W tym miesiącu na Google Cloud Platform dużo wydarzyło się w kwestii bezpieczeństwa – ale nie tylko zabezpieczeń usług chmurowych czy opcji ulepszonej kontroli dostępu, ale też wokół sektora ochrony zdrowia. Prezentujemy zestaw najważniejszych aktualizacji, które przyniósł pierwszy miesiąc 2022 roku.
Szybszy development w GKE dzięki nowej usłudze Google Cloud Deploy
Większości zespołów IT zależy na sprawnym i efektywnym wdrażaniu zmian w aplikacji. Często do tego celu stosuje się CI/CD pipeline. Nowa usługa w chmurze GCP – Google Cloud Deploy – pozwala jeszcze bardziej usprawnić proces rozbudowy produktu bez rezygnowania z bezpieczeństwa czy stabilności dotychczasowego procesu.
Google Cloud Deploy to zarządzana usługa wspierająca proces Continuous Integration, Continuos Delivery dla aplikacji w środowisku Google Kubernetes Engine. Usługa powstała, by pozwolić firmom wprowadzić ulepszenia w trzech obszarach związanych z rozwojem oprogramowania:
- optymalizacji kosztów – inżynierowie Google wyszli z założenia, że utrzymanie sprawnego procesu i pipeline’u CI/CD przy usłudze Google Kubernetes Engine może być kosztowne. Uruchomienie zarządzanej usługi Google Cloud Deploy ma przejąć od specjalistów obowiązki ze strefy utrzymania, m.in. skalowanie, aktualizacje czy prace konserwacyjne;
- bezpieczeństwa i kontroli – administratorzy mogą przyznawać szczegółowy dostęp do usługi poszczególnym uzytkownikomlub grupom. Usługa wspiera prowadzenie prywatnych wdrożeń do klastów GKE i VPC Service Controls. Można korzystać też z opcji zarządzania przepływem (workflow), m.in. weryfikowania wersji, akceptowania lub cofania (rollback);
- monitorowania i prowadzenia pomiarów – Google Cloud Deploy posiada wbudowaną funkcjonalność prowadzenia pomiarów dotyczących potoków dostarczania (delivery pipelines). Kolekcjonuje informacje m.in. o przebiegu i efekcie prowadzonych wdrożeń oraz przypisuje etykiety zasobom, by łatwiej można było weryfikować wydajność poszczególnych pipeline’ów.
Więcej informacji o usłudze można znaleźć w artykule: Google Cloud Deploy, now GA, makes it easier to do continuous delivery to GKE
Aktualizacje w VMware Engine
Przez ostatnie miesiące inżynierowie Google pracowali nad ulepszeniem usługi Google Cloud VMware Engine. To zarządzana usługa stosu VMware klasy korporacyjnej działającego natywnie w Google Cloud. Pozwala krozystać z VMware w chmurze bez konieczności wprowadzania zmian w istniejących aplikacjach czy modelach operacyjnych.
Styczniowe zmiany w VMware Engine obejmują:
- możliwość 60-dniowego testowego dostępu do środowiska nieprodukcyjnego w chmurze prywatnej z jednym node’m. To istotna informacja dla firm, które zastanawiają się nad przeprowadzeniem migracji i które chcą uprzednio zapoznać się z usługą czy opracować proof of concept;
- uaktualnienie do podstawowego stosu VMware. Wszystkie nowe chmury prywatne VMware Engine są teraz wdrażane w vSphere w wersji 7.0 Update 2 i NSX-T w wersji 3.1.2;
- uruchomieie NetApp Cloud Volumes Service – usługi, która umożliwia niezależne skalowanie magazynu danych z zasobów obliczeniowych bez dodawania kolejnych hostów;
- aktualizacja audytów i poświadczenia zgodności z certyfikatami, m.in. ISO 27001/27017/27018, SOC 2 typ 2, SOC 3 czy PCI-DSS;
- udostępnienie usługi w Toronto i rozbudowa o kolejne zony we Frankfurcie i Sydney.
Trwają też prace nad możliwością zapłaty za usługę z poziomu konsoli z góry na rok lub kolejne trzy lata w celu uzyskania zniżek CUD. Obecnie taka przedpłata nie odbywa się w całości z poziomu konsoli, a angażuje kilka procesów offline.
Ze szczegółowymi informacjami o zmianach można zapoznać się w artykule: New in Google Cloud VMware Engine: Single nodes, certifications and more
Lepsza analiza użycia Firestore z narzędziem Key Visualizer
W styczniu premierę miał też Key Visualizer. To narzędzie, które pozwala analizować wzorce użytkowania oraz wydajność usługi Firestore. Z pomocą narzędzia można generować wizualne interaktywne raporty wspierające przykładowo:
- namierzanie i rozwiązywanie problemów z wydajnością spowodowanych nagłymi wzrostami ruchu,
- monitorowania ścieżek dostępu do danych przechowywanych w Firestore,
- wykrywanie problemów podczas iteracyjnego projektowania modeli danych lub ulepszania istniejących modeli.
Więcej informacji o narzędziu znajduje się w dokumentacji Google: Overwiev of Key Visualizer
Bezpieczny audyt bazy danych z wtyczką Cloud SQL for MySQL Audit Plugin
Administratorzy, którzy zarządzają poufnymi danymi w bazie danych MySQL, mogą być zobowiązani do rejestrowania i monitorowania aktywności użytkowników. Jest to dość częsta praktyka w środowiskach korporacyjnych, zwłaszcza wśród branż objętych dodatkowymi regulacjami dotyczącymi ochrony danych (np. branży finansowej czy medycznej). Administratorzy dotychczas mieli możliwość manualnego prowadzenia audytów aktywności użytkowników, ale takie działania często miały negatywny wpływ na wydajność baz danych. Mniej obciążające okazywały się rozwiązania open source, ale i one nie pozostawały bez wad – nierzadko nie spełniały wszystkich wymogów bezpieczeństwa, które dopuszczałyby je do użytku w środowisku korporacyjnym w regulowanych branżach.
W odpowiedzi na te problemy Google ogłosiło uruchomienie wtyczki Cloud SQL for MySQL Audit Plugin. Wtyczka oferuje audyt baz danych klasy korporacyjnej, zapewniający wysokie bezpieczeństwo i jak najmniejsze cięcia wydajności. Pozwala zdefiniować reguły audytu i wskazać, jakie aktywności mają być rejestrowane. Wtyczka szyfruje poufne dane (np. dane logowania użytkowników) i przesyła dzienniki audytu do usługi Cloud Logging, by administratorzy mogli je wygodnie zwizualizować i poddać analizie. Dzienniki można przekierować też do usług Google Cloud Storage lub BigQuery w celu długoterminowego przechowywania lub pogłębionej analizy, albo na platformę Splunk, by wykrywać nietypową aktywność w czasie rzeczywistym.
Więcej informacji oraz tutorial audytu bazy danych MySQL znajduje się w artykule: Keep tabs on your tables: Cloud SQL for MySQL launches database auditing
Większe bezpieczeństwo danych z kluczami CMEK dla usługi Cloud Data Fusion
W tym miesiącu Google ogłosiło uruchomienie kluczy CMEK (Customer Managed Encryption Keys) jako integracji dla Cloud Data Fusion. CMEK umożliwia szyfrowanie danych użytkownika i metadanych w spoczynku z kluczem, który jest zarządzany z poziomu usługi Cloud Key Management Service (KMS). Funkcja spełnia liczne wymogi zabezpieczeń, co oznacza, że mogą z niej korzystać również firmy z regulowanych branż (m.in. z branży finansowej czy ochrony zdrowia).
Dotychczas usługa Cloud Data Fusion obsługiwała szyfrowanie danych użytkowników generowanych w usługach Google Cloud, m.in. w Cloud Storage, BigQuery czy Cloud Spannerze. Wprowadzenie Customer Managed Encryption Keys pozwoli użytkownikom posługiwać się własnymi kluczami do szyfrowania metadanych Data Fusion w spoczynku. Zwiększy też poziom kontroli nad wewnętrznymi zasobami znajdującymi się we współdzielonych projektach oraz danych generowanych w usłudze Cloud Data Fusion.
Więcej informacji o narzędziu oraz tutorial znajdują się w artykule: Encrypt Data Fusion data and metadata using Customer Managed Encryption Keys (CMEK)
Uruchomienie kanałów powiadomień webhook, Pub/Sub i Slack Alerting
By aplikacja działała sprawnie, w sytuacji wystąpienia błędu zespół IT musi jak najszybciej otrzymać powiadomienie o incydencie, namierzyć przyczynę i wprowadzić niezbędne zmiany. Jest to szczególnie trudne (ale też szczególnie krytyczne) wśród firm posiadających rozbudowane środowisko.
Dotychczasowy wachlarz kanałów powiadomień z Cloud Monitoring obejmował m.in. e-maile, SMS-y czy PagerDuty. Żeby skrócić czas reakcji na awarię, w styczniu Google Cloud uruchomiło dodatkowe kanały powiadomień – webhook (wywołania zwrotne HTTP używane do udostępniania powiadomień o zdarzeniach), Pub/Sub (usługa asynchronicznej komunikacji) oraz Slack (popularny komunikator). Nowe kanały można wykorzystać do integracji alertów z używanymi na co dzień przez zespół narzędziami pracy. Integrację można przeprowadzić niemal z każdą aplikacją – również spoza ekosystemu Google Cloud – która obsługuje webhooki lub Pub/Sub.
Więcej informacji oraz tutorial znajdują się w artykule: Webhook, Pub/Sub, and Slack Alerting notification channels launched
Mozliwość uruchomienia programu predykcji struktury białek AlphaFold na platformie Vertex AI
Google Cloud, wraz ze specjalistami Alphabet, od lat pracuje nie tylko nad rozwojem technologii chmurowych, ale prowadzi też badania i szuka możliwości wsparcia innowacyjności wśród innych branż. W styczniu firma ogłosiła efekty współpracy ekspertów – możliwość obsługi przełomowego systemu przewidywania struktury białek autorstwa DeepMind, programu AlphaFold, na platformie chmurowej Vertex AI.
Google w artykule na swoim blogu pisze:
Spodziewamy się, że ta funkcjonalność zapewni ogromne wsparcie naukowcom pracującym z danymi, jak i wszelkiego rodzaju organizacjom biofarmaceutycznym – zarówno tym, które opracowujących metody leczenia chorób, jak tym, które tworzą nowe syntetyczne biomateriały. Cieszymy się, że badania Alphabet AI pozwalają tworzyć nowe produkty i przyczyniają się do powstawania platform, z których mogą korzystać klienci Google Cloud.
Ze szczegółowymi informacjami dotyczącymi funkcjonalności oraz z tutorialem można zapoznać się w artykule: Bio-pharma organizations can now leverage the groundbreaking protein folding system, AlphaFold, with Vertex AI
