Progettare il ripristino di emergenza per le interruzioni dell'infrastruttura cloud

Questo articolo fa parte di una serie che illustra il ripristino di emergenza (RE) in Google Cloud. Questa parte illustra la procedura per progettare l'architettura dei carichi di lavoro utilizzando Google Cloud e componenti di base resilienti alle interruzioni dell'infrastruttura cloud.

La serie è composta dai seguenti componenti:

• Guida alla pianificazione del ripristino di emergenza
• Componenti di base per il ripristino di emergenza
• Scenari di ripristino di emergenza per i dati
• Scenari di ripristino di emergenza per le applicazioni
• Progettare il ripristino di emergenza per i carichi di lavoro con limitazioni a livello di località
• Casi d'uso per il ripristino di emergenza: applicazioni di analisi dei dati con limitazioni a livello di località
• Progettazione del ripristino di emergenza per le interruzioni dell'infrastruttura cloud (questo documento)

Introduzione

Quando le aziende spostano i carichi di lavoro sul cloud pubblico, devono tradurre la loro comprensione della creazione di sistemi on-premise resilienti all'iperscalabilità dei cloud provider come Google Cloud. Questo articolo mappa i concetti standard di settore relativi al ripristino di emergenza, come RTO (Recovery Time Objective) e RPO (Recovery Point Objective), all'infrastruttura Google Cloud.

Le indicazioni riportate in questo documento rispettano uno dei principi chiave di Google per ottenere una disponibilità del servizio estremamente elevata: pianificare gli errori. Mentre Google Cloud offre un servizio estremamente affidabile, le emergenze - disastri naturali, tagli di fibre ottiche e infrastrutture complesse e imprevedibili errori, che causano interruzioni del servizio. La pianificazione delle interruzioni consente ai clienti di Google Cloud di creare applicazioni che funzionano in modo prevedibile durante questi eventi inevitabili, utilizzando i prodotti Google Cloud con meccanismi di RE "integrati".

Il ripristino di emergenza è un argomento ampio che copre molto più dei semplici errori dell'infrastruttura, come bug software o danneggiamento dei dati, e devi avere un piano end-to-end completo. Tuttavia, questo articolo si concentra su una parte di un piano di RE complessivo: come progettare applicazioni resilienti alle interruzioni dell'infrastruttura cloud. Nello specifico, questo articolo illustra:

1. L'infrastruttura Google Cloud, il modo in cui gli eventi di emergenza si manifestano Interruzioni del servizio Google Cloud e come Google Cloud è progettato per ridurre al minimo la frequenza e l'ambito delle interruzioni.
2. Una guida alla pianificazione dell'architettura che fornisce un framework per classificare e progettare le applicazioni in base ai risultati di affidabilità desiderati.
3. Un elenco dettagliato di prodotti Google Cloud selezionati che offrono RE integrata che potresti voler usare nella tua applicazione.

Per ulteriori dettagli sulla pianificazione generale di RE e sull'utilizzo di Google Cloud come componente nella tua strategia di RE on-premise, guida alla pianificazione del ripristino di emergenza. Inoltre, anche se l'alta disponibilità è un concetto strettamente correlato al ripristino di emergenza, non è trattato in questo articolo. Per ulteriori dettagli sulla progettazione dell'alta disponibilità, consulta framework dell'architettura Google Cloud.

Una nota sulla terminologia: questo articolo fa riferimento alla disponibilità quando discute della possibilità di accedere e utilizzare in modo significativo un prodotto nel tempo, mentre l'affidabilità si riferisce a un insieme di attributi che include la disponibilità, ma anche aspetti come la durata e la correttezza.

In che modo Google Cloud è progettato per la resilienza

Data center di Google

I data center tradizionali si basano sulla massimizzazione della disponibilità componenti. Nel cloud, la scalabilità consente a operatori come Google di distribuire i servizi su molti componenti utilizzando tecnologie di virtualizzazione e quindi di superare l'affidabilità dei componenti tradizionali. Ciò significa che puoi cambiare il tuo approccio all'architettura di affidabilità, allontanandoti dalla miriade di dettagli che ti preoccupavano in precedenza on-premise. Piuttosto che preoccuparsi delle varie modalità di errore del come il raffreddamento e l'erogazione di energia, puoi pianificare sui prodotti Google Cloud e sulle metriche di affidabilità dichiarate. Queste metriche riflettono il rischio aggregato di interruzione dell'intero l'infrastruttura sottostante. In questo modo, puoi concentrarti molto di più sul design, sul deployment e sulle operazioni delle applicazioni anziché sulla gestione dell'infrastruttura.

Google progetta la propria infrastruttura per raggiungere obiettivi di disponibilità ambiziosi in base alla sua vasta esperienza nella costruzione e gestione di data center moderni. Google è un leader mondiale nella progettazione di data center. Dall'alimentazione al raffreddamento alle reti, ogni la tecnologia dei data center presenta le proprie ridondanze e misure di mitigazione, tra cui: FMEA piani. I data center di Google sono integrati un modo che bilancia questi numerosi rischi diversi e presenti ai clienti una previsto e coerente per quanto riguarda i prodotti Google Cloud. Google utilizza la propria esperienza per modellare la disponibilità dell'architettura di sistema fisica e logica complessiva al fine di garantire che il design del data center soddisfi le aspettative. I tecnici di Google si impegnano a fondo dal punto di vista operativo per garantire vengono soddisfatte. La disponibilità effettiva misurata di solito supera le nostre definire i target con un margine ragionevole.

Riassumendo tutti questi rischi e le relative mitigazioni dei data center, rivolti all'utente Google Cloud, Google Cloud ti solleva dal e le responsabilità aziendali. Puoi invece concentrarti sull'affidabilità progettata regioni e zone di Google Cloud.

Aree geografiche e zone

I prodotti Google Cloud sono disponibili in un gran numero di regioni e zone. Le regioni sono aree geografiche fisicamente indipendenti che contengono tre o più zone. Le zone rappresentano gruppi di risorse di calcolo fisiche all'interno di una regione che hanno un elevato grado di indipendenza l'una dall'altra in termini di infrastruttura fisica e logica. Forniscono connessioni di rete a bassa latenza e a larghezza di banda elevata con altre zone della stessa regione. Ad esempio, La regione asia-northeast1 del Giappone include tre zone: asia-northeast1-a, asia-northeast1-b e asia-northeast1-c.

I prodotti Google Cloud sono suddivisi in risorse di zona, risorse regionali o di risorse multiregionali.

Le risorse di zona sono ospitate all'interno di una singola zona. Un'interruzione del servizio di la zona può interessare tutte le risorse al suo interno. Ad esempio, un'istanza Compute Engine viene eseguita in una singola zona specificata. Se un guasto hardware interrompe il servizio in quella zona, l'istanza Compute Engine non è disponibile per la durata dell'interruzione.

Il deployment delle risorse di regione viene eseguito in modo ridondante in più zone all'interno di un regione. Ciò offre loro una maggiore affidabilità rispetto alle risorse di zona.

Le risorse multi-regione vengono distribuite all'interno e tra le regioni. Nella le risorse generiche multiregionali hanno un'affidabilità maggiore rispetto a quella Google Cloud. Tuttavia, a questo livello i prodotti devono ottimizzare la disponibilità, le prestazioni e l'efficienza delle risorse. Di conseguenza, è importante comprendere i compromessi di ciascun prodotto multiregionale che decidi di utilizzare. Questi i compromessi sono documentati in base al prodotto specifico più avanti in questo documento.

Come sfruttare zone e regioni per ottenere affidabilità

Gli SRE di Google gestiscono e scalano prodotti per gli utenti globali altamente affidabili come Gmail e la Ricerca tramite una serie di tecniche e tecnologie che sfruttano senza problemi l'infrastruttura di calcolo in tutto il mondo. Sono inclusi i reindirizzamenti il traffico proveniente da località non disponibili utilizzando il bilanciamento del carico globale, in numerose repliche di luoghi in tutto il mondo e la replica di dati tra più località. Queste stesse funzionalità sono disponibili per Google Cloud attraverso prodotti come Cloud Load Balancing, Google Kubernetes Engine (GKE), e Spanner.

In genere, Google Cloud progetta i prodotti per offrire i seguenti livelli di disponibilità per zone e regioni:

Risorsa	Esempi	Obiettivo di progettazione della disponibilità	Tempo di riposo implicito
A livello di zona	Compute Engine, Persistent Disk	99,9%	8,75 ore/anno
Regionale	Cloud Storage a livello di regione, disco permanente replicato, GKE a livello di regione	99,99%	52 minuti/anno

Confronta gli obiettivi di progettazione della disponibilità di Google Cloud con di tempo di inattività per identificare le risorse Google Cloud appropriate. Mentre i design tradizionali si concentrano sul miglioramento della disponibilità a livello di componente per migliorare la disponibilità dell'applicazione risultante, i modelli cloud si concentrano invece dei componenti per raggiungere questo obiettivo. Molti prodotti di Google Cloud utilizzano questa tecnica. Ad esempio, Spanner offre un che compone più regioni al fine di fornire il 99,999% la disponibilità del servizio.

La composizione è importante perché, senza di essa, la disponibilità dell'applicazione non può superare quella dei prodotti Google Cloud che utilizzi. Infatti, a meno che l'applicazione non abbia mai errori, avrà una disponibilità inferiore rispetto ai prodotti Google Cloud sottostanti. Il resto di questa sezione illustra in generale come puoi utilizzare una combinazione di prodotti zonali e regionali per ottenere una disponibilità delle applicazioni superiore rispetto a quella offerta da una singola zona o regione. La sezione successiva fornisce una guida pratica per applicare questi principi alle tue applicazioni.

Pianificazione degli ambiti delle interruzioni della zona

Gli errori di infrastruttura di solito causano interruzioni del servizio in un'unica zona. All'interno di una regione, le zone sono progettate per ridurre al minimo il rischio di errori correlati con altre zone e un'interruzione del servizio in una zona in genere non influisce sul servizio di un'altra zona nella stessa regione. Un'interruzione con ambito in una zona non significa necessariamente che l'intera zona non è disponibile, definisce solo limite dell'incidente. È possibile che un'interruzione del servizio in una zona non abbia alcun effetto tangibile sulle tue risorse specifiche in quella zona.

Si tratta di un caso più raro, ma è anche fondamentale notare che più zone alla fine subiscono comunque un'interruzione correlata a un certo punto all'interno di una singola regione. Quando si verifica un'interruzione in due o più zone, l'ambito di interruzione regionale la seguente strategia.

Le risorse regionali sono progettate per resistere alle interruzioni di zona che fornisce un servizio da una composizione di più zone. Se una delle zone di supporto di una risorsa regionale viene interrotta, la risorsa diventa automaticamente disponibile da un'altra zona. Per ulteriori dettagli, controlla attentamente la descrizione della funzionalità del prodotto nell'appendice.

Google Cloud offre solo poche risorse di zona, ovvero Compute Engine macchine virtuali (VM) e Persistent Disk. Se prevedi di utilizzare risorse a livello di zona, devi eseguire la composizione delle risorse progettando, creando e testando il failover e il recupero tra le risorse a livello di zona situate in più zone. Ecco alcune strategie:

• Inoltra rapidamente il traffico alle macchine virtuali in un'altra zona utilizzando Cloud Load Balancing quando un controllo di integrità determina che una zona sta riscontrando problemi.
• Utilizza i modelli di istanze Compute Engine e/o i gruppi di istanze gestite per eseguire e scalare istanze VM identiche in più zone.
• Usa un Persistent Disk regionale per replicare in modo sincrono i dati in un altro in una regione. Per ulteriori dettagli, consulta Opzioni di alta disponibilità che utilizzano i PD regionali.

Pianificazione per gli ambiti di interruzione a livello di regione

Un'interruzione a livello di regione è un'interruzione del servizio che interessa più di una zona in una singola regione. Si tratta di interruzioni su scala più ampia, meno frequenti e che possono da calamità naturali o guasti dell'infrastruttura su larga scala.

Per un prodotto regionale progettato per fornire una disponibilità del 99,99%, viene un'interruzione del servizio può comunque tradursi in quasi un'ora di inattività per un prodotto ogni anno. Pertanto, le applicazioni critiche potrebbero dover disporre piano di RE multiregionale se la durata di questa interruzione non è accettabile.

Le risorse multiregionali sono progettate per resistere alle interruzioni delle regioni che fornisce un servizio da più regioni. Come descritto sopra, i prodotti su più regioni bilanciano la latenza, la coerenza e il costo. Il tipo di operazione più comune è disattivata tra la replica dei dati sincrona e quella asincrona. La replica asincrona offre una latenza inferiore a costo del rischio di perdita di dati durante un interruzione del servizio. Pertanto, è importante controllare la descrizione delle funzionalità del prodotto nell'appendice per ulteriori dettagli.

Se vuoi utilizzare risorse regionali e rimanere resiliente alle interruzioni regionali, devi eseguire la tua composizione delle risorse progettando, creando e testando il failover e il recupero tra le risorse regionali situate in più regioni. Oltre alle strategie zonali di cui sopra, che puoi applicare anche alle regioni, prendi in considerazione:

• Le risorse regionali devono replicare i dati in una regione secondaria, in un'opzione di archiviazione multiregionale come Cloud Storage o in un'opzione di cloud ibrido come GKE Enterprise.
• Dopo aver implementato una mitigazione delle interruzioni a livello di regione, testala regolarmente. Poche cose sono peggiori del pensare di essere al sicuro da un'interruzione del servizio in una sola regione, per poi scoprire che non è così quando si verifica.

Approccio di Google Cloud alla resilienza e alla disponibilità

Google Cloud supera regolarmente i propri target di progettazione della disponibilità, ma dovresti non dare per scontato che questo importante rendimento passato sia la disponibilità minima che puoi progettare. Dovresti invece selezionare le dipendenze Google Cloud progettati per i target superano l'affidabilità prevista dell'applicazione, il tempo di inattività delle applicazioni più il tempo di inattività di Google Cloud offre che stai cercando.

Un sistema ben progettato può rispondere alla domanda: "Cosa succede quando una zona o una regione presenta un'interruzione di 1, 5, 10 o 30 minuti?" Questo fattore deve essere preso in considerazione su molti livelli, tra cui:

• Cosa vedranno i miei clienti durante un'interruzione del servizio?
• Come faccio a rilevare un'interruzione del servizio?
• Che cosa succede alla mia applicazione durante un'interruzione del servizio?
• Cosa succede ai miei dati durante un'interruzione del servizio?
• Cosa succede alle mie altre applicazioni a causa di un'interruzione (a causa di dipendenze incrociate)?
• Cosa devo fare per recuperare il servizio dopo la risoluzione di un'interruzione? Chi lo fa?
• Chi devo informare in caso di interruzione, entro quale periodo di tempo?

Guida passo passo alla progettazione del ripristino di emergenza per le applicazioni in Google Cloud

Le sezioni precedenti hanno descritto come Google crea l'infrastruttura cloud e alcuni approcci per gestire le interruzioni a livello di zona e regione.

Questa sezione ti aiuta a sviluppare un framework per applicare il principio di composizione alle tue applicazioni in base ai risultati di affidabilità desiderati.

Applicazioni dei clienti in Google Cloud destinate al ripristino di emergenza come RTO e RPO, devono essere progettati in modo da operazioni, soggette a RTO/RPO, hanno dipendenze solo sul piano dati responsabili del trattamento continuo delle operazioni per il servizio. In altre parole, queste operazioni critiche per l'attività del cliente devono non dipendono dalle operazioni del piano di gestione, che gestiscono lo stato della configurazione ed eseguire il push della configurazione al piano di controllo e al piano dati.

Ad esempio, i clienti di Google Cloud che intendono ottenere un RTO per le operazioni business-critical non devono dipendere da un'API di creazione delle VM o aggiornamento di un'autorizzazione IAM.

Passaggio 1: raccogli i requisiti esistenti

Il primo passaggio consiste nel definire i requisiti di disponibilità per le tue applicazioni. La maggior parte delle aziende ha già un certo livello di indicazioni di progettazione in questo che può essere sviluppato internamente o derivato da regolamenti o altre requisiti legali. Queste linee guida di progettazione sono generalmente codificate in due metriche: RTO (Recovery Time Objective) e RPO (Recovery Point Objective). Nella termini commerciali, RTO si traduce come "Quanto tempo dopo un disastro in esecuzione." RPO si traduce come "Quanti dati posso permettermi di perdere in caso di calamità".

Storicamente, le imprese hanno definito requisiti RTO e RPO per un'ampia gamma di eventi disastrosi, da guasti dei componenti a terremoti. Questo approccio aveva senso nel mondo on-premise, in cui i pianificatori dovevano mappare i requisiti RTO/RPO nell'intero stack software e hardware. Nel cloud non è più necessario definire i requisiti con così tanti dettagli perché il fornitore si occupa di tutto. In alternativa, puoi definire i requisiti di RTO e RPO in termini di ambito della perdita (intere zone o regioni) senza specificare i motivi sottostanti. Per Google Cloud, questo semplifica la raccolta dei requisiti a tre scenari: un'interruzione a livello di zona, un'interruzione a livello di regione o l'interruzione estremamente improbabile di più regioni.

Riconoscendo che non tutte le applicazioni hanno la stessa criticità, la maggior parte dei clienti a classificare le proprie applicazioni in livelli di criticità rispetto ai quali È possibile applicare il requisito RTO/RPO. Se considerati insieme, RTO/RPO e applicazione le criticità semplificano il processo di progettazione di una determinata applicazione risposta:

1. L'applicazione deve essere eseguita in più zone nella stessa regione o in più zone in più regioni?
2. Da quali prodotti Google Cloud può dipendere l'applicazione?

Questo è un esempio dell'output dell'esercizio di raccolta dei requisiti:

RTO e RPO per criticità dell'applicazione per l'organizzazione di esempio:

Criticità dell'applicazione	% di app	App di esempio	Interruzione zona	Intrruzione nella regione
Livello 1 (più importante)	5%	In genere, applicazioni rivolte ai clienti globali o esterne, come pagamenti in tempo reale e vetrine di e-commerce.	RTO zero RPO Zero	RTO zero RPO Zero
Livello 2	35%	In genere applicazioni regionali o applicazioni interne importanti, come CRM o ERP.	RTO 15 min RPO 15 min	RTO 1 ora RPO 1 ora
Livello 3 (meno importante)	60%	Generalmente le domande a livello di team o dipartimenti, ad esempio back office, lasciare prenotazioni, viaggi interni, contabilità e RU.	RTO 1 ora RPO 1 ora	RTO 12 ore RPO 12 ore

Passaggio 2: mappatura delle funzionalità ai prodotti disponibili

Il secondo passaggio consiste nel comprendere le capacità di resilienza di Google Cloud utilizzati dalle tue applicazioni. La maggior parte delle aziende esamina le informazioni pertinenti sul prodotto e poi aggiungi indicazioni per modificarle per colmare eventuali lacune tra le funzionalità del prodotto e i loro di resilienza. Questa sezione illustra alcune aree comuni e consigli relativi alle limitazioni di dati e applicazioni in questo spazio.

Come accennato in precedenza, i prodotti di Google compatibili con la RP si occupano in generale di due tipi di ambiti di interruzione: regionali e zonali. Le interruzioni parziali devono essere pianificate come per un'interruzione completa per quanto riguarda il piano di ripristino dei dati. In questo modo, viene fornita una matrice di alto livello iniziale dei prodotti adatti per impostazione predefinita a ogni scenario:

Funzionalità generali dei prodotti Google Cloud
(consulta l'Appendice per informazioni sulle funzionalità specifiche del prodotto)

	Tutti i prodotti Google Cloud	Prodotti Google Cloud a livello di regione con replica automatica tra le zone	Prodotti Google Cloud multi-regionali o globali con replica automatica tra regioni
Errore di un componente all'interno di una zona	Con copertura*	Con copertura	Con copertura
Intrruzione di zona	Non inclusi	Con copertura	Con copertura
Interruzione per regione	Non inclusi	Non inclusi	Con copertura

* Tutti i prodotti Google Cloud sono resilienti ai guasti dei componenti, ad eccezione di casi specifici indicati nella documentazione del prodotto. In genere si tratta di scenari in cui il prodotto offre accesso diretto o mappatura statica a un hardware specializzato come memoria o unità a stato solido (SSD).

In che modo l'RPO limita le scelte di prodotto

Nella maggior parte dei deployment cloud, l'integrità dei dati è il livello aspetto significativo da prendere in considerazione per un servizio. Almeno alcune applicazioni avere un requisito RPO pari a zero, il che significa che non dovrebbero esserci perdite di dati in caso di interruzione del servizio. In genere, è necessario che i dati vengano replicati in modo sincrono in un'altra zona o regione. La replica sincrona comporta compromessi in termini di costi e latenza, pertanto, anche se molti prodotti Google Cloud offrono la replica sincrona tra le zone, solo alcuni la offrono tra le regioni. Questo costo e compromesso in termini di complessità significa che non è insolito per diversi tipi di dati all'interno di un'applicazione per avere valori RPO diversi.

Per i dati con un RPO maggiore di zero, le applicazioni possono sfruttare e la replica asincrona. La replica asincrona è accettabile quando i dati persi possono essere facilmente ricreati o recuperati da un'origine dati di riferimento, se necessario. Può essere una scelta ragionevole anche quando una piccola quantità di perdita di dati è un compromesso accettabile nel contesto dell'interruzione prevista a livello di zona e di regione diverse. È inoltre importante che durante un'interruzione temporanea, i dati scritti la località interessata, ma non è stata ancora replicata in un'altra posizione in genere diventa disponibile dopo la risoluzione dell'interruzione. Ciò significa che il rischio una perdita di dati permanente è inferiore al rischio di perdere l'accesso ai dati durante una o un'interruzione del servizio.

Azioni chiave:stabilisci se hai effettivamente bisogno di un RPO zero e, in tal caso, se è possibile farlo per un sottoinsieme dei dati, la cosa si aumenta la gamma di servizi abilitati per RE a tua disposizione. In Google Cloud, Ottenere un RPO pari a zero significa utilizzare prodotti prevalentemente regionali per il tuo che per impostazione predefinita sono resilienti alla scalabilità in base alle zone, ma a livello di regione e di guasti.

In che modo il RTO limita le scelte di prodotto

Uno dei principali vantaggi del cloud computing è la possibilità di eseguire l'infrastruttura on demand; ma non è la stessa cosa e deployment continuo. Il valore RTO per l'applicazione deve tenere conto del valore RTO combinato dei prodotti Google Cloud utilizzati dall'applicazione e di eventuali azioni che gli ingegneri o gli SRE devono intraprendere per riavviare le VM o i componenti dell'applicazione. Un RTO misurato in minuti significa progettare un'applicazione che esegue automaticamente il ripristino da un'emergenza senza intervento umano oppure con con passaggi minimi, come la pressione di un pulsante per il failover. Il costo e la complessità questo tipo di sistema è sempre stato molto alto, ma i prodotti Google Cloud come i bilanciatori del carico e i gruppi di istanze, rendono questa progettazione conveniente e semplice. Pertanto, ti consigliamo di prendere in considerazione il failover e il recupero automatici per la maggior parte delle applicazioni. Tieni presente che la progettazione di un sistema per questo tipo di failover a caldo tra regioni è complicata e costosa; solo una piccolissima parte di servizi critici garantisce questa funzionalità.

La maggior parte delle applicazioni avrà un RTO compreso tra un'ora e un giorno, il che consente un failover a caldo in uno scenario di disastro, con alcuni componenti dell'applicazione in esecuzione sempre in modalità di attesa, ad esempio i database, mentre altri vengono scalati in caso di un disastro effettivo, ad esempio i server web. Per queste applicazioni, dovresti considerare con attenzione l'automazione di scale out. I servizi con un RTO nell'arco di un giorno sono la criticità più bassa spesso possono essere recuperati da un backup o ricreati da zero.

Azioni chiave: stabilisci se hai sicuramente bisogno di un RTO (quasi) pari a zero per il failover regionale e, in caso affermativo, se puoi farlo per un sottoinsieme dei tuoi servizi. In questo modo, il costo di gestione e manutenzione del servizio cambia.

Passaggio 3: sviluppa le tue architetture e guide di riferimento

L'ultimo passaggio consigliato consiste nel creare i tuoi pattern di architettura specifici per l'azienda per aiutare i tuoi team a standardizzare il loro approccio al disaster recovery. La maggior parte dei clienti di Google Cloud produce una guida per i propri team di sviluppo che corrisponda alle proprie aspettative in termini di resilienza aziendale ai due principali di scenari di interruzione su Google Cloud. In questo modo i team possono classificare i prodotti abilitati per RE più adatti a ogni livello di criticità.

Crea le linee guida per i prodotti

Se dai un'altra occhiata alla tabella di esempio RTO/RPO riportata sopra, hai una guida ipotetica che elenca i prodotti consentiti per impostazione predefinita per ogni livello di criticità. Tieni presente che alcuni prodotti sono stati identificati come non è adatta per impostazione predefinita, puoi sempre aggiungere la tua replica meccanismi di failover per abilitare la sincronizzazione tra zone o regioni, ma questo esercizio esula dall'ambito di questo articolo. Le tabelle rimandano anche a maggiori informazioni su ciascun prodotto per aiutarti a comprendere le relative funzionalità per la gestione delle interruzioni in zone o regioni.

Pattern di architettura di esempio per l'azienda Co, un'organizzazione di esempio: resilienza in caso di interruzione del servizio in una zona

Prodotto Google Cloud	Il prodotto soddisfa i requisiti di interruzione a livello di zona per Esempio? Organizzazione (con la configurazione del prodotto appropriata)
	Livello 1	Livello 2	Livello 3
Compute Engine	No	No	No
Dataflow	No	No	No
BigQuery	No	No	Sì
GKE	Sì	Sì	Sì
Cloud Storage	Sì	Sì	Sì
Cloud SQL	No	Sì	Sì
Spanner	Sì	Sì	Sì
Cloud Load Balancing	Sì	Sì	Sì

Questa tabella è un esempio basato solo sui livelli ipotetici mostrati sopra.

Pattern di architettura di esempio per la resilienza alle interruzioni regionali dell'azienda Co

Prodotto Google Cloud	Il prodotto soddisfa i requisiti di interruzione per regione ad esempio? Organizzazione (con la configurazione del prodotto appropriata)
	Livello 1	Livello 2	Livello 3
Compute Engine	Sì	Sì	Sì
Dataflow	No	No	No
BigQuery	No	No	Sì
GKE	Sì	Sì	Sì
Cloud Storage	No	No	No
Cloud SQL	No	Sì	Sì
Spanner	Sì	Sì	Sì
Cloud Load Balancing	Sì	Sì	Sì

Questa tabella è un esempio basato solo sui livelli ipotetici mostrati sopra.

Per mostrare come verranno utilizzati questi prodotti, le sezioni seguenti illustrano alcune architetture di riferimento per ciascuno degli ipotetici livelli di criticità dell'applicazione. Si tratta di descrizioni volutamente di alto livello per illustrare le decisioni chiave sull'architettura e non sono rappresentativi di un la progettazione della soluzione.

Esempio di architettura di livello 3

Criticità dell'applicazione	Interruzione zona	Intrruzione nella regione
Livello 3 (meno importante)	RTO 12 ore RPO 24 ore	RTO 28 giorni RPO 24 ore

(Le icone non attive indicano l'infrastruttura da attivare per il recupero)

Questa architettura descrive un'applicazione client/server tradizionale: internal Gli utenti si connettono a un'applicazione in esecuzione su un'istanza Compute supportata un database per l'archiviazione permanente.

È importante notare che questa architettura supporta valori RTO e RPO migliori. di quanto richiesto. Tuttavia, ti consigliamo anche di eliminare eventuali passaggi manuali aggiuntivi se potrebbero risultare costosi o inaffidabili. Ad esempio, il recupero di un un database di backup notturno potrebbe supportare l'RPO di 24 ore, ma di solito hanno bisogno di una persona competente, come un amministratore di database, soprattutto se sono stati interessati più servizi contemporaneamente. Con l'infrastruttura on demand di Google Cloud puoi creare senza dover scendere a compromessi in termini di costi. Per questo motivo questa architettura usa ad alta disponibilità di Cloud SQL anziché un backup/ripristino manuale per le interruzioni a livello di zona.

Decisioni di architettura chiave per l'interruzione del servizio in una zona: RTO di 12 ore e RPO di 24 ore:

• Un bilanciatore del carico interno viene utilizzato per fornire agli utenti un punto di accesso scalabile, che consente il failover a un'altra zona. Anche se il RTO è di 12 ore, le modifiche manuali agli indirizzi IP o persino gli aggiornamenti DNS possono richiedere più tempo del previsto.
• Un gruppo di istanze gestite per area geografica è configurato con più zone, ma con risorse minime. Questo ottimizza ma consente comunque lo scale out rapido delle macchine virtuali zona di backup.
• R configurazione di Cloud SQL ad alta disponibilità consente il failover automatico in un'altra zona. I database sono molto più difficili da ricreare e ripristinare rispetto alle macchine virtuali Compute Engine.

Decisioni di architettura chiave per l'interruzione della regione: RTO di 28 giorni e RPO di 24 ore:

• Un bilanciatore del carico verrebbe costruito nella regione 2 solo in caso di interruzione a livello di regione. Cloud DNS viene utilizzato per fornire una funzionalità di failover regionale orchestrata, ma manuale, poiché l'infrastruttura nella regione 2 verrebbe resa disponibile solo in caso di interruzione del servizio nella regione.
• Un nuovo gruppo di istanze gestite verrà creato solo in caso di interruzione di una regione. Questo ottimizza per i costi ed è improbabile che venga richiamata, data la breve durata a livello di regione. Nota che per semplicità il diagramma non mostra gli strumenti associati necessari per rieseguire il deployment o la copia necessarie le immagini.
• Un nuovo file Cloud SQL viene ricreato l'istanza e i dati ripristinati da un backup. Di nuovo, il rischio di un'interruzione prolungata una regione è estremamente bassa, pertanto si tratta di un altro compromesso per l'ottimizzazione dei costi.
• Cloud Storage multiregionale è utilizzato per e archiviare questi backup. Ciò garantisce la resilienza automatica a livello di zona e di regione nei limiti di RTO e RPO.

Esempio di architettura di livello 2

Criticità dell'applicazione	Interruzione zona	Intrruzione nella regione
Livello 2	RTO 4 ore RPO zero	RTO 24 ore RPO 4 ore

Questa architettura descrive un data warehouse con utenti interni che si connettono a un livello di visualizzazione delle istanze di calcolo e a un livello di importazione e trasformazione dei dati che compila il data warehouse di backend.

Alcuni singoli componenti di questa architettura non supportano direttamente il RPO richiesto per il loro livello. Tuttavia, a causa del modo in cui vengono utilizzati insieme, il servizio complessivo soddisfa l'RPO. In questo caso, poiché Dataflow è un prodotto zonale, segui i consigli per la progettazione di un design ad alta disponibilità per contribuire a evitare la perdita di dati durante un'interruzione. Tuttavia, il livello Cloud Storage è la fonte attendibile di questi dati e supporta un RPO pari a zero. Di conseguenza, puoi importare nuovamente i dati persi in BigQuery utilizzando la zona B in caso di interruzione nella zona A.

Decisioni in materia di architettura chiave per l'interruzione della zona - RTO di 4 ore e RPO di zero:

• Un bilanciatore del carico è utilizzato per offrono agli utenti un punto di accesso scalabile, che consente il failover a un'altra zona. Anche se il RTO è di 4 ore, le modifiche manuali Gli indirizzi IP o persino gli aggiornamenti DNS possono richiedere più tempo del previsto.
• Un gruppo di istanze gestite per area geografica per il livello di calcolo della visualizzazione dei dati è configurato con più zone, ma con risorse minime. In questo modo, viene ottimizzato il costo, ma è comunque possibile scalare rapidamente le macchine virtuali.
• Cloud Storage a livello di regione viene utilizzato come di gestione temporanea per l'importazione iniziale dei dati, fornendo zone automatiche resilienza.
• Dataflow viene utilizzato per estrarre i dati da Cloud Storage e trasformarli prima di caricarli in BigQuery. In caso di interruzione del servizio in una zona, si tratta di un processo senza stato che può essere riavviato in un'altra zona.
• BigQuery fornisce il data warehouse per il front-end della visualizzazione dei dati. In caso di interruzione di una zona, eventuali dati persi verranno importati nuovamente da Cloud Storage.

Decisioni di architettura chiave per l'interruzione della regione: RTO di 24 ore e RPO di 4 ore:

• Un bilanciatore del carico in ogni regione è utilizzati per fornire agli utenti un punto di accesso scalabile. Cloud DNS viene utilizzato una capacità di failover regionale orchestrata ma manuale, poiché nella regione 2 sarebbe resa disponibile solo nel caso di un interruzione del servizio in una regione specifica.
• Un gruppo di istanze gestite per area geografica per il livello di calcolo della visualizzazione dei dati è configurato con più zone, ma con risorse minime. Non è accessibile finché il bilanciatore del carico non viene nuovamente configurato, ma non richiede intervento manuale.
• Cloud Storage regionale viene utilizzato come livello di gestione temporanea per l'importazione iniziale dei dati. Viene caricato all'indirizzo in entrambe le regioni per soddisfare i requisiti dell'RPO.
• Dataflow viene utilizzato per estrarre dati da Cloud Storage e trasformarlo prima di caricarlo in BigQuery. In caso di interruzione del servizio in una regione, BigQuery verrà compilato con i dati più recenti di Cloud Storage.
• BigQuery fornisce il data warehouse di un backend cloud. In condizioni normali, questo valore viene aggiornato a intermittenza. Nella in caso di interruzione di una regione, i dati più recenti verranno importati nuovamente tramite Dataflow da Cloud Storage.

Esempio di architettura di livello 1

Criticità dell'applicazione	Interruzione zona	Intrruzione nella regione
Livello 1 (il più importante)	RTO zero RPO zero	RTO 4 ore RPO 1 ora

Questa architettura descrive un'infrastruttura di backend per app mobile con utenti esterni che si connettono a un insieme di microservizi in esecuzione in GKE. Spanner fornisce il livello di archiviazione dei dati backend per i dati in tempo reale e i dati storici vengono trasmessi in flusso a un data lake BigQuery in ogni regione.

Anche in questo caso, alcuni singoli componenti di questa architettura non supportano l'RPO richiesto per il livello, ma per via del modo in cui vengono utilizzati insieme nel suo complesso. In questo caso BigQuery viene utilizzato per le query di analisi. Ogni regione viene alimentata contemporaneamente da Spanner.

Decisioni chiave sull'architettura per l'interruzione di una zona: RTO pari a zero e RPO pari a zero:

• Un bilanciatore del carico è utilizzato per offrono agli utenti un punto di accesso scalabile, che consente il failover a un'altra zona.
• R cluster GKE a livello di regione viene utilizzato per il livello di applicazione, che è configurato con più zone. In questo modo viene raggiunto un RTO pari a zero all'interno di ciascuna regione.
• Spanner multiregione viene utilizzato come livello di persistenza dei dati, fornendo resilienza automatica dei dati delle zone e coerenza delle transazioni.
• BigQuery fornisce i dati e le analisi la capacità di archiviazione per l'applicazione. A ogni regione vengono forniti in modo indipendente i dati di Spanner e l'applicazione vi accede in modo indipendente.

Decisioni di architettura chiave per l'interruzione della regione: RTO di 4 ore e RPO di 1 ora:

• Un bilanciatore del carico viene utilizzato per fornire agli utenti un punto di accesso scalabile, che consente il failover automatico in un'altra regione.
• R cluster GKE a livello di regione viene utilizzato per il livello di applicazione, che è configurato con più zone. In caso di interruzione di una regione, il cluster nella regione alternativa scala automaticamente per adeguarsi al carico di elaborazione aggiuntivo.
• Spanner multiregione viene utilizzato come livello di persistenza dei dati, fornendo resilienza automatica dei dati regionali e coerenza delle transazioni. Questo è il componente fondamentale raggiungere l'RPO tra regioni di 1 ora.
• BigQuery fornisce la funzionalità di analisi per l'applicazione. A ogni regione vengono forniti in modo indipendente i dati di Spanner e l'applicazione vi accede in modo indipendente. Questo compensa il componente BigQuery, consentendogli di ai requisiti generali dell'applicazione.

Appendice: riferimento del prodotto

Questa sezione descrive l'architettura e le funzionalità di RE dei prodotti Google Cloud più comunemente utilizzati nelle applicazioni dei clienti e che possono essere facilmente sfruttate per soddisfare i requisiti di RE.

Temi comuni

Molti prodotti Google Cloud offrono configurazioni regionali o multiregionali. I prodotti regionali sono resilienti alle interruzioni di zona e multiregionali e globali sono resilienti alle interruzioni delle regioni. In generale, questo significa che durante la tua applicazione subisce interruzioni minime. Google ottiene questi risultati tramite alcuni approcci di architettura comuni, che rispecchiano le indicazioni di architettura riportate sopra.

• Deployment ridondante: i backend delle applicazioni e l'archiviazione dei dati sono distribuito in più zone all'interno di una regione e in più regioni all'interno di un una località multiregionale.

• Replica dei dati: i prodotti utilizzano la modalità sincrona o asincrona la replica tra le località ridondanti.

  • La replica sincrona significa che quando l'applicazione effettua una chiamata all'API per creare o modificare i dati archiviati dal prodotto, riceve una risposta positiva solo dopo che il prodotto ha scritto i dati in più posizioni. La replica sincrona ti garantisce di non perdere l'accesso a nessuno dei tuoi dati durante un'interruzione dell'infrastruttura Google Cloud, in quanto tutti i tuoi dati sono disponibili in una delle località di backend disponibili.

    Sebbene questa tecnica offra la massima protezione dei dati, può comportare compromessi in termini di latenza e prestazioni. I prodotti multiregione che utilizzano la replica sincrona sperimentano questo compromesso in misura maggiore, tipicamente nell'ordine di decine o centinaia di millisecondi di latenza aggiuntiva.

  • La replica asincrona indica che, quando l'applicazione effettua una Chiamata API per creare o modificare i dati memorizzati dal prodotto, che riceve una risposta corretta dopo che il prodotto ha scritto i dati in una singola in ogni località. Dopo la tua richiesta di scrittura, il prodotto replica i tuoi dati in altre località.

    Questa tecnica offre una latenza inferiore e una maggiore velocità effettiva all'API rispetto alla replica sincrona, ma a spese della protezione dei dati. Se il luogo in cui hai scritto i dati subisce un'interruzione prima replica completata, perderai l'accesso a quei dati finché l'interruzione della posizione è stata risolta.

• Gestione delle interruzioni con il bilanciamento del carico: Google Cloud utilizza il carico del software per instradare le richieste ai backend dell'applicazione appropriati. Rispetto ad altri approcci come il bilanciamento del carico DNS, questo approccio riduce il tempo di risposta del sistema a un'interruzione. Quando si verifica un'interruzione del servizio in una località Google Cloud, il bilanciatore del carico rileva rapidamente che il backend di cui è stato eseguito il deployment in quella località non è più "in stato di salute" e indirizza tutte le richieste a un backend in una località alternativa. In questo modo, il prodotto può continuare a essere pubblicato durante un'interruzione della posizione. Quando l'interruzione della località è stata risolta, il bilanciatore del carico rileva la disponibilità dei backend dei prodotti in quella località e riprende a inviare il traffico.

Gestore contesto accesso

Il Gestore contesto accesso consente alle aziende di configurare livelli di accesso che corrispondono a una norma definita negli attributi della richiesta. I criteri vengono rispecchiati a livello di regione.

In caso di interruzione a livello di zona, le richieste alle zone non disponibili vengono automaticamente e in modo trasparente da altre zone disponibili nella regione.

In caso di interruzione a livello di regione, i calcoli dei criteri della regione interessata non sono disponibili finché la regione non diventa di nuovo disponibile.

Access Transparency

Access Transparency consente agli amministratori dell'organizzazione Google Cloud di definire un controllo dell'accesso granulare e basato sugli attributi per i progetti e le risorse in Google Cloud. Occasionalmente, Google deve accedere ai per scopi amministrativi. Quando accediamo ai dati dei clienti, Access Transparency fornisce i log di accesso ai clienti Google Cloud interessati. Questi log di Access Transparency contribuiscono a garantire l'impegno di Google in relazione ai dati sicurezza e trasparenza nella gestione dei dati.

Access Transparency è resiliente in caso di interruzioni a livello di zona e di regione. Se a livello di zona o un'interruzione regionale, Access Transparency continua a elaborare i log degli accessi amministrativi in un'altra zona o regione.

AlloyDB per PostgreSQL

AlloyDB per PostgreSQL è un servizio di database completamente gestito e compatibile con PostgreSQL. AlloyDB per PostgreSQL offre alta disponibilità in una regione attraverso il suo nodi ridondanti dell'istanza che si trovano in due diverse zone regione. L'istanza principale mantiene la disponibilità a livello di regione attivando un failover automatico nella zona di standby se la zona attiva riscontra un problema. L'archiviazione a livello di regione garantisce la durabilità dei dati in caso di perdita di una singola zona.

Come ulteriore metodo di ripristino di emergenza, AlloyDB per PostgreSQL utilizza per offrire funzionalità di ripristino di emergenza replicare in modo asincrono i dati del cluster principale nei cluster secondari in regioni Google Cloud separate.

Interruzione di servizio zonale: durante il normale funzionamento, è attivo solo uno dei due nodi di un'istanza principale ad alta disponibilità e gestisce tutte le scritture dei dati. Questo nodo attivo archivia i dati nel livello di archiviazione regionale distinto del cluster.

AlloyDB per PostgreSQL rileva automaticamente errori a livello di zona e attiva un per ripristinare la disponibilità del database. Durante il failover, AlloyDB per PostgreSQL avvia il database sul nodo di standby, per il quale è già stato eseguito il provisioning in un'altra zona. Le nuove connessioni al database vengono indirizzate automaticamente a questa zona.

Dal punto di vista di un'applicazione client, un'interruzione a livello di zona è un'interruzione temporanea della connettività di rete. Al termine del failover, un client può riconnettersi all'istanza allo stesso indirizzo, utilizzando le stesse credenziali, senza perdita di dati.

Interruzione a livello di regione: la replica tra regioni utilizza la replica asincrona, che consente all'istanza principale di eseguire il commit delle transazioni prima che vengano eseguite sulle repliche. La differenza di tempo tra il momento in cui viene eseguita la commit di una transazione nell'istanza principale e il momento in cui viene eseguita la commit nella replica è nota come ritardo della replica. La differenza di tempo tra il momento in cui il primario genera il log WAL (write-ahead log) e il momento in cui il WAL raggiunge la replica è nota come ritardo di svuotamento. Il ritardo di replica e il ritardo di aggiornamento dipendono dalla configurazione dell'istanza di database e dal carico di lavoro generato dagli utenti.

In caso di interruzione a livello di regione, puoi promuovere i cluster secondari in un'altra regione in un cluster principale autonomo e scrivibile. Questo elemento promosso non replica più i dati del cluster principale originale con cui in precedenza era associato a. A causa del ritardo dello svuotamento, potrebbe verificarsi una perdita di dati perché potrebbero esserci transazioni sul cluster principale originale che non sono state propagate al cluster secondario.

Il RPO della replica tra regioni è influenzato sia dall'utilizzo della CPU del cluster principale sia dalla distanza fisica tra la regione del cluster principale e la regione del cluster secondario. Per ottimizzare il RPO, ti consigliamo di testare il tuo workload con una configurazione che includa una replica per stabilire un limite sicuro di transazioni al secondo (TPS), ovvero il TPS massimo sostenuto che non accumula ritardi di aggiornamento. Se il carico di lavoro supera il limite TPS sicuro, esegui il svuotamento si accumulano, con un conseguente impatto sull'RPO. Per limitare il ritardo della rete, scegli coppie di regioni all'interno dello stesso continente.

Per ulteriori informazioni sul monitoraggio del ritardo di rete Metriche di AlloyDB per PostgreSQL; consulta Monitorare di archiviazione.

Anti Money Laundering AI

Anti Money Laundering AI (AML AI) fornisce un'API per aiutare i rilevare in modo più efficace ed efficiente il riciclaggio di denaro. Anti L'IA per il riciclaggio di denaro è un'offerta regionale, il che significa che i clienti possono scegliere ma non le zone che compongono una regione. I dati e il traffico vengono bilanciati automaticamente tra le zone all'interno di una regione. Le operazioni (per ad esempio per creare una pipeline o eseguire una previsione), vengono scalati automaticamente in background e vengono bilanciati il carico tra le zone in base alle esigenze.

Interruzione a livello di zona: AML AI archivia i dati per le proprie risorse a livello di regione, replicati in modo sincrono. Quando un'operazione a lunga esecuzione termina correttamente, le risorse possono essere considerate attendibili indipendentemente dai guasti di zona. L'elaborazione viene replicata anche tra le zone, ma questa replica mira del carico e non ad alta disponibilità, quindi un errore a livello di zona può causare un errore dell'operazione. In questo caso, riprova operativa può risolvere il problema. Durante un'interruzione di servizio zonale, i tempi di elaborazione potrebbero essere interessati.

Interruzione a livello di regione: i clienti scelgono la regione Google Cloud che vogliono e creare le proprie risorse di IA AML. I dati non vengono mai replicati tra le regioni. Il traffico dei clienti non viene mai instradato a una regione diversa tramite AML AI. In caso di errore a livello di regione, AML AI tornerà disponibile non appena l'interruzione verrà risolta.

Chiavi API

Le chiavi API offrono una gestione delle risorse delle chiavi API scalabile per un progetto. Le chiavi API sono un servizio globale, vale a dire che le chiavi sono visibili accessibile da qualsiasi località Google Cloud. I relativi dati e metadati vengono archiviati in modo ridondante in più zone e regioni.

Le chiavi API sono resilienti alle interruzioni sia a livello di zona che di regione. Nel caso di interruzione del servizio a livello di zona o di regione, le chiavi API continuano richieste da un'altra zona nella stessa regione o in una regione diversa.

Per ulteriori informazioni sulle chiavi API, consulta Panoramica dell'API delle chiavi API.

Apigee

Apigee offre una piattaforma sicura, scalabile e affidabile per lo sviluppo e la gestione delle API. Apigee offre sia deployment a livello di una sola regione sia a livello di più regioni.

Interruzione a livello di zona: i dati relativi al tempo di esecuzione dei clienti vengono replicati su con più zone di disponibilità. Di conseguenza, un'interruzione su una singola zona non ha alcun impatto su Apigee.

Interruzione a livello di regione: per le istanze Apigee a una singola regione, se una regione non è disponibile, le istanze Apigee non sono disponibili in quella regione e non possono essere ripristinate in regioni diverse. Per di istanze Apigee multiregionali, i dati vengono replicati tutte le regioni in modo asincrono. Di conseguenza, il mancato funzionamento di una regione non riduce del tutto il traffico. Tuttavia, non sarà in grado di accedere ai dati di cui non è stato eseguito il commit nella regione in errore. Tu può deviare il traffico da regioni non integre. Per ottenere il failover automatico del traffico, puoi configurare il routing di rete utilizzando i gruppi di istanze gestite (MIG).

AutoML Translation

AutoML Translation è un servizio di traduzione automatica che ti consente di importare i tuoi dati (coppie di frasi) per addestrare modelli personalizzati in base alle tue esigenze specifiche del dominio.

Interruzione a livello di zona: AutoML Translation ha server di calcolo attivi in più zone e regioni. supporta anche la replica sincrona dei dati tra le zone all'interno delle regioni. Questi consentono ad AutoML Translation di raggiungere failover istantaneo senza perdita di dati per errori a livello di zona che richiedono input o aggiustamenti da parte del cliente.

Interruzione a livello di regione: in caso di errore a livello di regione, AutoML Translation non è disponibile.

AutoML Vision

AutoML Vision fa parte di Vertex AI. Offre un strumento unificato per creare set di dati, importare dati, addestrare modelli e pubblicarli per predizioni online e batch.

AutoML Vision è un'offerta regionale. I clienti possono scegliere la regione da cui lanciare un job, ma non possono scegliere le zone specifiche all'interno della regione. Il servizio esegue automaticamente il bilanciamento del carico tra diverse zone all'interno della regione.

Interruzione a livello di zona: AutoML Vision archivia i metadati per i job a livello di regione e scrive in modo sincrono tra le zone all'interno della regione. I job vengono avviate in una zona specifica, come selezionata da Cloud Load Balancing.

• Job di addestramento AutoML Vision: un'interruzione a livello di zona causa qualsiasi esecuzione job non riusciti e lo stato del job verrà aggiornato in Non riuscito. Se un job non va a buon fine, riprova immediatamente. Il nuovo job viene instradato a una zona disponibile.

• Job di previsione batch di AutoML Vision: la previsione batch è basata su Vertex AI Batch Prediction. Quando si verifica un'interruzione di servizio a livello di zona, il servizio riprova automaticamente il job indirizzandolo alle zone disponibili. Se più tentativi non vanno a buon fine, lo stato del job viene aggiornato in non riuscito. Le successive richieste dell'utente per eseguire il job vengono instradate a una zona disponibile.

Interruzione a livello di regione: i clienti scelgono la regione Google Cloud che vogliono per eseguire i propri job. I dati non vengono mai replicati tra regioni. In caso di guasto regionale, il servizio AutoML Vision non è disponibile nella regione in questione. Ritornerà disponibile al termine dell'interruzione. Per eseguire i loro job, di utilizzare più regioni. Nel caso in cui si verifichi un'interruzione a livello di regione, indirizzare i job a un'altra regione disponibile.

Batch

Batch è un servizio completamente gestito per inserire in coda, pianificare ed eseguire job batch su Google Cloud. Le impostazioni batch vengono definite a livello di regione. I clienti devono scegliere una regione per inviare i job batch, non una zona all'interno di una regione. Quando un job viene inviato, Batch scrive in modo sincrono i dati dei clienti in più zone. Tuttavia, i clienti possono specificare le zone in cui le VM batch eseguono i job.

Errore di zona: in caso di errore in una singola zona, vengono eseguite le attività in esecuzione al suo interno anch'esso falliranno. Se le attività hanno impostazioni per i nuovi tentativi, Batch automaticamente esegue il failover di queste attività in altre zone attive nella stessa regione. L'automazione il failover è soggetto alla disponibilità di risorse nelle zone attive nello stesso regione. Job che richiedono risorse a livello di zona (come VM, GPU o dischi permanenti a livello di zona i dischi permanenti) disponibili solo nella zona con errori vengono messi in coda fino al o fino al raggiungimento dei timeout per l'accodamento dei job. Se possibile, consigliamo ai clienti di lasciare che sia Batch a scegliere le risorse zonali per l'esecuzione dei job. In questo modo contribuirai a garantire la resilienza dei job a un'interruzione del servizio a livello di zona.

Errore regionale:in caso di errore a livello di regione, il piano di controllo del servizio non è disponibile nella regione. Il servizio non replica i dati né reindirizza le richieste tra le regioni. Consigliamo ai clienti di utilizzare più regioni per eseguire i job e di reindirizzarli a una regione diversa in caso di errore in una regione.

Protezione dei dati e dalle minacce di Chrome Enterprise Premium

Protezione dei dati e dalle minacce di Chrome Enterprise Premium fa parte di Chrome Enterprise Premium soluzione. Espande Chrome con una serie di funzionalità di sicurezza, tra cui protezione da malware e phishing, Prevenzione della perdita di dati (DLP), regole di filtro degli URL e generazione di report sulla sicurezza.

Gli amministratori di Chrome Enterprise Premium possono attivare l'archiviazione dei contenuti principali dei clienti che violano i criteri di DLP o malware negli eventi dei log delle regole di Google Workspace e/o in Cloud Storage per future indagini. Gli eventi del log delle regole di Google Workspace sono basati su un database Spanner multiregionale. Chrome Enterprise Premium può richiedere fino a diverse ore per rilevare le violazioni dei criteri. Durante questo periodo, tutti i dati non elaborati sono soggetti a perdita a causa di un'interruzione zonale o regionale. Una volta rilevata una violazione, i contenuti che violano i tuoi criteri vengono scritte nel log delle regole di Google Workspace eventi e/o a Cloud Storage.

Interruzione a livello di zona e regione: poiché la protezione dei dati e dalle minacce di Chrome Enterprise Premium è multizonale e multiregionale, può sopravvivere a una perdita completa e imprevista di una zona o una regione senza perdere la disponibilità. Offre questo livello di affidabilità reindirizzando il traffico verso il proprio servizio in altre zone o regioni attive. Tuttavia, poiché la protezione dei dati e la tutela dalle minacce di Chrome Enterprise Premium possono richiedere diverse ore per rilevare violazioni del DLP e dei malware, tutti i dati non elaborati in una zona o una regione specifica sono soggetti a perdita a causa di un'interruzione del servizio a livello di zona o regione.

BigQuery

BigQuery è un cloud serverless, a scalabilità elevata ed economico un data warehouse progettato per l'agilità aziendale. BigQuery supporta seguenti tipi di località per i set di dati degli utenti:

• Una regione: una località geografica specifica, ad esempio Iowa (us-central1) o Montréal (northamerica-northeast1).
• Una multiregione: una grande area geografica che contiene due o più aree geografiche località, come gli Stati Uniti (US) o l'Europa (EU).

In entrambi i casi, i dati vengono archiviati in modo ridondante in due zone all'interno una singola regione all'interno della località selezionata. Dati scritti in BigQuery viene scritto in modo sincrono sia nella zona primaria che in quella secondaria. Ciò protegge dalla mancata disponibilità di una singola zona all'interno della regione, ma non da un'interruzione del servizio a livello di regione.

Autorizzazione binaria

L'autorizzazione binaria è un prodotto per la sicurezza della catena di fornitura del software per GKE e Cloud Run.

Tutti i criteri di Autorizzazione binaria vengono replicati in più zone all'interno di ogni regione. La replica consente alle operazioni di lettura dei criteri di Autorizzazione binaria il ripristino da errori di altre regioni. La replica rende anche e compatibili con gli errori a livello di zona all'interno di ogni regione.

Le operazioni di applicazione di Autorizzazione binaria sono resilienti ma non sono resilienti con le interruzioni a livello di regione. Applicazione operazioni vengono eseguite nella stessa regione del cluster GKE un job Cloud Run che sta rendendo la richiesta. Pertanto, in caso di interruzione del servizio a livello di regione, non viene eseguito alcun servizio per effettuare richieste di applicazione dell'autorizzazione di codice.

Gestore certificati

Gestore certificati consente di acquisire e gestire Transport Layer Security (TLS) da utilizzare con diversi tipi di Cloud Load Balancing.

In caso di interruzione a livello di zona, Gestore certificati a livello di zona e di regione sono resilienti agli errori a livello di zona, poiché i job e i database sono ridondanti in più zone all'interno di una regione. In caso di interruzione a livello di regione, Certificate Manager è resiliente ai guasti regionali perché i job e i database sono ridondanti in più regioni. Regional Certificate Manager è un prodotto regionale, per evitare errori a livello di regione.

Cloud Intrusion Detection System

Cloud Intrusion Detection System (Cloud IDS) è un servizio di zona che fornisce IDS con ambito a livello di zona Endpoint, che elaborano il traffico delle VM in una zona specifica e, di conseguenza, non tollera interruzioni a livello di zona o di regione.

Interruzione a livello di zona: Cloud IDS è collegato alle istanze VM. Se un cliente prevede di ridurre le interruzioni zonali eseguendo il deployment di VM in più zone (manualmente o tramite gruppi di istanze gestite a livello di regione), dovrà eseguire il deployment anche degli endpoint Cloud IDS in queste zone.

Interruzione a livello di regione: Cloud IDS è un prodotto regionale. Non offre funzionalità interregionali. Un errore a livello di regione richiederà tutte le funzionalità di Cloud IDS in tutte le zone di quella regione.

Google Security Operations SIEM

Google Security Operations SIEM (che fa parte di Google Security Operations) è un servizio completamente gestito che aiuta i team di sicurezza a rilevare, analizzare e rispondere alle minacce.

Google Security Operations SIEM offre offerte regionali e multiregionali.

• Nelle offerte regionali, i dati e il traffico vengono automaticamente bilanciati zone all'interno della regione scelta e i dati vengono archiviati in modo ridondante le zone di disponibilità all'interno della regione.

• Le regioni multiple sono con ridondanza geografica. Questa ridondanza fornisce un insieme di protezioni più ampio rispetto a Regional Storage. Inoltre, contribuisce ad assicurare che il servizio continui a funzionare anche se viene persa un'intera regione.

• La maggior parte dei percorsi di importazione dati replica i dati dei clienti in modo sincrono in più località. Quando i dati vengono replicati in modo asincrono, finestra temporale (Recovery Point Objective o RPO) durante la quale i dati non sono ancora replicati in diverse località. Questo è il caso quando importi con in deployment multiregionali. Dopo l'RPO, i dati è disponibile in più località.

Interruzione a livello di zona:

• Deployment regionali: le richieste vengono gestite da qualsiasi zona all'interno della regione. I dati vengono replicati in modo sincrono in più zone. In caso di interruzione completa della zona, le zone rimanenti continuano a gestire il traffico ed elaborare i dati. Il provisioning ridondante e la scalabilità automatica per il SIEM di Google Security Operations contribuiscono a garantire che il servizio rimanga operativo nelle zone rimanenti durante questi trasferimenti di carico.

• Deployment in più regioni: le interruzioni a livello di zona equivalgono a quelle a livello di regione.

Interruzione a livello di regione:

• Implementazioni regionali: la SIEM per le operazioni di sicurezza di Google archivia tutti i dati dei clienti all'interno una sola regione e il traffico non viene mai instradato tra regioni. Nel caso di un a livello di regione, Google Security Operations SIEM non sarà disponibile nella regione fino al sia stata risolta.

• Deployment in più regioni (senza feed): le richieste vengono pubblicate da qualsiasi regione del deployment multiregionale. I dati vengono replicati in modo sincrono in più regioni. In caso di interruzione di un'intera regione, le regioni rimanenti a gestire il traffico e a elaborare i dati. Il provisioning redundante e la scalabilità automatica per il SIEM di Google Security Operations contribuiscono a garantire che il servizio rimanga operativo nelle regioni rimanenti durante questi picchi di carico.

• Deployment in più regioni (con feed): le richieste vengono pubblicate da qualsiasi regione del deployment multiregionale. I dati vengono replicati in modo asincrono in più regioni con l'RPO specificato. In caso di interruzione dell'intera regione, nelle regioni rimanenti sono disponibili solo i dati archiviati dopo il RPO. I dati all'interno della finestra RPD potrebbero non essere replicati.

Cloud Asset Inventory

Cloud Asset Inventory è un servizio globale, resiliente e ad alte prestazioni che mantiene un dei metadati di risorse e criteri di Google Cloud. Cloud Asset Inventory fornisce strumenti di ricerca e analisi che ti aiutano a monitorare gli asset di cui è stato eseguito il deployment in organizzazioni, cartelle e progetti.

In caso di interruzione di una zona, Cloud Asset Inventory continua a gestire le richieste da un'altra zona nella stessa regione o in una regione diversa.

In caso di interruzione regionale, Cloud Asset Inventory continua a gestire le richieste da altre regioni.

Bigtable

Bigtable è un servizio di database NoSQL ad alte prestazioni e completamente gestito per carichi di lavoro analitici e operativi di grandi dimensioni.

Panoramica della replica Bigtable

Bigtable offre una replica flessibile e completamente configurabile funzionalità, che puoi utilizzare per aumentare la disponibilità e la durabilità del tuo copiandoli su di cluster in più regioni o in più zone all'interno della stessa regione. Bigtable può anche fornire Failover automatico per le tue richieste quando utilizzi la replica.

Quando utilizzi configurazioni multi-zona o multiregionali con routing multi-cluster, in caso di interruzione a livello di zona o di regione, Bigtable reinstrada il traffico e gestisce le richieste dal cluster più vicino disponibile. Poiché la replica di Bigtable è asincrona e coerente alla fine, le modifiche molto recenti ai dati nella località dell'interruzione potrebbero non essere disponibili se non sono ancora state replicate in altre località.

Considerazioni sulle prestazioni

Quando le richieste di risorse della CPU superano la capacità del nodo disponibile, Bigtable dà sempre la priorità al servizio delle richieste in entrata prima del traffico di replica.

Per ulteriori informazioni su come utilizzare la replica Bigtable per il carico di lavoro, consulta la panoramica della replica Cloud Bigtable ed esempi di impostazioni di replica.

I nodi Bigtable vengono utilizzati sia per gestire le richieste in arrivo sia per eseguire la replica dei dati da altri cluster. Oltre a mantenere un numero sufficiente di nodi per cluster, devi anche assicurarti che le tue applicazioni utilizzino un design dello schema adeguato per evitare hotspot, che possono causare un utilizzo eccessivo o sbilanciato della CPU e un aumento della latenza della replica.

Per saperne di più sulla progettazione dello schema dell'applicazione per massimizzare Prestazioni ed efficienza di Bigtable, consulta le best practice per la progettazione di schemi.

Monitoraggio

Bigtable offre diversi modi per monitorare visivamente la replica latenza di istanze e cluster utilizzando di grafici per la replica disponibile nella console Google Cloud.

Puoi anche monitorare in modo programmatico le metriche della replica di Bigtable utilizzando l'API Cloud Monitoring.

Certificate Authority Service

Certificate Authority Service (servizio CA) consente ai clienti di semplificare, automatizzare e personalizzare il deployment, la gestione e la sicurezza delle autorità di certificazione (CA) private e di emettere certificati resilienti su larga scala.

Interruzione di servizio a livello di zona: il servizio CA è resiliente ai guasti a livello di zona perché il relativo piano di controllo è ridondante in più zone all'interno di una regione. In caso di interruzione a livello di zona, CA Service continua a gestire richieste da un'altra zona nella stessa regione senza interruzioni. Poiché i dati vengono replicati in modo sincrono e non avvengono perdite o danneggiamenti dei dati.

Interruzione a livello di regione: il servizio CA è un prodotto regionale, pertanto non può resistere a un guasto regionale. Se hai bisogno di resilienza agli errori regionali, possono creare CA di emissione in due regioni diverse. Crea la CA emittente principale nella regione in cui hai bisogno di certificati. Crea una CA di riserva in un'altra regione. Utilizza il fallback quando si verifica un'interruzione nella regione della CA subordinata principale. Se necessario, entrambe le CA possono essere collegate alla stessa CA principale.

Cloud Billing

L'API Cloud Billing consente agli sviluppatori di gestire la fatturazione per i propri progetti Google Cloud in modo programmatico. L'API Cloud Billing è progettata come un sistema globale con aggiornamenti scritti in modo sincrono in più zone e regioni.

Errore a livello di zona o regione: l'API Cloud Billing eseguirà automaticamente il failover in un'altra zona o regione. Le singole richieste potrebbero non andare a buon fine, ma un criterio di ripetizione dovrebbe consentire il buon esito dei tentativi successivi.

Cloud Build

Cloud Build è un servizio che esegue le tue build su Google Cloud.

Cloud Build è composto da istanze isolate a livello di regione, di replicare in modo sincrono i dati tra le zone all'interno della regione. Ti consigliamo di utilizzare regioni Google Cloud specifiche anziché la regione globale e di assicurarti che le risorse utilizzate dalla build (inclusi i bucket di log, i repository Artifact Registry e così via) siano in linea con la regione in cui viene eseguita la build.

In caso di interruzione di una zona, le operazioni del piano di controllo non sono interessate. Tuttavia, le build attualmente in esecuzione all'interno della zona in errore verranno ritardate hanno perso definitivamente. Le build appena attivate verranno distribuite automaticamente alle zone in funzione rimanenti.

In caso di guasto regionale, il piano di controllo sarà offline e le build in esecuzione verranno ritardate o perse definitivamente. Gli attivatori, i pool di worker e i dati di compilazione non vengono mai replicati tra le regioni. Ti consigliamo di preparare trigger e pool di worker in più regioni per mitigare un l'interruzione del servizio.

Cloud CDN

Cloud CDN distribuisce e memorizza nella cache i contenuti in diverse località sui per ridurre la latenza di servizio per i client. I contenuti memorizzati nella cache vengono pubblicati su un secondo il criterio del "best effort": quando una richiesta non può essere gestita dalla cache di Cloud CDN, la richiesta viene inoltrata ai server di origine, come VM di backend Bucket Cloud Storage in cui sono archiviati i contenuti originali.

In caso di errore in una zona o in una regione, le cache nelle località interessate vengono non disponibile. Le richieste in entrata vengono instradate alle località perimetrali di Google disponibili e cache. Se queste cache alternative non possono soddisfare la richiesta, le inoltreranno la richiesta a un server di origine disponibile. A condizione che il server possa pubblicare richiesta con dati aggiornati, non si verifichi alcuna perdita di contenuti. Un aumento della frequenza di mancate corrispondenze della cache causerà un aumento dei volumi di traffico rispetto alla norma man mano che le cache vengono riempite. Le richieste successive vengono eseguite dalle cache non interessate dall'interruzione del servizio nella zona o nella regione.

Per ulteriori informazioni su Cloud CDN e sul comportamento della cache, consulta la documentazione di Cloud CDN.

Cloud Composer

Cloud Composer è un servizio gestito di orchestrazione del flusso di lavoro che consente puoi creare, pianificare, monitorare e gestire flussi di lavoro che interessano più cloud e data center on-premise. Gli ambienti Cloud Composer sono basati sul progetto open source Apache Airflow.

La disponibilità dell'API Cloud Composer non è influenzata dall'indisponibilità a livello di zona. Durante a livello di zona, manterrai l'accesso all'API Cloud Composer, che include la possibilità di creare nuovi ambienti Cloud Composer.

Un ambiente Cloud Composer include un cluster GKE e la sua architettura. Durante un'interruzione zonale, i flussi di lavoro nel cluster potrebbero essere interrotti:

• In Cloud Composer 1, il cluster dell'ambiente è una risorsa di zona, pertanto un'interruzione del servizio a livello di zona potrebbe rendere il cluster non disponibile. Workflows l'esecuzione al momento dell'interruzione potrebbe essere arrestata prima del completamento.
• In Cloud Composer 2, il cluster dell'ambiente è una risorsa regionale. Tuttavia, i flussi di lavoro eseguiti sui nodi nelle zone che interessati da un'interruzione a livello di zona potrebbero essere arrestati prima del completamento.

In entrambe le versioni di Cloud Composer, un'interruzione zonale potrebbe causare l'interruzione dell'esecuzione dei flussi di lavoro eseguiti parzialmente, incluse eventuali azioni esterne che il flusso di lavoro è stato configurato per eseguire. In base questo può causare incoerenze esternamente, ad esempio se il flusso si ferma a metà di un'esecuzione in più fasi per modificare datastore esterni. Pertanto, quando progetti il flusso di lavoro Airflow, devi prendere in considerazione la procedura di recupero, inclusa la modalità di rilevamento degli stati del flusso di lavoro parzialmente non eseguiti e di riparazione di eventuali modifiche parziali dei dati.

In Cloud Composer 1, durante un'interruzione del servizio in una zona, puoi scegliere di avviare un nuovo ambiente Cloud Composer in un'altra zona. Poiché Airflow conserva lo stato dei tuoi flussi di lavoro nel proprio database di metadati, il trasferimento di queste informazioni a un nuovo ambiente Cloud Composer può richiedere ulteriori passaggi e preparazione.

In Cloud Composer 2, puoi risolvere le interruzioni zonali configurando in anticipo il ripristino di emergenza con snapshot dell'ambiente. Durante un'interruzione di una zona, puoi passare a un altro ambiente trasferendo lo stato dei flussi di lavoro con di uno snapshot di ambiente. Solo Cloud Composer 2 supporta il recupero di emergenza con gli snapshot dell'ambiente.

Cloud Data Fusion

Cloud Data Fusion è un'integrazione di dati aziendali completamente gestita per creare e gestire rapidamente pipeline di dati. Offre tre .

• Le interruzioni a livello di zona influiscono sulle istanze della versione Developer.

• Le interruzioni a livello di regione influiscono sulle istanze delle versioni Basic ed Enterprise.

Per controllare l'accesso alle risorse, puoi progettare ed eseguire pipeline in ambienti separati. Questa separazione ti consente di progettare una pipeline una volta e poi di eseguirla in più ambienti. Puoi recuperare le pipeline in entrambi gli ambienti. Per ulteriori informazioni, vedi Esegui il backup e ripristina i dati dell'istanza.

I seguenti consigli si applicano sia alle interruzioni regionali sia a quelle a livello di zona.

Interruzione del servizio nell'ambiente di progettazione della pipeline

Nell'ambiente di progettazione, salva le bozze della pipeline in caso di interruzione del servizio. A seconda di requisiti RTO e RPO specifici, puoi utilizzare le bozze salvate per recuperare la pipeline in un'altra istanza Cloud Data Fusion durante un'interruzione del servizio.

Interruzione del servizio nell'ambiente di esecuzione della pipeline

Nell'ambiente di esecuzione, la pipeline viene avviata internamente con Attivatori o pianificazioni di Cloud Data Fusion oppure esternamente con di orchestrazione dei container, come Cloud Composer. Per poter recuperare le configurazioni di runtime delle pipeline, esegui il backup delle pipeline e delle configurazioni, ad esempio plug-in e pianificazioni. In caso di interruzione, puoi utilizzare il modello per replicare un'istanza in una regione o zona non interessata.

Un altro modo per prepararsi alle interruzioni è avere più istanze nelle diverse regioni con la stessa configurazione e la stessa pipeline impostate. Se utilizzi sorgenti di traffico esterne dell'orchestrazione, le pipeline in esecuzione possono essere bilanciate automaticamente di Compute Engine. Presta particolare attenzione per assicurarti che non vi siano risorse (ad esempio, dati o strumenti di orchestrazione) legati a una singola regione e utilizzati da tutti poiché potrebbe diventare il punto di errore centrale in un'interruzione. Ad esempio, puoi avere più istanze in regioni diverse e utilizzare il bilanciamento del carico di Cloud e Cloud DNS per indirizzare le richieste di esecuzione della pipeline a un'istanza non interessata da un'interruzione (vedi le architetture di esempio di primo livello e di terzo livello).

Interruzione di altri servizi dati Google Cloud nella pipeline

L'istanza potrebbe utilizzare altri servizi Google Cloud come origini dati o ambienti di esecuzione delle pipeline, ad esempio Dataproc, Cloud Storage o BigQuery. Questi servizi possono trovarsi in regioni diverse. Quando è richiesta l'esecuzione tra regioni, un errore in entrambe le regioni si verifica un'interruzione. In questo scenario, segui i passaggi standard per il ripristino dei disastri, tenendo presente che la configurazione tra regioni con servizi critici in regioni diverse è meno resiliente.

Cloud Deploy

Cloud Deploy fornisce la distribuzione continua dei carichi di lavoro nei servizi di runtime come GKE e Cloud Run. Il servizio è composto di istanze a livello di regione che replicano in modo sincrono i dati tra le zone regione.

Interruzione a livello di zona: le operazioni del piano di controllo non sono interessate. Tuttavia, le build di Cloud Build (ad esempio le operazioni di rendering o di deployment) in esecuzione quando si verifica un errore in una zona vengono ritardate o perse definitivamente. Durante un interruzione del servizio, la risorsa Cloud Deploy che ha attivato la compilazione (una release o un rollout) mostra uno stato di errore che indica che l'operazione sottostante non è riuscita. Puoi ricreare la risorsa per avviare una nuova build nel zone di funzionamento. Ad esempio, crea una nuova implementazione eseguendo di nuovo il deployment della release a un obiettivo.

Interruzione a livello di regione: le operazioni del piano di controllo non sono disponibili, così come i dati da Cloud Deploy, fino al ripristino della regione. Per semplificare il recupero del servizio in caso di interruzione del servizio a livello regionale, ti consigliamo di archiviare la pipeline di importazione e le definizioni dei target nel controllo del codice sorgente. Puoi utilizzare questi file di configurazione per ricreare le pipeline Cloud Deploy in una regione funzionante. Durante un'interruzione, i dati relativi alle release esistenti vengono persi. Crea una nuova release per continuare a eseguire il deployment del software nei tuoi target.

Cloud DNS

Cloud DNS è un DNS (Domain Name System) globale, resiliente e ad alte prestazioni che pubblica i tuoi nomi di dominio nel DNS globale in una in molti modi diversi.

In caso di interruzione a livello di zona, Cloud DNS continua a gestire le richieste provenienti da un'altra zona nella stessa regione o in una regione diversa senza interruzioni. Aggiornamenti a I record Cloud DNS vengono replicati in modo sincrono tra le zone all'interno della regione da dove vengono ricevuti. Di conseguenza, non si verifica alcuna perdita di dati.

In caso di interruzione a livello di regione, Cloud DNS continua a gestire le richieste provenienti da altre regioni. È possibile che gli aggiornamenti molto recenti ai record Cloud DNS non sarà disponibile perché gli aggiornamenti vengono prima elaborati in una singola regione prima di essere replicata in modo asincrono in altre regioni.

Funzioni Cloud Run

Le funzioni di Cloud Run è un ambiente di computing stateless in cui i clienti possono eseguire della loro funzione sull'infrastruttura di Google. Le funzioni Cloud Run sono un'offerta regionale, il che significa che i clienti possono scegliere la regione, ma non le zone che la compongono. I dati e il traffico vengono automaticamente bilanciati del carico tra le zone all'interno di una regione. Le funzioni vengono scalate automaticamente per soddisfare il traffico in entrata e vengono caricate bilanciato tra le zone in base alle esigenze. Ogni zona mantiene uno scheduler fornisce questa scalabilità automatica per zona. Inoltre, è consapevole del carico ricevuto dalle altre zone e eseguirà il provisioning di una capacità aggiuntiva all'interno della zona per consentire eventuali errori zonali.

Interruzione di servizio a livello di zona: le funzioni Cloud Run archiviano i metadati e la funzione di cui è stato eseguito il deployment. Questi dati vengono archiviati a livello di regione e scritti in modo sincrono. L'API Cloud Run Admin restituisce la chiamata API solo dopo che i dati sono stati committati a un quorum all'interno di una regione. Poiché i dati sono archiviati a livello di regione, le operazioni del piano dati non sono interessate . Il traffico viene indirizzato automaticamente ad altre zone in caso di guasto zonale.

Interruzione a livello di regione: i clienti scelgono la regione Google Cloud in cui creare la funzione. I dati non vengono mai replicati tra regioni. Il traffico dei clienti non verrà mai indirizzato a una regione diversa dalle funzioni Cloud Run. In caso di errore a livello di regione, Le funzioni di Cloud Run saranno di nuovo disponibili non appena l'interruzione verrà risolta. I clienti sono invitati a eseguire il deployment in più regioni e a utilizzare Cloud Load Balancing per ottenere una maggiore disponibilità, se lo desiderano.

API Cloud Healthcare

L'API Cloud Healthcare, un servizio per l'archiviazione e la gestione dei dati sanitari, progettato per offrire disponibilità elevata e protezione dall'ambiente di gestione a livello di regione, in base alla configurazione scelta.

Configurazione regionale: nella configurazione predefinita, l'API Cloud Healthcare offre protezione contro i guasti zonali. Il servizio viene implementato in tre zone di un'unica regione, con i dati triplicati anche in zone diverse all'interno della regione. In caso di errore circoscritto a una zona, che interessa il livello di servizio o il livello di dati, le zone rimanenti prendono il controllo senza interruzioni. Con la configurazione a livello di regione, se un'intera regione in cui si trova il servizio presenta un'interruzione, il servizio non sarà disponibile fino a quando la regione non sarà di nuovo online. Nell'imprevedibile eventualità di una distruzione fisica di un'intera regione, i dati archiviati in quella regione andranno persi.

Configurazione per più regioni: nella configurazione per più regioni, Il deployment dell'API Cloud Healthcare viene eseguito in tre zone appartenenti a tre diverse regioni. I dati vengono inoltre replicati in tre regioni. Protegge contro le perdite del servizio in caso di interruzione dell'intera regione, poiché le regioni rimanenti prenderanno automaticamente il controllo. I dati strutturati, come FHIR, sono in modo sincrono è replicata in più regioni, così è protetta dalla perdita di dati in caso di di un'interruzione dell'intera regione. I dati archiviati nei bucket Cloud Storage, come DICOM e Diktat o oggetti HL7v2/FHIR di grandi dimensioni, vengono replicati in modo asincrono in più regioni.

Cloud Identity

I servizi di Cloud Identity sono distribuiti in più regioni e utilizzano con il bilanciamento del carico dinamico. Cloud Identity non consente agli utenti di selezionare un ambito della risorsa. Se si verifica un'interruzione in una zona o regione specifica, il traffico viene vengono distribuiti automaticamente in altre zone o regioni.

Nella maggior parte dei casi, i dati permanenti vengono replicati in più regioni con la replica sincrona. Per motivi di prestazioni, alcuni sistemi, come le cache o le modifiche che interessano un gran numero di entità, vengono replicati in modo asincrono tra le regioni. Se la regione principale in cui sono archiviati i dati più recenti subisce un'interruzione, Cloud Identity pubblica dati non aggiornati da un'altra posizione fino a quando la regione principale non diventa disponibile.

Cloud Interconnect

Cloud Interconnect offre ai clienti RFC 1918 l'accesso alle reti Google Cloud dai loro data center on-premise tramite cavi fisici connessi al perimetro del peering di Google.

Cloud Interconnect offre ai clienti un SLA del 99,9% se eseguono il provisioning delle connessioni a due EAD (Edge Availability Domains) in un'area metropolitana. È disponibile un SLA del 99,99% se il cliente esegue il provisioning delle connessioni in due EAD in due aree metropolitane a due regioni con routing globale. Consulta: Panoramica della topologia per le applicazioni non critiche e Panoramica della topologia per le applicazioni a livello di produzione per ulteriori informazioni.

Cloud Interconnect è indipendente dalla zona di calcolo e offre alta disponibilità sotto forma di EAD. In caso di errore dell'EAD, la sessione BGP con quell'entità si interrompe e il traffico viene trasferito all'altra entità.

In caso di errore regionale, le sessioni BGP per quella regione si interrompono e il traffico non viene trasferito alle risorse nella regione funzionante. Questo vale quando è attivo il routing globale.

Cloud Key Management Service

Cloud Key Management Service (Cloud KMS) fornisce scalabilità e durabilità elevata la gestione delle risorse delle chiavi di crittografia. Cloud KMS archivia tutti i suoi dati e metadati nei database Spanner, che offrono elevata durata e disponibilità dei dati con la replica sincrona.

Le risorse Cloud KMS possono essere create in una singola regione, regioni o a livello globale.

In caso di interruzione a livello di zona, Cloud KMS continua a gestire le richieste un'altra zona nella stessa regione o in una regione diversa senza interruzioni. Poiché i dati vengono replicati in modo sincrono, non si verificano perdite o danneggiamenti dei dati. Quando la zona l'interruzione del servizio è stata risolta, viene ripristinata la ridondanza completa.

In caso di interruzione del servizio a livello di regione, le risorse di quella regione vengono offline finché la regione non sarà di nuovo disponibile. Tieni presente che anche all'interno di una regione vengono mantenute almeno tre repliche in zone separate. Quando è richiesta una maggiore disponibilità, le risorse devono essere archiviate in una configurazione multi-regione o globale. Le configurazioni multiregionali e globali sono progettate per rimanere disponibili in caso di interruzione del servizio a livello di regione archiviando e pubblicando i dati con geo-ridondanza in più di una regione.

Cloud External Key Manager (Cloud EKM)

Cloud External Key Manager è integrato con Cloud Key Management Service per consentirti di controllare e accedere alle chiavi esterne tramite partner terzi supportati. Puoi utilizzare queste chiavi esterne per criptare i dati a riposo da utilizzare per altri servizi Google Cloud che supportano l'integrazione delle chiavi di crittografia gestite dal cliente (CMEK).

• Interruzione a livello di zona: Cloud External Key Manager è resiliente alle interruzioni a livello di zona grazie alla ridondanza fornita da più zone in una regione. Se si verifica un'interruzione a livello di zona, il traffico viene reindirizzato ad altre zone all'interno della regione. Durante il reindirizzamento del traffico, potresti notare un aumento degli errori, ma il servizio è comunque disponibile.

• Interruzione del servizio a livello di regione: Cloud External Key Manager non è disponibile durante un'interruzione del servizio a livello di regione nella regione interessata. Non esiste un meccanismo di failover che reindirizzi le richieste tra regioni. Consigliamo ai clienti di utilizzare più regioni per eseguire i propri job.

Cloud External Key Manager non archivia i dati dei clienti in modo permanente. Di conseguenza, non si verificano perdite di dati durante un'interruzione regionale nel sistema Cloud External Key Manager. Tuttavia, Cloud External Key Manager dipende dalla disponibilità di altri servizi, come Cloud Key Management Service e fornitori di terze parti esterni. Se questi sistemi non funzionano durante un'interruzione a livello regionale, potresti perdere dati. Il RPO/RTO di questi sistemi non rientra nell'ambito degli impegni di Cloud External Key Manager.

Cloud Load Balancing

Cloud Load Balancing è un servizio gestito completamente distribuito e software-defined. Con Cloud Load Balancing, un singolo indirizzo IP anycast può fungere da frontend per i backend in regioni di tutto il mondo. Non è basato su hardware, quindi non devi gestire un'infrastruttura fisica di bilanciamento del carico. I bilanciatori del carico sono un'infrastruttura della maggior parte delle applicazioni ad alta disponibilità.

Cloud Load Balancing offre bilanciatori del carico sia a livello di regione sia globali. Inoltre, offre il bilanciamento del carico tra regioni, compreso il failover automatico multiregione, che trasferisce il traffico verso i backend di failover se i backend primari non sono integri.

I bilanciatori del carico globali sono resilienti alle interruzioni di servizio sia a livello di zona che a livello di regione. La i bilanciatori del carico regionali sono resilienti alle interruzioni a livello di zona, ma sono interessati dalle interruzioni nella loro regione. Tuttavia, in entrambi i casi, è importante capire che la resilienza dell'applicazione complessiva non dipende solo dal tipo di bilanciatore del carico di cui esegui il deployment, ma anche dalla ridondanza dei backend.

Per ulteriori informazioni su Cloud Load Balancing e sulle sue funzionalità, consulta la Panoramica di Cloud Load Balancing.

Cloud Logging

Cloud Logging è costituito da due parti principali: il router dei log e spazio di archiviazione di Cloud Logging.

Router dei log gestisce gli eventi log in streaming e indirizza i log allo spazio di archiviazione Cloud Storage, Pub/Sub, BigQuery o Cloud Logging.

Lo spazio di archiviazione di Cloud Logging è un servizio per l'archiviazione, le query e la gestione della conformità per i log. Supporta molti utenti e flussi di lavoro, inclusi sviluppo, conformità, risoluzione dei problemi e avvisi proattivi.

Router dei log e log in entrata: durante un'interruzione del servizio a livello di zona, l'API Cloud Logging instrada i log ad altre zone della regione. In genere, i log instradati da Router dei log a Cloud Logging, BigQuery o Pub/Sub vengono scritti nella destinazione finale il prima possibile, mentre i log inviati a Cloud Storage vengono memorizzati nella memoria intermedia e scritti in batch ogni ora.

Voci di log: in caso di interruzione del servizio a livello di zona o regione, le voci di log che sono state messe in buffer nella zona o nella regione interessata e non sono state scritte nella destinazione dell'esportazione diventano inaccessibili. Le metriche basate su log vengono calcolate anche nel router dei log e sono soggette agli stessi vincoli. Una volta inviati alla posizione di esportazione dei log selezionata, i log vengono replicati in base al servizio di destinazione. I log esportati nello spazio di archiviazione di Cloud Logging sono in modo sincrono sono replicati in due zone di una regione. Per il comportamento di replica di altri i tipi di destinazione, consulta la sezione pertinente di questo articolo. Tieni presente che i log esportati in Cloud Storage vengono raggruppati e scritti ogni ora. Consigliamo quindi di usare Cloud Logging, BigQuery, per Pub/Sub al minimo la quantità di dati interessati da un'interruzione.

Metadati di log:vengono archiviati i metadati come la configurazione di sink ed esclusione a livello globale ma memorizzati a livello regionale. In caso di interruzione, il log regionale Le istanze del router potrebbero funzionare. Le interruzioni in una singola regione non hanno alcun impatto al di fuori regione.

Cloud Monitoring

Cloud Monitoring è costituito da una serie di funzionalità interconnesse, come dashboard (integrate e definite dall'utente), avvisi e monitoraggio del tempo di attività.

Tutte le configurazioni di Cloud Monitoring, tra cui dashboard, controlli di uptime e sono definiti a livello globale. Tutte le modifiche apportate vengono replicate in modo sincrono a più regioni. Pertanto, sia a livello di zona che di regione alla configurazione in caso di interruzione del servizio, le modifiche apportate correttamente alla configurazione sono durature. Inoltre, sebbene gli errori temporanei di lettura e scrittura possono verificarsi quando inizialmente una zona o una regione degli errori, Cloud Monitoring reindirizza le richieste alle zone disponibili regioni. In questo caso, puoi riprovare a modificare la configurazione con regole esponenziali il backoff.

Quando scrivi le metriche per una risorsa specifica, Cloud Monitoring prima di tutto identifica la regione in cui si trova la risorsa. Quindi scrive tre repliche indipendenti dei dati delle metriche all'interno della regione. Le metriche regionali nel complesso la scrittura della metrica viene restituita correttamente non appena una delle tre scritture . Non è garantito che le tre repliche si trovino in zone diverse all'interno della regione.

• A livello di zona: durante un'interruzione a livello di zona, le letture e le scritture delle metriche non sono completamente disponibili per le risorse nella zona interessata. In effetti, Cloud Monitoring funziona come se la zona interessata non esistesse.

• Regionale: durante un'interruzione a livello di regione, le letture e le scritture delle metriche non sono completamente disponibili per le risorse nella regione interessata. In effetti, Cloud Monitoring funziona come se la regione interessata non esistesse.

Cloud NAT

Cloud NAT (Network Address Translation) è un servizio gestito, distribuito e software-defined, che consente a determinate risorse senza indirizzi IP esterni creano connessioni in uscita verso internet. È non basate su VM o appliance proxy. Cloud NAT configura invece il software Andromeda che alimenta la tua rete Virtual Private Cloud in modo da fornire la traduzione dell'indirizzo di rete di origine (NAT di origine o SNAT) per le VM senza indirizzi IP esterni. Cloud NAT fornisce inoltre Network Address Translation di destinazione (destination NAT o DNAT) per i pacchetti di risposta in entrata stabiliti.

Per ulteriori informazioni sulla funzionalità di Cloud NAT, consulta la documentazione.

Interruzione a livello di zona: Cloud NAT è resiliente agli errori a livello di zona poiché e il piano dati di rete sono ridondanti in più zone all'interno una regione.

Interruzione a livello di regione: Cloud NAT è un prodotto regionale, quindi non può resistere a livello di regione.

Router Cloud

Cloud Router è un servizio Google Cloud completamente distribuito e gestito che utilizza il protocollo BGP (Border Gateway Protocol) per pubblicizzare gli intervalli di indirizzi IP. Programma route dinamiche in base agli annunci BGP che riceve da un peer. Invece di un dispositivo o un'appliance fisico, ogni router Cloud è costituito da attività software che fungono da speaker e responder BGP.

In caso di interruzione di servizio a livello di zona, Cloud Router con una configurazione ad alta disponibilità (HA) è resiliente ai guasti zonali. In questo caso, un'interfaccia potrebbe perde la connettività, ma il traffico viene reindirizzato all'altra interfaccia il routing dinamico mediante BGP.

Nel caso di un'interruzione regionale, il router Cloud è un prodotto regionale, quindi non è in grado di sostenere un errore a livello di regione. Se i clienti hanno attivato la modalità di routing globale, il routing tra la regione in cui si è verificato l'errore e altre regioni potrebbe essere interessato.

Cloud Run

Cloud Run è un ambiente di calcolo stateless in cui i clienti possono eseguire il loro codice containerizzato sull'infrastruttura di Google. Cloud Run è un'offerta regionale, il che significa che i clienti possono scegliere ma non alle zone che compongono una regione. I dati e il traffico vengono automaticamente bilanciati del carico tra le zone all'interno di una regione. Le istanze container vengono scalate automaticamente per soddisfare il traffico in entrata e vengono bilanciate in base al carico tra le zone, se necessario. Ogni zona gestisce un programmatore che fornisce questa scalabilità automatica per zona. È inoltre consapevole del carico ricevuto dalle altre zone ed eseguirà il provisioning nella zona per consentire eventuali errori a livello di zona.

Interruzione a livello di zona: Cloud Run archivia i metadati e i dati di cui è stato eseguito il deployment containerizzato. Questi dati vengono archiviati a livello di regione e scritti in modo sincrono. L'API Cloud Run Admin restituisce la chiamata API solo dopo che i dati sono stati sottoposti a commit in un quorum all'interno di una regione. Poiché i dati sono archiviati a livello di regione, le operazioni del piano dati non sono interessate . Il traffico verrà instradato automaticamente ad altre zone in caso di errore di una zona.

Interruzione a livello di regione: i clienti scelgono la regione Google Cloud di loro interesse in cui creare il proprio servizio Cloud Run. I dati non vengono mai replicati regioni. Il traffico dei clienti non verrà mai indirizzato a una regione diversa da Cloud Run. In caso di guasto regionale, Cloud Run diventerà nuovamente disponibile non appena l'interruzione verrà risolta. I clienti sono di eseguire il deployment in più regioni e di utilizzare Cloud Load Balancing per avere una disponibilità maggiore, se necessario.

Cloud Shell

Cloud Shell fornisce agli utenti Google Cloud l'accesso a un singolo utente Istanze di Compute Engine preconfigurate per l'onboarding, l'istruzione sviluppo e attività degli operatori.

Cloud Shell non è adatto all'esecuzione di carichi di lavoro delle applicazioni intese invece a casi d'uso didattici e di sviluppo interattivi. Ha limiti di quota di runtime per utente, si arresta automaticamente dopo un breve periodo di inattività e l'istanza è accessibile solo all'utente assegnato.

Le istanze di Compute Engine a supporto del servizio sono risorse a livello di zona, quindi in caso di interruzione di una zona, Cloud Shell di un utente non è disponibile.

Cloud Source Repositories

Cloud Source Repositories consente agli utenti di creare e gestire codice sorgente privato repository. Questo prodotto è progettato con un modello globale, quindi non è necessario configurarlo per la resilienza a livello di regione o zona.

Al contrario, le operazioni git push su Cloud Source Repositories in modo sincrono replicare l'aggiornamento del repository di codice sorgente in più zone regioni. Ciò significa che il servizio è resiliente alle interruzioni in qualsiasi regione.

Se si verifica un'interruzione del servizio in una determinata zona o regione, il traffico viene distribuito automaticamente ad altre zone o regioni.

La funzionalità di mirroring automatico dei repository da GitHub o Bitbucket può essere soggetta a problemi in questi prodotti. Ad esempio, il mirroring è influenzato se GitHub o Bitbucket non possono avvisare Cloud Source Repositories dei nuovi commit. se Cloud Source Repositories non riesce a recuperare contenuti dall'elenco repository Git.

Spanner

Spanner è una piattaforma multiversione, scalabile, replicato in modo sincrono e a elevata coerenza la semantica.

Le istanze Spanner a livello di regione replicano in modo sincrono i dati tra in una singola regione. Una scrittura in un'istanza Spanner regionale viene inviata in modo sincrono a tutte e tre le repliche e confermata al cliente dopo che almeno due repliche (quorum di maggioranza di 2 su 3) hanno eseguito il commit della scrittura. In questo modo, Spanner è resiliente a un errore di zona perché fornisce l'accesso a tutti i dati, poiché le ultime scritture sono state memorizzate e con 2 repliche è ancora possibile ottenere un quorum di maggioranza per le scritture.

Le istanze multiregionali di Spanner includono un quorum di scrittura che replica in modo sincrono i dati in 5 zone situate in tre regioni (due repliche di lettura/scrittura ciascuna nella regione leader predefinita e in un'altra regione; e una replica nella regione di testimone). Una scrittura su uno Spanner multiregionale dell'istanza viene confermata dopo almeno 3 repliche (quorum di maggioranza di 3 di 5) hanno eseguito il commit della scrittura. In caso di errore in una zona o in una regione, Spanner ha accesso a tutti i dati (incluse le ultime scritture) e gestisce le richieste di lettura/scrittura poiché i dati vengono mantenuti in almeno 3 zone in 2 regioni al momento dell'acknowledgment della scrittura al client.

Per ulteriori informazioni su queste configurazioni, consulta la documentazione relativa alle istanze di Spanner e la documentazione sulla replica per ulteriori informazioni sul funzionamento della replica di Spanner.

Cloud SQL

Cloud SQL è un servizio di database relazionale completamente gestito per MySQL, PostgreSQL e SQL Server. Cloud SQL utilizza macchine virtuali Compute Engine gestite per eseguire il software del database. Offre una configurazione ad alta disponibilità per la ridondanza regionale, proteggendo il database da un'interruzione della zona. È possibile eseguire il provisioning delle repliche tra regioni per proteggere il database da interruzione del servizio in una regione specifica. Poiché il prodotto offre anche un'opzione a livello di zona, che non è resiliente a un'interruzione di servizio in una zona o una regione, devi selezionare con attenzione la configurazione a disponibilità elevata, le repliche tra regioni o entrambe.

Interruzione zonale: l'opzione alta disponibilità crea un'istanza VM principale e una in standby in due zone distinte all'interno di una regione. Durante il normale funzionamento, l'istanza VM principale gestisce tutte le richieste, scrivendo i file di database su un disco permanente regionale, che viene replicato in modo sincrono nelle zone principale e standby. Se un'interruzione della zona interessa l'istanza principale, Cloud SQL avvia un failover durante il quale il disco permanente viene collegato alla VM in standby e il traffico viene reindirizzato.

Durante questa procedura, il database deve essere inizializzato, il che include l'elaborazione di eventuali transazioni registrate nel log delle transazioni, ma non applicate al database. Il numero e il tipo di transazioni non elaborate possono aumentare il tempo RTO. Un numero elevato di scritture recenti può portare a un backlog di transazioni non elaborate. Il tempo RTO è maggiormente influenzata da (a) attività di scrittura recenti e (b) modifiche recenti agli schemi dei database.

Infine, quando l'interruzione a livello di zona è stata risolta, puoi attivare manualmente un'operazione di failback per riprendere il servizio nella zona principale.

Per ulteriori dettagli sull'opzione di alta disponibilità, consulta la documentazione sull'alta disponibilità di Cloud SQL.

Interruzione a livello di regione: l'opzione Replica tra regioni protegge il database dalle interruzioni a livello di regione creando repliche di lettura dell'istanza principale in altre regioni. La replica tra regioni utilizza la replica asincrona, che consente all'istanza principale di eseguire il commit delle transazioni prima che vengano eseguite nelle repliche. La differenza di tempo tra il momento in cui viene eseguito il commit di una transazione nell'istanza principale e il momento in cui viene eseguito il commit nella replica è nota come "lag di replica" (che può essere monitorato). Questa metrica riflette sia le transazioni che non sono state inviate dalla tabella principale alle repliche sia le transazioni che sono state ricevute, ma non sono state elaborate dalla replica. Le transazioni non inviate alla replica non sarebbero disponibili durante un'interruzione del servizio a livello di regione. Transazioni ricevute ma non elaborate da la replica influisce sul tempo di ripristino, come descritto di seguito.

Cloud SQL consiglia di testare il carico di lavoro con una configurazione che includa una replica per stabilire un limite di "transazioni sicure al secondo (TPS)", ovvero il TPS massimo sostenuto che non accumula ritardi di replica. Se il tuo workload supera il limite di TPS sicuro, il ritardo di replica si accumula, influenzando negativamente i valori RPO e RTO. Come indicazione generale, evita di utilizzare istanze di piccole dimensioni (<2 core vCPU, dischi da <100 GB o DP-HDD), che sono suscettibili al ritardo della replica.

In caso di interruzione a livello di regione, devi decidere se promuovere manualmente una di lettura. Questa è un'operazione manuale perché la promozione può causare un cervello spaccato scenario in cui la replica promossa accetta nuove transazioni nonostante il ritardo nella principale al momento della promozione. Ciò può causare problemi quando l'interruzione del servizio regionale viene risolta e devi riconciliare le transazioni che non sono mai state propagate dall'istanza principale a quella di replica. Se questo rappresenta un problema per le tue esigenze, ti consigliamo di utilizzare un prodotto di database con replica sincrona tra regioni come Spanner.

Una volta attivata dall'utente, il processo di promozione segue passaggi simili alla l'attivazione di un'istanza in standby nella configurazione ad alta disponibilità. Durante questo processo, la replica di lettura deve elaborare il log delle transazioni, che determina il tempo di recupero totale. Poiché nella configurazione non è coinvolto un bilanciatore del carico la promozione della replica, reindirizza manualmente le applicazioni all'istanza principale promossa.

Per maggiori dettagli sull'opzione di replica tra regioni, consulta la documentazione di Cloud SQL replica tra regioni documentazione.

Per ulteriori informazioni sulla RE di Cloud SQL, consulta quanto segue:

• Ripristino di emergenza del database Cloud SQL per MySQL
• Ripristino di emergenza dei database Cloud SQL per PostgreSQL
• Ripristino di emergenza del database Cloud SQL per SQL Server

Cloud Storage

Cloud Storage fornisce un oggetto unificato a livello globale, scalabile e a elevata durabilità archiviazione. I bucket Cloud Storage possono essere creati in uno dei tre diversi tipi di località: in una singola regione, in una doppia regione o in una regione con più regioni all'interno di un continente. Con i bucket a livello di regione, gli oggetti vengono archiviati in modo ridondante le zone di disponibilità in una singola regione. I bucket con due o più regioni, invece, sono con ridondanza geografica. Ciò significa che dopo che i dati appena scritti sono stati replicati in almeno una regione remota, gli oggetti vengono archiviati in modo ridondante nelle regioni. Questo approccio offre ai dati nei bucket a due e più regioni un insieme più ampio di protezioni rispetto a quanto possibile con lo spazio di archiviazione a livello di regione.

I bucket regionali sono progettati per essere resilienti in caso di interruzione in una singola zona di disponibilità. Se si verifica un'interruzione in una zona, gli oggetti nella zona non disponibile vengono pubblicati automaticamente e in modo trasparente da altre parti della regione. Dati e i metadati sono archiviati in modo ridondante nelle varie zone, a partire dal e scrivere. Nessuna scrittura andrà persa se una zona non è più disponibile. Nel caso di un a livello di regione, i bucket a livello di regione in quella regione sono offline fino a quando torna disponibile.

Se hai bisogno di una maggiore disponibilità, puoi archiviare i dati in un o la configurazione a due o più regioni. I bucket con due regioni e con più regioni sono singoli bucket (non sono presenti posizioni principali e secondarie separate), ma archiviano dati e metadati in modo ridondante nelle regioni. In caso di interruzione a livello di regione, il servizio non viene interrotto. Sono due o più regioni attivi/attivi, in quanto consente di leggere e scrivere carichi di lavoro più di una regione contemporaneamente mentre il bucket rimane coerente. Questa soluzione può essere particolarmente interessante per i clienti che vogliono suddividere il loro carico di lavoro tra le due regioni nell'ambito di un'architettura di ripristino di emergenza.

Le regioni a due e più regioni sono fortemente coerenti perché i metadati vengono sempre scritti in modo sincrono nelle regioni. Questo approccio consente al servizio di determinare sempre qual è la versione più recente di un oggetto e da dove può essere pubblicato, anche da regioni remote.

I dati vengono replicati in modo asincrono. Ciò significa che esiste una finestra temporale RPO in cui le gli oggetti sono inizialmente protetti come oggetti regionali, con ridondanza le zone di disponibilità all'interno di una singola regione. Il servizio poi replica gli oggetti all'interno della finestra RPO in una o più regioni remote per renderli geo-ridondanti. Al termine della replica, i dati possono essere gestiti automaticamente e in modo trasparente da un'altra regione nel caso di una o un'interruzione del servizio. La replica turbo è una funzionalità premium disponibile su un bucket a due regioni per ottenere una finestra RPO più piccola, che abbia come target il 100% degli oggetti appena scritti replicati e resi geo-ridondanti in 15 minuti.

L'RPO è un aspetto importante da considerare, perché durante un'interruzione a livello di regione, i dati scritti di recente nella regione interessata all'interno della finestra RPO potrebbero non essere ancora stati replicati in altre regioni. Di conseguenza, questi dati potrebbero non essere accessibili durante l'interruzione del servizio e che potrebbero andare persa in caso di distruzione fisica nella regione interessata.

Cloud Translation

Cloud Translation ha server di calcolo attivi in più zone e regioni. it supporta anche la replica sincrona dei dati tra zone all'interno delle regioni. Questi aiutano Translation a raggiungere failover istantaneo senza perdita di dati per errori a livello di zona che richiedono input o aggiustamenti da parte del cliente. In caso di guasto regionale, Cloud Translation non è disponibile.

Compute Engine

Compute Engine è uno dei servizi Infrastructure as a Service di Google Cloud le opzioni di CPU e memoria disponibili. Utilizza l'infrastruttura globale di Google per offrire macchine virtuali (e servizi correlati) ai clienti.

Le istanze Compute Engine sono risorse di zona, pertanto in caso di interruzione del servizio in una zona, le istanze non sono disponibili per impostazione predefinita. Compute Engine offre gruppi di istanze gestite (MIG) che possono scalare automaticamente altre VM da modelli di istanze preconfigurati, sia all'interno di un'unica zona sia in più zone all'interno di una regione. I gruppi di istanze gestite sono ideali per le applicazioni che richiedono resilienza alla perdita di zone e sono stateless, ma richiedono pianificazione e configurazione delle risorse. È possibile utilizzare più MIG regionali per ottenere la resilienza alle interruzioni regionali per le applicazioni stateless.

Le applicazioni con carichi di lavoro stateful possono comunque utilizzare MIG stateful, ma è necessario prestare particolare attenzione alla pianificazione della capacità poiché non scalano orizzontalmente. In entrambi gli scenari è importante configurare e testare in anticipo i modelli di istanza Compute Engine e i gruppi di istanze gestite per garantire di failover in altre zone. Consulta le Nella sezione precedente Sviluppa le tue architetture di riferimento e le tue guide per saperne di più informazioni.

Single-tenancy

Single-tenancy ti consente di avere accesso esclusivo a un nodo single-tenant, ovvero un server Compute Engine fisico dedicato esclusivamente all'hosting alle VM del progetto.

I nodi single-tenant, come le istanze di Compute Engine, sono risorse di zona. Nella di un'interruzione del servizio a livello di zona, non sono disponibili. per ridurre i costi errori, puoi creare un nodo single-tenant in un'altra zona. Dato che carichi di lavoro potrebbero trarre vantaggio da nodi single-tenant per le licenze o la contabilità CAPEX è consigliabile pianificare in anticipo una strategia di failover.

La ricreazione di queste risorse in una località diversa potrebbe comportare ulteriori costi di licenza o violano i requisiti contabili CAPEX. Per indicazioni generali, consulta Sviluppare guide e architetture di riferimento.

I nodi single-tenant sono risorse di zona e non possono resistere a guasti regionali. Per eseguire il ridimensionamento in più zone, utilizza gruppi di istanze gestite a livello di regione.

Networking per Compute Engine

Per informazioni sulle configurazioni ad alta disponibilità per le connessioni Interconnect, consulta i seguenti documenti:

• Disponibilità del 99,99% per Dedicated Interconnect
• Disponibilità del 99,99% per Partner Interconnect

Puoi eseguire il provisioning degli indirizzi IP esterni in modalità globale o regionale, il che influisce sulla loro disponibilità in caso di guasto regionale.

Resilienza di Cloud Load Balancing

I bilanciatori del carico sono un componente fondamentale della maggior parte delle applicazioni a disponibilità elevata. È importante capire che la resilienza dell'applicazione complessiva dipende non solo dall'ambito del bilanciatore del carico scelto (globale o regionale), ma anche dalla ridondanza dei servizi di backend.

La tabella seguente riassume la resilienza del bilanciatore del carico in base al carico la distribuzione o l'ambito del bilanciatore.

Ambito del bilanciatore del carico	Architettura	Resistente alle interruzioni a livello di zona	Resistente all'interruzione regionale
Globale	Ogni bilanciatore del carico è distribuito in tutte le regioni
Tra regioni	Ogni bilanciatore del carico è distribuito in più regioni
Regionale	Ogni bilanciatore del carico è distribuito in più zone della regione		Un'interruzione in una determinata regione influisce i bilanciatori del carico regionali in quella regione

Per saperne di più sulla scelta di un bilanciatore del carico, consulta Cloud Load Balancing documentazione.

Connectivity Tests

Connectivity Tests è uno strumento di diagnostica che consente di verificare la connettività tra gli endpoint di rete. Analizza la configurazione e, in alcuni casi, esegue un'analisi del piano dati in tempo reale tra gli endpoint. Un endpoint è un'origine o una destinazione del traffico di rete, come una VM, un cluster Google Kubernetes Engine (GKE), una regola di forwarding del bilanciatore del carico o un indirizzo IP . Connectivity Tests è uno strumento di diagnostica senza componenti del piano dati. Non elabora né genera traffico di utenti.

Interruzione zonale: le risorse di Connectivity Tests sono globali. Puoi gestire e visualizzarle in caso di interruzione a livello di zona. Le risorse dei test di connettività sono i risultati dei test di configurazione. Questi risultati potrebbero includere i dati di configurazione delle risorse di zona (ad esempio le istanze VM) in un zona di destinazione. In caso di interruzione del servizio, i risultati dell'analisi non sono accurati perché l'analisi si basa su dati obsoleti precedenti all'interruzione. Non fare affidamento su di essa.

Interruzione del servizio a livello di regione: in caso di interruzione del servizio a livello di regione, puoi comunque gestire e visualizzare le risorse di Connectivity Tests. Le risorse di Connectivity Tests potrebbero includere dei dati di configurazione delle risorse di regione, come le subnet, regione. In caso di interruzione del servizio, i risultati dell'analisi non sono accurati perché l'analisi si basa su dati obsoleti precedenti all'interruzione. Non fare affidamento su di essa.

Container Registry

Container Registry fornisce un'implementazione scalabile del Docker Registry in hosting per l'archiviazione sicura e privata delle immagini container Docker. Container Registry implementa l'API Docker Registry HTTP.

Container Registry è un servizio globale che archivia in modo sincrono i metadati delle immagini in modo ridondante su più zone e regioni per impostazione predefinita. Le immagini container vengono memorizzate in bucket Cloud Storage multiregionali. Con questa strategia di archiviazione, Container Registry offre resilienza in caso di interruzione zonale in tutti i casi e resilienza in caso di interruzione regionale per tutti i dati che sono stati replicati in modo asincrono in più regioni da Cloud Storage.

Database Migration Service

Database Migration Service è un servizio Google Cloud completamente gestito per la migrazione dei database da altri cloud provider o da data center on-premise a Google Cloud.

Database Migration Service è progettato come piano di controllo regionale. Il piano di controllo non dipende da una singola zona in una determinata regione. Durante un'interruzione zonale, mantieni l'accesso alle API di Database Migration Service, inclusa la possibilità di creare e gestire i job di migrazione. Durante un'interruzione a livello di regione, perdi l'accesso alle risorse di Database Migration Service che appartengono a quella regione finché l'interruzione non viene risolta.

Database Migration Service dipende dalla disponibilità dei database di origine e di destinazione utilizzate per il processo di migrazione. Se un database di origine o di destinazione di Database Migration Service non è disponibile, le migrazioni non progrediscono, ma non vengono persi i dati principali dei clienti o i dati del job. I job di migrazione riprendono quando i database di origine e di destinazione diventano di nuovo disponibili.

Ad esempio, puoi configurare un database Cloud SQL di destinazione con l'alta disponibilità abilitata per ottenere un database di destinazione resiliente alle interruzioni zonali.

Le migrazioni di Database Migration Service passano attraverso due fasi:

• Dump completo: esegue una copia completa dei dati dall'origine alla destinazione in base alla specifica del job di migrazione.
• Change Data Capture (CDC): replica le modifiche incrementali dall'origine alla destinazione.

Interruzione a livello di zona: se si verifica un errore di zona durante una di queste fasi, puoi comunque accedere e gestire in Database Migration Service. La migrazione dei dati è interessata nel seguente modo:

• Dump completo: la migrazione dei dati non riesce; devi riavviare il job di migrazione il database di destinazione completa l'operazione di failover.
• CDC: la migrazione dei dati è in pausa. Il job di migrazione riprende automaticamente una volta che la destinazione completa l'operazione di failover.

Interruzione a livello di regione: Database Migration Service non supporta le risorse interregionali e, pertanto, non è resiliente ai guasti a livello di regione.

Dataflow

Dataflow è il sistema di elaborazione dei dati serverless e completamente gestito di Google Cloud per pipeline di flusso e batch. Per impostazione predefinita, un endpoint a livello di regione configura il worker Dataflow per utilizzare tutte le zone disponibili all'interno della regione. La selezione delle zone viene calcolata per ogni worker al momento della sua creazione, ottimizzando l'acquisizione delle risorse e l'utilizzo delle prenotazioni inutilizzate. Nella configurazione predefinita per i job Dataflow, i dati intermedi vengono memorizzati dal servizio Dataflow e lo stato del job viene archiviato nel backend. Se una zona non funziona, i job Dataflow possono continuare a essere eseguiti perché i worker vengono ricreati in altre zone.

Si applicano le seguenti limitazioni:

• Il posizionamento a livello di regione è supportato solo per i job che utilizzano Streaming Engine o Dataflow Shuffle. Job che hanno disattivato Streaming Engine o Dataflow Shuffle non può utilizzare il posizionamento a livello di regione.
• Il posizionamento regionale si applica solo alle VM. Non si applica alle risorse relative a Streaming Engine e Dataflow Shuffle.
• Le VM non vengono replicate in più zone. Se una VM non è più disponibile, i relativi elementi di lavoro vengono considerati persi e vengono sottoposti nuovamente a elaborazione da un'altra VM.
• Se si verifica uno stockout a livello di regione, il servizio Dataflow non può creare ad altre VM.

Progettazione di pipeline Dataflow per l'alta disponibilità

Puoi eseguire più pipeline di streaming in parallelo per l'elaborazione di dati ad alta disponibilità. Ad esempio, puoi eseguire due job di streaming in parallelo in regioni diverse. L'esecuzione di pipeline parallele fornisce ridondanza geografica e tolleranza di errore per l'elaborazione dei dati. Se prendi in considerazione la disponibilità geografica delle origini e delle destinazioni dati, puoi gestire pipeline end-to-end in una configurazione multiregionale altamente disponibile. Per ulteriori informazioni, consulta Elevata disponibilità e ridondanza geografica in "Disegna i flussi di lavoro delle pipeline Dataflow".

In caso di interruzione del servizio in una zona o una regione, puoi evitare la perdita di dati riutilizzando lo stesso abbonamento all'argomento Pub/Sub. Per garantire che i record non siano persi durante lo shuffle, Dataflow usa il backup upstream, che il worker che invia i record riprovi RPC finché non riceve che i dati sono stati ricevuti e che gli effetti collaterali di durante l'elaborazione del record si impegnano nell'archiviazione permanente a valle. Inoltre, Dataflow continua a riprovare le RPC se il worker che invia i record diventa non disponibile. Il nuovo tentativo delle RPC garantisce che ogni record venga inviato esattamente una volta. Per ulteriori informazioni sulla garanzia exactly-once di Dataflow, consulta Exactly-once in Dataflow.

Se la pipeline utilizza il raggruppamento o le finestre temporali, puoi utilizzare la funzionalità di ricerca di Pub/Sub o la funzionalità di replay di Kafka dopo un'interruzione zonale o regionale per rielaborare gli elementi di dati e ottenere gli stessi risultati di calcolo. Se la logica di business utilizzata dalla pipeline non si basa sui dati prima dell'interruzione, la perdita di dati degli output della pipeline può essere ridotta al minimo fino a 0 elementi. Se la logica di business della pipeline si basa su dati sia stata elaborata prima dell'interruzione (ad esempio, se vengono usate finestre scorrevoli lunghe, o se in una finestra temporale globale vengono memorizzati contatori sempre crescenti), Utilizzare gli snapshot di Dataflow per salvare lo stato della pipeline in modalità flusso e avviare una nuova versione del job senza perdere lo stato.

Dataproc

Dataproc fornisce funzionalità di elaborazione dei dati in flussi e in batch. Dataproc è progettato come piano di controllo a livello di regione che consente agli utenti per gestire i cluster Dataproc. Il piano di controllo non dipende alla singola zona di una data regione. Pertanto, durante un'interruzione di servizio a livello di zona, mantieni l'accesso alle API Dataproc, inclusa la possibilità di creare nuovi cluster.

Puoi creare cluster Dataproc su:

• Cluster Dataproc su Compute Engine
• Cluster Dataproc su GKE

Cluster Dataproc su Compute Engine

Poiché un cluster Dataproc su Compute Engine è una risorsa zonale, un'interruzione di servizio zonale rende il cluster non disponibile o lo distrugge. Dataproc non acquisisce automaticamente lo stato del cluster, pertanto un interruzione del servizio in una zona potrebbe causare la perdita dei dati in fase di elaborazione. Dataproc non i dati utente all'interno del servizio. Gli utenti possono configurare le pipeline scrivere risultati in molti datastore; dovresti considerare l'architettura un datastore e scegliere un prodotto che offra la resilienza alle emergenze necessaria.

Se una zona presenta un'interruzione, puoi scegliere di ricreare una nuova istanza del cluster in un'altra zona selezionando una zona diversa o utilizzando la funzionalità Posizionamento automatico in Dataproc per selezionare automaticamente una zona disponibile. Una volta che il cluster è disponibile, l'elaborazione dei dati può riprendere. Puoi anche un cluster con la modalità ad alta disponibilità abilitata, riducendo la probabilità un'interruzione parziale della zona influirà su un nodo master e, di conseguenza, sull'intero cluster.

Cluster Dataproc su GKE

Cluster Dataproc su GKE a livello di zona o di regione.

Per ulteriori informazioni sull'architettura e sulle funzionalità di DR dei cluster GKE zonali e regionali, consulta la sezione Google Kubernetes Engine più avanti in questo documento.

Datastream

Datastream è un servizio di replica e CDC (Change Data Capture) serverless che consente di sincronizzare i dati in modo affidabile e con latenza minima. Datastream fornisce la replica dei dati da database operativi BigQuery e Cloud Storage. Inoltre, offre un'integrazione semplificata con i modelli Dataflow per creare flussi di lavoro personalizzati per il caricamento dei dati in un'ampia gamma di destinazioni, come Cloud SQL e Spanner.

Interruzione a livello di zona: Datastream è un servizio multi-zona. Può resistere a un'interruzione zonale completa e imprevista senza alcuna perdita di dati o disponibilità. Se si verifica un errore a livello di zona, puoi comunque accedere alle tue risorse e gestirle in Datastream.

Interruzione a livello di regione: in caso di interruzione a livello di regione, Datastream diventa di nuovo disponibile non appena l'interruzione viene risolta.

Document AI

Document AI è una piattaforma di comprensione dei documenti che prende i dati non strutturati dei documenti e li trasforma in dati strutturati, semplificandone la comprensione, l'analisi e l'utilizzo. Document AI è un servizio di Google Cloud. I clienti possono scegliere la regione, ma non le zone al suo interno. I dati e il traffico vengono automaticamente bilanciati del carico tra le zone all'interno di una regione. I server vengono scalati automaticamente per soddisfare il traffico in entrata e il carico viene bilanciato tra le zone, se necessario. Ogni zona gestisce un programmatore che fornisce questo autoscaling per zona. Lo scheduler è inoltre consapevole del carico che le altre zone ricezione ed esegue il provisioning di capacità aggiuntiva nella zona per consentire qualsiasi errore a livello di zona.

Interruzione a livello di zona: Document AI archivia i documenti utente e il processore i dati della versione. Questi dati vengono archiviati a livello di regione e scritti in modo sincrono. Dal giorno i dati sono archiviati a livello di regione, le operazioni del piano dati non sono interessate errori. Il traffico viene indirizzato automaticamente ad altre zone in caso di guasto zonale, con un ritardo basato sul tempo necessario per il recupero dei servizi dipendenti, come Vertex AI.

Interruzione a livello di regione: i dati non vengono mai replicati tra regioni. Nel corso di una regione un'interruzione del servizio, Document AI non eseguirà il failover. I clienti scelgono la regione Google Cloud in cui vogliono utilizzare Document AI. Tuttavia, il traffico dei clienti non viene mai instradato a un'altra regione.

Verifica degli endpoint

La verifica degli endpoint consente agli amministratori e ai professionisti delle operazioni di sicurezza di creare un inventario dei dispositivi che accedono ai dati di un'organizzazione. La verifica degli endpoint fornisce inoltre un controllo dell'accesso basato sulla sicurezza e sull'affidabilità dei dispositivi nell'ambito della soluzione Chrome Enterprise Premium.

Utilizza la verifica degli endpoint quando vuoi una panoramica dell'approccio alla sicurezza dei laptop e dei computer della tua organizzazione. Con la verifica degli endpoint è abbinata alle offerte Chrome Enterprise Premium, la verifica degli endpoint un controllo granulare degli accessi alle risorse Google Cloud.

La verifica degli endpoint è disponibile per Google Cloud, Cloud Identity Google Workspace Business e Google Workspace Enterprise.

Eventarc

Eventarc fornisce eventi pubblicati in modo asincrono da fornitori Google (proprietari), app utente (di terze parti) e software as a service (di terze parti) utilizzando servizi a basso accoppiamento che reagiscono ai cambiamenti di stato. Consente ai clienti di configurare le destinazioni (ad esempio un'istanza Cloud Run o una funzione Cloud Run di 2ª generazione) in modo che vengano attivate quando si verifica un evento in un servizio del fornitore di eventi o nel codice del cliente.

Interruzione di servizio a livello di zona: Eventarc archivia i metadati relativi agli attivatori. Questi dati vengono archiviati a livello di regione e scritti in modo sincrono. L'API Eventarc che crea e gestisce trigger e canali restituisce la chiamata API solo quando i dati sono stati impegnati per raggiungere il quorum all'interno di una regione. Poiché i dati vengono archiviati a livello di regione, le operazioni del piano dati non sono interessate da errori circoscritti a una zona. Nella in caso di errore a livello di zona, il traffico viene automaticamente instradato ad altre zone. Servizi Eventarc per la ricezione e l'erogazione di servizi e gli eventi di terze parti vengono replicati nelle zone. Questi servizi sono distribuiti a livello regionale. Le richieste alle zone non disponibili vengono fornite automaticamente disponibili nella regione.

Interruzione a livello di regione: i clienti scelgono la regione Google Cloud in cui creare gli attivatori Eventarc. I dati non vengono mai replicati tra regioni. Il traffico dei clienti non viene mai indirizzato da Eventarc a una regione diversa. In caso di guasto regionale, Eventarc diventa di nuovo disponibile non appena l'interruzione viene risolta. Per ottenere una disponibilità maggiore, i clienti sono incoraggiati a eseguire il deployment si attiva in più regioni, se necessario.

Tieni presente quanto segue:

• I servizi Eventarc per la ricezione e l'invio di eventi proprietari vengono forniti secondo il criterio del massimo impegno e non sono coperti da RTO/RPO.
• La pubblicazione di eventi Eventarc per i servizi Google Kubernetes Engine viene fornita secondo il criterio del massimo impegno e non è coperta da RTO/RPO.

Filestore

I livelli di base e HighScale sono risorse a livello di zona. Non tollerano della zona o della regione di cui è stato eseguito il deployment.

Le istanze Filestore di livello Enterprise sono risorse a livello di regione. Filestore adotta i criteri di coerenza rigorosa richiesti da NFS. Quando un client scrive dati, Filestore non restituisce conferma fino a quando la modifica non viene persistente e replicata in due zone, le letture successive restituiscono i dati corretti.

In caso di errore a livello di zona, un'istanza di livello Enterprise continua a fornire dati da altre zone e nel frattempo accetta nuove scritture. Sia i sistemi di lettura operazioni di scrittura potrebbero avere prestazioni ridotte; l'operazione di scrittura non essere replicati. La crittografia non è compromessa perché la chiave verrà gestita da altre zone.

Consigliamo ai client di creare backup esterni in caso di ulteriori interruzioni in nella stessa regione. Il backup può essere utilizzato per ripristinare l'istanza in altre regioni.

Firestore

Firestore è un database flessibile e scalabile per lo sviluppo mobile, web e server di Firebase e Google Cloud. Firestore offre replica automatica dei dati multiregione, garanzie di elevata coerenza, operazioni batch atomiche e transazioni ACID.

Firestore offre ai clienti località sia a livello di una sola regione sia a livello di più regioni. Il traffico viene automaticamente bilanciato del carico tra le zone di una regione.

Le istanze Firestore regionali replicano i dati in modo sincrono su almeno tre zone. In caso di errore zonale, le scritture possono essere ancora committate dalle due (o più) repliche rimanenti e i dati committati vengono mantenuti. Il traffico viene indirizzato automaticamente ad altre zone. Una località regionale offre costi inferiori, minore latenza di scrittura e colocation con altri servizi Google Cloud Google Cloud.

Le istanze multiregionali di Firestore replicano i dati in modo sincrono in cinque zone di tre regioni (due regioni di servizio e una regione di testimone) e sono resistenti ai guasti a livello di zona e di regione. In caso di configurazione a livello di zona o di regione un errore, i dati di cui è stato eseguito il commit vengono mantenuti. Il traffico viene instradato automaticamente alle zone/regioni di pubblicazione e i commit vengono comunque pubblicati da almeno tre zone nelle due regioni rimanenti. Le regioni multiple massimizzano la disponibilità e la durabilità dei database.

Firewall Insights

Firewall Insights ti aiuta a comprendere e ottimizzare le tue regole firewall. Fornisce approfondimenti, suggerimenti e metriche sull'utilizzo delle regole firewall. Firewall Insights utilizza anche il machine learning per prevedere l'utilizzo futuro delle regole firewall. Firewall Insights ti consente di migliorare durante l'ottimizzazione delle regole firewall. Ad esempio, Firewall Insights identifica le regole che classifica come eccessivamente permissive. Puoi utilizzare queste informazioni per rendere più restrittiva la configurazione del firewall.

Interruzione a livello di zona: poiché i dati di Firewall Insights vengono replicati su zone, non subisce interruzioni a livello di zona e il traffico dei clienti instradato automaticamente ad altre zone.

Interruzione a livello di regione: poiché i dati di Firewall Insights vengono replicati su regioni non subisce interruzioni a livello di regione e il traffico dei clienti vengono indirizzati automaticamente ad altre regioni.

Parco risorse

I parchi risorse consentono ai clienti di gestire più cluster Kubernetes come un gruppo e agli amministratori della piattaforma di utilizzare servizi multi-cluster. Ad esempio, i parchi risorse consentono agli amministratori di applicare in modo uniforme su tutti i cluster o configurare Ingress multi-cluster.

Quando registri un cluster GKE in un parco risorse, per impostazione predefinita un cluster presenta un'appartenenza a livello di regione nella stessa regione. Quando ti registri da un cluster non Google Cloud a un parco risorse, puoi scegliere qualsiasi regione o globale. La best practice è scegliere una regione vicina alla sede fisica del cluster. In questo modo, la latenza è ottimale quando utilizzi Connect Gateway per accedere al cluster.

In caso di interruzione di servizio a livello di zona, le funzionalità del parco risorse non sono interessate, a meno che il cluster sottostante non sia di zona e non sia più disponibile.

In caso di interruzione a livello di regione, le funzionalità del parco risorse non funzionano in modo statico per il di appartenenza alla regione. La mitigazione di un'interruzione a livello di regione richiede il deployment in più regioni, come suggerito Architettura del ripristino di emergenza per le interruzioni dell'infrastruttura cloud.

Google Cloud Armor

Google Cloud Armor ti aiuta a proteggere i tuoi deployment e le tue applicazioni da diversi tipi di minacce, tra cui: attacchi DDoS volumetrici e attacchi alle applicazioni come cross-site scripting (XSS) e SQL injection. Google Cloud Armor filtra il traffico indesiderato su Google Cloud bilanciatori del carico e impedisce che questo traffico entri nel tuo VPC e consumi Google Cloud. Alcune di queste protezioni sono automatiche. Alcuni richiedono di configurare i criteri di sicurezza e di associarli a regioni o servizi di backend. I criteri di sicurezza di Google Cloud Armor con ambito globale vengono applicati ai bilanciatori del carico globali. I criteri di sicurezza con ambito a livello di regione vengono applicati ai bilanciatori del carico regionali.

Interruzione del servizio a livello di zona: in caso di interruzione del servizio a livello di zona, i bilanciatori del carico di Google Cloud reindirizzano il traffico ad altre zone in cui sono disponibili istanze di backend funzionanti. La protezione di Google Cloud Armor è disponibile immediatamente dopo il failover del traffico perché i criteri di sicurezza di Google Cloud Armor vengono replicati in modo sincrono in tutte le zone di una regione.

Interruzione a livello di regione: in caso di interruzioni a livello di regione, i bilanciatori del carico globali di Google Cloud reindirizzano il traffico ad altre regioni in cui sono disponibili istanze di backend funzionanti. La protezione di Google Cloud Armor è disponibile immediatamente dopo il failover del traffico perché i criteri di sicurezza di Google Cloud Armor globali vengono replicati in modo sincrono in tutte le regioni. Per essere resiliente ai guasti regionali, devi configurare i criteri di sicurezza regionale di Google Cloud Armor per tutte le regioni.

Google Kubernetes Engine

Google Kubernetes Engine (GKE) offre il servizio Kubernetes gestito semplificare il deployment di applicazioni containerizzate su Google Cloud. Puoi scegliere tra topologie di cluster regionali o zonali.

• Quando crei un cluster di zona, GKE esegue il provisioning di una macchina del piano di controllo nella zona scelta, nonché di macchine worker (nodi) all'interno della stessa zona.
• Per i cluster regionali, GKE esegue il provisioning di tre piani di controllo in tre diverse zone all'interno della regione scelta. Per impostazione predefinita, nodi sono distribuiti in tre zone, sebbene tu possa scegliere di creare a livello di regione con nodi di cui è stato eseguito il provisioning solo in una zona.
• I cluster multi-zona sono simili ai cluster a livello di zona in quanto includono una macchina master, ma offrono anche la possibilità di distribuire i nodi su più zone.

Interruzione a livello di zona: per evitare interruzioni a livello di zona, utilizza i cluster regionali. Il piano di controllo e i nodi sono distribuiti in tre zone diverse all'interno di una regione. Un'interruzione del servizio in una zona non influisce sui nodi del piano di controllo e sui nodi worker di cui è stato eseguito il deployment nelle altre due zone.

Interruzione a livello di regione: la mitigazione di un'interruzione a livello di regione richiede il deployment in tutta in più regioni. Sebbene al momento non sia offerta come funzionalità di prodotto integrata, la topologia multiregione è un approccio adottato oggi da diversi clienti GKE e può essere implementata manualmente. Puoi creare più cluster a livello di regione per replicare i carichi di lavoro regioni e controllare il traffico verso questi cluster Ingress multi-cluster.

VPN ad alta disponibilità

La VPN ad alta disponibilità è un'offerta Cloud VPN resiliente che cripta in modo sicuro il traffico dal tuo cloud privato on-premise, da un altro cloud privato virtuale o da un'altra rete di fornitori di servizi cloud al tuo Virtual Private Cloud (VPC) di Google Cloud.

I gateway della VPN ad alta disponibilità hanno due interfacce, ciascuna con un indirizzo IP da pool di indirizzi IP separati, suddivisi in modo logico e fisico tra diversi PoP e cluster, per garantire una ridondanza ottimale.

Interruzione a livello di zona: in caso di interruzione a livello di zona, un'interfaccia potrebbe andare persa ma il traffico viene reindirizzato all'altra interfaccia tramite di routing tramite BGP (Border Gateway Protocol).

Interruzione del servizio regionale: in caso di interruzione del servizio regionale, entrambe le interfacce potrebbero perdere la connettività per un breve periodo.

Identity and Access Management

Identity and Access Management (IAM) è responsabile di tutte le decisioni di autorizzazione per le azioni sulle risorse cloud. IAM conferma che un criterio concede l'autorizzazione per ogni azione (nel piano di dati) ed elabora gli aggiornamenti di questi criteri tramite una chiamata SetPolicy (nel piano di controllo).

Tutti i criteri IAM vengono replicati in più zone all'interno di ogni regione, aiutando le operazioni del piano di dati IAM a riprendersi dai guasti di altre regioni e tollerando i guasti delle zone all'interno di ogni regione. La resilienza del piano di dati IAM contro i guasti delle zone e delle regioni consente di implementare architetture multi-regione e multi-zona per l'alta disponibilità.

Le operazioni del piano di controllo IAM possono dipendere da più regioni la replica dei dati. Quando le chiamate a SetPolicy hanno esito positivo, i dati vengono scritti in in più regioni, ma la propagazione in altre regioni è alla fine coerente. Il piano di controllo IAM è resiliente agli errori a livello di una singola regione.

Identity-Aware Proxy

Identity-Aware Proxy fornisce l'accesso alle applicazioni in hosting su Google Cloud, su altri cloud e on-premise. L'IAP è distribuito a livello di regione e le richieste alle zone non disponibili vengono eseguite automaticamente da altre zone disponibili della regione.

Le interruzioni a livello di regione in IAP influiscono sull'accesso alle applicazioni ospitate nella regione interessata. Ti consigliamo di eseguire il deployment in più regioni e utilizzare Cloud Load Balancing per ottenere disponibilità e resilienza maggiori a fronte di interruzioni regionali.

Identity Platform

Identity Platform consente ai clienti di aggiungere alle loro app funzionalità di gestione di identità e accessi di livello Google personalizzabili. Identity Platform è un'offerta globale. I clienti non possono scegliere le regioni o le zone in cui sono archiviati i loro dati.

Interruzione zonale: durante un'interruzione zonale, Identity Platform non riesce a gestire le richieste alla cella più vicina. Tutti i dati vengono salvati su scala globale, senza alcuna perdita di dati.

Interruzione del servizio a livello di regione: durante un'interruzione del servizio a livello di regione, le richieste di Identity Platform alla regione non disponibile non vanno a buon fine temporaneamente, mentre Identity Platform rimuove il traffico dalla regione interessata. Quando non c'è più traffico nella regione interessata, un servizio di bilanciamento del carico del server globale instrada le richieste alla regione integra più vicina disponibile. Tutti i dati vengono salvati a livello globale, quindi non c'è perdita di dati.

Knative serving

Knative serving è un servizio globale che consente ai clienti di eseguire carichi di lavoro serverless sui cluster dei clienti. Il suo scopo è garantire che i carichi di lavoro di Knative serving vengano implementati correttamente nei cluster dei clienti e che lo stato di installazione di Knative serving sia riportato nella risorsa della funzionalità dell'API GKE Fleet. Questo servizio viene utilizzato solo durante l'installazione o l'upgrade delle risorse Knative serving sui cluster dei clienti. Non è coinvolto nell'esecuzione dei carichi di lavoro del cluster. Cluster di clienti appartenenti a progetti con Knative serving vengono distribuite tra le repliche in più regioni e zone: è monitorato da una replica.

Interruzione a livello di zona e di regione: i cluster monitorati da repliche ospitate in una località in cui si verifica un'interruzione vengono ridistribuiti automaticamente tra le repliche funzionanti in altre zone e regioni. Mentre la riassegnazione è in corso, potrebbe trascorrere un po' di tempo quando non vengono monitorati da Knative serving. Se durante questo periodo l'utente decide di abilitare Knative serving sul cluster, l'installazione di Knative serving del cluster inizierà dopo la riconnessione del cluster di una replica di servizio Knative serving integro.

Looker (Google Cloud core)

Looker (Google Cloud core) è una piattaforma di business intelligence che fornisce provisioning, configurazione e gestione semplificati e senza problemi di un'istanza di Looker dalla console Google Cloud. Looker (Google Cloud core) consente agli utenti di esplorare i dati, creare dashboard, configurare avvisi e condividere report. Inoltre, Looker (Google Cloud core) offre un IDE per i creatori di modelli di dati e funzionalità avanzate di incorporamento e API per gli sviluppatori.

Looker (Google Cloud core) è composto da istanze isolate a livello di regione che replicano in modo sincrono i dati tra le zone all'interno della regione. Assicurati che le risorse utilizzate dall'istanza, ad esempio le origini dati a cui si connette Looker (componente principale di Google Cloud), si trovino nella stessa regione in cui viene eseguita l'istanza.

Interruzione di servizio a livello di zona: le istanze di Looker (Google Cloud core) archiviano i metadati e i propri container di cui è stato eseguito il deployment. I dati vengono scritti in modo sincrono nelle istanze replicate. In un'interruzione a livello di zona, le istanze di Looker (Google Cloud core) continuano per la pubblicazione da altre zone disponibili nella stessa regione. Eventuali transazioni o chiamate API vengono restituite dopo che i dati sono stati sottoposti a commit a un quorum all'interno di una regione. Se la replica non va a buon fine, la transazione non viene confermata e l'utente riceve una notifica dell'errore. Se più di una zona non va a buon fine, anche le transazioni non vanno a buon fine e l'utente riceve una notifica. Looker (Google Cloud core) interrompe eventuali pianificazioni o query in esecuzione. Devi riprogrammarle o accodarle di nuovo una volta risolto l'errore.

Interruzione del servizio a livello di regione: le istanze di Looker (Google Cloud core) all'interno della regione interessata non sono disponibili. Looker (Google Cloud core) interrompe eventuali pianificazioni o query in esecuzione. Dopo aver risolto l'errore, devi riprogrammare o mettere in coda nuovamente le query. Puoi creare manualmente nuovi in una regione diversa. Puoi anche recuperare le istanze utilizzando la procedura descritta in Importa o esporta i dati da un'istanza di Looker (Google Cloud core). Ti consigliamo di configurare un processo di esportazione dei dati periodico per copiare le risorse in anticipo, nell'improbabile caso di interruzione del servizio a livello di regione.

Looker Studio

Looker Studio è un prodotto di business intelligence e visualizzazione dei dati. Consente ai clienti di connettersi ai propri dati archiviati in altri sistemi, creare report e dashboard utilizzando questi dati e condividere i report e all'interno dell'organizzazione. Looker Studio è una piattaforma globale e non consente agli utenti di selezionare un ambito delle risorse.

In caso di interruzione a livello di zona, Looker Studio continua a pubblicare richieste da un'altra zona nella stessa regione o in una regione diversa senza un'interruzione del servizio. Le risorse utente vengono replicate in modo sincrono nelle varie regioni. Pertanto, non si verificano perdite di dati.

In caso di interruzione regionale, Looker Studio continua a pubblicare richieste da un'altra regione senza interruzioni. Gli asset utente sono in modo sincrono replicati tra regioni. Pertanto, non si verificano perdite di dati.

Memorystore for Memcached

Memorystore for Memcached è l'offerta Memcached gestita di Google Cloud. Memorystore for Memcached consente ai clienti di creare cluster Memcached utilizzati come database di coppie chiave-valore e ad alta velocità effettiva per le applicazioni.

I cluster Memcached sono a livello di regione, con nodi distribuiti in in zone specificate dal cliente. Tuttavia, Memcached non replica alcun dato nodi. Pertanto, un errore a livello di zona può causare la perdita di dati, come descritto anche uno svuotamento parziale della cache. Le istanze Memcached continueranno a funzionare, ma avranno meno nodi, poiché il servizio non ne avvierà di nuovi durante un errore zonale. I nodi Memcached nelle zone non interessate continueranno a essere gestire il traffico, anche se l'errore di zona si tradurrà in una percentuale di successo della cache inferiore fino al recupero della zona.

In caso di errore a livello di regione, i nodi Memcached non gestiscono il traffico. In questo caso, i dati andranno persi e verrà eseguito uno svuotamento completo della cache. Per mitigare un a livello di regione, puoi implementare un'architettura che esegue il deployment dell'applicazione e Memorystore for Memcached in più regioni.

Memorystore for Redis

Memorystore for Redis è un servizio Redis completamente gestito per Google Cloud che può ridurre il carico di gestione dei deployment Redis complessi. Al momento offre 2 livelli: Base e Standard. Per il livello base, a livello di zona o di regione un'interruzione del servizio comporterà la perdita di dati, una procedura nota anche come svuotamento completo della cache. Per standard A livello di regione, un'interruzione regionale causerà la perdita di dati. Un'interruzione a livello di zona potrebbe causare perdita di dati parziale sull'istanza di livello Standard dovuta alla replica asincrona.

Interruzione a livello di zona: le istanze del livello Standard replicano in modo asincrono il set di dati operazioni dal set di dati nel nodo primario al nodo di replica. Quando che un'interruzione del servizio si verifichi all'interno della zona del nodo primario, il nodo di replica promosso in nodo primario. Durante la promozione, si verifica un failover e il client Redis deve riconnettersi all'istanza. Dopo la riconnessione, e riprendere le operazioni. Per ulteriori informazioni sull'alta disponibilità delle istanze Memorystore for Redis nel livello Standard, consulta Alta disponibilità di Memorystore for Redis.

Se attivi le repliche di lettura nell'istanza di livello standard e hai una sola replica, l'endpoint di lettura non è disponibile per la durata di un'interruzione zonale. Per ulteriori informazioni il ripristino di emergenza delle repliche di lettura, Modalità di errore per le repliche di lettura.

Interruzione a livello di regione: Memorystore for Redis è un prodotto regionale, quindi un singolo un'istanza non può tollerare un errore a livello di regione. Puoi pianificare attività periodiche per esportare un'istanza Redis in un bucket Cloud Storage in un'altra regione. In caso di interruzione del servizio a livello di regione, puoi ripristinare l'istanza Redis in una regione diversa da quella del set di dati che hai esportato.

Rilevamento servizi multi-cluster e Ingress multi-cluster

I servizi multi-cluster GKE sono costituiti da più servizi componenti. I componenti includono l'hub Google Kubernetes Engine (che orchestra più cluster Google Kubernetes Engine utilizzando le iscrizioni), i cluster stessi e i controller dell'hub GKE (Ingress multi-cluster, Multi-Cluster Service Discovery). I controller hub orchestrano la configurazione del bilanciatore del carico di Compute Engine utilizzando i backend su più cluster.

In caso di interruzione del servizio a livello di zona, Multi-Cluster Service Discovery continua a gestire le richieste da un'altra zona o regione. In caso di interruzione del servizio a livello di regione, Multi-Cluster Service Discovery non esegue il failover.

In caso di interruzione di servizio zonale per Ingress multi-cluster, se il cluster di configurazione è zonale e rientra nell'ambito dell'errore, l'utente deve eseguire manualmente il failover. Il piano di dati è fail-static e continuerà a gestire il traffico fino al trasferimento dell'utente. Per evitare la necessità di un failover manuale, utilizza un cluster regionale per il cluster di configurazione.

In caso di interruzione a livello di regione, Ingress multi-cluster non esegue il failover. Gli utenti devono avere un piano di RP per il trasferimento manuale del cluster di configurazione. Per maggiori informazioni, consulta Configurare Ingress multi-cluster e Configurare i servizi multi-cluster.

Per ulteriori informazioni su GKE, consulta "Google Kubernetes Engine" in Architettura del ripristino di emergenza per le interruzioni dell'infrastruttura cloud.

Network Analyzer

Network Analyzer monitora automaticamente le configurazioni di rete VPC e rileva configurazioni errate e configurazioni non ottimali. Fornisce approfondimenti su topologia di rete, regole firewall, route, dipendenze di configurazione e connettività a servizi e applicazioni. Identifica gli errori di rete, fornisce informazioni sulla causa principale e suggerisce possibili risoluzioni.

Network Analyzer viene eseguito continuamente e attiva analisi pertinenti in base agli aggiornamenti della configurazione quasi in tempo reale nella tua rete. Se Network Analyzer rileva un errore di rete, cerca di correlarlo con modifiche alla configurazione per identificare le cause principali. Ove possibile, fornisce consigli per suggerire dettagli su come risolvere i problemi.

Network Analyzer è uno strumento di diagnostica senza componenti del piano dati. Non elabora né genera traffico utente.

Interruzione zonale: il servizio Network Analyzer viene replicato a livello globale e la sua disponibilità non è interessata da un'interruzione zonale.

Se gli approfondimenti di Network Analyzer contengono configurazioni di una zona in cui si è verificata un'interruzione del servizio, la qualità dei dati ne risente. Le statistiche sulla rete le configurazioni in quella zona diventano obsolete. Non fare affidamento su alcun insight fornito da Network Analyzer durante le interruzioni del servizio.

Interruzione a livello di regione: il servizio Network Analyzer viene replicato a livello globale e i suoi e la disponibilità non è influenzata da un'interruzione regionale.

Se gli approfondimenti di Network Analyzer contengono configurazioni di una regione in cui si è verificata un'interruzione del servizio, la qualità dei dati ne risente. Le statistiche sulla rete che fanno riferimento alle configurazioni nella regione diventano obsolete. Non fare affidamento su nessuna gli insight forniti da Network Analyzer durante le interruzioni.

Network Topology

Network Topology è uno strumento di visualizzazione che mostra la topologia dell'infrastruttura di rete. La visualizzazione Infrastruttura mostra le reti VPC (Virtual Private Cloud), la connettività ibrida verso e dalle reti on-premise, la connettività ai servizi gestiti da Google e le metriche associate.

Interruzione a livello di zona: in caso di interruzione a livello di zona, i relativi dati non verranno visualizzati in Network Topology. I dati relativi alle altre zone non sono interessati.

Interruzione a livello di regione: in caso di interruzione a livello di regione, i dati per quella regione non verranno mostrati in Network Topology. I dati relativi ad altre regioni non sono interessati.

Performance Dashboard

Performance Dashboard ti offre visibilità sulle prestazioni dell'intera rete Google Cloud e delle risorse del tuo progetto.

Con queste funzionalità di monitoraggio delle prestazioni, puoi distinguere un problema nella tua applicazione da uno nella rete Google Cloud sottostante. Puoi anche analizzare i problemi storici di prestazioni della rete. Performance Dashboard esporta anche i dati in Cloud Monitoring. Puoi utilizzare Monitoring per eseguire query sui dati e ottenere l'accesso a informazioni aggiuntive.

Interruzione a livello di zona:

In caso di interruzione a livello di zona, i dati relativi a latenza e perdita di pacchetti relativi al traffico proveniente dalla zona interessata non verranno visualizzati in Performance Dashboard. I dati sulla latenza e sulla perdita di pacchetti per il traffico proveniente da altre zone non sono interessati. Al termine dell'interruzione, i dati sulla latenza e sulla perdita di pacchetti riprendono.

Interruzione a livello di regione:

In caso di interruzione di un'area geografica, i dati relativi a latenza e perdita di pacchetti relativi al traffico proveniente dalla regione interessata non verranno visualizzati in Performance Dashboard. I dati sulla latenza e sulla perdita di pacchetti per il traffico proveniente da altre regioni non sono interessati. Al termine dell'interruzione, i dati sulla latenza e sulla perdita di pacchetti riprendono.

Network Connectivity Center

Network Connectivity Center è un prodotto per la gestione della connettività di rete che utilizza una hub e spoke. Con questa architettura, una risorsa di gestione centralizzata funge da hub e ogni risorsa di connettività funge da spoke. Attualmente gli spoke ibridi supportano VPN ad alta disponibilità, Dedicated e Partner Interconnect, e SD-WAN dei principali fornitori di terze parti. Con gli spoke ibridi di Network Connectivity Center, le aziende possono connettere carichi di lavoro Google Cloud e ai data center on-premise, ad altri cloud e alle relative filiali grazie alla portata globale della rete Google Cloud.

Interruzione di servizio zonale: uno spoke ibrido di Network Connectivity Center con configurazione HA è resiliente ai guasti zonali perché il piano di controllo e il piano di dati di rete sono ridondanti in più zone all'interno di una regione.

Interruzione a livello di regione: uno spoke ibrido di Network Connectivity Center è una risorsa di regione, quindi e non è in grado di sostenere un errore a livello di regione.

Network Service Tiers

Network Service Tiers ti consente di ottimizzare la connettività tra i sistemi su internet e delle tue istanze Google Cloud. Offre due livelli di servizio distinti, il livello Premium e il livello Standard. Con il livello Premium, un anycast annunciato a livello globale L'indirizzo IP del livello Premium può fungere da frontend sia per l'area geografica che per quella globale di backend. Con il livello Standard, un IP di livello Standard annunciato a livello regionale di destinazione può fungere da frontend per i backend regionali. La resilienza complessiva di un'applicazione è influenzato sia dal livello di servizio di rete che ridondanza dei backend a cui è associato.

Interruzione a livello di zona: sia il livello Premium che il livello Standard offrono resilienza a livello di zona quando sono associati a backend ridondanti a livello di regione. Quando a livello di zona, il comportamento di failover per i casi che usano sono determinati dai backend associati stessi. Se associato con backend di zona, il servizio sarà di nuovo disponibile non appena sia stata risolta.

Interruzione a livello di regione: il livello Premium offre resilienza contro le interruzioni regionali quando è associato a backend ridondanti a livello globale. Nel livello Standard, tutto il traffico verso la regione interessata non andrà a buon fine. Il traffico verso tutte le altre regioni rimane unaffected. Quando si verifica un'interruzione a livello di regione, il comportamento di failover per i casi il livello Premium con backend ridondanti a livello globale è determinato ai backend associati. Quando utilizzi il livello Premium con le opzioni regionali o al livello Standard, il servizio sarà di nuovo disponibile quando l'interruzione viene risolta.

Servizio Criteri dell'organizzazione

Il servizio Criteri dell'organizzazione offre un controllo centralizzato e programmatico sulle risorse Google Cloud della tua organizzazione. In qualità di amministratore dei criteri dell'organizzazione, puoi configurare i vincoli in tutta la gerarchia delle risorse.

Interruzione a livello di zona: tutti i criteri dell'organizzazione creati dal servizio Criteri dell'organizzazione vengono replicati in modo asincrono in più zone all'interno di ogni regione. I dati dei criteri dell'organizzazione e le operazioni del piano di controllo sono tolleranti nei confronti degli errori di zona all'interno di ogni regione.

Interruzione a livello di regione: tutti i criteri dell'organizzazione creati dal servizio Criteri dell'organizzazione vengono replicati in modo asincrono in più regioni. Le operazioni del piano di controllo dei criteri dell'organizzazione vengono scritte in più regioni e la propagazione alle altre regioni è coerente entro pochi minuti. Il piano di controllo dei criteri dell'organizzazione è resiliente al fallimento di una singola regione. Le operazioni del piano dati dei criteri dell'organizzazione possono ripristinare gli errori in altre regioni e la resilienza del piano dati dei criteri dell'organizzazione agli errori di zona e di regione abilita architetture multiregionali e multizona per garantire l'alta disponibilità.

Mirroring pacchetto

Il mirroring dei pacchetti clona il traffico delle istanze specificate nella rete VPC (Virtual Private Cloud) e inoltra i dati clonati alle istanze dietro un bilanciatore del carico interno regionale per l'esame. Il mirroring dei pacchetti acquisisce tutto il traffico e i dati dei pacchetti, inclusi i payload e le intestazioni.

Per ulteriori informazioni sulla funzionalità del servizio Mirroring pacchetto, consulta la pagina Panoramica della funzionalità Mirroring pacchetto.

Interruzione a livello di zona: configura il bilanciatore del carico interno in modo che ci siano istanze in più zone. Se si verifica un'interruzione a livello di zona, il mirroring pacchetto devia i pacchetti clonati a una zona integro.

Interruzione a livello di regione: il mirroring pacchetto è un prodotto a livello di regione. Se si verifica un'interruzione regionale, i pacchetti nella regione interessata non vengono clonati.

Persistent Disk

I dischi permanenti sono disponibili in configurazioni a livello di zona e di regione.

I dischi permanenti a livello di zona sono ospitati in un'unica zona. Se la zona del disco è non disponibile, il Persistent Disk non sarà disponibile finché l'interruzione non risolto.

I dischi permanenti a livello di regione offrono la replica sincrona dei dati tra in una regione. In caso di interruzione nella zona della tua macchina virtuale, può forzare il collegamento di un Persistent Disk a livello di regione a un'istanza VM in una zona secondaria. Per eseguire questa attività, devi avviare un'altra istanza VM in quella zona o di mantenere un'istanza VM hot standby in quella zona.

Per replicare in modo asincrono i dati in un disco permanente tra regioni, puoi utilizzare la replica asincrona del disco permanente (PD Async Replication), che fornisce una replica dell'archiviazione a blocchi con RTO e RPO bassi per il RE attivo-passivo tra regioni. Nell'improbabile caso di un'interruzione in una regione, la replica asincrona del disco permanente ti consente di eseguire il failover dei dati in una regione secondaria e di riavviare il carico di lavoro in quella regione.

Personalized Service Health

Personalized Service Health comunica le interruzioni dei servizi pertinenti ai tuoi progetti Google Cloud. Fornisce diversi canali e processi per visualizzare o integrare eventi di disturbo (incidenti, manutenzione pianificata) nel processo di risposta agli incidenti, tra cui:

• Una dashboard nella console Google Cloud
• Un'API di servizio
• Avvisi configurabili
• Log generati e inviati a Cloud Logging

Interruzione a livello di zona: i dati vengono forniti da un database globale senza alcuna dipendenza da località specifiche. Se si verifica un'interruzione a livello di zona, Service Health è in grado di gestire le richieste e reindirizzare automaticamente il traffico a zone della stessa regione ancora funzionanti. Service Health può restituire correttamente chiamate API se è in grado di recuperare i dati sugli eventi dal database Service Health.

Interruzione a livello di regione: i dati vengono pubblicati da un database globale senza alcuna dipendenza da località specifiche. In caso di interruzione del servizio a livello di regione, lo stato del servizio è comunque in grado di gestire le richieste, ma potrebbe funzionare con una capacità ridotta. Gli errori regionali nelle località di Logging potrebbero influire sugli utenti di Service Health che utilizzano i log o le notifiche di avviso su cloud.

Private Service Connect

Private Service Connect è una funzionalità della rete di Google Cloud che consente ai consumer di accedere ai servizi gestiti in privato dall'interno della loro rete VPC. Analogamente, consente ai producer di servizi gestiti di ospitare questi servizi nelle proprie reti VPC separate e di offrire una connessione privata ai propri consumer.

Endpoint Private Service Connect per i servizi pubblicati

Un endpoint Private Service Connect si connette ai servizi nel servizio della rete VPC dei producer utilizzando una regola di forwarding Private Service Connect. Il producer di servizi fornisce un servizio utilizzando la connettività privata a un consumer di servizi, esponendo un singolo collegamento al servizio. In questo modo, l'utente consumer del servizio potrà assegnare un indirizzo IP virtuale dal proprio VPC per il servizio in questione.

Interruzione a livello di zona: traffico di Private Service Connect che proviene dal traffico delle VM generato dagli endpoint client VPC consumer possono comunque accedere ai servizi gestiti esposti sul producer di servizi rete VPC interna. Questo accesso è possibile perché Esegui il failover del traffico di Private Service Connect allo stato più integro in una zona diversa.

Interruzione del servizio a livello di regione: Private Service Connect è un prodotto regionale. Non è resiliente alle interruzioni regionali. I servizi gestiti multiregionali possono raggiungere un'alta disponibilità durante le interruzioni a livello di regione configurando gli endpoint Private Service Connect in più regioni.

Endpoint Private Service Connect per le API di Google

Un endpoint Private Service Connect si connette alle API di Google utilizzando una regola di inoltro Private Service Connect. Questa regola di forwarding consente i clienti utilizzano nomi personalizzati degli endpoint con i loro indirizzi IP interni.

Interruzione a livello di zona: traffico di Private Service Connect proveniente dal consumer Gli endpoint client VPC possono comunque accedere alle API di Google perché la connettività il failover automatico della VM e dell'endpoint verrà eseguito in un'altra zona funzionale nella stessa regione. Richieste già in corso quando inizia un'interruzione dipenderà dal protocollo TCP del client un comportamento di timeout e di nuovi tentativi per il recupero.

Per ulteriori dettagli, consulta la sezione sul recupero di Compute Engine.

Interruzione a livello di regione: Private Service Connect è un servizio a livello di regione prodotto. Non è resiliente alle interruzioni del servizio a livello di regione. I servizi gestiti multiregionali possono raggiungere un'alta disponibilità durante le interruzioni a livello di regione configurando gli endpoint Private Service Connect in più regioni.

Per ulteriori informazioni su Private Service Connect, consulta la sezione "Endpoint" in Tipi di Private Service Connect.

Pub/Sub

Pub/Sub è un servizio di messaggistica per l'integrazione delle applicazioni e l'analisi dei flussi di dati. Gli argomenti Pub/Sub sono globali, il che significa che sono visibili e accessibili da qualsiasi località Google Cloud. Tuttavia, ogni singolo messaggio viene archiviato in una singola regione Google Cloud, il più vicino all'editore e consentito criterio di località delle risorse. Di conseguenza, un argomento può avere messaggi archiviati in regioni in Google Cloud. Pub/Sub criteri di archiviazione dei messaggi può limitare le regioni in cui sono archiviati i messaggi.

Interruzione zonale: quando viene pubblicato un messaggio Pub/Sub, viene scritto in modo sincrono nello spazio di archiviazione di almeno due zone all'interno della regione. Pertanto, se una singola zona non è più disponibile, non impatto.

Interruzione a livello di regione: durante un'interruzione di una regione, i messaggi archiviati all'interno dell'area interessata regione non è accessibile. i publisher e gli abbonati che si collegano la regione interessata, tramite un endpoint a livello di regione o di endpoint globale, riuscire a connettersi. I publisher e gli abbonati che si connettono ad altre regioni possono ancora farlo e i messaggi disponibili in altre regioni vengono recapitati agli abbonati più vicini alla rete che dispongono di capacità.

Se la tua applicazione si basa sull'ordinamento dei messaggi, consulta i consigli dettagliati del team di Pub/Sub. Le garanzie di ordinamento dei messaggi forniti in base alla regione e possono subire interruzioni se utilizzi un endpoint.

reCAPTCHA

reCAPTCHA è un servizio globale che rileva attività fraudolente, spam e comportamenti illeciti. Non richiede né consente la configurazione per regioni o zone resilienza. Gli aggiornamenti dei metadati di configurazione vengono replicati in modo asincrono in ogni regione in cui viene eseguito reCAPTCHA.

In caso di interruzione a livello di zona, reCAPTCHA continua a gestire le richieste da un'altra zona nella stessa regione o in un'altra senza interruzioni.

In caso di interruzione a livello di regione, reCAPTCHA continua a gestire le richieste provenienti da un'altra regione senza interruzioni.

Secret Manager

Secret Manager è un prodotto per la gestione di secret e credenziali per Google Cloud. Con Secret Manager puoi controllare e limitare facilmente l'accesso ai secret, criptare i secret at-rest e assicurarti che le informazioni sensibili siano protette in Google Cloud.

In genere, le risorse di Secret Manager vengono create con criterio di replica automatica (consigliato), che ne fa sì che vengano replicati a livello globale. Se la tua organizzazione ha criteri che non consentono replica dei dati secret, le risorse di Secret Manager possono creati con criteri di replica gestiti dall'utente, in cui una o più regioni sono per la replica di un secret.

Interruzione a livello di zona: in caso di interruzione a livello di zona, Secret Manager continua a gestire le richieste da un'altra zona nella stessa regione o in un'altra senza interruzioni. All'interno di ogni regione, Secret Manager gestisce sempre almeno due repliche in zone separate (nella maggior parte delle regioni, tre repliche). Quando l'interruzione della zona viene risolta, viene ripristinata la ridondanza completa.

Interruzione a livello di regione: nel caso di un'interruzione a livello di regione, Secret Manager continua a gestire le richieste da un'altra regione senza interruzioni, supponendo che i dati siano stati replicati in più di una regione (tramite la replica automatica o gestita dall'utente replica in più di una regione). Quando l'interruzione nella regione viene risolta, viene ripristinata la ridondanza completa.

Security Command Center

Security Command Center è la piattaforma globale e in tempo reale di gestione dei rischi per Google Cloud. È costituito da due componenti principali: rilevatori e risultati.

I rilevatori sono interessati da interruzioni sia regionali che zonali, in modi diversi. Durante un'interruzione del servizio a livello di regione, i rilevatori non possono generare nuovi risultati per le risorse regionali perché le risorse che dovrebbero essere sottoposte a scansione non sono disponibili.

Durante un'interruzione a livello di zona, i rilevatori possono richiedere diversi minuti o ore per riprendere il normale funzionamento. Security Command Center non perderà i dati dei risultati. Inoltre, non genererà nuovi dati sui risultati per le risorse non disponibili. Nel peggiore scelto, gli agenti Container Threat Detection potrebbero esaurire lo spazio del buffer durante la connessione a una cella sana, il che potrebbe comportare la perdita di rilevamenti.

I risultati sono resilienti alle interruzioni regionali e a livello di zona replicati in modo sincrono tra le regioni.

Sensitive Data Protection (inclusa l'API DLP)

Sensitive Data Protection offre la classificazione dei dati sensibili, servizi di profilazione, anonimizzazione, tokenizzazione e analisi del rischio relativo alla privacy. Funziona in modo sincrono sui dati inviati nei campi delle richieste o in modo asincrono sui dati già presenti nei sistemi di archiviazione sul cloud. La protezione dei dati sensibili può essere invocata tramite gli endpoint globali o specifici per regione.

Endpoint globale: il servizio è progettato per essere resiliente sia a livello di regione a livello di zona e di errore. Se il servizio è sovraccaricato durante un errore, i dati inviati al metodo hybridInspect del servizio potrebbero andare persi.

Per creare un'architettura a prova di errore, includi la logica per esaminare risultato recente di pre-errore generato dal metodo hybridInspect. In caso di interruzione del servizio, i dati inviati al metodo potrebbero andare persi, ma non più di quelli degli ultimi 10 minuti prima dell'evento di errore. Se ci sono più recenti di 10 minuti prima dell'inizio dell'interruzione, che i dati non sono andati persi. In tal caso, non è necessario riprodurre nuovamente i dati che si trovano prima del timestamp del risultato, anche se sono all'interno Intervallo di 10 minuti.

Endpoint regionale: gli endpoint regionali non sono resilienti ai guasti regionali. Se è necessaria la resilienza in caso di errore a livello di regione, valuta la possibilità di eseguire il passaggio a altre regioni. Le caratteristiche di errore a livello di zona sono le stesse di cui sopra.

Utilizzo dei servizi

L'API Utilizzo dei servizi è un servizio di infrastruttura di Google Cloud che ti consente di elencare e gestire API e servizi nei tuoi progetti Google Cloud. Puoi elencare e gestire API e servizi forniti da Google, Google Cloud e produttori di terze parti. L'API Service Usage è un servizio globale e resiliente alle interruzioni sia a livello di zona sia a livello di regione. In caso di interruzione a livello di zona o di regione, l'API Service Usage continua a gestire le richieste da un'altra zona in diverse regioni.

Per ulteriori informazioni su Service Usage, consulta Documentazione sull'utilizzo del servizio.

Speech-to-Text

Speech-to-Text consente di convertire l'audio della voce in testo utilizzando tecniche di machine learning come i modelli di rete neurale. L'audio viene inviato in tempo reale dal microfono di un'applicazione oppure elaborato come batch di file audio.

Interruzione a livello di zona:

• API Speech-to-Text versione 1: durante un'interruzione zonale, la versione 1 dell'API Speech-to-Text continua a gestire le richieste da un'altra zona della stessa regione senza interruzioni. Tuttavia, tutti i job attualmente in esecuzione all'interno della zona con errori andranno persi. Gli utenti devono riprovare a eseguire i job non riusciti, che verranno instradati automaticamente a una zona disponibile.

• API Speech-to-Text v2: durante un'interruzione a livello di zona, la versione 2 dell'API Speech-to-Text continua a gestire le richieste da un'altra zona nella stessa regione. Tuttavia, tutti i job attualmente in esecuzione nella zona con errori andranno persi. Gli utenti devono riprovare a eseguire i job non riusciti, che verranno instradati automaticamente a una zona disponibile. L'API Speech-to-Text restituisce la chiamata API solo dopo che è stato eseguito il commit dei dati per un quorum all'interno di una regione. In alcune regioni, gli acceleratori AI (TPU) sono disponibili solo in una zona. In questo caso, un'interruzione in quella zona causa il fallimento del riconoscimento vocale, ma non si verifica alcuna perdita di dati.

Interruzione a livello di regione:

• API Speech-to-Text v1: la versione 1 dell'API Speech-to-Text non è interessata da errori regionali perché è un servizio globale multi-regione. Il servizio continua a gestire le richieste da un'altra regione senza interruzioni. Tuttavia, i job attualmente in esecuzione nella regione con problemi andranno persi. Gli utenti devono riprovare i job non riusciti, che verranno indirizzati automaticamente a una regione disponibile.

• API Speech-to-Text v2:

  • L'API Speech-to-Text in più regioni versione 2, il servizio continua a gestire senza interruzioni le richieste da un'altra zona nella stessa regione.

  • API Speech-to-Text versione 2 a regione singola, il servizio limita l'esecuzione del job alla regione richiesta. La versione 2 dell'API Speech-to-Text non instrada il traffico a una regione diversa e i dati non vengono replicati in un'altra regione. Durante un errore a livello di regione, la versione 2 dell'API Speech-to-Text non è disponibile nella regione. Tuttavia, tornerà disponibile una volta risolta l'interruzione.

Storage Transfer Service

Storage Transfer Service gestisce i trasferimenti di dati da varie origini cloud a Cloud Storage, nonché da, verso e tra file system.

L'API Storage Transfer Service è una risorsa globale.

Storage Transfer Service dipende dalla disponibilità dell'origine e della destinazione di un trasferimento. Se un'origine o una destinazione di trasferimento non è disponibile, i trasferimenti si interrompono fare progressi. Tuttavia, i dati principali dei clienti o i dati dei job non andranno persi. Trasferimenti riprenderanno quando l'origine e la destinazione saranno di nuovo disponibili.

Puoi utilizzare Storage Transfer Service con o senza un agente, come segue:

• I trasferimenti senza agente utilizzano lavoratori regionali per orchestrare i job di trasferimento.

• I trasferimenti basati su agenti utilizzano agenti software installati sulla tua infrastruttura. I trasferimenti basati su agenti si basano sulla disponibilità degli agenti di trasferimento e sulla loro capacità di connettersi al file system. Quando decidi dove installare gli agenti di trasferimento, considera la disponibilità del file system. Ad esempio, se esegui agenti di trasferimento su più VM Compute Engine per trasferire dati a un'istanza Filestore di livello Enterprise (una risorsa regionale), ti consigliamo di posizionare le VM in zone diverse all'interno della regione dell'istanza Filestore.

  Se gli agenti non sono più disponibili o se la loro connessione al file system è interrotta, l'avanzamento dei trasferimenti viene interrotto ma i dati non vengono persi. Se tutti i processi degli agenti vengono interrotti, il job di trasferimento viene messo in pausa finché non vengono aggiunti nuovi agenti al pool di agenti del trasferimento.

Durante un'interruzione, Storage Transfer Service ha il seguente comportamento:

• Interruzione zonale: durante un'interruzione zonale, le API Storage Transfer Service rimangono disponibili e puoi continuare a creare job di trasferimento. Il trasferimento dei dati prosegue.

• Interruzione a livello di regione: durante un'interruzione a livello di regione, le API di Storage Transfer Service rimangono disponibili e puoi continuare a creare job di trasferimento. Se gli operatori del trasferimento si trovano nella regione interessata, il trasferimento dei dati si interrompe finché la regione non diventa di nuovo disponibile e il trasferimento riprende automaticamente.

Vertex ML Metadata

Vertex ML Metadata consente di registrare i metadati e gli artefatti prodotti il tuo sistema ML ed eseguire query su questi metadati per aiutare ad analizzare, eseguire il debug e le prestazioni del tuo sistema ML o degli artefatti che produce.

Interruzione di servizio zonale: nella configurazione predefinita, Vertex ML Metadata offre protezione contro i guasti zonali. Il deployment del servizio è stato eseguito in più zone in ogni regione, con i dati replicati in modo sincrono tra zone diverse all'interno di ogni regione. In caso di errore a livello di zona, le zone rimanenti prendono il controllo con un'interruzione minima.

Interruzione a livello di regione: Vertex ML Metadata è un servizio regionalizzato. In caso di interruzione del servizio a livello di regione, Vertex ML Metadata non eseguirà il failover in un'altra regione.

Vertex AI Batch Prediction

La previsione batch consente agli utenti di eseguire previsioni batch sulla base di AI/ML modelli sull'infrastruttura di Google. La previsione batch è un'offerta regionale. I clienti possono scegliere la regione in cui eseguono i job, ma e non le zone specifiche all'interno di quella regione. Il servizio di previsione batch bilancia automaticamente il job in diverse zone all'interno della regione scelta.

Interruzione di servizio a livello di zona: la previsione batch archivia i metadati per i job di previsione batch all'interno di una regione. I dati vengono scritti in modo sincrono su più zone all'interno della regione. In un'interruzione a livello di zona, la previsione batch perde parzialmente i worker che eseguono lavori, ma li riaggiunge automaticamente le altre zone disponibili. Se più tentativi di previsione batch non vanno a buon fine, La UI elenca lo stato del job come non riuscito nella UI e nelle richieste di chiamata API. Le richieste successive degli utenti di eseguire il job vengono instradate alle zone disponibili.

Interruzione a livello di regione:i clienti scelgono la regione Google Cloud in cui per eseguire i job di previsione batch. I dati non vengono mai replicati tra le regioni. La previsione batch limita l'esecuzione del job agli regione richiesta e non instrada mai richieste di previsione a una regione diversa. Quando si verifica un errore a livello di regione, la previsione batch non è disponibile in quella regione. Sarà di nuovo disponibile quando l'interruzione verrà risolta. Consigliamo ai clienti di utilizzare più regioni per eseguire i job. Nella in caso di interruzione del servizio a livello di regione, indirizza i job a un'altra regione disponibile.

Vertex AI Model Registry

Vertex AI Model Registry consente agli utenti di semplificare la gestione, la governance e il deployment dei modelli ML in un repository centrale. Vertex AI Model Registry è un'offerta regionale con disponibilità elevata offre protezione contro le interruzioni a livello di zona.

Interruzione a livello di zona: Vertex AI Model Registry offre protezione contro le interruzioni a livello di zona. Il deployment del servizio viene eseguito in tre zone in ogni regione, con i dati replicati in modo sincrono tra zone diverse all'interno della regione. In caso di errore di una zona, le zone rimanenti prenderanno senza perdita di dati e minima interruzione del servizio.

Interruzione a livello di regione: Vertex AI Model Registry è un servizio regionalizzato. Se una regione non funziona, il Registry dei modelli non viene eseguito in modalità di failover.

Previsione online di Vertex AI

La previsione online consente agli utenti di eseguire il deployment di modelli AI/ML su Google Cloud. La previsione online è un'offerta regionale. I clienti possono scegliere la regione in cui eseguire il deployment dei modelli, ma non le zone specifiche all'interno della regione. Il servizio di previsione bilancia automaticamente il carico di lavoro tra diverse zone all'interno della regione selezionata.

Interruzione a livello di zona: la previsione online non memorizza i contenuti dei clienti. Un'interruzione a livello di zona porta all'errore dell'esecuzione della richiesta di previsione attuale. La previsione online può riprovare automaticamente a eseguire la richiesta, a seconda del tipo di endpoint utilizzato. In particolare, un endpoint pubblico riproverà automaticamente, mentre l'endpoint privato no. Per gestire gli errori e migliorare la resilienza, incorpora nel codice la logica per i nuovi tentativi con backoff esponenziale.

Interruzione a livello di regione:i clienti scelgono la regione Google Cloud in cui vogliono eseguire i propri modelli di AI/ML e i propri servizi di previsione online. I dati non vengono mai replicati tra regioni. La previsione online limita l'esecuzione del modello AI/ML alla regione richiesta e non instrada mai le richieste di previsione a una regione diversa. Quando si verifica un errore a livello di regione, il servizio di previsione online non è disponibile nella regione in questione. Sarà di nuovo disponibile una volta risolta l'interruzione. Consigliamo ai clienti di utilizzare più regioni per eseguire i propri modelli di IA/ML. In caso di interruzione a livello di regione, indirizza il traffico a una regione diversa disponibile.

Vertex AI Pipelines

Vertex AI Pipelines è un servizio Vertex AI che ti consente di automatizzare, monitorare e gestire i tuoi flussi di lavoro di machine learning (ML) in modo serverless. Vertex AI Pipelines è progettato per fornire disponibilità elevata e offre per evitare errori a livello di zona.

Interruzione a livello di zona: nella configurazione predefinita, Vertex AI Pipelines offre per evitare errori a livello di zona. Il deployment del servizio è stato eseguito in più zone in ogni regione, con i dati replicati in modo sincrono tra zone diverse all'interno della regione. In caso di errore a livello di zona, le zone rimanenti prendono il controllo con un'interruzione minima.

Interruzione a livello di regione: Vertex AI Pipelines è un servizio regionalizzato. In caso di interruzione del servizio a livello di regione, Vertex AI Pipelines non eseguirà il failover in un'altra regione. In caso di interruzione del servizio in una regione, ti consigliamo di eseguire i job della pipeline in una regione di backup.

Vertex AI Search

Vertex AI Search è una soluzione di ricerca personalizzabile con funzionalità di IA generativa e conformità aziendale nativa. Vertex AI Search viene distribuito e replicato automaticamente in più regioni all'interno di Google Cloud. Puoi configurare dove si trovano i dati Archiviati scegliendo una località multiregionale supportata, ad esempio globale, USA o UE.

Interruzione a livello di zona e di regione: UserEvents caricato su Vertex AI Search potrebbe non essere recuperabile a causa della il ritardo di replica. Altri dati e servizi forniti da Vertex AI Search rimangono disponibili grazie al failover automatico e alla replica sincrona dei dati.

Vertex AI Training

Vertex AI Training offre agli utenti la possibilità di eseguire job di addestramento personalizzati sull'infrastruttura di Google. Vertex AI Training è un servizio dell'addestramento, i clienti possono scegliere la regione in cui eseguire il di lavoro. Tuttavia, i clienti non possono scegliere le zone specifiche all'interno della regione. Il servizio di addestramento potrebbe bilanciare automaticamente l'esecuzione del job su diverse zone all'interno della regione.

Interruzione a livello di zona: Vertex AI Training archivia i metadati per l'istanza un lavoro di addestramento lungo. Questi dati vengono archiviati a livello di regione e scritti in modo sincrono. La La chiamata API Vertex AI Training restituisce solo una volta che questi metadati sono stati impegnate a raggiungere il quorum in una regione. Il job di addestramento potrebbe essere eseguito in una zona specifica. Un'interruzione a livello di zona porta all'errore dell'esecuzione attuale del job. In questo caso, il servizio riprova automaticamente il job inviandolo a un'altra zona. Se più tentativi non vanno a buon fine, lo stato del job viene aggiornato in Non riuscito. Le successive richieste dell'utente a che eseguono il job vengono indirizzate a una zona disponibile.

Interruzione del servizio a livello di regione: i clienti scelgono la regione Google Cloud in cui eseguire i job di addestramento. I dati non vengono mai replicati tra regioni. Vertex AI Training limita l'esecuzione del job alla regione richiesta senza instradare mai job di addestramento a una regione diversa. Nel caso di un progetto errore, il servizio Vertex AI Training non è disponibile in quella regione e diventa di nuovo disponibile una volta risolta l'interruzione. È consigliabile i clienti utilizzano più regioni per eseguire i propri job e, nel caso di un'istanza un'interruzione del servizio, per indirizzare i job a una diversa regione disponibile.

Virtual Private Cloud (VPC)

Il VPC è un servizio globale che fornisce connettività di rete (ad esempio le VM). Gli errori, tuttavia, sono a livello di zona. In caso di errore a livello di zona, le risorse in quella zona non sono disponibili. Analogamente, se una regione non funziona, viene interessato solo il traffico verso e dalla regione in questione. La connettività delle regioni sane non è interessato.

Interruzione zonale: se una rete VPC copre più zone e una zona non funziona, la rete VPC rimarrà in stato operativo per le zone operative. Il traffico di rete tra le risorse nelle zone sane continuerà a funzionare normalmente durante l'errore. Un errore a livello di zona influisce solo sul traffico di rete verso da risorse nella zona in errore. Per ridurre l'impatto dei malfunzionamenti a livello di zona, consigliamo di non creare tutte le risorse in una singola zona. Quando crei le risorse, suddividile in più zone.

Interruzione a livello di regione: se una rete VPC copre più regioni e una regione non funziona, la rete VPC rimarrà in stato operativo per le regioni operative. Il traffico di rete tra le risorse nelle regioni funzionanti continuerà a lavorare normalmente durante l'errore. Un errore regionale interessa solo la rete del traffico da e verso le risorse nella regione in errore. Per ridurre l'impatto dei malfunzionamenti regionali, ti consigliamo di distribuire le risorse su più regioni.

Controlli di servizio VPC

Controlli di servizio VPC è un servizio a livello di regione. Con i Controlli di servizio VPC, i team di sicurezza aziendale possono definire controlli perimetrali granulari e applicare la strategia di sicurezza a numerosi servizi e progetti Google Cloud. I criteri dei clienti vengono applicati a livello regionale.

Interruzione a livello di zona: i Controlli di servizio VPC continuano a gestire le richieste provenienti da un'altra zona della stessa regione senza interruzioni.

Interruzione a livello di regione: API configurate per l'applicazione dei criteri dei Controlli di servizio VPC nella regione interessata non saranno disponibili finché la regione non tornerà disponibile. Consigliamo ai clienti di eseguire il deployment di servizi applicati dei Controlli di servizio VPC in più regioni, se si desidera una maggiore disponibilità.

Workflows

Workflows è un prodotto di orchestrazione che consente a Google Cloud clienti:

• Esegui il deployment ed esegui flussi di lavoro che connettono altri servizi esistenti utilizzando HTTP,
• automatizzare i processi, inclusa l'attesa delle risposte HTTP con nuovi tentativi automatici fino a un anno, e
• Implementa processi in tempo reale con esecuzioni a bassa latenza basate sugli eventi.

Un cliente di Workflows può eseguire il deployment di flussi di lavoro che descrivono la logica aziendale che vuole eseguire, quindi eseguirli direttamente con l'API o con gli attivatori basati su eventi (attualmente limitati a Pub/Sub o Eventarc). Il flusso di lavoro in esecuzione può manipolare le variabili, rendere HTTP chiama e archivia i risultati oppure definisci i callback e attende che venga ripreso un altro servizio.

Interruzione a livello di zona: il codice sorgente di Workflows non è influenzato dall'ambiente di zona o in caso di interruzione del servizio. Workflows archivia il codice sorgente dei flussi di lavoro, insieme ai valori delle variabili e alle risposte HTTP ricevute dai flussi di lavoro in esecuzione. Il codice sorgente viene archiviato a livello di regione e scritto in modo sincrono: l'API control plane restituisce un valore solo dopo che questi metadati sono stati sottoposti a commit a un quorum all'interno di una regione. Anche le variabili e i risultati HTTP vengono memorizzati a livello di regione e scritti in modo sincrono, almeno ogni cinque secondi.

In caso di errore di una zona, i flussi di lavoro vengono ripresi automaticamente in base all'ultima e i dati di Google Cloud. Tuttavia, le richieste HTTP che non hanno già ricevuto risposte non vengono ripetute automaticamente. Utilizza i criteri di ripetizione per le richieste per le quali è possibile ripetere la richiesta in sicurezza, come descritto nella nostra documentazione.

Interruzione a livello di regione: Workflows è un servizio regionalizzato. nel caso di un'interruzione regionale, Workflows non eseguirà il failover. I clienti sono incoraggiato a eseguire il deployment di Workflows in più regioni se superiore la disponibilità del servizio.

Cloud Service Mesh

Cloud Service Mesh ti consente di configurare un mesh di servizi gestito che si estende su più cluster GKE. Questa documentazione riguarda solo Cloud Service Mesh gestito. La variante in-cluster è self-hosted e devono essere seguite le linee guida della piattaforma standard.

Interruzione di zona: configurazione mesh, poiché viene archiviata nella Cluster GKE è resiliente alle interruzioni a livello di zona, purché a livello di regione. I dati utilizzati dal prodotto per la tenuta contabile interna sono a livello di regione o globale e non è interessata dal fatto che una singola zona fuori servizio. Il piano di controllo viene eseguito nella stessa regione del cluster GKE supportato (per i cluster zonali è la regione contenente) e non è interessato dagli arresti anomali all'interno di un'unica zona.

Interruzione a livello di regione: Cloud Service Mesh fornisce servizi a GKE a livello di regione o zona. In caso di interruzione del servizio a livello regionale, Cloud Service Mesh non eseguirà il failover. Né GKE. I clienti sono invitati a eseguire il deployment di mesh costituiti da cluster GKE che coprono regioni diverse.

Service Directory

Service Directory è una piattaforma per scoprire, pubblicare e connettere servizi. Fornisce informazioni in tempo reale, in un unico posto, su per tutti i tuoi servizi. Service Directory consente di eseguire la gestione dell'inventario su larga scala, sia che tu abbia pochi endpoint di servizio migliaia.

Le risorse della directory dei servizi vengono create a livello di regione in base al parametro posizione specificato dall'utente.

Interruzione zonale: durante un'interruzione zonale, Service Directory continua a gestire le richieste da un'altra zona nella stessa regione o in un'altra senza interruzioni. All'interno di ogni regione, Service Directory gestisce sempre più repliche. Una volta risolta l'interruzione di servizio zonale, viene ripristinata la ridondanza completa.

Interruzione del servizio a livello di regione: Service Directory non è resiliente alle interruzioni del servizio a livello di regione.