Diese Seite wurde von der Cloud Translation API übersetzt.

Google Distributed Cloud mit Air Gap – Appliance

Das Air-Gapped-Gerät von Google Distributed Cloud (GDC) ist eine integrierte Hardware- und Softwareplattform, die für taktische Edge-Umgebungen außerhalb eines Rechenzentrums entwickelt wurde. Es wird eine isolierte „Sovereign Cloud in a Box“ erstellt, die physisch vom Internet getrennt ist. Mit dieser Appliance können Sie virtuelle Maschinen (VMs), containerbasierte Arbeitslasten und verwaltete Dienste wie Vertex AI in einer sicheren und isolierten Umgebung bereitstellen.

Das Gerät wiegt etwa 45,3 kg und kann von zwei Personen getragen werden. Das Gerät ist während des Transports von einem Ort zum nächsten nicht betriebsbereit. Es wird möglicherweise in Fahrzeuge ein- und ausgebaut und ist möglicherweise einer raueren Behandlung ausgesetzt als in einem Rechenzentrum. Während des Betriebs kann sich das Gerät in einer unkontrollierten Umgebung befinden, die stärkeren Temperaturschwankungen und mehr Staub ausgesetzt ist als ein Rechenzentrum, z. B. ein Zelt oder ein umgebautes Gebäude.

Das Gerät kann in einem Air-Gap-Kundennetzwerk ohne Verbindung mit anderen Ressourcen oder in einem lokalen Netzwerk ohne Uplink betrieben werden. Sie kann auch mit einem Netzwerk verbunden sein, das zu einer Distributed Cloud-Rechenzentrum-Instanz geroutet werden kann.

Die Google Distributed Cloud Air-gapped-Appliance bietet die folgenden Funktionen:

Erweiterte KI-Funktionen: Die Leistung unternehmenskritischer Anwendungen lässt sich durch die Verwendung integrierter KI-Lösungen wie Übersetzung, Spracherkennung und optische Zeichenerkennung (Optical Character Recognition, OCR) verbessern. Sie können beispielsweise OCR- und Übersetzungsfunktionen verwenden, um Dokumente in verschiedenen Sprachen zu scannen und zu übersetzen, damit sie vor Ort zugänglich und verständlich sind.

Robustes und tragbares Design: Die Google Distributed Cloud-Appliance für Air-Gap-Umgebungen ist so konzipiert, dass sie rauen Umgebungsbedingungen wie extremen Temperaturen, Stößen und Vibrationen standhält. Sie erfüllt strenge Akkreditierungsanforderungen wie MIL-STD-810H und sorgt so für einen zuverlässigen Betrieb auch in schwierigen Szenarien.

Vollständige Isolierung: Für den Betrieb ohne Verbindung zu Google Cloudoder dem öffentlichen Internet konzipiert. Die Appliance bleibt in Umgebungen ohne Verbindung wie DDIL voll funktionsfähig und sorgt für die Sicherheit und Isolation der Infrastruktur, der Dienste und der APIs, die sie verwaltet. Durch diese Isolation eignet sich das Gerät ideal für die Verarbeitung sensibler Daten und erfüllt gleichzeitig strenge gesetzliche, Compliance- und Hoheitsanforderungen.

Integrierte Cloud-Dienste: Infrastructure-as-a-Service-Funktionen (IaaS) wie Computing, Netzwerk und Speicher sowie Google Cloud Dienste wie Datenübertragung.

Datensicherheit: Robuste Sicherheitsfunktionen wie Verschlüsselung, Datenisolation, Firewalls und sicherer Bootmodus zum Schutz sensibler Daten.

Akkreditierung für Impact Level 5 (IL5) des US-Verteidigungsministeriums: Das Gerät hat die Akkreditierung für Impact Level 5 erhalten. Dies ist die höchste Stufe von Sicherheitskontrollen und Schutz, die für nicht klassifizierte, aber vertrauliche Informationen erforderlich sind.

Unterschiede zwischen GDC mit Air Gap-Appliance und GDC mit Air Gap

Es gibt einige wichtige Unterschiede zwischen der GDC-Air-Gap-Appliance und der GDC-Air-Gap-Lösung, die in einem Rechenzentrum ausgeführt wird.

Mandanten

Die Appliance ist für einen einzelnen Mandanten vorgesehen und unterstützt nur eine GDC-Organisation mit Air Gap.

Clustermodell

Die Google Distributed Cloud-Appliance für Air-gapped-Umgebungen betreibt einen einzelnen Cluster, der alle drei Bare-Metal-Knoten umfasst. Ein dedizierter Management-API-Server, der als Pod-Arbeitslasten im Cluster ausgeführt wird, hostet Managementebenen-APIs. Auf diesem Cluster können Nutzerarbeitslasten ausgeführt werden, darunter sowohl VMs als auch Kubernetes-Pods.

Netzwerk

GDC-Geräte mit Luftspalt haben ein anderes Integrationsmuster mit Kundennetzwerken als Rechenzentrumsinstallationen. Rechenzentrumsgeräte werden in der Regel mit einem Netzwerkkonfigurationsplan installiert, der von Netzwerkexperten erstellt und implementiert wird. GDC-Air-Gapped-Geräte werden in der Regel an einen Standort gebracht und an ein vorhandenes Kundennetzwerk angeschlossen. Das Netzwerk, mit dem das Gerät verbunden ist, ändert sich, wenn das Gerät von einem Ort zum anderen bewegt wird. Die Appliance verwendet zwar eine andere Netzwerkhardware als die Rechenzentrumslösung, Sie können sie aber mit der mitgelieferten Hardware mit einem externen Netzwerk verbinden.

Systemverwaltung

Die GDC-Appliance mit Air Gap hat einen anderen Lebenszyklus als das GDC-Rechenzentrum mit Air Gap. Google (oder unsere Beauftragten) installiert das System für das Gerät und übergibt es dann an den Kunden. Der Kunde führt einige Konfigurationsaufgaben für den Infrastrukturbetreiber (IO) aus, z. B. die Konfiguration von Identität und Netzwerk, und kann das Gerät dann verwenden. Der Kunde ist für mehrere IO-Aufgaben verantwortlich, z. B. für die Aktualisierung oder Systemüberwachung.

Hardware

Die GDC-Air-Gap-Appliance ist ein Gerät mit kleinem Formfaktor, das aus einem Gehäuse mit drei Blades und einem Netzwerk-Switch besteht. Das Gehäuse hat Tragegriffe und Räder, sodass es transportiert und in rauen Umgebungen verwendet werden kann.

Software

Die GDC-Appliance für Air-Gap-Umgebungen bietet die folgende Software und die folgenden Dienste:

Dienste

Die verfügbaren Dienste umfassen:

Computing
- Hosting virtueller Maschinen
- GKE auf GDC zum Bereitstellen von Containern
KI/ML
- Vertex AI OCR API
- Vertex AI Speech-to-Text API
- Vertex AI Translate API
- Maschinelles Lernen mit einem von Google bereitgestellten Deep-Learning-Container
Sicherheit
- Identitäts- und Zugriffsverwaltung
- Verschlüsselung während der Übertragung und von ruhenden Daten
Speicher
- Block- und Objektspeicher
Netzwerk
- Load-Balancing (intern und extern)
- Netzwerksicherheitsrichtlinien
Logging und Monitoring

Speicher

Die GDC-Appliance mit Air Gap bietet Block- und Objektspeicher mit softwaredefiniertem Speicher. Block- und Objektspeicher nutzen denselben zugrunde liegenden Speicherpool und dieselbe Kapazität.

NTP-Server

Die GDC-Appliance ohne Internetverbindung hat keinen integrierten NTP-Server, aber Kunden können ihren eigenen NTP-Server bereitstellen. Der Netzwerk-Switch kann als NTP-Relay fungieren, wenn ein Upstream-NTP-Server vorhanden ist. Kunden können den NTP-Switch des Netzwerks auf einen NTP-Server im lokalen Netzwerk verweisen.

Datenübertragung und ‑replikation

Mit der GDC-Appliance mit Air Gap können Daten in und aus privaten GDC-Clouds mit Air Gap übertragen werden. Da die Geräte im Feld oder an abgelegenen Orten verwendet werden, sind möglicherweise Daten erforderlich, wenn keine Verbindung besteht. Diese werden dann bei bestehender Verbindung von der Cloud auf das Gerät übertragen.

Benutzeroberfläche

Die GDC-Appliance mit Air Gap verwendet eine ähnliche Benutzeroberfläche wie GDC mit Air Gap, jedoch ohne die Funktionen, die nicht in der GDC-Appliance mit Air Gap enthalten sind.

Logging und Beobachtbarkeit

Die GDC-Appliance ohne Internetverbindung führt ein Audit-Log von Systemzugriffsereignissen. Für dieses Log ist kein Schreiben auf spezielle Medien wie WORM-kompatiblen (Write Once Read Many) Speicher erforderlich. Das Audit-Log wird manuell mit GDC Air-Gapped synchronisiert, wenn eine Verbindung verfügbar ist, und an einem gemeinsamen Ort mit GDC Air-Gapped-Logs gespeichert.

Für umfassendere Protokollierung und Beobachtbarkeit sind Rohsystemprotokolle für die Geräteprotokolle verfügbar und für Administratoren zugänglich. Anwendungsoperatoren können die Kubernetes-Protokollierung für ihre Arbeitslasten verwenden.

Sicherheit und Verschlüsselung

Die Air-Gap-Appliance von GDC enthält eine Reihe von YubiKeys für die Festplattenverschlüsselung, die separat von der Appliance geliefert werden. Wenn der Kunde ein Hardwaresicherheitsmodul (HSM) hat, unterstützt das System die Speicherung von Schlüsseln in diesem HSM. So können Kunden die Schlüssel zum Verschlüsseln inaktiver Daten selbst verwalten.

Identität und Zugriff

GDC-Geräte mit Air-Gap werden mit einem eingebetteten Keycloak-Identitätsanbieter ausgeliefert, der optional mit einem Administratorkonto installiert wird. Sie können auch eine Verbindung zu Ihrem eigenen externen Identitätsanbieter herstellen. Administratoren können Nutzer in Keycloak oder ihrem eigenen Identitätsanbieter hinzufügen und Berechtigungen in der GDC-Konsole erteilen.

Hochverfügbarkeit und Sicherung

Die GDC-Air-Gap-Appliance bietet nur eingeschränkte Hochverfügbarkeit und Redundanz für die Datenspeicherung.

Nutzeridentitäten:

In der Google Distributed Cloud mit Air Gap-Appliance gibt es vier Rollen:

Google Infrastructure Operators(G_IO) installieren die Systemhardware und ‑software und führen die Erstkonfiguration durch, bevor sie das Gerät an Kunden ausliefern. Außerdem werden die Daten auf dem Gerät beim Zurückgeben sicher gelöscht.
Customer Infra Operators (C_IO) verwalten das System, einschließlich Authentifizierung, Netzwerk und Systemkonfiguration.
Plattformadministratoren (PA) erteilen AO-Nutzern Berechtigungen, verwalten Projekte und beheben Probleme mit VMs und Clustern.
Anwendungsoperatoren (AO) verwalten Arbeitslasten, Anwendungen und Projekte.

Personas sind keine Rollen, sondern Sammlungen von Nutzerrollen, die bestimmten Berechtigungen zugeordnet und einzelnen Nutzern zugewiesen werden.