Google Cloud Platform - Tổng Quan Một Số Dịch Vụ Phổ Biến

Google Cloud Platform (GCP) cung cấp một bộ dịch vụ đám mây đa dạng và mạnh mẽ giúp bạn triển khai, mở rộng, bảo mật và vận hành hệ thống ở quy mô toàn cầu. Trong bài viết này, chúng ta sẽ tìm hiểu chi tiết 5 dịch vụ phổ biến để có thể vận hành một ứng dụng hoàn chỉnh trên môi trường GCP:

• Cloud Run
• Cloud Armor
• Cloud SQL
• Cloud Storage
• Load Balancing

1. Cloud Run – Serverless Containers

Cloud Run là dịch vụ cho phép bạn chạy các container theo yêu cầu (request-based), hoàn toàn không cần quản lý máy chủ (serverless). Bạn chỉ cần đẩy một container image lên, và Google sẽ lo phần còn lại cho bạn: từ khởi tạo, mở rộng, cân bằng tải, cho đến tắt khi không có request.

1.1 Kiến trúc & Cơ chế hoạt động

• Bạn triển khai container từ image nằm trên Container Registry hoặc Artifact Registry
• Dịch vụ hỗ trợ các request HTTP đồng bộ (HTTP-based requests – synchronous)
• Mỗi request có thể tạo ra một instance mới → hệ thống sẽ tự động scale lên hoặc scale xuống dựa theo lượng traffic thực tế
• Có thể gắn domain riêng và sử dụng SSL tự động
• Dịch vụ có thể chạy theo hai chế độ:
  • Public: truy cập trực tiếp qua URL do Cloud Run cung cấp
  • Private: chỉ định thông qua Load Balancer, kết hợp với Cloud IAM và VPC Connector

1.2 Tích hợp tốt với

• Cloud SQL: kết nối thông qua VPC Connector và sử dụng Cloud SQL Auth Proxy
• Cloud Tasks: để đưa các request vào hàng đợi và xử lý theo lịch
• Cloud Storage: để upload hoặc download file trực tiếp từ ứng dụng
• Pub/Sub: có thể tạo các Cloud Run worker để xử lý message
• Cloud Build: sử dụng cho CI/CD, triển khai tự động mỗi khi có thay đổi code

1.3 Use case thực tế

Cloud Run đặc biệt phù hợp với các kịch bản như:

• Triển khai REST API hoặc GraphQL server
• Xây dựng webhook consumer cho các nền tảng như Stripe hoặc GitHub
• Tạo cron job xử lý ảnh, đồng bộ dữ liệu, gửi mail định kỳ
• Chạy các dịch vụ backend nhỏ, theo mô hình microservice, mỗi service có thể được deploy độc lập

1.4 Ưu điểm

• Có thể triển khai rất nhanh, chỉ với một lệnh duy nhất: gcloud run deploy
• Hệ thống có tính sẵn sàng cao, không cần bạn tự cấu hình cluster hay VM
• Tự động scale về 0 khi không có request → không tốn tiền khi không dùng
• Có thể cấu hình để xử lý nhiều request đồng thời (concurrency)

2. Cloud Armor – Web Application Firewall + DDoS Protection

Cloud Armor là một dịch vụ tường lửa lớp ứng dụng (Layer 7) được tích hợp trực tiếp với Load Balancing và CDN toàn cầu của Google. Điều này có nghĩa là mọi traffic đến hệ thống của bạn đều có thể được giám sát, lọc và ngăn chặn ngay tại biên, trước khi nó chạm vào backend – một lợi thế lớn về cả bảo mật lẫn hiệu năng.

2.1 Tính năng nổi bật

Cloud Armor không chỉ là một firewall đơn giản, mà là một hệ thống phòng thủ toàn diện với loạt tính năng mạnh mẽ:

• WAF Rule Set theo chuẩn OWASP Top 10: giúp bạn chặn các kiểu tấn công phổ biến như SQL injection, cross-site scripting (XSS), path traversal…
• Geo-blocking: cho phép chặn truy cập từ các quốc gia hoặc khu vực cụ thể
• Rate-limiting: giới hạn số lượng request từ mỗi IP trong một khoảng thời gian, rất hữu ích để chống brute-force hoặc abuse API
• IP allow/deny list: cấu hình whitelist hoặc blacklist theo IP hoặc dải IP
• Adaptive Protection: sử dụng machine learning để tự học và phát hiện các hành vi bất thường, từ đó tự động đưa ra cảnh báo hoặc block traffic

2.2 Yêu cầu tích hợp

Một điểm quan trọng cần lưu ý: Cloud Armor không hoạt động độc lập. Nó chỉ có hiệu lực khi bạn sử dụng Global HTTP(S) Load Balancer. Điều này đồng nghĩa:

• ✅ Sử dụng tốt với Cloud Run, GKE, App Engine (qua Load Balancer)
• ❌ Không thể dùng nếu bạn truy cập dịch vụ trực tiếp (VD: Cloud Run public URL)
• ❌ Không áp dụng được với Internal Load Balancer hoặc dịch vụ nội bộ VPC

2.3 Use case thực tế

Dưới đây là một vài tình huống điển hình nơi Cloud Armor thể hiện giá trị rõ rệt:

• Bảo vệ các trang nhạy cảm như /admin hoặc /login khỏi tấn công brute-force
• Chặn traffic từ bot, VPN lạ hoặc khu vực không mong muốn để bảo vệ API công khai
• Giới hạn request đến API nhằm tránh spam, abuse hoặc đỡ tải cho backend
• Kết hợp Cloud Armor với Cloud Logging, bạn còn có thể theo dõi các hoạt động đáng ngờ và tạo rule mới dựa trên dữ liệu thực tế.

3. Cloud SQL – Database có quản lý, đầy đủ tính năng

Trong bất kỳ ứng dụng nào, database luôn đóng vai trò trung tâm. Với Cloud SQL, Google mang đến một dịch vụ cơ sở dữ liệu quan hệ có quản lý (managed relational database), giúp bạn tập trung vào phát triển thay vì vận hành. Cloud SQL hỗ trợ ba hệ quản trị phổ biến nhất hiện nay:

• PostgreSQL
• MySQL
• SQL Server

Bạn không cần cài đặt, cấu hình, vá lỗi hay lo lắng về backup – GCP sẽ tự động xử lý tất cả.

3.1 Tính năng quản lý nổi bật

Cloud SQL đi kèm nhiều tính năng enterprise-grade:

• Tự động backup & restore theo lịch hoặc theo yêu cầu
• Tự động vá bảo mật mà không ảnh hưởng downtime
• High Availability (HA) với failover tự động
• Hỗ trợ connection pooler (pgbouncer) giúp tối ưu lượng kết nối khi chạy từ Cloud Run hoặc GKE

3.2 Kết nối với Cloud Run

Bạn có thể kết nối Cloud SQL với Cloud Run theo hai cách:

• Dùng VPC Connector + Cloud SQL Proxy để kết nối nội bộ và bảo mật
• Sử dụng Cloud SQL IAM Auth để kết nối không cần username/password – tăng tính bảo mật và dễ quản lý qua IAM

3.3 Use case thực tế

Cloud SQL phù hợp với hầu hết ứng dụng dạng transactional hoặc relational như:

• Ứng dụng backend dạng monolith hoặc microservice
• Hệ thống CRM, ERP, eCommerce
• Chạy báo cáo phức tạp bằng SQL hoặc kết nối với công cụ BI như Looker, Data Studio...

4. Cloud Storage – Object Storage bền bỉ, phân tán toàn cầu

Không phải mọi dữ liệu đều nằm trong database – có những thứ tốt hơn nên lưu dưới dạng file: ảnh, tài liệu, log, media... Đó là lúc Cloud Storage phát huy sức mạnh. Cloud Storage là dịch vụ lưu trữ object phân tán toàn cầu, có độ bền dữ liệu cực cao (11 số 9 – 99.999999999%). Rất lý tưởng để lưu:

• Ảnh, video, media (media storage)
• Backup dữ liệu
• Static website hoặc file tĩnh
• File public hoặc private

4.1 Các lớp lưu trữ (Storage Class)

4.2 Bảo mật & phân quyền

• Hỗ trợ IAM roles, bucket-level permissions
• Có thể tạo signed URL hoặc signed policy để truy cập tạm thời
• Cho phép mã hóa bằng key riêng (CMEK) nếu yêu cầu bảo mật cao

4.3 Use case thực tế

• Lưu trữ avatar, tài liệu upload
• Làm origin server cho CDN (dùng với Cloud CDN)
• Lưu log, xuất báo cáo rồi tự động archive
• Lưu dữ liệu lớn, định kỳ backup từ Cloud SQL hoặc BigQuery

5. Load Balancing – Global, thông minh, siêu nhanh

Trong một hệ thống hiện đại, tốc độ phản hồi và tính sẵn sàng là yếu tố sống còn. Cloud Load Balancing chính là cánh tay phải giúp phân phối traffic một cách tối ưu – theo địa lý, loại traffic, hoặc phiên bản ứng dụng. Cloud Load Balancing là dịch vụ cân bằng tải lớp 4 và lớp 7 (L4/L7), phân phối toàn cầu, hỗ trợ nhiều backend:

• Cloud Run
• Google Kubernetes Engine (GKE)
• VM Instance Group
• Cloud Functions

5.1 Các loại Load Balancer

5.2 Tính năng nâng cao

• URL map: định tuyến theo path, header (VD: /api/* → service A, /admin/* → service B)
• Traffic splitting: A/B testing, gradual rollout
• Global Anycast IP: một IP duy nhất hoạt động toàn cầu
• Tích hợp sẵn với:
  • Cloud Armor (WAF, security)
  • Managed SSL (chứng chỉ auto-renew)
  • Identity-Aware Proxy (IAP) (xác thực truy cập nội bộ)

5.3 Use case thực tế

• Là entry point duy nhất cho toàn bộ hệ thống production
• Cân bằng tải theo vùng địa lý (geo-based) để tăng hiệu năng
• SSL termination ngay tại biên, giảm tải cho backend service
• Chia traffic cho nhiều phiên bản: production / staging

TỔNG KẾT