企業組織的最佳做法

本指南介紹協助企業客戶使用 Google Cloud Platform (GCP) 的最佳做法。指南內容並非詳盡的建議清單。其目標是要協助企業架構人員及技術相關人員瞭解活動範圍並據以制訂方案。各節均提供重要操作,也附上詳細資訊參考連結。

建議您先參閱平台總覽,瞭解 GCP 整體概念之後再開始閱讀本指南。

組織設定

定義資源階層結構

GCP 資源是按階層結構排列的。這樣的階層結構可讓 GCP 與企業經營結構保持一致,也能讓您管理相關資源群組的存取控制及權限。下方圖表舉例說明此階層結構。

資源組織分層的反向樹結構

階層結構最上層的節點是「組織資源」,代表組織 (例如公司)。組織資源是集中瀏覽及控制階層結構中其他所有資源的中央位置。

階層結構中的下一層是「資料夾」。您可以使用資料夾區隔上層組織中不同部門及團隊的需求。也可以運用資料夾區隔正式版資源與開發資源。

階層結構的最下層是「專案」。專案包含構成應用程式的運算、儲存以及網路資源。本文後續內容將深入探討專案。

您定義的結構會具有彈性,讓您得以因應不斷變化的需求。若剛開始使用 GCP,請根據最初的需求採用最簡單的結構。完整詳情請參閱 Resource Manager 總覽。

建立組織節點

GCP 支援的許多功能都少不了組織節點。您可以透過 Cloud Identity,建立一個與公司網際網路網域一致的組織節點,例如 example.com。您可以將現有的 GCP 專案和帳單帳戶移轉到組織節點中。詳情請參閱建立及管理組織

如需設定方面的協助,請參閱組織設定精靈

指定專案結構

要有專案才能使用 GCP。Compute Engine 虛擬機器和 Cloud Storage 值區等所有 GCP 資源皆屬於單一項專案。有關專案的詳情,請參閱平台總覽

您可以控制專案範圍。一項專案可以包含多個獨立應用程式,而一個應用程式也可能包含數項專案。專案可以包含分佈於多個地區和地理位置的資源。

最理想的專案結構取決於您的個別需求,而且可隨著時間而調整。設計專案結構時,需決定該單獨計費的資源、必要的區隔程度,以及資源與應用程式管理團隊的安排方式。

自動處理建立專案作業

自動處理建立及管理 GCP 專案與資源時,能夠發揮保持一致性、再現性以及測試能力等優勢。如將設定視為程式碼,您就可以像管理軟體開發成果一樣,對您的設定進行生命週期及其他項目管理。自動化作業有助於支援最佳做法,例如保持一致的資源命名慣例以及標示方式。需求出現變化時,自動化作業也能簡化重構專案的流程。

處理 GCP 專案時,請使用 GCP 原生管理工具 Cloud Deployment Manager。透過 Deployment Manager,您可以建立設定檔來說明要一起部署的一組 GCP 資源。您可以定義符合參數結構的範本,當成可重複使用的建構要素。Deployment Manager 也可以透過 Cloud IAM 設定存取控管權限,方便您在建立專案的過程中為開發人員提供適當的存取權。

如果您已經使用了 Terraform、Ansible 或 Puppet 等工具,直接使用這些工具即可。這樣就能夠善用團隊既有的技能。

身分與存取權管理

管理 Google 身分識別

GCP 使用 Google 帳戶進行驗證及管理存取權。您的開發人員及其他技術人員必須要有 Google 帳戶才能存取使用 GCP。建議使用經由 Cloud Identity 綁定於公司網域名稱的全代管 Google 帳戶。如此一來,您的開發人員就能使用自己的公司電子郵件 ID 存取使用 GCP,您的管理員也可以透過管理控制台查看及控制帳戶。本文後續章節將說明如何將現有身分識別平台併入 Cloud Identity。

Cloud Identity 是獨立的身分認證即服務 (IDaaS) 解決方案。Cloud Platform 客戶可以透過這項解決方案存取 G Suite (Google 工作場所生產力應用程式套裝組合) 所提供的諸多身分識別管理功能。Cloud Identity 不需要 G Suite 授權。申請 Cloud Identity 後可得到管理層權限,能夠管理與公司網域名稱具有關聯性的 Google 帳戶。您可以透過這個管理層啟用或停用員工對 Google 服務 (含 GCP) 的存取權限。申請 Cloud Identity 也會為您的網域建立一個組織節點,有助於對應公司結構,以及透過資源階層結構管理 GCP 資源。

詳情請參與 Cloud Identity 解決方案

使用 GCP 連結識別資訊提供者

如果貴機構使用內部部署或第三方識別資訊提供者,請同步處理您的使用者目錄與 Cloud Identity,讓使用者能夠使用自己的公司憑證存取使用 GCP。這樣您能繼續使用現有的識別資訊平台,同時 Cloud Identity 也可控管您的員工存取 Google 服務的情形。

遷移非代管帳戶

如果您的網域成員已使用公司電子郵件地址建立了個人 Google 帳戶 (例如申請 YouTube 或 Blogger 等 Google 服務),您可以考慮遷移這些帳戶,以利同樣使用 Cloud Identity 管理這些使用者。或者,您也可以強制要求這些帳戶改用不同的電子郵件地址。

如需其他有關遷移帳戶或強制帳戶重新命名的使用指南,請參閱將個人帳戶遷移至 Cloud Identity 或 G Suite

控管資源存取權

您必須授權讓開發人員和 IT 人員使用 GCP 資源。您可以使用 Cloud Identity and Access Management (IAM) 授予存取特定 GCP 資源的細分存取權,不讓使用者擅自存取其他資源。具體而言,Cloud IAM 可以定義「誰」(身分) 有「什麼存取權」(角色),能夠存取「什麼」資源。

您不需要直接指派權限,只要指派「角色」即可。Cloud IAM 角色是權限集合。例如,「BigQuery 資料檢視者」角色包含列出、讀取以及查詢 BigQuery 資料表的權限,但不包含建立新資料表或修改現有資料的權限。Cloud IAM 提供許多預先定義的角色,可用於處理各式各樣的普遍用途。您也可以建立自訂角色。

請使用 Cloud IAM 落實最低權限安全原則,只授予必要的資源權限。Cloud IAM 是企業組織的根本主題。有關身分識別與存取權管理的詳情,請參閱下列參考資源:

透過群組和服務帳戶委派責任

建議您將具有相同責任的使用者分門別類為「群組」,再為群組指派 Cloud IAM 角色,而不指派給個別使用者。例如,您可以建立一個「數據資料學家」群組並指派適當的角色,以利群組成員與 BigQuery 和 Cloud Storage 互動。如有新的數據資料科學家加入團隊,只要將對方新增至群組中,對方即可沿用既定權限。您可以透過管理控制台建立及管理群組。

服務帳戶是特殊的 Google 帳戶類型,代表一種 Google Cloud 服務身分或應用程式,而非代表個別使用者。除了使用者和群組外,您也可以替服務帳戶指派 IAM 角色,讓帳戶有權存取特定資源。服務帳戶使用金鑰進行驗證,不使用密碼。Google 會管理並輪流使用 GCP 執行程式碼的服務帳戶金鑰。建議您使用服務帳戶進行伺服器與伺服器之間的互動。

定義組織政策

使用組織政策服務,透過程式輔助方式集中控管組織的雲端資源。 Cloud IAM 以管理「誰」為主,可以讓您授權給使用者和群組,使其能夠根據權限處理特定資源。組織政策則著重於處理「什麼」,可讓您針對特定資源設限,從而指定能夠設定和使用資源的方式。例如,您可以定義約束條件,禁止虛擬機器使用外部 IP 位址。

您可以針對資源階層結構中的資源設定政策。同一個資源的子系預設全數沿用該項資源的政策。您可以定義一組基本約束條件,只要將政策附加於最上層的組織節點,就能將這一組約束條件套用於階層結構中的所有元素。之後,您可以針對子節點設定自訂組織政策,這些政策會覆寫或併入原本沿用的政策。

有關設定政策的詳情,請參閱企業客戶的政策設計

網路與安全

使用虛擬私人雲端定義網路

使用虛擬私人雲端和子網路進行網路規劃,並針對相關資源執行分組與隔離。虛擬私人雲端 (VPC) 是實體網路的虛擬版本。虛擬私人雲端網路提供兼具擴充能力與彈性的網路功能,適用於 Compute Engine 虛擬機器 (VM) 執行個體,也適用於使用 VM 執行個體的服務,包括 Google Kubernetes Engine (GKE)、Cloud Dataproc 以及 Cloud Dataflow 等等。

虛擬私人雲端網路是全球資源;一個虛擬私人雲端可以橫跨多個地區,不需透過公開網際網路通訊。也就是說,您可以透過單一 GCP 專案連上並管理散佈於全球的資源,也能在同一項專案中建立多個獨立的虛擬私人雲端網路。

虛擬私人雲端網路本身並不定義 IP 位址範圍。每個虛擬私人雲端網路各由一或多個分區組成,這些分區稱為「子網路」。其中的各個子網路分別定義一或多個 IP 位址範圍。子網路是地區資源;每個子網路各與一個地區具有明確的關聯性。

詳情請參閱虛擬私人雲端總覽

使用防火牆原則管理流量

每個虛擬私人雲端網路各自實作一個分散式虛擬防火牆。設定防火牆規則,允許或拒絕傳入或傳出虛擬私人雲端連結資源的流量,這類資源包括 Compute Engine VM 執行個體以及 GKE 叢集。防火牆規則需在虛擬網路層級套用,因此有助於提供有效的保護作用及流量控管作用,不受執行個體所用的作業系統影響。防火牆會區分狀態,也就是說,若流量在許可範圍內,則會自動允許傳回流量。

防火牆規則限定於特定的虛擬私人雲端網路。這類規則允許您指定流量類型 (例如通訊埠和通訊協定),以及流量的來源或目的地,包括 IP 位址、子網路、標記與服務帳戶。舉例來說,您可以建立「輸入」規則,允許任何與特定服務帳戶相關的 VM 執行個體接受從特定來源子網路傳入通訊埠 80 的 TCP 流量。每個虛擬私人雲端均自動包含預設和默示防火牆規則

若您的應用程式由 GKE 託管,管理網路流量和設定防火牆規定時就需斟酌不同的因素。詳情請參閱 GKE 網路概念

限制外部存取權

建立使用虛擬私人雲端的 GCP 資源時,您需選擇用於儲存該項資源的網路及子網路。這項資源會有一個指定的內部 IP 位址,而其 IP 位址會落在其中一個與該子網路相關的 IP 範圍內:虛擬私人雲端中的資源彼此之間可以透過內部 IP 位址通訊,前提是必須在防火牆規則允許範圍內。

資源必須要有外部公開 IP 位址,或者必須使用 Cloud NAT,才能與網際網路通訊。同樣地,資源要有外部 IP 位址才能連上其他不屬於同一個虛擬私人雲端網路的位址,除非這些網路透過某種方式互連,例如透過 VPN 連線。詳情請參閱 IP 位址說明文件。

限制只讓需要網際網路的資源存取網際網路。只有私人內部 IP 位址的資源仍然可以透過私人 Google 存取權存取使用許多 Google API。這種私人存取權可讓資源與主要的 Google 和 GCP 服務互動,同時又能與網際網路隔絕。

集中控制網路

使用共用虛擬私人雲端連上共用的虛擬私人雲端網路。這些專案中的資源可以透過內部 IP 安全又有效率地彼此通訊,不受限於專案界線。您可以透過中央主機專案管理共用網路資源,例如子網路、路徑及防火牆,以利針對專案套用及強制實行一致的網路政策。

共用虛擬私人雲端及 IAM 控制權可以讓您將網路管理作業與專案管理作業分開。這種方式有助於落實最低權限原則。例如,中央網路團隊不需具備參與專案的任何權限即可管理網路。同樣地,專案管理員不需具備任何能夠操控共用網路的權限即可管理其專案資源。

與企業網路連線

許多企業需要使用其 GCP 資源連上現有的內部部署基礎架構。選擇最佳連線選項之前,請評估您的頻寬、延遲時間以及服務水準協議等需求:

  • 如需延遲時間低、可用性高的企業級連線,以利在內部部署與虛擬私人雲端網路之間可靠地傳輸資料,不需周遊網際網路就能與 GCP 連線,請使用 Cloud Interconnect

    • 專屬互連網路能在內部部署網路和 Google 的網路之間發揮直接實體連線作用。
    • 合作夥伴互連網路則可透過支援的服務供應商,讓內部部署與 GCP 虛擬私人雲端網路彼此互連。
  • 若不需要 Cloud Interconnect 具備的低延遲時間和高可用性等特性,或者您才剛開始使用雲端,請使用 Cloud VPN,在內部部署網路和虛擬私人雲端之間設定 IPsec VPN 加密通道。相較於直接私人連線方式,IPsec VPN 通道的負擔和費用均較低。

保護應用程式和資料

GCP 針對其基礎架構和服務提供完整的安全功能,從資料中心和自訂安全硬體的實體安全防護到專屬研究團隊一應俱全。不過,保護 GCP 資源是共同的責任。您必須酌情採取適當的措施,以利妥善保護應用程式和資料。

除防火牆規則和隔離虛擬私人雲端以外,請運用以下工具協助保障應用程式安全:

  • 使用 VPC Service Controls 定義 GCP 資源的安全範圍,以利約束虛擬私人雲端內部的資料,同時也有助於減輕資料竊取風險。
  • 使用 GCP 全域 HTTP(S) 負載平衡器,支援網際網路端服務發揮高可用性與資源調度作用。
  • 整合 Google Cloud Armor 和 HTTP(S) 負載平衡器,在網路邊緣提供 DDoS 防護機制和將 IP 位址列入黑名單和許可清單的功能。
  • 使用 Cloud Identity-Aware Proxy (Cloud IAP) 驗證使用者身分及要求的結構定義,判斷是否應將存取權授予某位使用者,以利控制應用程式存取權。

GCP 會將傳輸中資料及靜態資料加密,協助保護資料安全。靜態資料的加密方式預設為使用 Google 代管的加密金鑰。若是敏感資料,則可改以 GCP 管理金鑰。如需更大的控制權,可以自行提供不在 GCP 管理範圍內的加密金鑰。由於管理或維護自己的金鑰會造成負擔,建議您只運用這種方式處理極度敏感資料。詳情請參閱靜態資料加密

記錄、監控和運作

集中記錄與監控

企業通常需跨不同的平台執行多種應用程式、資料管道以及其他處理序。確認這些應用程式和處理序的健康狀態,是開發人員和作業團隊共同的責任,而且茲事體大。為保持健康狀態,建議使用 Stackdriver 管理記錄、監控、除錯、追蹤、剖析等各項功能。

記錄是應用程式及流程健康狀態診斷資訊的主要來源。 Stackdriver Logging 是 Stackdriver 套件的一部分,可讓您儲存、查看、搜尋、分析記錄資料與事件,並發出相關快訊。Logging 也已整合至多項 GCP 服務中。對於託管在 Compute Engine 或 Amazon Elastic Compute Cloud (EC2) 虛擬機器執行個體上的應用程式,安裝記錄代理程式即可自動將記錄轉送至 Stackdriver。Stackdriver Logging 也提供了一個 API,可以寫入任何來源的記錄,包含在內部部署執行的應用程式。您可以利用 Logging 將所有應用程式的記錄匯集到 Stackdriver 集中管理。

除了使用記錄以外,通常您還需要監控應用程式和系統的其他層面,以利保持穩定運作。使用 Stackdriver Monitoring 掌握應用程式和基礎架構的效能、運作時間,以及整體健康狀態。Monitoring 會擷取事件、指標和中繼資料,並且透過資訊主頁、圖表和快訊產生深入分析。Monitoring 支援許多 GCP 服務及第三方來源所提供的現成指標。您也可以使用 Monitoring 定義自訂指標。例如,您可以使用指標定義快訊政策,一旦出現異常行為或趨勢時就通知作業團隊。Monitoring 也提供彈性十足的資訊主頁和豐富的影像內容工具,可以協助您辨別緊急問題。

設定稽核記錄

除了擷取應用程式和程序層級的記錄以外,您可能還需要追蹤及保留開發人員和 IT 團隊與 GCP 資源互動的詳細資料。使用 Cloud 稽核記錄協助您回答 GCP 專案中「從事活動的人員、內容、地點及時間為何」的問題。如需寫入稽核記錄的 GCP 服務清單,請參閱產生稽核記錄的服務。使用 IAM 控制項限制有權查看稽核記錄的人。

Cloud 稽核記錄會擷取數種類型的活動。「管理員活動」記錄包含 API 呼叫,或是會修改設定或資源中繼資料等其他管理操作的記錄項目。系統一律啟用管理員活動記錄。「資料存取」稽核記錄會記錄建立、修改或讀取使用者所提供之資料的 API 呼叫。資料存取稽核記錄可能相當大,系統預設停用。您可以設定讓哪些 GCP 服務產生資料存取記錄。

如要進一步瞭解稽核相關資訊,請參閱使用 Cloud 稽核記錄的最佳做法

匯出記錄

Logging 保留應用程式和稽核記錄的時間有限。您可能需要延長記錄保留時間,以利善盡法規遵循義務。您也可能為了歷史記錄分析所需而保留記錄。

您可以將記錄匯出至 Cloud Storage、BigQuery 以及 Cloud Pub/Sub。使用篩選器即可包含或排除欲匯出的資源。例如,您可以匯出所有 Compute Engine 記錄,但排除 Cloud Load Balancing 所產生的大量記錄。

記錄匯出目的地因用途而異。許多企業會將記錄匯出到多個目的地。一般而言,為善盡法規遵循義務,請使用 Cloud Storage 長期保存資料。如需分析記錄,請使用 BigQuery,因為這項服務支援 SQL 查詢以及相當龐大的第三方工具生態系統。

有關匯出記錄的詳情,請參閱設計自 Logging 匯出的模式

採取開發運作措施並探究網站穩定性工程

為提高應用程式及功能的敏捷度並加快其上市速度,您需破除開發、營運、網路以及安全團隊之間彼此孤立的陋習。要達到這個目的,就必須具備統稱「開發運作」的流程、文化以及工具。

GCP 提供各式各樣的服務,可以協助您採行開發運作措施。相關功能包括整合式原始碼存放區持續推送軟體更新工具、Stackdriver 提供的豐富監控功能,還有對於開放原始碼工具的強大支援。詳情請參閱 GCP 的開發運作解決方案

網站穩定性工程 (SRE) 是一組與開發運作密不可分的做法。這些做法源自於負責管理 Google 生產基礎架構的 SRE 團隊。許多企業並不建立專屬 SRE 功能,但我們建議您詳閱 SRE 相關書籍,瞭解有助於規劃運作策略的做法。

雲端架構

規劃移轉作業

要將內部部署應用程式和基礎架構移轉至雲端,必須進行審慎的評估和規劃。您必須評估包括隨即轉移、按應用程式轉換並移轉在內的各種移轉策略。GCP 提供的工具可以協助您移轉虛擬機器、轉移資料,以及讓工作負載符合現代需求。詳情請參閱移轉中心

基於法規、技術或財務限制的緣故,您可能無法或無意將某些應用程式移轉到公用雲端。因此,您可能需要跨內部部署和 GCP 基礎架構分散工作負載,並進行整合。這種方式稱為「混合式雲端」。如要進一步瞭解混合型工作負載,請參閱混合式雲端頁面;如要瞭解混合式解決方案和多雲端解決方案,請參閱模式與最佳做法

選擇代管服務

採用雲端的主要因素是要減輕 IT 負擔及提高效率,讓您能夠專注處理核心業務。除了採行開發運作措施並加強自動處理以外,您還應該運用「GCP 代管服務」協助降低運作負擔與總持有成本 (TCO)。

您不需要獨立安裝、支援及操作一個應用程式堆疊中的所有部分,可以透過代管服務,以服務形式使用應用程式堆疊中的各個部分。例如,您可以使用 Cloud SQL 提供的 MySQL 資料庫,不需在 VM 執行個體上安裝並自行管理 MySQL 資料庫。之後,您就可以運用 GCP 管理基本基礎架構並自動處理備份、更新和複寫等作業。

建議您評估每項代管服務所提供的服務水準協議。

GCP 針對許多常見應用程式元件和用途提供代管服務和無伺服器選項,從代管資料庫到大數據處理工具一應俱全。其中許多代管服務均支援常用的開放原始碼架構和平台,因此,您可以升級並將目前使用這類開放原始碼平台的應用程式轉換到雲端,在總持有成本方面得到更大的優勢。

高可用性設計

為協助關鍵任務應用程式保持正常運作時間,需設計能妥善處理負載失敗或意外變更的「彈性」應用程式。高可用性是指應用程式在系統元件故障情況下仍能保持回應能力並持續運作。高可用性架構通常與分散運算資源、負載平衡以及複寫資料息息相關。高可用性佈建程度因應用程式而異。有關可用性概念的詳情,請參閱地理位置和地區說明文件。

對於 Compute Engine VM 執行個體和 GKE 叢集這類的運算資源,您至少應將資源分散於地區內的不同可用區域,以利防範特定區域發生故障。如要進一步提升運算資源的可用性,您可以比照辦理,將資源分散至散佈於不同地理位置的地區,以利減輕整個地區的損失。有關應在何處建立運算資源的說明,請參閱選擇 Compute Engine 地區的最佳做法

GCP 提供數種不同的負載平衡方式。通常會使用 HTTP(S) 負載平衡器公開網際網路端應用程式。這項負載平衡器提供全域平衡功能,可讓負載分散於位在不同地理位置的地區。若無法使用某個區域或地區,負載平衡器會將流量導向有可用容量的區域。詳情請參閱利用全域負載平衡進行應用程式容量最佳化

選擇資料儲存空間時,也請考量可用性。有些 GCP 資料儲存服務提供跨單一地區中不同區域複寫資料的功能。其他服務則會自動跨同一個地理區域的多個地區複寫資料,但可能需要犧牲延遲時間或一致性模型。哪一種資料儲存服務最適合取決於應用程式與可用性需求。

規劃災難復原策略

除設計高可用性之外,您還應該擬定方案,避免發生大規模中斷或天災時無法繼續執行業務。災難復原 (DR) 是指發生罕見但嚴重的事故後的復原能力。倘若高可用性佈建作業無法發揮作用或無法使用,您可能需要啟動災難復原。

要建立有效的 DR 方案,必須進行規劃和測試。建議您及早制訂 DR 方案。詳情請參閱災難復原規劃指南以及相關文章。

資源

帳單與管理

掌握資源收費情形

GCP 採用消費模式。您需按照在特定付款期間內所用的特定資源或產品付費。產品使用量按不同的方式計算,例如:

  • 時間長短 (機器的執行秒數)
  • 容量 (資料儲存空間大小)
  • 作業執行次數
  • 以上概念的各種變化

請務必瞭解系統元件收費模式,以利準確拿捏費用。每項產品的說明文件均提供詳細的價格資訊。許多產品提供免費方案,只要使用量低於特定門檻,一律不計費。若需使用的資源超出免費方案限制,您就必須同意付費。

有關 GCP 定價概念、創新技術以及折扣的詳情,請參閱價格頁面。

設定帳單控管

包括 Compute Engine VM、Cloud Storage 值區以及 BigQuery 資料庫在內,所有 GCP 資源都必須與 GCP 專案建立關聯。使用的資源如需超出免費方案提供的量,必須為專案建立相關的帳單帳戶。帳單帳戶和專案之間有一對多的關係;一項專案只能與一個帳單帳戶相關,但一個帳單帳戶可以與多項專案相關。

請使用帳單帳戶定義專案集合資源費用的付款人。這個帳戶包含費用付款方式,例如信用卡。您可以定義組織層級的帳單帳戶,在其中將組織節點底下的專案連結至帳單帳戶。您的組織中可以有多個帳單帳戶,用於代表不同的費用中心或部門。

Cloud IAM 提供一組完整的控制功能,可用於限制不同使用者管理及使用帳單功能的方式。這些控制功能可以協助您運用最低權限原則,也能清楚區隔角色。例如,您可以將建立帳單帳戶的權限與將專案連結至特定帳單帳戶的權限分開。

有關帳單概念及設定方式的詳細探討內容,請參閱計費功能設定檢查清單

分析與匯出帳單

擁有適當權限的使用者可以在 GCP 主控台中查看費用明細、交易記錄以及其他資訊。所有資訊均按帳單帳戶顯示。主控台也包含互動式帳單報告,可供您依專案、產品及時間範圍篩選及分析費用。GCP 主控台功能通常足以供 GCP 設定較簡單的客戶使用。

不過,您通常會需要雲端支出自訂分析及報告。使用每日匯出帳單收費資訊的功能即可因應這項需求。您可以設定檔案匯出功能,將 CSV 或 JSON 檔案匯出到 Cloud Storage 值區。同樣地,您可以設定匯出成 BigQuery 資料集。匯出項目會包括資源已經套用的任何標籤

建議您啟用 BigQuery 匯出功能。相較於匯出檔案,這些匯出內容可以提供更深入的費用分析報告。將帳單資料匯出至 BigQuery 以後,財務團隊就能使用標準 SQL 及整合於 BigQuery 的工具分析資料。

規劃容量需求

GCP 專案的配額會限制使用特定資源或 API。設定配額是為了保護更廣大的 GCP 社群,預防使用量意外暴增的情況。例如,配額可以避免少數客戶或專案獨佔特定地區或區域的 CPU 核心。

請預先規劃專案的容量需求,避免資源使用量遭到非預期的限制。如果配額不足,可以在 GCP 主控台的配額部分提出要求。如需較大的容量,請聯絡 GCP 銷售團隊。

落實費用控制

雲端服務可以擴充,費用也會隨之上升。GCP 提供數種限制資源使用量的方法,也可以提醒相關人員留意相關計費事件。

您可以定義「預算」,以便在支出達到特定門檻時收到快訊。快訊採電子郵件形式發送,也可以產生 Cloud Pub/Sub 訊息,發出程式輔助通知。您可以將預算套用於整個帳單帳戶,也可以套用於連結某個帳單帳戶的個別專案。例如,您可以建立預算,當帳單帳戶的每月總支出達到指定預算量的 50%、80% 和 100% 時傳送快訊。請注意,預算本身不會限制支出;只能產生快訊。詳情請參閱預算快訊說明文件。如需更多有助於簡化費用管理的最佳做法、設計決定以及設定選項,請參閱雲端計費功能設定檢查清單

您也可以使用配額限制特定資源的使用量上限。例如,您可以針對 BigQuery API 設定「每日查詢使用量」上限,避免專案的 BigQuery 費用超支。

購買支援方案

當您遇到問題時,GCP 提供各種支援方式,包括社群論壇乃至於付費的支援方案。為保護您的重要業務工作負載,建議您購買企業支援方案。詳情請參閱 GCP 支援入口網站

視您所購買的支援層級而定,可能只有某些人能夠申請支援票證。因此,最好的做法是成立一個收發支援訊息,或是分類支援需求的專門小組。這種方式有助於避免重複提交票證及溝通不良,且能保障您與 Google Cloud 支援服務之間的通訊儘可能清楚無誤。

向專家求助

Google Cloud 專業服務團隊 (PSO) 提供諮詢服務,能協助您順利使用 GCP。您可以聯絡 PSO 顧問,對方會發揮專業經驗,協助您的團隊瞭解順利實作的最佳做法與指導原則。服務採方案形式,以利協助您規劃、部署、執行與最佳化工作負載。

GCP 的 Google Cloud 合作夥伴生態系統也有十分堅強的陣容,其中不乏大型全球系統整合商,以及專精機器學習等特定領域的合作夥伴。合作夥伴已經運用 GCP 成功幫助客戶,而且可以協助您加快專案速度並提升業務成果。建議企業客戶與合作夥伴配合,充分落實 GCP 的規劃與執行。

建構完善的中心

Google 持續投資開發這些產品,並且不斷推出新功能。如果能將貴組織的這些寶貴資訊、經驗和模式彙整到內部知識庫 (例如維基、Google 協作平台或內部網站),日後也可以派上用場。

同樣地,在組織中善用 GCP 專家和專業人員也是很好的做法。我們提供一系列訓練和認證選項,可以協助專業人員在其專業領域不斷成長。團隊只要訂閱 Google Cloud 網誌,就能即時掌握最新資訊、公告以及客戶報導等相關資訊。

後續步驟

本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
說明文件