевага GKE Autopilot перед Standard?
В Autopilot Google повністю бере на себе управління вузлами (серверами), їх оновлення та безпеку. Ви не платите за простій серверів, тільки за ресурси, які реально споживають ваші контейнери.
Практична вправа: Дизайн організації
Розділ «Практична вправа: Дизайн організації»- Спроектуйте структуру папок для компанії, що має два відділи: FinTech та Retail.
- Визначте, у якій папці має знаходитися Host Project для Shared VPC.
- Напишіть список із трьох алертів, які ви б встановили на рівні всієї організації.
Вітаємо!
Розділ «Вітаємо!»Ви завершили трек Основ GCP DevOps. Тепер ви маєте фундамент для побудови сучасних, безпечних та економних систем у Google Cloud.
Що далі?
- Перегляньте Розеттський камінь гіперскейлерів, щоб порівняти ці знання з іншими хмарами.
- Перейдіть до треку Платформної інженерії, щоб дізнатися, як ці сервіси GCP стають частиною великої стратегії компанії.