에어 갭이 적용된 Google Distributed Cloud 어플라이언스 정보

Google Distributed Cloud (GDC) 에어 갭 적용 어플라이언스는 데이터 센터 외부의 전술적 에지 환경을 위해 설계된 통합 하드웨어 및 소프트웨어 플랫폼입니다. 인터넷에서 물리적으로 분리된 고립된 '박스형 소버린 클라우드'를 만듭니다. 이 어플라이언스를 사용하면 보안이 유지되고 오프라인 환경 내에서 가상 머신 (VM), 컨테이너 기반 워크로드, Vertex AI와 같은 관리 서비스를 배포할 수 있습니다.

어플라이언스의 무게는 약 45.3kg (100파운드)이며 두 사람이 운반할 수 있습니다. 어플라이언스를 한 위치에서 다른 위치로 이동하는 동안에는 작동하지 않습니다. 차량에서 이동될 수 있으며 데이터 센터보다 더 거친 취급을 받을 수 있습니다. 어플라이언스가 실행되는 동안 텐트나 용도가 변경된 건물과 같이 데이터 센터보다 온도 변화와 먼지가 많은 통제되지 않은 환경에 있을 수 있습니다.

기기는 다른 리소스에 액세스할 수 있는 에어갭 고객 네트워크 또는 업링크가 없는 로컬 네트워크에서 오프라인으로 실행할 수 있습니다. Distributed Cloud 데이터 센터 인스턴스로 라우팅할 수 있는 네트워크에 연결하여 실행할 수도 있습니다.

Google Distributed Cloud 에어 갭 적용 어플라이언스는 다음과 같은 기능을 제공합니다.

고급 AI 기능: 번역, 음성, 광학 문자 인식 (OCR)과 같은 기본 제공 AI 솔루션을 사용하여 미션 크리티컬 애플리케이션의 성능을 향상합니다. 예를 들어 OCR 및 번역 기능을 사용하여 다양한 언어로 작성된 문서를 스캔하고 번역하여 현장에서 액세스하고 이해할 수 있습니다.

견고하고 휴대 가능한 디자인: 극한의 온도, 충격, 진동 등 열악한 환경 조건을 견딜 수 있도록 제작된 Google Distributed Cloud(에어 갭 적용형) 어플라이언스는 MIL-STD-810H와 같은 엄격한 인증 요구사항을 충족하는 견고하고 휴대 가능한 디자인을 갖추고 있어 까다로운 시나리오에서도 안정적인 작동을 보장합니다.

완전한 격리: 공개 인터넷에 연결하지 않고 작동하도록 설계되었습니다. Google Cloud어플라이언스는 DDIL과 같은 연결이 끊긴 환경에서도 완전히 작동하여 인프라, 서비스, 관리하는 API의 보안과 격리를 유지합니다. 이러한 격리로 인해 어플라이언스는 엄격한 규제, 규정 준수, 주권 요구사항을 충족하면서 민감한 데이터를 처리하는 데 적합합니다.

통합 클라우드 서비스: 컴퓨팅, 네트워킹, 스토리지와 같은 Infrastructure-as-a-Service (IaaS) 기능과 Google Cloud 데이터 전송과 같은 서비스

데이터 보안: 암호화, 데이터 격리, 방화벽, 보안 부팅과 같은 강력한 보안 기능으로 민감한 정보를 보호합니다.

국방부 (DoD) 영향 수준 5 (IL5) 인증: 어플라이언스가 미분류이지만 민감한 정보에 필요한 최고 수준의 보안 제어 및 보호인 영향 수준 5 인증을 획득했습니다.

GDC 에어 갭 적용 어플라이언스와 GDC 에어 갭 적용의 차이점

GDC 에어 갭 어플라이언스와 데이터 센터에서 실행되는 GDC 에어 갭 사이에는 몇 가지 중요한 차이점이 있습니다.

테넌시

어플라이언스는 단일 테넌트이며 하나의 GDC 에어 갭 조직만 지원합니다.

클러스터 모델

에어 갭이 적용된 Google Distributed Cloud 어플라이언스는 세 개의 베어메탈 노드를 모두 포함하는 단일 클러스터를 운영합니다. 클러스터에서 포드 워크로드로 실행되는 전용 관리 API 서버는 관리 평면 API를 호스팅합니다. VM과 Kubernetes 포드를 모두 포함하는 사용자 워크로드가 이 클러스터에서 실행될 수 있습니다.

네트워킹

GDC 에어 갭 어플라이언스 기기는 데이터 센터 설치와 다른 고객 네트워크와의 통합 패턴을 갖습니다. 데이터 센터 기기는 일반적으로 네트워킹 전문가가 작성하고 구현한 네트워크 구성 계획과 함께 설치됩니다. GDC 에어 갭 적용 어플라이언스 기기는 일반적으로 위치로 가져와 기존 고객 네트워크에 연결됩니다. 기기를 한 위치에서 다른 위치로 이동하면 기기가 연결된 네트워크가 변경됩니다. 어플라이언스는 데이터 센터 솔루션과 다른 네트워킹 하드웨어를 사용하지만 제공된 하드웨어를 사용하여 어플라이언스를 외부 네트워크에 연결할 수 있습니다.

시스템 관리

GDC 에어 갭 어플라이언스의 수명 주기는 GDC 에어 갭 데이터 센터와 다릅니다. 어플라이언스의 경우 Google(또는 Google 대리인)에서 시스템을 설치한 후 고객에게 전달합니다. 고객은 ID 및 네트워킹 구성과 같은 일부 인프라 운영자 (IO) 구성 작업을 실행한 후 기기를 사용할 수 있습니다. 고객은 업데이트 또는 시스템 모니터링과 같은 여러 IO 작업을 담당합니다.

하드웨어

GDC 에어 갭 어플라이언스는 블레이드 3개와 네트워킹 스위치를 보유하는 섀시로 구성된 소형 폼 팩터 기기입니다. 이 케이스에는 운반용 손잡이와 바퀴가 있어 열악한 환경에서 운반하고 사용할 수 있습니다.

소프트웨어

GDC 에어 갭 적용형 어플라이언스는 다음 소프트웨어와 서비스를 제공합니다.

서비스

사용 가능한 서비스는 다음과 같습니다.

• 컴퓨팅
  • 가상 머신 호스팅
  • 컨테이너 배포를 위한 GDC 기반 GKE
• AI/ML
  • Vertex AI OCR API
  • Vertex AI Speech-to-Text API
  • Vertex AI Translate API
  • Google 제공 딥 러닝 컨테이너를 사용하는 머신러닝
• 보안
  • ID 및 액세스 관리
  • 전송 중 및 저장 시 암호화
• 스토리지
  • 블록 및 객체 스토리지
• 네트워킹
  • 부하 분산 (내부 및 외부)
  • 네트워크 보안 정책
• 로깅 및 모니터링

스토리지

GDC 에어 갭 어플라이언스는 소프트웨어 정의 스토리지를 통해 블록 및 객체 스토리지를 제공합니다. 블록 및 객체 스토리지는 동일한 기본 스토리지 풀과 용량을 공유합니다.

NTP 서버

GDC 에어갭 어플라이언스에는 내장 NTP 서버가 없지만 고객이 자체 NTP 서버를 제공할 수 있습니다. 업스트림 NTP 서버가 있는 경우 네트워크 스위치가 NTP 릴레이 역할을 할 수 있습니다. 고객은 네트워크 NTP 스위치를 로컬 네트워크의 NTP 서버로 지정할 수 있습니다.

데이터 전송 및 복제

GDC 에어 갭 어플라이언스는 GDC 에어 갭 프라이빗 클라우드로 데이터를 전송할 수 있습니다. 기기가 현장이나 원격 위치에서 사용되므로 연결이 끊긴 상태에서 현장에 데이터가 필요할 수 있으며, 연결되면 클라우드에서 기기로 전송될 수 있습니다.

사용자 인터페이스

GDC 에어 갭 어플라이언스는 GDC 에어 갭에 포함되지 않은 기능을 제외하고 GDC 에어 갭과 유사한 사용자 인터페이스를 사용합니다.

로깅 및 관측 가능성

GDC 에어갭 어플라이언스는 시스템 액세스 이벤트의 감사 로그를 보관합니다. 이 로그는 한 번 쓰기, 여러 번 읽기 (WORM) 규격 스토리지와 같은 특수 미디어에 쓸 필요가 없습니다. 감사 로그는 연결이 가능할 때 GDC 에어 갭에 수동으로 동기화되며 GDC 에어 갭 로그와 함께 공통 위치에 저장됩니다.

더 광범위한 로깅 및 관찰 가능성을 위해 원시 시스템 로그를 기기 로그에 사용할 수 있으며 관리자가 액세스할 수 있습니다. 애플리케이션 운영자는 워크로드에 Kubernetes 로깅을 사용할 수 있습니다.

보안 및 암호화

GDC 오프라인 어플라이언스에는 디스크 암호화를 위한 Yubikey 세트가 포함되어 있으며 어플라이언스와 별도로 배송됩니다. 고객이 하드웨어 보안 모듈(HSM)을 사용할 수 있는 경우 시스템은 해당 HSM에 키를 저장하는 것을 지원합니다. 이를 통해 고객이 저장 데이터를 암호화하는 키를 제어할 수 있습니다.

ID 및 액세스

GDC 오프라인 어플라이언스 기기는 관리자 계정으로 선택적으로 설치된 삽입된 Keycloak ID 공급자와 함께 제공됩니다. 자체 외부 ID 공급업체에 연결할 수도 있습니다. 관리자는 Keycloak 또는 자체 ID 공급업체에서 사용자를 추가하고 GDC 콘솔에서 권한을 부여할 수 있습니다.

HA 및 백업

GDC 에어갭 어플라이언스는 데이터 저장소에 대한 고가용성 및 중복성이 제한적입니다.

캐릭터

에어 갭이 적용된 Google Distributed Cloud 어플라이언스에는 다음과 같은 네 가지 페르소나가 있습니다.

• Google 인프라 운영자(G_IO)는 시스템 하드웨어와 소프트웨어를 설치하고 고객에게 기기를 전달하기 전에 초기 구성을 실행합니다. 또한 반품된 기기를 안전하게 초기화합니다.
• 고객 인프라 운영자 (C_IO)는 인증, 네트워킹, 시스템 구성을 비롯한 시스템을 관리합니다.
• 플랫폼 관리자 (PA)는 AO 사용자에게 권한을 부여하고, 프로젝트를 관리하고, VM 및 클러스터 문제를 해결합니다.
• 애플리케이션 운영자 (AO)는 워크로드, 애플리케이션, 프로젝트를 관리합니다.

페르소나는 역할이 아니라 특정 권한에 매핑된 사용자 역할의 모음이며, 개별 사용자에게 할당됩니다.