Основы GCP: GKE и Cloud Run

GCP: проекты, IAM, сеть VPC, управляемый Kubernetes GKE, контейнеры без кластера — Cloud Run (scale to zero). K8s основы — Pods, Deployments и Services; Terraform — Terraform: AWS и GCP.

---

1. Объекты аккаунта

Project → ресурсы и квоты. Billing export в BigQuery для анализа.

---

2. GKE

Autopilot vs Standard: меньше операционки vs больше контроля. Private cluster для изоляции control plane traffic.

---

3. Cloud Run

Сервис из контейнера или исходников (buildpacks), HTTPS и IAM из коробки, min instances для устранения cold start.

---

4. Артефакты

Artifact Registry для образов; CI пушит после теста — CI/CD: GitLab и GitHub Actions.

---

5. Сеть и доступ

VPC с региональными подсетями; Cloud NAT для исходящего трафика из приватных подов без публичных IP. Private Google Access и Private Service Connect — вызовы API и managed-сервисы без интернета. IAM на уровне проекта: роли вроде roles/container.developer узко, не owner на CI.

---

6. GKE: операции

Node pools отдельно под system и workload, surge upgrades, PodDisruptionBudget для stateless критичных сервисов. Workload Identity связывает K8s ServiceAccount с GCP SA — без JSON-ключей в поде. Логи — Cloud Logging, метрики — Cloud Monitoring + Managed Service for Prometheus при необходимости.

---

7. Cloud Run: детали

Concurrency на инстанс (сколько запросов параллельно на vCPU), CPU boost на старте, min instances против cold start vs стоимость. Ingress all/internal — не публиковать админки в интернет. Таймауты запроса и лимиты памяти согласовать с пиковой нагрузкой.

---

8. Чек-лист

• Workload Identity для GKE и сервисных аккаунтов Cloud Run — без JSON-ключей в образах.
• Организационные политики (constraints) для запрета публичных IP и т.д.
• Регион и multi-region для данных по compliance.
• Квоты API и лимиты проекта — мониторинг в консоли.
• Binary Authorization (опционально) для доверенных образов в GKE.

---

Дальше: тег GCP