2024GoogleCloud人工智能应用框架白皮书 -谷歌云采用框架

r-Googlecloudr-Googlecloud第⼀部分：执⾏摘要云统⼀⽅法 2 8第⼆部分：技术深⼊介绍 云成熟度阶段 云成熟度量表。。。。。。。。。。。。。。。。。。14史诗。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。27r-Googlecloudr-Googlecloud2云计算的统⼀⽅法案，还影响⽀持这些解决⽅案的技术、需要实施作为最早完全在云中运营的组织之⼀，⾕歌多年驱动的软件运营⽅法学如SRE，再到类似BeyondCorp的零信任安全模型。正是基于这类⼯作，我们开发了⼀个简化的 构，您可以使⽤它，为您在迁移到云端的旅程中所您可以使⽤该框架⾃⾏评估您的组织对云计空⽩并发展新的能⼒所需做的事情。如果您希望合作伙伴，我们会在这⾥为您提供帮助。我们可实的战略，并指导您通过整个流程，使您充分利但⽆论我们是否陪伴您共赴未来，我们的框架四个主题，三个阶段您的业务⽬标是什么。这四个主题定义了云就绪的基础:学习:您现有的提升技术团队技能的学习计划的质量和规模，以及提⾼您的IT团队能⼒与经验领导:⽀持IT团队进⾏云迁移的领导层授权程度，团队本⾝的跨职能性、协作性和⾃规模:使⽤降低运营开销、⾃动化⼿动流程和政策的云原⽣服务程度。基于云的服务安全:能够利⽤多层次、以⾝份为中⼼的安全模型保护您的服务免受未经授权和不当。也取决于其他三个主题的成熟度。制定了什么控制您在云端取得成功的准备程度取决于您当前在以下四个主题中的业务实践。对于每个主题重点放在降低离散系统成本和尽量少打扰地实现云端部署。成功来得快，您已开始接受改变，⼈员和流程部分现在参与其中。IT团队既⾼效⼜有效，增加了利⽤△现有数据透明共享。新数据被收集和分析。机器学习的预测性和处⽅⼈员和流程正在被转变，进⼀步⽀持技术变⾰。IT不再是成本中⼼，⽽是转变为业务的在战术阶段，您通过投资迅速回报并且对IT组织影响最⼩来降低成本。这是⼀个短期⽬标。在战略阶段,通过优化操作使IT组织提供更多价值，更⾼效和更有效。这是⼀个中期⽬标。在变⾰阶段，您的IT组r-Googlecloud5云成熟度评估变⾰性△只信任正确的⼈员只信任正确的⼈员变⾰缓慢且⻛险较⼤，操作繁重英勇的项⽬经理但信任私⼈⽹络模板确保良好的治理，⽆需⼿动审查新的跨功能云团变⾰缓慢且⻛险较⼤，操作繁重英勇的项⽬经理但信任私⼈⽹络模板确保良好的治理，⽆需⼿动审查新的跨功能云团队中央⾝份，混合⽹络拥有更⼤的⾃主权在每个主题中，您可以看到当您从临时采⽤新技术转变为在整个组织中更加有策通过史诗来微调你的方向⼀旦您确定了您在云成熟度之旅中的位置，就是前进将实施若⼲⼯作流程（我们称之为史诗）。这些史诗被定让我们从⼈员、技术和流程这个熟悉的范畴来看这些史诗。如果您只能完成数据管理成本控制基础设施即代码CI/CD仪表监控技能提升技术社交⽹络事故管理作r-Googlecloud谷歌云采用框架使⽤云成熟度评估表，您可以确定⾃⼰在通往云端的旅程中所处的位置。通过史达⽬标位置的⽅式。您当然可以使⽤成熟度评估表和史诗与任何云提供商合作，与技术账⼾经理（TAM）合作，您可以进⾏组织的云成熟度⾼层评估，该评估将告诉您如何对培训和采⽤框架简化了您成功采⽤云的旅程。在框架内⼯作，TAM可以指导您在这⼀旅程中前⾏，从您的第领先规模领先规模r-Googlecloud8⼊⻔指南技术深度挖掘中的细节阐明了向前迈进的基础，但从宏评估您当前的云成熟度领导、⾼效扩展和全⾯保障能⼒。请参考技术深度挖提供的摘要表格进⾏讨论。考虑以调查形式评估利益问问自己想走多远团队内讨论您的业务应该瞄准的云成熟度阶段。很可能，起初，您IT险尚未与他们的愿望相匹配。考虑专注于短期的规划您的云采用计划针对您已经确定存在差距的任何云采⽤史诗采取⾏存在于云采⽤主题内部的史诗。请记住，您的之⼀：制定培训计划、设计变更管理计划、设△培训变更管理程序云操作模型安全帐号设置r-Googlecloud9找到合适的工作负载是⽆关紧要的。从简单的、⾮业务关键的应⽤程序的实⼒和信⼼。随着你发展组织学习、引领、扩展您应该从⼯作负载开始吗？还是从云操作模倾向于⾏动，迅速将⼯作负载投⼊⽣产，并承担更析r-Googlecloud介绍采⽤框架可以帮助您进⾏规划。该框架包括云成熟度标准，可帮助您分析您在通云成熟度标准通过考虑您当前的业务实践（将其分类为三个阶段）并围绕四个准备好迈向云端的程度。史诗级项⽬把您需要执⾏的动作分解为可采⽤框架是根据⾕歌帮助数百家客⼾踏上云端的经验⽽得出的。通过遵循这⼀框当前⼯作量做出正确选择，并着眼未来，使您今天所做的投资继续为您服务，因此您逐渐将云端成熟阶段云成熟度标准基于云成熟度的三个阶段，这些阶段适⽤于您需要掌握的云端采△r-Googlecloud12致⼒于迈向变⾰阶段的企业，这是⼀个⻓期⽬标。但段取得短期成功，在战略阶段取得中期成功，事实上更仔细地研究这些阶段可以更清晰地展⽰每个阶段的战术成熟度变闲置的计算和存储资源或通过消除⼿动采购和配作为设有战术云端⽬标的组织，您希望在执⾏项⽬时尽可能减少对IT结果。如果您预计该⽅法只会带来边际成本效益3如⻨肯锡讨论的那样：云端采⽤加速IT现代化和真正的云端验证r-Googlecloud13战略成熟度标。通过显著提⾼IT团队开发和运营软件解决⽅案的有效性和效率,以及通过现代化这些解决⽅案的架构利⽤云原⽣服务和平台。作为⼀个具有战略云⽬标的组织，您可能会对IT团队（⼈员），应变⾰。这种变⾰可能仅限于IT组织的某个孤⽴部分，但仍然是有效的，并提供了可以在IT组织准备好进⾏全⾯变⾰时进⾏扩展的蓝图变革成熟度为了实现将IT转变为⽀持业务转型的可持续创新引擎创新中⼼对业务的主要贡献是通过透明和深思熟虑,收集和分析新数据（例如情感、图像、语⾳），以及应⽤预测性和指导性分析（机器学习）所获得的数据和洞⻅。据驱动⽅法应⽤于IT组织本⾝，以真正敏捷的⽅式迭代新功能，加作为⼀个具有变⾰性云计算⽬标的组织，您⾯临全⾯重组您的IT组织的前现了增加IT组织提供的临着全⾯重组IT的前景r-Googlecloud云成熟度规模将云成熟度的三个阶段与云采⽤的四个主题规模，这是⼀种评估您在转向云之旅中所处位置的强衡量您当前的实践与成功的已知基础之间的关系来实您从⼀开始就投资这些基础，您将⽀持组织⽀持⽇益换句话说，您将⽀持组织迈向变⾰性云成熟,您的组织将掌握不断学习、有效领导、⾼效扩展和全⾯保障的能达到这⼀点需要在前两个阶段的规划和成功。影响⼒的领域，您需要深⼊了解这四个主题，其r-Googlecloud学习您组织持续学习的能⼒取决于您努⼒提升IT员⼯的努⼒，同时利⽤第三⽅承包商和合作伙伴分享的经验。这种双管⻬下的⽅法确保您能够习惯），您的员⼯将更熟悉您组织的独特怪癖，并了解其技。变⾰性的战略的战术的peer-to-peercultureofcontinuouslearningthroughcontinuouslearningthroughwikis,techtalks,hackathons.self-motivatedandisolatedupskillingonly,usingself-motivatedandisolatedupskillingonly,usingsourceslikeonlinedocsandyouTube.ThirdpartiescoverforgeneralknowledgegapsandhaveadminaccesstotheentireGCPaccount.updatedrolesandresponsibilitiesforentireITstaff.ThirdpartiesresponsibilitiesforentireITstaff.Thirdpartiesserveasstaffaugmentationonly,withoutprivilegedaccess.Thirdpartiesprovidespecialistknowledgeandhavebreak-glassadminaccess.r-Googlecloud战术成熟度技能提升是在尽⼒⽽为的基础上进⾏的，依赖个⼈的在技术问题或操作事件发⽣时，第三⽅通常会您期望能够通过现有的IT⼈员实现战术⽬标，并且不采取⾏动来聘战略成熟度第三⽅承包商和合作伙伴提供主题专业知识以填补IT⼈员剩余的知识空⽩，或者在主题如此狭窄且深⼊以⾄于⽆法指望您的IT⼈员有能⼒提升⾄那个⽔平的情况下，这些外部⽅担任技术问被授权（并接受审计）以在需要快速和坚决⼲预的您正在积极开设新职位，并正在招聘具有云每位IT员⼯都被分配⼀个GCP沙盒项⽬和有限的预算，供他们尝试和转型成熟度继续举办并尽可能多地举办培训课程，在常规正式培训计划之外，IT团队和个⼈贡献者定期举办⿊客⻢拉松和技术讨论会，以最⼤程度地促进知识分享。更进⼀步，⿎励IT员⼯通过公开博客⽂章和公开演讲您已审查并在必要时重新定义所有⻆⾊和职责，以反映第三⽅承包商和合作伙伴主要作为员⼯增补，没有特权访问和很少领域的独家知r-Googlecloud您的组织云采⽤的有效性取决于从⾼层赞助⽅（包括⾸和团队领导者）颁发的⻅解和价值具有多⼤的可⻅度，以及从中产⽣的动⼒。这两个对⼿共同负责明确阐明⽬标、做出明智赞助商控制为您的组织的云采⽤努⼒分配哪些资源，告线的利益相关者汇聚到⼀起。然⽽，他们最终必须依赖⼀cloudadoptiondrivenbyindividualcontributorswithinoneprojectteam.collaborationwithotherpartsoftheITOrgisdiffcult.Endorsementfromseniormanagement.Noextrabudgetcloudadoptionisdrivenbyasmallcross-functionalgroupofadvocates,workingacrossprojectboundaries.collaborationoutsidethisgroupisdifficult.Endorsementandextrabudgetbyc-levelAutonomousproductdevelopmentteams.ErrorbudgetsandblamelesspostmortemsarerecognizedattheC--wideregularprogressupdates.r-Googlecloud战术成熟度。个⼈对云计算及其解决⽅案感兴趣的参与者推动了云采纳的进展。早期采纳者能否与其他IT⻆⾊合作取决于现有组织结构和汇报线的在该预算范围内运作，因此他们的成果将不会根据不同的视⻆，结果可能是“最⼩可⾏云略战略成熟度赞助延伸⾄C级别。报告线中的每个经理都有明确织云采⽤的⽬标和关键绩效指标。赞助商的关键贡其他IT或业务职能联系，以清除道路上的关键障碍，并始终公开且持绩效指标将传统IT服务级别的⽬标优先于实验速度、创新和云采⽤进展是由⼀⽀专⻔的跨职能团队（卓越,他们跨越项⽬界限开展⼯作。这个COE内的所有关键IT⻆⾊都得到录管理员，跨越运营、信息安全和财务。团队成云采纳也可由熟悉IT组织、利益相关者和技术领域的专⻔转型成熟度赞助在整个C级别范围内是全⾯的，包括营销、财务、运营、⼈⼒项⽬团队运作在透明和开放信息共享的环境中，并享有⾜够的决策⾃主权，能征求许可或等待资源配备。（数据管治和成本控制现在是⾃动化功能，⽽⾮⼿动管理败中汲取宝贵的教训并将其与更⼴泛的业务分享以作为后⼈之鉴。个体的错误被解释r-Googlecloud规模 您的组织在云中的扩展能⼒取决于您将基础设施与⾏多⼤程度的抽象化，以及您的CI/CD过程链的质因为⼀切都通过API进⾏管理，⾃动化在云中的回报可能⽐在任何其他环境变⾰性变⾰性项⽬基础从模板中提供解决⽅案在不可变的虚拟机或容器中运⾏,并且访问受限.更改会⾃动进⾏测试,⻛险中等,并⼿动部署.Allcloudresourcescanbe(re)createdatthepushofabutton,withinminutes.solutionsembraceserverlesscloudservices.changesareconstant,arelowrisk,andaredeployedwithaprogrammaticstrategy.所有云资源都是⼿动提供的解决⽅案在⻓寿命虚拟机中运⾏,操作系统必须得到维护.更改会进⾏⼿动审查,⻛险较⾼,并且进⾏不经常和⼿动部署.r-Googlecloud战术成熟度使⽤托管式或⽆服务器云服务的情况有限。相、⻓寿命的虚拟机（VM）提供了⼀个熟悉置漂移”）的⻛险，使得随着时间推移，保持⼀应⽤代码和环境配置的更改通过⼿动审核和因为⼀切都通过API进报云资源的供应是通过GCPWeb控制台或命令⾏界⾯（CLI）⼿动执⾏的。基础设施⾃动化⼯具如部署管理器或Hashicorp的Terraform4并未得到利⽤。虽然使⽤GCPWeb控制台或CLI已经⽐⼿动设置服战略成熟度环境配置被整合到版本化的VM镜像中，并且有状态和载被清晰地分开，以实现弹性的横向扩展。在VM内部，配仅存储在内存中，在VM外部只存储在离散服务中，如GCP元数据服务、Cloud密钥管理服务或HashicorpVault中。更改⻛险被认为主要是中等的。对⽣产环境的,但⼿动触发，并在必要时可以很容易地回滚。4https://www.terraform.ior-Googlecloud应⽤团队超越基本的监控和⽇志记录，利⽤应⽤性能监控(APM)，通过Stackdriver或第三⽅解决⽅GCP项⽬的预配包括所有相关配置(如VPC⽹络、计费账⼾和云⾝份和访问管理策略)，并通过部署管理器或HashicorpTerraform进⾏编程实现，基于⼀组有限的输⼊，例如成本中⼼、数据敏感性、团变革成熟度⽣产VM允许在仅⽤于调试⽬的的拆玻璃场景中访问shell。⾃管理服务被托管等效替换(例如，CloudSQL，CloudMemorystore)或⽆服务器/SaaS替代⽅案变更⻛险被认为较低。部署到⽣产环境是通过分阶段策略(⾦丝雀发布，蓝绿发布等)进⾏所有云资源均通过部署管理器、HashicorpTerraform或直接通过GCP的RESTfulAPI进⾏编程式预配安全云采用史诗：访问管理，数据管理，身份管理 在狭义上，您的云环境安全性取决于您确保谁可以在哪个资源上执⾏哪些操作(），变⾰性的战略的战术的staffidentitiesprovidedsolelybyGoogle.overrelianceonprimitiveIAMroles(owner,editor,viewer).strongrelianceonperimetersecurityandimplicittrustinsideprivatenetwork.staffidentitiesaresyncedfromcorporatedirectory.predefinedIAMrolesfollowprincipleofleastprivilege.Hybridsecuritymodel,relyingonbothnetworkandapplicationlayer.所有服务间通信都经过⾝份验证和授权IAM政策在不断地监视和纠正。从互联⽹到VPC⼦⽹，多层⽹战术成熟度有GoogleAnalytics、Adwords、Play、YouTube等消费者账⼾现已由企业控制。这些⾝份尚未与组织的中央⾝份解决⽅案（如MicrosoftActiveDirectory）同步，因此没有由单⼀真相。CP项⽬和计费账⼾。云IAM权限未通过像ForsetiSecurity6这样的过分依赖⽹络来在托管的所有数据和应⽤程序周围界：防⽕墙被⽤作基于客⼾端的IP地址或应⽤程序端⼝等上下⽂信息,且涉及所有维度和加密，很少考虑使⽤传输层安全性（TLS）进⾏应⽤程序间加密的有BigQuery）进⾏执⾏，作为原则政策的⼀部分，⽽不是战略成熟度⽤⼾⾝份是从类似ActiveDirectory或OpenLDAP的⽬录服务同步到6r-Googlecloud），云IAM策略引⽤了⼀组更细粒度的预定义⻆⾊，⽽不是粗糙的基本⻆⾊。项⽬创建者和计费帐⼾创建者基于⽹络的安全边界（VPC）通过额外的安全层进⾏增强，这些安全层保护各个服务，例如，通过配置了TLS的Google全球Cloud负载均衡，云⾝份验证代理和云盾。这反过来降低了将私变革成熟度所有服务之间的通信都经过⾝份验证和授权。不太相信它们可能共享相同的虚拟专⽤云（VPN的情况。出于同样的原因，内部防⽕墙规则不允许具体的IP地址或范围，⽽是为特定服务账⼾制定规深⼊了解所有数据存储的内容，可以为您设计安全性和数据治理模型，并考定期通过Stackdriver审核GCP管理活动和数据访问⽇志，并配置了⾃动警报，以监视与威胁分析相匹配的模式。云IAM权限和防⽕墙规则通过ForsetiSecurity等⼯具进⾏持续监控和修正。r-Googlecloud史诗⼀旦您评估了您的云成熟度，您就可以将这些⻅解转化为可⽅:清晰定义的、不重叠的⼯作流，与四个主题联系紧密，并与您的利益相关者保持⼀致。史诗赋予您将数据管理成本控制基础设施即代码CI/CD技能提升技术事件管理作r-Googlecloud访问管理良好的访问管理应⽤最⼩权限原则，⽽不会限制那些合法访问他们需要执⾏⼯作的资源的⽤⼾和资源。云IAM，在⾕歌云平台中称为云⾝份，⼀⽅⾯依赖强⼤的⾝份管理（CloudIdentity），另⼀⽅⾯依赖因此，访问管理涉及⾃然⽤⼾和服务帐⼾，将两者捆绑到⽤⼾组，。例如，为了实现弹性扩展性，云应⽤程序架构倾向于⽆状态的（微）服务，这些服云基础架构架构使⽤软件定义的、不可变的组件来保证通过消除⼿动打补丁和维对于希望实现⾃主开发应⽤程序、数据仓库和流⽔线在可扩展性、可⽤性和可负担行为超过90%的⾏为受到我们⽆意识动机，价值观，信念和解决可⻅或有意识的⾏动和惯例，还要专注于必须改变的⼼态和r-Googlecloud⽬标：通过CI/CD流程管道⾃动化对系统进⾏更改，以便所有更改都可以在最⼩中断的情况下进⾏测试、审核和部署。在⼤型分布式系统中，存在许多未知因素、依赖关系和所有权，这些造成了代码更不确定性。对企业⽽⾔，不确定性导致⻛险增加，减缓软件交付速度。⼀个验证每成本控制⽬标：通过最⼤程度地实时展⽰所产⽣的成本，向云资源的消费者（架构师、开发⼈员）灌输成本意识和软边界。由于没有预先采购IT资源来设置应⽤程序可以使⽤的资源量的物理限制，也没有基于资本⽀出的多年容量规划，成本控制始于个体软件⼯程师。采购硬件的物理限制被逻辑资源配额和⾃动扩展配置所替如果没有适当的仪表板、警报和流程，管理云⽀出对于具有多个项⽬、团队或业务部在缺乏硬性物理资源限制的情况下，应⽤程序所有者必须从三种策略中选择⼀种并。沟通在今天快节奏、复杂的软件交付过程中，组织需要明⽩失败是不可避免的，将错误造⼀种⼼理安全和⽆过失的⼯作场所，⿎励承担⼈际⻛险，在这⾥责任不会落在个⼈数据管理⽬标：了解和管理存储的数据，数据的来源，数据的敏感性以及谁可以访问它，以确保数据的安全、可发现性和可⽤性。作为⼀个组织，对于持有的数据做好管理不仅是良好的实践，⽽且也是明智的商业理可能导致数据泄露或其他问题，对您的业务造成声誉损害或监管制裁。加密、分外部经验虽然通过培训和其他⽅式可以获得知识，但通过构建或实施解