Google Cloud生产环境规则

成本陷阱

• 已停止的Compute Engine虚拟机仍需为持久化磁盘和静态IP付费——长期存储请删除磁盘或使用快照
• Cloud NAT按虚拟机数量和处理的GB数据收费——GCP API流量请改用Private Google Access
• BigQuery按需计费根据扫描字节数而非返回行数收费——请对表进行分区并在开发时使用LIMIT但需注意LIMIT在生产环境中不会降低扫描成本
• 抢占式虚拟机可节省80%成本但可能随时被终止——仅适用于容错型批处理工作负载
• 出站到互联网产生费用，同区域出站免费——请将资源保持在同一区域，使用Cloud CDN进行全球分发

安全规则

• 服务账号兼具身份与资源属性——一个服务账号可通过roles/iam.serviceAccountTokenCreator
• 角色模拟另一个服务账号
• VPC服务控制可防范数据外泄——但若未配置访问级别，会中断云控制台访问
• 默认计算引擎服务账户具有编辑者角色——应创建具备最小权限的专用服务账户
• 工作负载身份联合可消除服务账户密钥——适用于GitHub Actions、GitLab CI及外部工作负载

网络配置

• VPC为全局性资源，子网为区域性资源——与AWS不同，单个VPC可跨所有区域
• 防火墙规则默认仅允许访问——隐式拒绝所有入站流量，允许所有出站流量。需添加显式拒绝规则以控制出站流量
• 私有Google访问按子网设置——需在无需公网IP即可访问GCP API的每个子网上启用
• 云负载均衡器：全局型与区域型对比——多区域场景用全局型，单区域场景用区域型更简单经济
• 共享VPC实现网络管理员与项目管理员分离——宿主项目拥有网络，服务项目使用网络

性能特性

• 第一代云函数有9分钟超时限制——基于Cloud Run的第二代支持60分钟
• Cloud SQL连接数限制因实例规格而异——建议使用连接池或Cloud SQL身份验证代理
• Firestore/Datastore 中顺序ID会导致热点问题——应使用UUID或反向时间戳作为文档ID
• GKE Autopilot简化操作但存在限制——不支持DaemonSet、特权容器和主机网络
• Cloud Storage单对象上限为5TB——更大文件需使用组合操作，并行上传可提升速度

监控

• Cloud Logging默认保留30天，_合规要求存储桶需400天——应创建自定义存储桶以延长保留期限
• Cloud Monitoring告警策略24小时后自动关闭——即使问题持续告警也会消失，需配置通知渠道实现重复告警
• Error Reporting按堆栈跟踪分组——相同错误不同信息会产生重复记录
• Cloud Trace自动采样——可能遗漏罕见错误，调试时应提高采样率
• 审计日志：管理员活动始终开启，数据访问默认关闭——为满足安全合规需启用数据访问日志

基础设施即代码

• Terraform谷歌供应商要求处处使用项目ID——应通过google_project数据源或变量实现，切勿硬编码
• gcloud命令具有强制性——使用Deployment Manager或Terraform实现可复现的基础设施
• Cloud Build在推送时触发，但首次运行的IAM权限配置令人困惑——务必在首次部署前授予Cloud Build服务账户必要角色
• 项目删除后有30天恢复期——但项目ID具有全局唯一性且永久保留，无法重复使用
• 标签会同步到计费系统——采用统一的标签策略进行成本分摊：环境、团队、服务

IAM最佳实践

• 基础角色（所有者/编辑者/查看者）权限过广——应采用预设角色，按最小权限原则创建自定义角色
• 服务账户密钥存在安全隐患——建议改用工作负载身份、身份模拟或附加服务账户
• roles/iam.serviceAccountUser角色允许您以该服务账户身份运行——等效于拥有其全部权限，需谨慎授予
• 组织策略限制项目操作范围——constraints/compute.vmExternalIpAccess约束可在全组织范围禁止创建带公网IP的虚拟机