on
Google เปิดตัวฟีเจอร์ด้านระบบเครือข่ายเพิ่มเติมหลายอย่างบน Google Cloud Platform โดยมีทั้งหมด 4 อย่างหลัก ๆ คือ Cloud NAT, Firewall Rules Logging, Managed TLS Certificates for HTTPS Load Balancers และ Container-Native Load Balancing
ฟีเจอร์แรกคือ Cloud NAT เป็นระบบ NAT ที่ Google จะดูแลให้ เพื่อให้ผู้ใช้ระบบคลาวด์รักษาความปลอดภัยของ instance โดยไม่ต้องเปิดไอพีแอดเดรสออกเป็นสาธารณะในขณะที่ระบบยังคงออกอินเทอร์เน็ตได้ โดยตัว Cloud NAT มีฟีเจอร์หลายอย่าง เช่น
- ดีไซน์แบบไม่มีจุด choke point (จุดเล็ก ๆ ที่บังคับว่าต้องผ่านตรงนี้) เพราะไม่ได้ดีไซน์มาเป็น NAT proxy ตัวเดียว จึงสามารถสเกลระบบได้ดี
- รองรับทั้ง Google Compute Engine และ Google Kubernetes Engine
- รองรับการคอนฟิกไอพีแอดเดรส NAT หลาย ๆ แอดเดรสต่อ NAT gateway แต่ละตัว
- ระบบจัดสรรไอพี NAT แบบควบคุมเอง หรืออัตโนมัติก็ได้
- NAT gateway ตัวหนึ่งสามารถให้บริการทุกซับเน็ตในแต่ละ VPC region ได้ ไม่จำกัดจำนวน instance ในแต่ละซับเน็ต
- high availability ในระดับ region คือถ้าโซนใดโซนหนึ่งไม่สามารถใช้งานได้ NAT gateway ก็ยังคงทำงานได้ตามปกติ
ตอนนี้ Cloud NAT ยังอยู่ในช่วงการทดสอบเบต้า โดยรายละเอียดของระบบ Cloud NAT ดูเพิ่มเติมได้ที่ Google Cloud
ส่วนฟีเจอร์อื่น ๆ ของระบบเครือข่ายและความปลอดภัยบน Google Cloud Platform อื่น ๆ ที่มาพร้อมกับ Cloud NAT ได้แก่
- Firewall Rules Logging เพื่อให้ผู้ใช้ตรวจสอบ, ยืนยัน และวิเคราะห์ผลกระทบของกฎที่ตั้งไว้ใน firewall คือระบบจะบันทึกการเชื่อมต่อที่อนุญาตหรือปฏิเสธ และรายงานออกมาทุก 5 วินาที และสามารถส่งออก log ไปยัง Stackdriver Logging, Cloud Pub/Sub หรือ BigQuery ได้ด้วย โดยฟีเจอร์นี้ยังอยู่ในช่วงทดสอบเบต้า
- Managed TLS Certificates for HTTPS Load Balancers เป็นระบบจัดการใบรับรอง TLS สำหรับ HTTPS load balancer หลาย ๆ ตัว โดยระบบนี้จะทำการจัดหาใบรับรองแบบ root-trusted TLS มาให้ และจัดการ lifecycle โดยยกเลิกและต่ออายุใบรับรองให้ด้วย โดยฟีเจอร์นี้ยังอยู่ในช่วงทดสอบเบต้า
- Container-Native Load Balancing สำหรับแอพที่รันบน Google Kubernetes Engine (GKE) และ Kubernetes ที่ผู้ใช้จัดการเองบน Google Cloud ด้วยระบบนี้ผู้ใช้สามารถสั่ง load balancer ให้วิ่งตรงไปยัง network endpoint ที่แสดงถึงตัวคอนเทนเนอร์ได้โดยตรง และระบุไอพีกับพอร์ตโดยใช้ Network Endpoint Groups (NEGs) เพื่อให้ทำการ load balance ตรงไปยังคอนเทนเนอร์ ไม่ต้องผ่าน VM โดยไม่จำเป็น
ที่มา - Google Cloud Blog
แบบนี้ IPV6
eiken Sat, 13/10/2018 - 12:29
แบบนี้ IPV6 จะใช้เวลาอีกกี่ปีเนี่ย? ==
Google Cloud รองรับ IPv6
McKay Sat, 13/10/2018 - 13:49
In reply to แบบนี้ IPV6 by eiken
Google Cloud รองรับ IPv6 อยู่แล้วนี่ครับ
อันนี้เป็นแค่การเพิ่มระดับความปลอดภัยและง่ายต่อการจัดการสำหรับเครื่อง internal network ที่ต้องการใช้ internet แบบ egress แต่ไม่ต้องการ ingress มากกว่า
แต่ Firebase Hosting
hisoft Sat, 13/10/2018 - 16:35
In reply to Google Cloud รองรับ IPv6 by McKay
แต่ Firebase Hosting กลับไม่รองรับนี่สิครับ ?
ตัว VPC เองก็ไม่ได้รองรับแบบ
McKay Sat, 13/10/2018 - 21:06
In reply to แต่ Firebase Hosting by hisoft
ตัว VPC เองก็ไม่ได้รองรับแบบ native หน่ะครับ ทำผ่าน IPv6->IPv4 balancer/forwarder เอา
ถามว่า make sense ไม๊ ถ้าสำหรับผู้ใช้ทั่วไปที่อยากจะมีแค่ VPS ก็คงไม่หล่ะครับ(จริงๆคงไม่มีใครอยากทำ VPS ตัวเดียวบน cloud หรอกมั้ง(?) ค่า B/W นี่ค่อนข้างแพง ไปใช้บริการ VPS ที่ไม่ใช่ cloud ดีกว่า) แต่ถ้าในมุมมองของ cloud นี่ถือว่า make sense ครับ