Google Cloud 网络的新变化

AI 的时代已经到来，它正在从根本上重塑各行各业，并对训练、推理和部署 AI 模型提出了前所未有的网络能力需求。为了推动这一转型，各组织需要能够处理海量容量、实现无缝连接并提供强大安全性的全球网络解决方案。

在 Next 25 上，我们旨在解决这些关键需求，并通过我们的云网络产品和 Cross-Cloud Network 解决方案中的一系列创新，助力客户轻松构建和交付分布式 AI 应用程序。

这些创新包括 AI 优化网络、简化且安全的服务网络，以及针对零日威胁的零信任安全。我们还在扩展跨云网络解决方案，为Web、媒体和生成式 AI 服务的全球前端（Global Front End）提供可编程性和高性能，同时推出了我们最新的解决方案 Cloud WAN。Cloud WAN 由我们广泛的全球基础架构提供支持，提供全面托管的全球网络，可在企业各个地点之间实现安全、简化的连接。

AI 优化网络：高性能、安全、可扩展

为了使您的 AI 模型发挥最佳性能，您需要一个能够处理海量数据和密集计算的网络。无论您是训练大型模型还是将其提供给用户（“推理”），速度、可靠性和安全性都至关重要。您需要处理复杂的基础架构并传输海量数据，从而提供闪电般的响应速度。我们的创新专注于为您提供满足这些严苛的 AI 工作负载需求的基础架构：

• 通过 400G 云互联和跨云互联实现海量数据摄取：以我们 100G 云互连和跨云互连四倍的带宽更快地导入您的 AI 数据集，并进行跨云训练，从而提供从本地或其他云环境到 Google Cloud 的连接。该功能将于今年晚些时候推出。

• 前所未有的集群规模：构建大规模 AI 服务，每个集群支持多达 30,000 个 GPU，采用无阻塞配置，现已推出预览版。

• 零信任 RDMA 安全：我们的 RDMA 防火墙支持动态执行零信任网络政策，助力保护您的高性能 GPU 和 TPU 流量。该防火墙将于今年晚些时候推出。

• 加速 GPU 到 GPU 通信：通过我们的高吞吐量、低延迟 RDMA 网络，释放高达 3.2Tbps 的无阻塞 GPU 到 GPU 带宽。现已全面推出。

“Google Cloud 在我们的 AI 基础架构中扮演着关键角色，它支持我们为用户大规模提供高性能、安全的 AI 体验，同时优化我们的资源利用率。”—— Snap 公司 AI 平台工程总监 徐宁

AI 推理的复杂性日益增加，尤其是在企业部署多个针对特定任务优化的模型时，这带来了重大的网络挑战。对 AI 容量不断增长的需求使网络基础设施带来了压力，因为有效地将数据路由到通常分布在各个区域的 GPU 或 TPU 资源需要高带宽和低延迟。此外，生成式 AI 应用程序和智能体的引入扩大了攻击面，在推理过程中为敏感数据泄露创造了漏洞，因此需要强大的 AI 安全保障措施。为了应对这些挑战，我们推出了 GKE Inference Gateway，现已推出预览版，它提供以下功能：

• 为生成式 AI 应用提供差异化性能，且无需承担过高的服务成本。根据内部基准测试，与其他托管和开源 Kubernetes 产品相比，GKE Inference Gateway 的新功能可将服务成本降低高达 30%，尾部延迟降低高达 60%，吞吐量提升高达 40%。GKE Inference Gateway 的功能包括基于 Google Jetstream、NVIDIA 和 vLLM 的模型服务器指标的智能负载均衡、动态请求路由以及高效、动态的 LoRA 微调模型。

• 通过强大的全新集成保障 AI 安全。现在，您可以利用 GKE Inference Gateway和Cloud Load Balancing，以及 Model Armor、NVIDIA NeMo Guardrails 和 Palo Alto Networks AI Runtime Security。这种组合方案使用服务扩展为您的 AI 模型提供全面保护，从而简化平台工程和安全团队的治理工作。

• 针对 LLM 推理的 Google Cloud Load Balancing 优化，让您可以跨多个云提供商或本地基础架构利用 NVIDIA GPU 容量。

“各个行业的企业都在寻求全栈、集成的基础架构，以便安全且经济高效地部署代理式 AI。通过将 NVIDIA 推理软件与 GKE 推理网关集成，以实现实时可观测性，并将 NeMo Guardrails 与 GKE Inference Gateway 集成，提供先进的功能，从而提升 AI 部署的性能和可靠性。” —— NVIDIA 企业级生成式 AI 软件副总裁 Kari Briski

适用于 Web、媒体和 AI 的可编程全球前端服务

Cross-Cloud Network 全局前端解决方案可加速并保护要求最严苛的 Web、媒体以及生成式 AI 应用，无论您的后端托管在何处，也无需将您的基础架构暴露在互联网上。今天，我们推出面向现代和生成式 AI 应用的全新创新：

• 通过服务扩展实现边缘可编程性：通过由 WebAssembly (Wasm) 提供支持的服务扩展插件，赋能边缘可编程性，实现开放的自定义能力。使用超过 60 个 Rust、C++ 和 Go 语言插件示例，自动化、扩展和自定义您的应用。Cloud Load Balancing 的支持现已正式发布，针对 Cloud CDN 的支持将于今年晚些时候推出。

• 加速 Web 性能：借助 Cloud CDN 的快速缓存失效功能，在全球范围内以更佳性能交付静态和动态内容，并可借助 TLS 1.3 0-RTT 来提升恢复连接的应用性能。这两项功能目前均已提供预览版。

• 端到端 mTLS 安全：通过 Cloud Load Balancing 实现从客户端到后端基础设施的端到端 mTLS，增强您的安全态势，保护您的数据。客户端到前端的 mTLS 已于去年推出，后端的 mTLS 现已推出预览版。

“服务扩展插件使我们能够通过在请求/响应路径中直接运行自定义代码来定制我们的 Web 服务。基于 WebAssembly 等开放标准的边缘可编程性解决方案以及大量开箱即用的示例，使我们的开发人员能够快速满足业务的定制需求。”——Shopify 首席工程师 Justin Reid

以服务为中心的网络简化开发

无论您是构建尖端的生成式 AI 应用，还是对现有系统进行现代化升级，以服务为中心的架构对于快速迭代都至关重要。作为以服务为中心的架构的先驱，我们致力于帮助 NetOps、DevOps、SecOps 和开发者团队简化服务部署和管理。通过抽象底层网络和安全层的复杂性，我们使开发者能够快速部署、更新和保护跨多个应用程序的服务。今天，我们通过增强型以服务为中心的网络，在自动化、安全性和扩展性方面推出全新创新：

• 简化服务发现和管理。App Hub 集成通过自动化服务发现和编目，简化了生产者与消费者之间的交互。服务健康功能（将于今年晚些时候推出）通过网络驱动的跨区域故障转移，实现高弹性的全球服务。

• 简化多网络、多服务、多计算部署。2025 年下半年，您将能够使用 Private Service Connect 在单个 GKE 集群内发布多项服务，从而能够从非对等连接的 GKE 集群、Cloud Run 或 Service Mesh 原生访问这些服务。

“我们与 Google 的合作使我们能够简化服务发现，并帮助我们的开发人员更快、更高效地进行迭代。”——高盛工程合伙人 Jonathan Perry

保护现代和生成式 AI 应用免受不断演变的攻击

我们正目睹复杂攻击的激增：TB 级 DDoS 攻击、用于数据窃取的 DNS 隧道技术，以及愈发猖獗且规避传统防御的 AI 驱动威胁。这些网络风险要求您彻底改变网络安全方法，并凸显了超越传统边界防御的高级网络安全功能的需求。今天，我们宣布推出强大的网络安全增强功能，为您的分布式多云应用程序和面向互联网的服务提供全面保护。

我们的战略具备以下三大核心支柱：

保护工作负载：全球规模的 DDoS 防护，抵御威胁的效能提高高达 24 倍

保护您的分布式应用程序和面向互联网的服务免受关键网络攻击媒介的侵害至关重要。今天，我们将推出几项关键增强功能：

• DNS Armor：DNS 流量通常缺乏足够的监控，因此成为数据泄露的主要目标。攻击者利用这一盲点，使用 DNS 隧道、域名生成算法 (DGA) 和其他复杂技术绕过传统的安全控制。DNS Armor 由 Infoblox Threat Defense 提供支持，每天能够洞察 700 亿次 DNS 事件，从而检测这些基于 DNS 的数据窃取攻击。预览版将于今年晚些时候推出。

• 增强的安全态势实施：通过新的 Cloud Armor 的分层策略，加强您组织范围内的安全态势，实现一致的保护。借助新网络类型和 Cloud NGFW 分层防火墙策略的新防火墙标签，无论您的网络架构如何，都能强制执行精细的保护。分层防火墙政策将于本季度推出预览版。

• 2024 年，我们推出了 Cloud NGFW Enterprise，其效率比其他主要公有云高出 24 倍。我们将继续改进 Cloud NGFW，新增了第 7 层域名过滤功能，该功能将允许防火墙管理员监控和控制出站 Web 流量，仅允许访问被允许的目的地，该功能将于 2025 年晚些时候推出。

“我们使用 Cloud NGFW 和 Cloud Armor 来保护我们在 Google Cloud 上的关键应用程序和网站。Next 大会上宣布的全新网络安全创新将帮助我们提升对用户的保护，并简化我们的网络安全管理方式。”—— UKG 安全工程高级总监 Jason Jones

保护数据：推出 Inline Network DLP

在当今数据驱动的世界中，企业的知识产权是其最宝贵的资产。但确保其安全性和合规性可能很复杂。我们理解对静态数据和传输中数据进行强大而简化的数据丢失防护 （DLP） 的需求。我们即将推出的适用于 Secure Web Proxy 和 Application Load Balancer 的Inline Network DLP，通过使用 Service Extensions 与第三方 （Symantec DLP） 解决方案集成，为传输中的敏感数据提供实时保护。在本季度发布的预览版中，Inline Network DLP 可帮助您守护关键数据并保持合规性，而不会牺牲性能或敏捷性。

开放式安全生态系统：第三方安全嵌入

我们为您提供灵活的选择空间，让您能够挑选自己心仪的安全解决方案，并根据您的特定需求定制防护措施。我们很高兴通过更深入的集成扩展我们的安全合作伙伴生态系统。最近，我们宣布您可以通过 Network Security Integration 将合作伙伴网络服务或虚拟设备与 Google Cloud 工作负载集成。这项功能现已正式发布，可帮助您在混合云和多云环境中保持一致的策略，而无需更改路由政策或网络架构。

此外，为了扩展我们的 Web 和 API 保护生态系统，我们与 Imperva 合作，通过 Service Extensions将 Imperva Application Security 与 Cloud Load Balancing 集成，现已在 Google Cloud Marketplace 上线。

Cloud WAN：AI 时代的企业骨干网络

连接现代企业是一项极其复杂的工程。客户必须应对众多不同的网络和安全架构，并必须在可靠性、应用速度和成本之间做出艰难的选择。这可能会导致复杂的定制解决方案难以管理，削弱安全态势，并且往往无法提供最佳效果。我们最新的跨云网络解决方案 Cloud WAN 是一个完全托管、可靠且安全的企业骨干网，旨在转型企业 WAN 架构并应对这些挑战。

Cloud WAN 具有显著的优势：

• 与利用托管设施的客户自管理 WAN 解决方案相比，Cloud WAN 可节省高达 40% 的总拥有成本 （TCO）¹

• 通过 Google 广泛的主干网络实现全球覆盖和性能，可靠性高达 99.99%

• 与公共互联网相比，跨云网络的性能提高了 40%²

• 与主要 SD-WAN 和安全供应商构建开放、灵活且紧密集成的生态系统

有关更多详细信息，请在此处阅读完整公告。

开启 AI 时代的网络

我们的云网络产品和解决方案使您能够在全球范围内连接、简化、现代化和保护您的组织。凭借这些新的创新以及全新的 Cloud WAN，我们将继续为您提供适应新技术、服务、应用程序和位置的灵活性，所有这些都具有 AI 时代所需的敏捷性。

1.该架构包括 SD-WAN 和第三方防火墙，并将客户使用多站点托管设施管理的 WAN 与由 Google Cloud 管理和托管的 WAN 进行了比较。

2.在测试期间，与流向同一目标的流量通过公共互联网传输相比，流向目标的流量通过跨云网络传输时，网络延迟降低了 40% 以上。