企业组织最佳做法

本指南介绍了一些最佳做法,可帮助像您这样的企业客户了解 Google Cloud Platform (GCP)。该指南并未列出所有建议,其目标而是帮助企业架构师和技术利益相关方了解活动范围并相应地做出规划。各部分均介绍了关键操作,并包含一些相关内容的链接。

在您阅读本指南之前,我们建议您先查看 Platform 概览,以便从整体上了解 GCP。

组织设置

定义资源层次结构

GCP 资源以分层方式进行组织。借助此层次结构,您可以将企业的运营结构映射到 GCP,并管理相关资源组的访问控制和权限。下图展示了一个层次结构示例。

包含以分层方式组织的资源的反向树结构

层次结构的顶层节点是组织资源,它代表一家组织(例如,公司)。组织资源便于集中查看和控制层次结构中接下来的各个级层的所有资源。

层次结构中的下一层级是文件夹。您可以使用文件夹来隔离父级组织中不同部门和团队的要求。您同样可以使用文件夹将生产资源与开发资源分开。

层次结构的底层是项目。项目包含构成应用的计算、存储和网络资源。本文档稍后会对项目进行详细介绍。

您定义的结构非常灵活,可以让您适应不断变化的需求。如果您刚刚开始 GCP 之旅,请采用满足您最初需求的最简单的结构。如需了解详情,请参阅 Resource Manager 概览。

创建组织节点

GCP 支持的很多功能都需要组织节点。您可以通过 Cloud Identity 创建组织节点以映射到您的公司互联网网域,例如 example.com。您可以将现有 GCP 项目和结算帐号迁移到组织节点。如需了解详情,请参阅创建和管理组织

如果您需要有关设置的帮助,请参阅组织设置向导

指定项目结构

需要有项目才能使用 GCP。所有 GCP 资源(如 Compute Engine 虚拟机和 Cloud Storage 存储分区)都属于一个项目。如需详细了解项目,请参阅 Platform 概览

您可以控制项目的范围。单个项目可能包含多个单独的应用,或者相反,单个应用可能包含多个项目。项目可以包含分布在多个区域和地理位置的资源。

理想的项目结构取决于您的独特需求,并且可能随着时间的推移而变化。在设计项目结构时,应确定是否需要对资源单独计费、需要什么样的隔离程度,以及如何组织管理资源和应用的团队。

自动创建项目

如果您自动创建和管理 GCP 项目和资源,您将获得诸如一致性、可再现性和可测试性等好处。通过将配置视为代码,您可以将配置和工件的生命周期一起进行版本控制和管理。自动化允许您支持诸如一致的命名惯例和为资源添加标签等最佳做法。随着您的需求的变化,自动化还会简化项目的重构。

对于 GCP 项目,请使用 Cloud Deployment Manager,它是 GCP 原生管理工具。使用 Deployment Manager,您可以创建一个配置文件,用于描述您要一起部署的一组 GCP 资源。您可以定义参数化模板来充当可重复使用的构建块。Deployment Manager 还可以通过 Cloud IAM 设置访问控制权限,以便在项目创建过程中您的开发者获得适当的访问权限。

如果您已经使用 Terraform、Ansible 或 Puppet 等工具,则可以继续使用这些工具。这样可以利用您的团队已经拥有的技能。

身份和访问权限管理

管理您的 Google 身份

GCP 使用 Google 帐号进行身份验证和访问权限管理。您的开发者和其他技术人员必须拥有 Google 帐号才能访问 GCP。我们建议您通过 Cloud Identity 使用与公司域名相关联的完全托管式 Google 帐号。这样,您的开发者便可以使用公司电子邮件 ID 访问 GCP,并且您的管理员可以通过管理控制台查看和控制帐号。本文档的后续部分介绍了如何将现有身份平台与 Cloud Identity 集成。

Cloud Identity 是一个独立的身份认证即服务 (IDaaS) 解决方案。该解决方案可让 Cloud Platform 客户访问 G Suite(即 Google Cloud 的一套工作场所高效办公应用)提供的多项身份管理功能。Cloud Identity 不需要 G Suite 许可证。注册 Cloud Identity 可通过与您的公司域名关联的 Google 帐号提供一个管理层。通过此管理层,您可以为您的员工启用或停用对 Google 服务(包括 GCP)的访问。注册 Cloud Identity 还可以为您的网域创建一个组织节点,这有助于通过资源层次结构将公司结构和控制功能映射到 GCP 资源。

如需了解详情,请参阅 Cloud Identity 解决方案

将您的身份提供商与 GCP 联合

如果您的组织使用本地或第三方身份提供商,请将用户目录与 Cloud Identity 同步,这使得用户可以通过其公司凭据访问 GCP。这样,您的身份平台仍然是可靠来源,而 Cloud Identity 可以控制员工访问 Google 服务的方式。

迁移非托管式帐号

如果您的网域成员使用其公司电子邮件地址创建个人 Google 帐号(例如,用于注册 YouTube 或 Blogger 等 Google 服务),请考虑迁移这些帐号,以便也可以使用 Cloud Identity 进行管理。或者,您也可以强制将这些帐号更改为使用其他电子邮件地址。

您可以在将消费者帐号迁移到 Cloud Identity 或 G Suite 中找到更多有关如何迁移帐号或强制帐号重命名的指导信息。

控制对资源的访问权限

您必须为开发者和 IT 人员授予使用 GCP 资源的权限。您可以使用 Cloud Identity and Access Management (IAM) 授予对特定 GCP 资源的细化访问权限,并阻止对其他资源的不必要访问。具体来说,Cloud IAM 使您能够通过定义谁(身份)对哪种资源具有哪种访问权限(角色)来控制访问权限。

您可以分配角色,而不是直接分配权限。Cloud IAM 角色是权限集合。例如,BigQuery 数据查看者角色包含列出、读取和查询 BigQuery 表的权限,但不包含创建新表或修改现有数据的权限。Cloud IAM 提供许多预定义角色来处理各种常见使用场景。Cloud IAM 还使您能够创建自定义角色。

通过 Cloud IAM 可以应用最小权限的安全原则,因此您只需授予对您的资源的必要访问权限即可。Cloud IAM 是企业组织的基本主题。如需详细了解身份和访问权限管理,请参阅以下资源:

向群组和服务帐号委派责任

我们建议将具有相同责任的用户收集到群组中,并将 Cloud IAM 角色分配给群组而不是单个用户。例如,您可以创建“数据科学家”群组并分配适当的角色以实现与 BigQuery 和 Cloud Storage 的交互。在新数据科学家加入您的团队后,您只需将其添加到群组中,它们就会继承已定义的权限。您可以通过管理控制台创建和管理群组。

服务帐号是一种特殊类型的 Google 帐号,代表 Google Cloud 服务身份或应用,而非代表单个用户。与用户和群组一样,可以为服务帐号分配 IAM 角色以授予对特定资源的访问权限。服务帐号使用密钥而非密码进行身份验证。Google 会管理和轮替在 GCP 上运行的代码的服务帐号密钥。我们建议您使用服务帐号进行服务器与服务器之间的交互。

定义组织政策

使用组织政策服务可以对组织的云资源进行集中式编程控制。 Cloud IAM 侧重于谁能够授权用户和群组基于权限对特定资源执行操作。组织政策侧重于什么能够对特定资源设置限制以确定配置和使用这些资源的方式。例如,您可以将限制条件定义为限制虚拟机实例具有外部 IP 地址。

您可以对资源层次结构中的资源设置政策。默认情况下,资源的所有后代都会继承其政策。您可以通过将政策附加到顶层组织节点来定义应用于层次结构中所有元素的一组基本限制条件。然后,您可以在子节点上设置自定义组织政策,这些组织政策将覆盖继承的政策或与其合并。

如需详细了解如何设置政策,请参阅面向企业客户的政策设计

网络和安全

使用 VPC 定义您的网络

使用 VPC 和子网可以映射您的网络,以及分组和隔离相关资源。Virtual Private Cloud (VPC) 是物理网络的虚拟版本。VPC 网络可为您的 Compute Engine 虚拟机 (VM) 实例以及利用虚拟机实例的服务(包括 Google Kubernetes Engine (GKE)、Cloud Dataproc、Cloud Dataflow 等)提供可扩缩的灵活网络。

VPC 网络属于全球性资源;单个 VPC 可以跨越多个区域,而无需通过公共互联网进行通信。这意味着您可以从单个 GCP 项目连接和管理分布在全球各地的资源,并且您可以在单个项目中创建多个隔离的 VPC 网络。

VPC 网络本身不定义 IP 地址范围。相反,每个 VPC 网络均由一个或多个称为子网的分区组成。每个子网依次定义一个或多个 IP 地址范围。子网属于区域性资源;每个子网明确与单个区域相关联。

如需了解详情,请参阅 VPC 概览

使用防火墙规则管理流量

每个 VPC 网络都会实现分布式虚拟防火墙。配置防火墙规则,以允许或拒绝进出附加到 VPC 的资源(包括 Compute Engine 虚拟机实例和 GKE 集群)的流量。防火墙规则在虚拟网络级层应用,因此无论您的实例使用何种操作系统,防火墙规则都可以提供有效的保护和流量控制。防火墙是有状态的,这意味着对于允许的流,会自动允许返回流量。

防火墙规则针对特定 VPC 网络。通过防火墙规则,您可以指定流量类型(如端口和协议)、流量的来源和目的地,包括 IP 地址、子网、标记和服务帐号。例如,您可以创建入站规则,以允许与特定服务帐号关联的任何虚拟机实例接受端口 80 上源自特定来源子网的 TCP 流量。每个 VPC 均自动包含默认和隐含的防火墙规则

如果您的应用在 GKE 中托管,则管理网络流量和配置防火墙规则有不同的注意事项。如需了解详情,请参阅 GKE 网络概念

限制外部访问

创建利用 VPC 的 GCP 资源时,您可以选择网络和子网来放入资源。系统会从与子网关联的一个 IP 范围为资源分配内部 IP 地址。只要防火墙规则允许,VPC 网络中的资源就可以通过内部 IP 地址相互通信。

要与互联网通信,资源必须具有外部公共 IP 地址,或者必须使用 Cloud NAT。同样,资源必须具有外部 IP 地址才能连接到同一 VPC 网络之外的其他资源,除非网络以某种方式连接,例如通过 VPN。如需了解详情,请参阅 IP 地址文档。

将互联网访问权限仅限于需要互联网的资源。仅具有专用内部 IP 地址的资源仍然可以通过专用 Google 访问权限访问多个 Google API 和服务。此专用访问权限使资源能够与关键 Google 和 GCP 服务进行交互,同时保持与互联网隔离。

集中网络控制

使用共享 VPC 可以连接到同一个 VPC 网络。这些项目中的资源可以使用内部 IP 跨项目边界安全有效地相互通信。您可以通过中央宿主项目管理共享网络资源(例如子网、路由和防火墙),使您能够跨项目应用和强制执行一致的网络政策。

使用共享 VPC 和 IAM 控件,您可以将网络管理与项目管理分开。这种分离有助于您实现最小权限原则。例如,集中式网络团队可以管理网络,而无需对参与项目拥有任何权限。同样,项目管理员可以管理其项目资源,而无需操作共享网络的任何权限。

连接您的企业网络

许多企业需要将现有的本地基础架构与其 GCP 资源连接。评估您的带宽,延迟和服务等级协议 (SLA) 要求,以选择最佳连接选项:

  • 如果您需要低延迟、高可用性的企业级连接,使您能够在本地和 VPC 网络之间可靠地传输数据,而无需通过诸多互联网连接再到达 GCP,请使用 Cloud Interconnect

    • 专用互连在您的本地网络和 Google 网络之间提供直接物理连接。
    • 合作伙伴互连通过支持的服务提供商在您的本地网络和 GCP VPC 网络之间提供连接。
  • 如果您不需要 Cloud Interconnect 的低延迟和高可用性,或者您刚刚开始云之旅,请使用 Cloud VPN 在本地网络和 VPC 之间设置加密的 IPsec VPN 隧道。与直接专用连接相比,IPsec VPN 隧道的开销和费用更低。

保护您的应用和数据

GCP 在其基础架构和服务中提供可靠的安全功能,从确保数据中心和自定义安全硬件的物理安全,到专门研究团队的支持。但是,保护 GCP 资源是一项共同的责任。您必须采取适当措施来帮助确保您的应用和数据受到保护。

除防火墙规则和 VPC 隔离外,您还可以使用以下其他工具来帮助保护您的应用:

  • 使用 VPC Service Controls 可以定义 GCP 资源的安全边界,以便将数据限制在某个 VPC 的范围内并帮助降低数据渗漏风险。
  • 使用 GCP 全局 HTTP(S) 负载平衡器可以支持面向互联网的服务实现高可用性和扩容。
  • Google Cloud Armor 与 HTTP(S) 负载平衡器集成可以提供 DDoS 保护,并能够在网络边缘将 IP 地址列入黑名单和白名单。
  • 通过使用 Cloud Identity-Aware Proxy (Cloud IAP) 控制对应用的访问权限,可以验证用户身份和请求上下文以确定是否应向用户授予访问权限。

GCP 通过同时应用传输中加密方法和静态加密方法来帮助确保数据安全。默认情况下,静态数据使用由 Google 管理的加密密钥进行加密。对于敏感数据,您可以改为在 GCP 中管理密钥。如果您需要更高程度的控制,您可以提供在 GCP 之外维护的自定义加密密钥。由于管理或维护自己的密钥会产生开销,因此我们建议仅对真正敏感的数据使用此方法。如需了解详情,请参阅静态加密

日志记录、监控和操作

集中日志记录和监控

企业通常跨不同平台运行多个应用、数据流水线以及其他进程。确保这些应用和进程的运行状况是开发者和运营团队的关键责任。为帮助确保运行状况,我们建议使用 Stackdriver 来管理日志记录、监控、调试、跟踪,分析等。

日志是有关应用和进程运行状况的诊断信息的主要来源。 Stackdriver Logging 是 Stackdriver 套件的一部分。它使您能够存储、查看、搜索、分析日志数据和事件,并相应地发出提醒。Logging 与许多 GCP 服务原生集成。对于托管在 Compute Engine 或 Amazon Elastic Compute Cloud (EC2) 虚拟机实例上的应用,您可以安装 Logging 代理以自动将日志转发到 Stackdriver。Stackdriver Logging 还提供了一个 API,可用于从任何来源写入日志,包括从本地运行的应用。使用 Logging 可以将所有应用中的日志集中到 Stackdriver 中。

除了使用日志之外,您通常还需要监控应用和系统的其他方面,以确保可靠运行。使用 Stackdriver Monitoring 可以了解应用和基础架构的性能、正常运行时间和整体运行状况。Monitoring 会提取事件、指标和元数据,并通过信息中心、图表和提醒生成数据分析。Monitoring 支持直接来自许多 GCP 和第三方来源的指标。您还可以使用 Monitoring 定义自定义指标。例如,您可以使用指标来定义提醒政策,以便运营团队收到异常行为或趋势的通知。Monitoring 还会提供灵活的信息中心和丰富的可视化工具,以帮助发现紧急问题。

设置审核跟踪

除了捕获应用日志和进程级日志以外,您还可能需要跟踪和维护有关开发者和 IT 团队如何与 GCP 资源交互的详细信息。使用 Cloud Audit Logs 可帮助解答“哪些用户何时在何处执行了什么操作”等疑问。如需查看写入审核日志的 GCP 服务列表,请参阅生成审核日志的服务。使用 IAM 控件可以限制有权查看审核日志的人员。

Cloud Audit Logs 可捕获多种类型的活动。管理活动日志包含 API 调用或其他用于修改资源配置或元数据的管理操作对应的日志条目。管理员活动日志始终处于启用状态。数据访问审核日志会记录用于创建、修改或读取用户提供的数据的 API 调用。数据访问审核日志默认处于停用状态,因为它们可能很大。您可以配置哪些 GCP 服务生成数据访问日志。

如需深入了解审核,请参阅使用 Cloud Audit Logs 的最佳做法

导出日志

Logging 会在有限的时间段内保留应用日志和审核日志。您可能需要将日志保留更长时间以满足合规性义务要求。或者,您也可能希望保留日志以进行历史分析。

您可以将日志导出到 Cloud Storage、BigQuery 和 Cloud Pub/Sub。使用过滤器,您可以在导出中包含或排除资源。例如,您可以导出所有 Compute Engine 日志,但排除来自 Cloud Load Balancing 的大数量级日志。

导出日志的位置取决于您的使用场景。许多企业将日志导出到多个目的地。一般来说,为满足合规性义务要求,请使用 Cloud Storage 进行长期存储。如果您需要分析日志,请使用 BigQuery,因为它支持 SQL 查询和庞大的第三方工具生态系统。

如需详细了解日志记录导出,请参阅从 Logging 中导出的设计模式

利用 DevOps 和探索站点可靠性工程

为提高应用和功能的敏捷性并缩短推出时间,您需要打破开发、运营、网络和安全团队之间的孤岛。这样做需要进程、文化和工具,这些一起称为 DevOps。

GCP 提供一系列服务来帮助您采用 DevOps 做法。功能包括集成的源代码库持续交付工具、通过 Stackdriver 实现的丰富监控功能以及对开源工具的强大支持。如需了解详情,请参阅 GCP 的 DevOps 解决方案

站点可靠性工程 (SRE) 是一组与 DevOps 密切相关的做法。这些做法是从管理 Google 生产基础架构的 SRE 团队发展而来的。虽然开发专用 SRE 功能超出了许多企业的范围,但我们建议您学习 SRE 书籍以了解有助于制定运营策略的做法。

云架构

规划迁移

将本地应用和基础架构迁移到云端需要仔细评估和规划。您必须为各个应用评估各种迁移策略,从直接迁移到转换和移动。GCP 提供的工具可帮助迁移虚拟机、传输数据和实现工作负载的现代化。如需了解详情,请参阅迁移中心

由于监管、技术或财务方面的限制,将某些应用移至公有云可能无法实现甚至是不可取。因此,您可能需要在本地和 GCP 基础架构之间分布和集成工作负载。此设置称为混合云。如需详细了解混合工作负载,请参阅混合云页面以及有关混合云和多云解决方案的模式及最佳做法

支持托管式服务

云采用的关键驱动因素是降低 IT 开销并提高效率,使您能够专注于核心业务。除了采用 DevOps 做法和提高自动化以外,您还应使用 GCP 托管式服务来帮助减少运营负担和总拥有成本 (TCO)。

您可以使用托管式服务将应用堆栈的某些部分作为服务使用,而不是独立地安装、支持和操作应用堆栈的所有部分。例如,您可以使用 Cloud SQL 提供的 MySQL 数据库,而不是在虚拟机实例上安装和自行管理 MySQL 数据库。然后,您可以依靠 GCP 来管理底层基础架构并自动执行备份、更新和复制。

我们建议您评估每个托管式服务提供的服务等级协议 (SLA)。

GCP 为许多常见的应用组件和使用场景提供托管式服务和无服务器选项,包括从托管式数据库到大数据处理工具。其中许多托管式服务都支持常用的开源框架和平台,因此您可以通过将利用这些开源平台的现有应用直接迁移到云中来实现 TCO 优势。

设计时将高可用性考虑在内

为了帮助维护任务关键型应用的正常运行时间,应设计能够顺利处理故障或负载意外变更的弹性应用。高可用性是指应用能够保持响应并在系统中的组件出现故障时继续正常运行的能力。高度可用的架构通常涉及计算资源的分布、负载平衡和数据复制。高可用性预配的程度可能因应用而异。如需详细了解可用性概念,请参阅地理位置和区域文档。

您至少应将计算资源(例如 Compute Engine 虚拟机实例和 GKE 集群)分布在一个区域中的可用地区之间,以防止特定地区出现故障。为了进一步提高计算资源的可用性,您同样可以将计算资源分布在多个地理位置分散的区域之间,以降低整个区域发生中断的影响。如需了解创建计算资源的位置的指导信息,请参阅 Compute Engine 区域选择最佳做法

GCP 提供了多种负载平衡。HTTP(S) 负载平衡器通常用于公开面向互联网的应用。此负载平衡器可实现全球平衡,从而允许将负载分布在不同地理位置中的区域之间。如果某个地区或区域不可用,则负载平衡器会将流量定向到具有可用容量的地区。如需了解详情,请参阅通过全球负载平衡优化应用容量

在选择数据存储时也应考虑可用性。某些 GCP 数据存储服务能够跨一个区域中的多个地区复制数据。其他服务会跨一个地理区域中的多个区域自动复制数据,但可能需要权衡延迟时间或一致性模型。哪种数据存储服务最适合因应用和可用性要求而异。

规划灾难恢复策略

除了设计时将高可用性考虑在内,您还应该制定计划,以便在发生大规模中断或自然灾害时保持业务连续性。灾难恢复 (DR) 是从罕见然而重大的事件中恢复的能力。在高可用性预配无效或不可用时,您可能需要启动灾难恢复。

制定有效的 DR 计划需要进行规划和测试。我们建议您尽早制定 DR 计划。如需了解详情,请参阅灾难恢复计划指南和相关文章。

资源

结算和管理

了解如何收取资源费用

GCP 基于消耗模式运作。您需要根据在给定付款期内使用的特定资源或产品的数量付费。产品以不同方式衡量消耗,例如:

  • 根据时间量(机器运行的秒数)
  • 根据卷(存储的数据量)
  • 根据执行的操作数
  • 根据结算概念的变体

确保您了解系统中组件的结算方式,以便您可以准确地衡量费用。每种产品都在其文档中提供详细的价格信息。许多产品提供免费套餐,任何低于特定阈值的消耗都不会产生任何费用。要消耗超出免费套餐提供的资源,您必须启用结算功能。

如需详细了解 GCP 价格理念、创新和折扣,请参阅价格页面。

设置结算控件

所有 GCP 资源(包括 Compute Engine 虚拟机、Cloud Storage 存储分区和 BigQuery 数据集)都必须与 GCP 项目相关联。要消耗超出免费套餐提供的资源,项目必须与结算帐号相关联。结算帐号与项目之间存在一对多的关系;一个项目只能与一个结算帐号关联,但一个结算帐号可以与许多项目相关联。

使用结算帐号可以定义一组项目中资源的付款方。该帐号包括支付费用所用的付款方式,例如信用卡。您可以在组织级层定义结算帐号,以便将组织节点下的项目关联到结算帐号。您可以在组织中有多个结算帐号,以反映不同成本中心或部门。

Cloud IAM 提供了一组强大的控件,可以限制不同用户管理结算以及与结算交互的方式。这些控件可帮助您应用最小权限原则并且能够明确分离角色。例如,您可以将创建结算帐号的权限与将项目关联到特定结算帐号的权限分离。

如需详细了解结算概念和设置,请参阅结算新手入门核对清单

分析和导出您的帐单

具有适当权限的用户可以在 GCP Console 中查看费用、交易历史记录等明细。系统会显示每个结算帐号的信息。Console 还包含交互式结算报告,允许您按项目、产品和时间范围过滤和细分费用。对于 GCP 设置不太复杂的客户,GCP Console 功能通常就足够。

但是,您通常需要有关云支出的自定义分析和报告。为满足此要求,启用结算费用每日导出功能。您可以将文件导出配置为将 CSV 或 JSON 文件导出到 Cloud Storage 存储分区。同样,您还可以配置导出到 BigQuery 数据集。导出将包括已应用于资源的所有标签

我们建议您启用 BigQuery 导出功能。与文件导出相比,BigQuery 导出可提供更细化的费用明细。结算数据导出到 BigQuery 后,财务团队可以使用标准 SQL 分析数据并使用与 BigQuery 集成的工具。

规划时将容量要求考虑在内

GCP 项目拥有的配额会限制特定资源或 API 的消耗。配额是为了防止出现不可预见的使用量激增,从而保护范围更广的 GCP 社区。例如,配额可确保少数客户或项目无法在特定区域或地区独占使用 CPU 核心。

提前规划项目的容量需求,以防止资源消耗发生意外限制。如果配额不足,您可以在 GCP Console 的配额部分中申请更改。如果您需要大的容量,请与您的 GCP 销售团队联系。

实现费用控制

随着云服务的扩容,其费用也会增加。GCP 提供了几种限制资源消耗并向相关方通知相关结算事件的方法。

您可以定义在支出达到特定阈值时生成提醒的预算。提醒采用电子邮件的形式,可以选择生成 Cloud Pub/Sub 消息以进行编程通知。您可以将预算应用于整个结算帐号或关联到结算帐号的单个项目。例如,您可以创建预算,以便在结算帐号的每月总支出达到指定预算金额的 50%、80% 和 100%时生成提醒。请注意,预算本身并不限制支出,而是用于生成提醒。如需了解详情,请参阅预算提醒文档。如需了解更多可以帮助您简化费用管理的最佳做法、设计决策和配置选项,请参阅 Cloud Billing 新手入门核对清单

您还可以使用配额来限制特定资源的消耗。例如,您可以通过 BigQuery API 设置“每日查询使用量”最大配额,以确保项目在 BigQuery 上不会超支。

购买支持套餐

当您遇到问题时,GCP 提供各种方式来获得支持,从社区论坛到付费支持套餐。为了保护您的业务关键型工作负载,我们建议您购买企业支持套餐。如需了解详情,请参阅 GCP 支持门户

根据您购买的支持级别,您增加支持服务工单的能力可能仅限于某些人。因此,建议您建立支持信息交流中心或分类工作台。此方法有助于您避免服务工单出现重复和误解问题,使您与 Google Cloud 支持之间的沟通尽可能清晰。

向专家寻求帮助

Google Cloud 专业服务组织 (PSO) 提供咨询服务,为您的 GCP 之旅提供帮助。联系您的 PSO 顾问,他们具备深厚的专业知识,为您的团队提供成功实施系统的最佳做法和指导原则方面的培训。服务以套装的形式提供,帮助您规划、部署、执行和优化工作负载。

GCP 还拥有强大的 Google Cloud 合作伙伴生态系统,从大型全球系统集成商到在机器学习等特定领域深度专业化的合作伙伴。这些合作伙伴都曾经帮助使用 GCP 的客户取得成功,可以加速您的项目并改善业务成果。我们建议企业客户与合作伙伴合作,帮助他们规划和执行 GCP 实现。

建立卓越中心

Google 持续对这些产品进行投资,并不断推出新功能。将组织的信息、经验和模式记录到内部知识库(例如,位于 Wiki、Google 网站或内网网站上的内部知识库)是一件非常有价值的事情。

与此相似,在您的组织中提名 GCP 专家和倡导者是一种好的做法。我们提供一系列培训和认证选项,以帮助被提名的倡导者在其专业领域不断发展。通过订阅 Google Cloud 博客,团队可以及时了解最新新闻、公告和客户案例。

后续步骤

此页内容是否有用?请给出您的反馈和评价:

发送以下问题的反馈:

此网页