Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

מידע על מכשיר Google Distributed Cloud במודל Air-gapped

מכשיר Google Distributed Cloud (GDC) air-gapped הוא פלטפורמת חומרה ותוכנה משולבת שמיועדת לסביבות קצה טקטיות מחוץ למרכז נתונים. הוא יוצר 'ענן ריבוני בקופסה' מבודד, שמנותק פיזית מהאינטרנט. האפליקציה מאפשרת לפרוס מכונות וירטואליות (VM), עומסי עבודה מבוססי-קונטיינרים ושירותים מנוהלים כמו Vertex AI בסביבה מאובטחת ומבודדת.

משקל המכשיר הוא כ-45.3 ק"ג, וצריך שני אנשים כדי לשאת אותו. המכשיר לא פועל בזמן שהוא מועבר ממקום אחד למקום אחר. יכול להיות שהמכשיר יועבר בין כלי רכב שונים, ושהתנאים שבהם הוא יפעל יהיו קשים יותר מאלה שבמרכז נתונים. בזמן שהמכשיר פועל, יכול להיות שהוא נמצא בסביבה לא מבוקרת שבה יש שינויים גדולים יותר בטמפרטורה ושיש בה יותר אבק מאשר במרכז נתונים, למשל אוהל או בניין שהוסב למטרה אחרת.

המכשיר יכול לפעול כשהוא מנותק ברשת לקוחות עם פער אוויר עם גישה למשאבים אחרים, או ברשת מקומית ללא קישור. הוא יכול לפעול גם כשהוא מחובר לרשת שאפשר להעביר ממנה נתונים למופע של מרכז נתונים של Distributed Cloud.

‫Google Distributed Cloud במודל Air-gapped Appliance מציע את התכונות הבאות:

יכולות AI מתקדמות: שיפור הביצועים של אפליקציות קריטיות באמצעות פתרונות AI מובנים כמו תרגום, דיבור וזיהוי תווים אופטי (OCR). לדוגמה, אפשר להשתמש בתכונות OCR ותרגום כדי לסרוק ולתרגם מסמכים שנכתבו בשפות שונות, וכך להפוך אותם לנגישים ומובנים בשטח.

עיצוב חזק ונייד: מכשיר Google Distributed Cloud עם פער אבטחה (air-gapped) בנוי לעמוד בתנאי סביבה קשים, כולל טמפרטורות קיצוניות, זעזועים ורעידות. העיצוב החזק והנייד שלו עומד בדרישות הסמכה מחמירות כמו MIL-STD-810H, ומבטיח פעולה אמינה גם בתרחישים מאתגרים.

בידוד מלא: מיועד לפעול ללא חיבור ל- Google Cloud או לאינטרנט הציבורי. המכשיר ממשיך לפעול באופן מלא בסביבות מנותקות, כמו DDIL, ושומר על האבטחה והבידוד של התשתית, השירותים וממשקי ה-API שהוא מנהל. הבידוד הזה הופך את המכשיר לאידיאלי לעיבוד נתונים רגישים, תוך עמידה בדרישות רגולטוריות מחמירות, בדרישות תאימות ובדרישות ריבונות.

שירותי ענן משולבים: תכונות של תשתית כשירות (IaaS) כמו מחשוב, רשת ואחסון, ו Google Cloud שירותים כמו העברת נתונים.

אבטחת מידע: תכונות אבטחה חזקות כמו הצפנה, בידוד נתונים, חומות אש ואתחול מאובטח להגנה על מידע רגיש.

הסמכה לרמת השפעה 5 (IL5) של משרד ההגנה (DoD): המכשיר קיבל הסמכה לרמת השפעה 5, הרמה הגבוהה ביותר של אמצעי אבטחה והגנה שנדרשים למידע לא מסווג, אבל רגיש.

ההבדלים בין מכשיר GDC עם air gap לבין GDC עם air gap

יש כמה הבדלים עיקריים בין מכשיר GDC עם air gap לבין GDC עם air gap שפועל במרכז נתונים.

Tenancy

האפליקציה היא של דייר יחיד ותומכת רק בארגון אחד של GDC עם פער אבטחה.

מודל אשכול

‫Google Distributed Cloud במודל Air-gapped מפעיל מכשיר עם אשכול יחיד שכולל את כל שלושת הצמתים של השרת הפיזי. שרת ייעודי של ממשקי API לניהול, שפועל כעומסי עבודה של pods באשכול, מארח ממשקי API של מישור הניהול. עומסי עבודה של משתמשים, כולל מכונות וירטואליות וקבוצות Pod של Kubernetes, יכולים לפעול באשכול הזה.

Networking

למכשירי GDC עם air gap יש דפוס שילוב שונה עם רשתות של לקוחות בהשוואה להתקנות במרכזי נתונים. התקנים במרכזי נתונים מותקנים בדרך כלל עם תוכנית להגדרת הרשת, שנכתבת ומיושמת על ידי מומחי רשת. בדרך כלל, מכשירי GDC עם air gap מובאים למיקום מסוים ומחוברים לרשת קיימת של לקוח. הרשת שאליה המכשיר מחובר משתנה כשהמכשיר מועבר ממיקום אחד למיקום אחר. למרות שהמכשיר משתמש בחומרת רשת שונה מזו של פתרון מרכז הנתונים, אפשר לחבר את המכשיר לרשת חיצונית באמצעות החומרה שמסופקת.

ניהול המערכת

ל-GDC עם air gap appliance יש מחזור חיים שונה מזה של GDC עם air gap data center. במקרה של מכשיר, Google (או נציגים מטעמנו) מתקינה את המערכת ואז מעבירה אותה ללקוח. הלקוח מבצע כמה משימות הגדרה של Infrastructure Operator (IO), כמו הגדרת זהות ורשת, ואז יכול להשתמש במכשיר. הלקוח אחראי לכמה משימות ב-IO, כמו עדכון או מעקב אחרי המערכת.

חומרה

מכשיר GDC עם air gap הוא מכשיר קטן שכולל שלדה עם שלושה להבים ומתג רשת. למזוודה יש ידיות נשיאה וגלגלים, כך שאפשר להעביר אותה ולהשתמש בה בסביבות קשות.

רכיבי חומרה

פרופיל קדמי של מכשיר עם מתג בחלק העליון, להבים באמצע ושקעי חשמל בחלק התחתון:

‫A: מתג TOR
‫B: שלושה להבי שרת
C: ספק כוח עם יתירות
D: מערכת HP Edgeline

פרופיל קדמי של ה-appliance

תוכנה

מכשיר GDC עם air gap מציע את התוכנות והשירותים הבאים:

שירותים

השירותים הזמינים כוללים את:

‫Compute
- אירוח מכונות וירטואליות
- ‫GKE on GDC לפריסה של קונטיינרים
AI/ML
- ‫Vertex AI OCR API
- ‫Vertex AI Speech-to-Text API
- ‫Vertex AI Translate API
- למידת מכונה באמצעות קונטיינר ללמידה עמוקה שסופק על ידי Google
אבטחה
- ניהול זהויות והרשאות גישה
- הצפנה בזמן ההעברה ובמצב מנוחה
אחסון
- אחסון בלוקים ואחסון אובייקטים
רשתות
- איזון עומסים (פנימי וחיצוני)
- מדיניות אבטחת רשת
רישום ביומן ומעקב

אחסון

GDC עם air gap appliance מספק אחסון בלוקים ואחסון אובייקטים עם אחסון מוגדר בתוכנה. נפח האחסון וקבוצת האחסון הבסיסית משותפים לאחסון בלוקים ולאחסון אובייקטים.

שרת NTP

למכשיר GDC עם air gap אין שרת NTP מובנה, אבל הלקוחות יכולים לספק שרת NTP משלהם. מתג הרשת יכול לפעול כממסר NTP אם יש שרת NTP במעלה הזרם. הלקוחות יכולים להפנות את מתג ה-NTP ברשת לשרת NTP ברשת המקומית.

העברה ושכפול של נתונים

מכשיר GDC עם air gap יכול להעביר נתונים אל עננים פרטיים של GDC עם air gap וממנו. במהלך השימוש במכשירים בשטח או במיקומים מרוחקים, יכול להיות שיהיה צורך בנתונים בשטח כשהמכשיר לא מחובר, ואז להעביר את הנתונים מהענן למכשיר כשהוא מחובר.

ממשק משתמש

ל-GDC air-gapped appliance יש ממשק משתמש דומה ל-GDC עם air gap, בלי התכונות שלא נכללות ב-GDC air-gapped appliance.

רישום ביומן וניראות

במכשיר GDC עם air gap נשמר יומן ביקורת של אירועים שקשורים לגישה למערכת. אין צורך לכתוב את היומן הזה למדיה מיוחדת, כמו אחסון שתואם ל-WORM (כתיבה חד-פעמית, קריאה רב-פעמית). יומן הביקורת מסתנכרן ידנית עם GDC עם air gap כשיש חיבור, והוא מאוחסן במיקום משותף עם יומנים של GDC עם air gap.

כדי לקבל רישום מקיף יותר ביומן ונתונים שמאפשרים לראות את המצב של המערכת, יומני מערכת גולמיים זמינים ביומני המכשירים, ואדמינים יכולים לגשת אליהם. מפעילים של אפליקציות יכולים להשתמש ברישום ביומן של Kubernetes עבור עומסי העבודה שלהם.

אבטחה והצפנה

מכשיר GDC עם air gap כולל סט של מפתחות YubiKey להצפנת הדיסק, שנשלחים בנפרד מהמכשיר. אם ללקוח יש מודול אבטחה לחומרה (HSM), המערכת תומכת באחסון מפתחות ב-HSM הזה. כך הלקוחות יכולים לשלוט במפתחות להצפנת נתונים במצב מנוחה.

זהות וגישה

מכשירי GDC air-gapped appliance מסופקים עם ספק זהויות מוטמע של Keycloak, שאפשר להתקין אותו עם חשבון אדמין. אפשר גם להתחבר לספק זהויות חיצוני משלכם. אדמינים יכולים להוסיף משתמשים ב-Keycloak או בספק הזהויות שלהם ולהעניק הרשאות במסוף GDC.

זמינות גבוהה וגיבוי

למכשיר GDC עם air gap יש זמינות גבוהה ויתירות מוגבלות לאחסון נתונים.

פרסונות

ב-Google Distributed Cloud במודל Air-gapped appliance יש ארבע דמויות:

מפעילים של תשתית Google(G_IO) מתקינים את החומרה והתוכנה של המערכת ומבצעים את ההגדרה הראשונית לפני שהם מעבירים את המכשיר ללקוחות. בנוסף, הם מאפסים את הנתונים של המכשיר בצורה מאובטחת כשהוא מוחזר.
מפעילים של תשתית לקוחות (C_IO) מנהלים את המערכת, כולל אימות, רשת והגדרת המערכת.
אדמינים של הפלטפורמה (PA) מעניקים הרשאות למשתמשי AO, מנהלים פרויקטים ומבצעים פתרון בעיות במכונות וירטואליות ובאשכולות.
מפעילים של אפליקציות (AO) מנהלים עומסי עבודה, אפליקציות ופרויקטים.

פרסונות הן לא תפקידים, אלא אוספים של תפקידי משתמש שמופים להרשאות ספציפיות, שמוקצות למשתמשים בודדים.