檢視緯育 2026-0611 的原始碼

本次系列課程以實作導向比較與操作 Google Cloud Platform（GCP）與 Amazon Web Services（AWS），涵蓋帳號開通與財務治理、身份與權限管理、計費模式差異、高可用設計哲學、從本地到雲端的開發流程、虛擬機（VM）與防火牆規則、啟動/關機指令碼與 Metadata 機制，以及 Docker 部署與服務啟用治理。課程強調 GCP 的三大核心優勢：以「地球機房」為理念的天然高可用、零信任的雲側驗證模型、與細粒度的按用量計費；同時指出 AWS 在傳統 SSH 金鑰管理與部分服務的固定基礎費用等設計上的風險與負擔。實務面，講師帶領學員開通並設定 GCP 帳號、建立 Project、規劃 Organization/Folder 結構、綁定 Billing Account、設置預算與預警，並以內建 AI 助手與精準提問加速學習。<br><br>

技術操作包含：在 GCP 建置 VM（e2-micro/e2-small）、設定 Persistent Disk 與快照/映像複製、安裝 Docker 並以防火牆與 network tags 放通 HTTP（TCP 80），以 Startup Script 自動化安裝、以 Shutdown/Stop Script處理中止前的收斂，並將配置集中放入 Metadata 以達到可追蹤與可治理。課程亦示範本地端安裝 Google Cloud SDK（gcloud）、完成身份驗證（瀏覽器跳轉）、選擇 Project 與最小權限 Service Account 授權，提醒本地憑證外洩與設備交接風險。權限治理方面，對照 AWS IAM（User/Group/Role/Policy）與 GCP IAM（User/Group/Role/Service Account）與基本角色（Owner/Editor/Viewer），強調企業帳號下群組功能的完整性與 Gmail 帳號的受限，以及權限變更的全球同步延遲現象。<br><br>

防火牆策略採用 network tags 綁定規則，示範移除與貼回標籤以驗證放通/阻擋，並以自訂規則與標籤名稱演練治理流程。計費與財務管理上，講師比較 AWS 與 GCP 的帳務分離與成本歸屬，指出 GCP 將財務管理與專案權限切割（多人多帳單帳戶、專案綁定 Billing Account、財務人員可僅存取帳單帳戶），並導入預算與預警以防超支；臺灣稅務實務方面，說明代理商開立統一發票的必要性與個人/法人帳號差異。市場分析指出 AWS/Azure 仍為主流，GCP設計更嚴謹但需懂行者評估採用；案例包含國泰金控採用 GCP 與學員轉職 Google。<br><br>

教學方法上倡導以 AI 輔助查詢與命令、先示範後交付、概念遷移跨雲與標記治理（GCP 將 Label/Tag/Network Tag 分工：成本、權限、網路），並將 Metadata 作為啟動/關機指令碼與動態環境變數的集中中樞，提升可觀測、可審計與可復現能力。另以爬蟲輪換公有 IP 的雲端遷移案例，實作內部查詢 Metadata Server 取得 instance ID/公有 IP 等屬性，將值注入程式環境變數，結合自動重啟策略降低封鎖風險，凸顯「指令不是重點，目標才是重點」的設計思維。

1. 高可用性與平台設計比較
* AWS 傳統高可用：多 AZ/Region 手動備援，極端事件下 Region 整體故障風險仍在。
* GCP「地球機房」哲學：全球視為單一機房，天然高可用、減少跨區容錯心智負擔。
* 權限與驗證：AWS 側重 SSH 金鑰；GCP 推雲側零信任，每次連線綁定 Google 身份驗證，降低金鑰外洩風險。
2. 帳號開通、組織結構與財務治理
* 開通流程：進入 GCP 控制台、基本資料與可能的信用卡、稅務諮詢確認；善用內建 AI 助理操作引導。
* 組織結構：Organization ID → Folder → Project（全球唯一 Project ID）；Project 作為資源與計費邊界，等價 AWS Account 心智。
* Billing Account：多帳單帳戶、專案關聯與轉移、財務與權限分離；建立預算與預警避免超支。
* 稅務與發票（臺灣）：代理商開立合法統一發票以利稅務扣抵；個人帳號不可設統編，法人可設定統編。
3. 計費模式與消費思維
* AWS 固定基礎費用與改善路線仍存在，用洗衣機佔用比喻。
* GCP 細粒度按用量計費（如 Firestore 按讀/寫/刪計次），投幣式洗衣店比喻更貼近新世代使用權消費。
4. 身份與權限治理（GCP vs AWS）
* 對齊概念：User/Group/Role/Service Account；GCP 基本角色 Owner/Editor/Viewer 的風險與教學使用。
* 群組功能：企業帳號完整、Gmail 受限；權限變更全球同步延遲（秒至半天）。
* 服務對服務：以 Service Account 與 Service Discovery 互動，名稱不同但機制相通。
5. 本地開發與雲端對接
* 安裝 Google Cloud SDK（gcloud）、gcloud init 驗證與 Project 綁定；最小權限 Service Account 授權。
* 本地憑證風險：credentials/config 留存，設備不可隨意外借；遵循最小權限與定期清理。
* 與 AWS 概念等價：本地開發→CLI/SDK→認證→雲端互動；Jenkins 流程延續。
6. VM、磁碟與映像管理
* 建立 VM（E2 系列 e2-micro/e2-small）、Persistent Disk 預設 10GB、可線上擴容至 20GB。
* 快照與映像：建立快照→映像→複製新 VM；AWS 對應 EBS 快照/AMI。
* 連線方式：GCP 主控台 SSH 觸發 Google 驗證；對比 AWS PEM 金鑰風險。
7. 防火牆、Network Tags 與服務啟用（Enable）
* 防火牆規則：HTTP（TCP 80）預設條目檢視與自訂規則新增。
* Network tags 作用：以標籤匹配規則控制放通；移除/貼回測試放通/阻擋。
* 服務 Enable 機制：授權與可用性雙閘門，未啟用即不可操作，降低誤用；治理上避免「權限給太大」引發成本與安全風險。
8. Startup/Stop Script 與 Metadata 中樞
* Startup Script：開機自動安裝/配置，root 權限執行；以 Docker Run 為核心替代手動安裝流程，確保重啟自動拉起。
* Stop/Shutdown Script：可搶佔 VM 終止前執行備份/收斂；注意刪除途徑可能跳過執行。
* Metadata 機制：集中管理 startup/stop scripts 與動態環境變數（鍵值對），提高可觀測、可審計、可復現；服務帳戶驗證與特殊功能亦依賴 Metadata。
9. Metadata Server 實務與爬蟲雲遷移案例
* 內部查詢：在 VM 內透過 Metadata Server 取得 instance ID、公有 IP、image、磁碟大小等，注入程式環境變數。
* 雲遷移與 IP 輪換：關機/開機變更公有 IP 降低封鎖；自動化流程根據 Metadata 決策重啟、回報、輪換，縮短交付時間。
10. 學習方法、可審計治理與交付
* 精準提問與 AI 助教：指令不是重點，目標才是重點；以概念遷移跨雲、問 AI 取正確命令與步驟。
* 介面化治理：操作行為留痕、離職可追溯；以標籤治理防火牆、安全策略抽象化到資源集合。
* 先示範後交付：快速閉環、文件沉澱、風險備忘與審計報告；DNS/Resolver 設定與外部名稱解析的故障排除。
[[檔案:2026-0611-01.png|800px]]