[新产品/新功能] Google Cloud 网络服务发布多项创新

**发布时间:** 2025-04-10 **厂商:** GCP **类型:** BLOG **原始链接:** https://cloud.google.com/blog/products/networking/networking-innovations-at-google-cloud-next25 ---  [新产品/新功能] Google Cloud 网络服务发布多项创新   # 产品功能分析 ## 新功能/新产品概述 Google Cloud在Next '25大会上发布了一系列以AI为中心的网络产品与功能更新，旨在为大规模AI训练、推理及服务提供高性能、高安全性和高可扩展性的网络基础设施。这些创新横跨AI优化网络、可编程边缘、服务网络简化和零信任安全等多个领域，并推出了全新的**Cloud WAN**解决方案，共同构成了其**Cross-Cloud Network**战略的核心。目标用户群覆盖了运行大规模AI工作负载的企业、应用开发者、平台工程及安全运维团队。 - **AI优化网络 (AI-Optimized Networking)** - **核心定义**：一套专为满足AI工作负载（训练与推理）在数据处理、计算速度和安全方面的严苛要求而设计的网络增强功能。 - **技术原理**：通过提升互联带宽、扩大集群规模、应用**RDMA**（远程直接内存访问）技术以及提供专用的推理网关，为GPU/TPU集群提供一个无阻塞、低延迟、高吞吐的通信环境。同时，通过创新的**RDMA防火墙**实现对高性能流量的零信任安全控制。 - **市场定位**：旨在将Google Cloud打造为运行最顶级AI工作负载的首选平台，直接对标AWS的EFA（Elastic Fabric Adapter）和Azure的InfiniBand高性能计算网络。 - **GKE推理网关 (GKE Inference Gateway)** - **核心定义**：在Google Kubernetes Engine (GKE) 中推出的一个新功能，旨在优化和简化生成式AI应用的部署与服务，以更低的成本提供更优的性能。 - **技术原理**：集成了基于模型服务器指标（如Google Jetstream, NVIDIA, vLLM）的**智能负载均衡**、动态请求路由和对**LoRA**微调模型的高效管理。通过这些技术，网关能更智能地将请求分发到最合适的GPU/TPU资源，从而提升资源利用率和响应速度。 - **市场定位**：一个托管的、针对AI推理优化的Kubernetes解决方案，旨在降低AI服务化的复杂性和成本，与开源的Kubernetes方案及其他云厂商的托管服务形成差异化竞争。 - **可编程全局前端 (Programmable Global Front End)** - **核心定义**：对Google Cloud边缘网络服务（如**Cloud Load Balancing**和**Cloud CDN**）的重大升级，通过引入开放的可编程性，使其能够更好地加速和保护Web、媒体及生成式AI应用。 - **技术原理**：核心是**Service Extensions**，它利用**WebAssembly (Wasm)**技术，允许开发者在网络边缘的数据路径中直接运行自定义代码（支持Rust, C++, Go）。这使得在请求/响应生命周期中可以注入自定义逻辑，如身份验证、流量整形等。 - **市场定位**：直接与Cloudflare Workers、AWS Lambda@Edge等边缘计算平台竞争，提供一个与GCP深度集成的、基于开放标准的边缘可编程解决方案。 - **网络安全增强** - **核心定义**：一系列旨在应对DDoS、DNS隧道攻击和AI驱动威胁等高级网络攻击的安全功能更新。 - **技术原理**： - **DNS Armor**：集成Infoblox的威胁情报，通过分析海量DNS事件来检测基于DNS的数据泄露攻击。 - **内联网络DLP (Inline Network DLP)**：利用**Service Extensions**框架，将第三方DLP解决方案（如Symantec）嵌入到**Secure Web Proxy**和**Application Load Balancer**的数据路径中，实现对传输中数据的实时扫描和保护。 - **Cloud NGFW Enterprise**：增强了第七层域过滤器功能，并可通过**分层策略**进行统一管理。 - **市场定位**：强化GCP原生网络安全能力，减少对第三方虚拟安全设备的依赖，同时通过开放生态（**Network Security Integration**）为客户提供灵活选择，与AWS Network Firewall、Azure Firewall Premium等产品竞争。 - **Cloud WAN** - **核心定义**：一个全新的全托管、安全可靠的企业级骨干网络解决方案，旨在简化企业连接全球分支机构、数据中心和多云环境的广域网（WAN）架构。 - **技术原理**：该服务构建于Google庞大的全球私有骨干网络之上，为客户提供一个统一的、软件定义的全球网络。它集成了主流的SD-WAN和安全厂商，提供了一个开放且灵活的生态系统。 - **市场定位**：直接对标AWS Cloud WAN和Azure Virtual WAN，为企业提供一个替代传统自建、基于运营商或托管设施的复杂WAN架构的云原生解决方案。 ## 关键客户价值 - **加速AI模型开发与部署** - 通过**400G Cloud Interconnect**，数据导入速度提升4倍，大幅缩短了AI模型训练前的数据准备时间。 - **GKE Inference Gateway**可将推理服务的*尾延迟降低60%*，*吞吐量提升40%*，并*节省高达30%的服务成本*，显著提升AI应用的性价比和用户体验。 - **构建前所未有规模的AI集群** - 支持高达*30,000个GPU*的无阻塞集群配置，为训练千亿级甚至万亿级参数的基础模型提供了必要的网络基础，这是业界领先的规模。 - 高达*3.2Tbps*的GPU间无阻塞带宽，通过**RDMA**技术实现了极致的通信性能，是分布式训练效率的关键。 - **实现端到端的零信任安全** - 创新的**Zero-Trust RDMA security**为高性能GPU/TPU流量提供了动态安全策略，解决了传统网络安全在高性能计算场景下的盲点。 - **内联网络DLP**无需额外部署复杂的代理服务器即可实现对敏感数据的实时防护，简化了合规性管理。 - 端到端的**mTLS**（从客户端到负载均衡器，再到后端）为应用提供了强大的传输层安全保障。 - **大幅降低网络运维复杂性与成本** - **Cloud WAN**相较于客户自建的WAN方案，可*节省高达40%的总体拥有成本（TCO）*，同时提供*99.99%*的可靠性保证。 - **Service-centric networking**通过**App Hub**和**Private Service Connect**等功能，将网络管理从IP地址和子网的层面抽象为“服务”的层面，极大简化了开发和运维团队的工作。 - **提升开发敏捷性和业务创新能力** - 基于**WebAssembly**的**Service Extensions**为开发者提供了在网络边缘编程的能力，可以快速实现自定义业务逻辑（如A/B测试、动态路由），而无需修改后端应用，加速了产品迭代。 ## 关键技术洞察 - **将零信任安全扩展至高性能计算网络** - _基于动态策略执行的RDMA防火墙_ 是本次发布的一大技术亮点。传统的防火墙通常工作在TCP/IP协议栈，而**RDMA**为了追求极致性能会绕过内核网络栈。GCP通过在RDMA通信路径上实现安全策略的动态实施，解决了高性能与高安全难以兼得的行业难题。 - **以开放标准（Wasm）构建边缘可编程平台** - _采用WebAssembly (Wasm) 作为Service Extensions的运行时环境_ 是一项战略性选择。**Wasm**提供了一个高性能、安全隔离且语言无关的执行沙箱。这不仅使GCP的边缘平台更具开放性和灵活性，吸引更广泛的开发者生态，也避免了客户被锁定在特定厂商的专有技术中。 - **应用感知（Application-Aware）的网络服务** - _GKE Inference Gateway的智能负载均衡机制_ 体现了网络向应用感知的演进。它不再是简单的轮询或基于连接数的负载均衡，而是能够理解AI模型服务的内部状态（如模型加载情况、GPU利用率），从而做出最优的流量路由决策。这种网络与应用负载的深度协同是提升AI服务效率的关键。 - **可组合的数据平面架构** - _Service Extensions框架的复用_ 体现了GCP正在构建一个可组合、可扩展的数据平面。无论是实现边缘自定义逻辑、集成第三方WAF（如Imperva），还是嵌入DLP功能（如Symantec），都利用了同一个插件化框架。这表明GCP正在将其核心网络组件（如负载均衡器）平台化，允许自身和生态伙伴在其上构建增值服务。 - **将全球私有网络产品化为企业骨干网** - _Cloud WAN的本质是将Google经过数十年验证的全球骨干网络打包成一个易于消费的企业级产品_。其核心竞争力在于Google网络的全球覆盖范围、低延迟和高冗余性。通过提供一个托管服务，GCP将复杂的全球网络路由、优化和管理工作完全封装，让企业能以更低的成本和复杂度获得世界级的网络性能，这比在公共互联网或拼凑多个运营商服务更具优势。   # Google Cloud 网络最新动态 **原始链接:** [https://cloud.google.com/blog/products/networking/networking-innovations-at-google-cloud-next25](https://cloud.google.com/blog/products/networking/networking-innovations-at-google-cloud-next25) **发布时间:** 2025-04-10 **厂商:** GCP **类型:** BLOG --- 网络 # Google Cloud 网络最新动态 2025 年 4 月 10 日 ![https://storage.googleapis.com/gweb-cloudblog-publish/images/AI-optimized_Networking.max-2500x2500.jpg](https://storage.googleapis.com/gweb-cloudblog-publish/images/AI-optimized_Networking.max-2500x2500.jpg) ##### Muninder Sambi 云网络副总裁 ##### Rob Enns 云网络副总裁兼总经理 ##### Google Cloud Next 点播观看 Next 大会的精华内容。 [立即观看](https://cloud.withgoogle.com/next/25?utm_source=cgc-blog&utm_medium=blog&utm_campaign=FY25-Q2-global-EXP106-physicalevent-er-next25-mc&utm_content=cgc-blog-left-hand-rail-post-next&utm_term=-) AI 时代已经到来，它正在从根本上重塑各个行业，并对 AI 模型的训练、推理 (Inference) 和服务提出了前所未有的网络能力要求。为了推动这一转型，企业需要能够处理海量容量、实现无缝连接并提供强大安全性的全球网络解决方案。在 Next 25 大会上，我们正通过云网络产品和 [跨云网络 (Cross-Cloud Network)](https://cloud.google.com/solutions/cross-cloud-network) 解决方案中的一系列创新，满足这些关键需求，并帮助客户轻松构建和交付分布式 AI 应用。这些创新包括 AI 优化的网络、简化且安全的服务网络，以及针对零日威胁的零信任安全。我们还在扩展我们的跨云网络解决方案，为 Web、媒体和生成式 AI (Generative AI) 服务的全球前端 (Global Front End) 提供可编程性和高性能，此外还推出了我们最新的解决方案 [Cloud WAN](https://cloud.google.com/blog/products/networking/connect-globally-with-cloud-wan-for-the-ai-era) ，它利用我们广泛的全球基础设施，为企业各分支机构之间提供一个完全托管的全球网络，以实现安全、简化的连接。 ### AI 优化的网络：高性能、安全、可扩展为了让您的 AI 模型发挥最佳性能，您需要一个能够处理海量数据和高强度计算的网络。无论您是在训练大型模型还是向用户提供服务 (“推理”)，速度、可靠性和安全性都至关重要。您需要处理复杂的基础设施，并移动海量数据以提供闪电般的快速响应。我们的创新专注于为您提供这些要求严苛的 AI 工作负载所需的基础设施： - **通过 400G Cloud Interconnect 和 Cross-Cloud Interconnect 实现海量数据注入：** 以 4 倍于我们 100G Cloud Interconnect 和 Cross-Cloud Interconnect 的带宽，更快地加载您的 AI 数据集并进行跨云训练，提供从本地或其他云环境到 Google Cloud 的连接。该功能将于今年晚些时候推出。 - **前所未有的集群规模：** 在无阻塞配置下，每个集群的网络支持高达 30,000 个 GPU，从而构建大规模 AI 服务。现已推出预览版。 - **零信任 RDMA 安全：** 通过我们的 RDMA 防火墙保护您的高性能 GPU 和 TPU 流量，该防火墙具有动态执行策略，可实现零信任网络。该功能将于今年晚些时候推出。 - **加速 GPU 间通信：** 借助我们高吞吐、低延迟的 RDMA 网络，释放高达 3.2Tbps 的无阻塞 GPU 间带宽。现已正式可用。 > “Google Cloud 在我们的 AI 基础设施中扮演着关键角色，支持我们为用户大规模提供高性能和安全的 AI 体验，同时优化了我们的资源利用率。” - Xu Ning, Snap, Inc. AI 平台工程总监 AI 推理的复杂性日益增加，特别是当企业部署多个针对特定任务优化的模型时，带来了重大的网络挑战。对 AI 容量日益增长的需求给网络基础设施带来了压力，因为要高效地将数据路由到通常分布在不同区域的 GPU 或 TPU 资源，需要高带宽和低延迟。此外，生成式 AI 应用和智能体的引入扩大了攻击面，为推理过程中的敏感数据泄露创造了漏洞，因此需要强大的 AI 安全保障措施。为了应对这些挑战，我们推出了 GKE Inference Gateway，现已进入预览阶段，它提供： - **为生成式 AI 应用提供差异化性能**，而无需高昂的服务成本。根据内部基准测试，[GKE Inference Gateway](https://cloud.google.com/kubernetes-engine/docs/concepts/about-gke-inference-gateway) 中的新功能与其他托管和开源 Kubernetes 产品相比，**可将服务成本降低高达 30%，尾延迟 (tail latency) 降低高达 60%，并将吞吐量 (throughput) 提高高达 40%**。GKE Inference Gateway 的功能包括基于 Google Jetstream、NVIDIA 和 vLLM 模型服务器指标的智能负载均衡、动态请求路由以及高效、动态的 LoRA 微调模型。 - **通过强大的新集成实现 AI 安全保障**。现在，您可以利用 GKE Inference Gateway 和 Cloud Load Balancing，结合 Model Armor、NVIDIA NeMo Guardrails 和 Palo Alto Networks AI Runtime Security。这种组合方法使用 [Service Extensions](https://cloud.google.com/service-extensions/docs/overview) 为您的 AI 模型提供全面保护，简化了平台工程和安全团队的治理工作。 - **针对 LLM 推理的 Google Cloud Load Balancing 优化，** 让您可以利用跨多个云提供商或本地基础设施的 NVIDIA GPU 容量。 > “各行各业的企业都在寻求全栈、集成的基础设施，以安全且经济高效地部署智能体 AI。通过将用于实时可观测性的 NVIDIA 推理软件和用于强大安全执行的 NeMo Guardrails 与 GKE Inference Gateway 集成，NVIDIA 和 Google Cloud 正在提供先进的功能，以增强 AI 部署的性能和可靠性。” - Kari Briski, NVIDIA 企业生成式 AI 软件副总裁 ### 适用于 Web、媒体和 AI 的可编程全球前端跨云网络全球前端解决方案可加速并保护要求最严苛的 Web、媒体以及现在的生成式 AI 应用，无论您的后端托管在何处，都无需将您的基础设施暴露于互联网。今天，我们为现代和生成式 AI 应用引入了新的创新： - **通过 Service Extensions 实现边缘可编程性：** 通过由 WebAssembly (Wasm) 提供支持的 Service Extensions 插件，利用开放的可编程性释放边缘计算的力量。使用超过 60 个 Rust、C++ 和 Go 语言的插件示例来自动化、扩展和自定义您的应用。Cloud Load Balancing 支持现已正式可用，Cloud CDN 支持将于今年晚些时候推出。 - **加速 Web 性能：** 通过 Cloud CDN 的快速缓存失效功能，在全球范围内以更高的性能交付静态和动态内容，并通过 TLS 1.3 0-RTT 提高恢复连接的应用性能。这两项功能现已进入预览阶段。 - **端到端 mTLS 安全：** 通过端到端 mTLS 加强您的安全态势，通过 Cloud Load Balancing 保护从客户端到后端基础设施的数据。客户端到前端的 mTLS 已于去年推出，到后端的 mTLS 现已进入预览阶段。 > “Service Extensions 插件使我们能够通过直接在请求/响应路径中轻松运行自定义代码来定制我们的 Web 服务。拥有一个基于 WebAssembly 等开放标准的边缘可编程性解决方案，并提供大量开箱即用的示例，使我们的开发人员能够快速满足业务的定制需求。” - Justin Reid, Shopify 首席工程师 ### 以服务为中心的网络简化了开发无论您是在构建前沿的生成式 AI 应用，还是在现代化现有系统，以服务为中心的架构 (service-centric architectures) 对于快速迭代至关重要。作为以服务为中心的架构的先驱，我们致力于帮助网络运维 (NetOps)、开发运维 (DevOps)、安全运维 (SecOps) 和开发团队简化服务的部署和管理。通过抽象底层网络和安全层的复杂性，我们使开发人员能够跨多个应用快速部署、更新和保护服务。今天，我们通过增强的以服务为中心的网络，在自动化、安全性和规模方面推出了新的创新： - **简化的服务发现和管理。** App Hub 集成通过自动化服务发现和编目，简化了生产者-消费者之间的交互。服务健康状况 (将于今年晚些时候推出) 通过网络驱动的跨区域故障转移，实现了弹性全球服务。 - **简化的多网络、多服务、多计算部署。** 在 2025 年晚些时候，您将能够使用 [Private Service Connect](https://cloud.google.com/vpc/docs/private-service-connect) 在单个 GKE 集群内发布多个服务，使它们可以从非对等的 GKE 集群、Cloud Run 或 Service Mesh 中本地访问。 > “我们与 Google 的合作为我们简化了服务发现流程，并帮助我们的开发人员能够更快、更高效地进行迭代。” - Jonathan Perry, 高盛工程合伙人 ### 保护现代和生成式 AI 应用免受不断演变的攻击我们正目睹复杂攻击的激增：TB 级 DDoS、用于数据窃取的 DNS 隧道 (DNS tunneling)，以及日益普遍的、能够规避传统防御的 AI 驱动的威胁。这些网络风险要求您从根本上转变网络安全方法，并强调了需要超越传统边界防御的先进网络安全能力。今天，我们宣布了强大的网络安全增强功能，为您的分布式多云应用和面向互联网的服务提供全面保护。我们的策略有三大核心支柱： ![https://storage.googleapis.com/gweb-cloudblog-publish/images/image1_ec6qD22.max-500x500.png](https://storage.googleapis.com/gweb-cloudblog-publish/images/image1_ec6qD22.max-500x500.png) ## **保护工作负载：全球规模的 DDoS 防护，威胁防御效能提升高达 24 倍** 保护您的分布式应用和面向互联网的服务免受关键网络攻击向量的侵害至关重要。今天，我们引入了几个关键增强功能： - **DNS Armor**：DNS 流量通常缺乏足够的监控，使其成为数据窃取的主要目标。攻击者利用这一盲点，使用 DNS 隧道、域名生成算法 (DGA) 和其他复杂技术来绕过传统安全控制。DNS Armor 由 Infoblox Threat Defense 提供支持，每天可洞察 700 亿次 DNS 事件，能够检测这些基于 DNS 的数据窃取攻击。该功能将于今年晚些时候进入预览阶段。 - **增强的安全态势执行**：通过 **Cloud Armor 的新分层策略**，加强您的安全态势，实现一致的全组织保护。通过 **新的网络类型** 和 **Cloud NGFW 分层防火墙策略的新防火墙标签**，实现独立于网络架构的精细保护。这些功能将于本季度进入预览阶段。 - 2024 年，我们推出了 Cloud NGFW Enterprise，其效能比其他主要公有云高出 24 倍。我们将继续通过 **新的第 7 层域名过滤** 来改进 Cloud NGFW，这将允许防火墙管理员监控和控制出站 Web 流量，仅允许访问被许可的目的地。该功能将于 2025 年晚些时候推出。 > “我们使用 Cloud NGFW 和 Cloud Armor 来保护我们在 Google Cloud 中的关键应用和网站。在 Next 大会上宣布的新的网络安全创新将帮助我们改善对用户的保护，并简化我们管理网络安全的方式。” - Jason Jones, UKG 安全工程高级总监 ## **保护数据：引入内联网络 DLP** 在当今数据驱动的世界中，您企业的知识产权是最宝贵的资产。但确保其安全性和合规性可能很复杂。我们理解在静态数据和传输中数据上都需要强大而简化的数据丢失防护 (DLP) 。我们即将推出的用于 Secure Web Proxy 和 Application Load Balancer 的 **内联网络 DLP (inline network DLP)**，通过使用 [Service Extensions](https://cloud.google.com/service-extensions/docs/overview) 与第三方 (Symantec DLP) 解决方案集成，为传输中的敏感数据提供 **实时保护**。内联网络 DLP 将于本季度进入预览阶段，帮助您保护关键数据并保持合规性，而不会牺牲性能或敏捷性。 ## **开放的安全生态系统：第三方安全服务插入** 我们为您提供选择首选安全解决方案的灵活性，根据您的特定需求量身定制保护措施。我们很高兴通过更深层次的集成来扩展我们的安全合作伙伴生态系统。最近，我们宣布您可以通过 [Network Security Integration](https://cloud.google.com/blog/products/networking/introducing-network-security-integration) 将合作伙伴的网络服务或虚拟设备与 Google Cloud 工作负载集成。该功能现已正式可用，可帮助您在混合云和多云环境中保持一致的策略，而无需更改路由策略或网络架构。此外，为了扩大我们的 Web 和 API 保护生态系统，我们与 Imperva 合作，通过 [Service Extensions](https://cloud.google.com/service-extensions/docs/overview) 将 Imperva Application Security 与 Cloud Load Balancing 集成，该集成现已在 Google Cloud Marketplace 上提供。 ### Cloud WAN：AI 时代的企业骨干网连接现代企业是极其复杂的。客户必须处理许多不同的网络和安全架构，并且必须在可靠性、应用速度和成本之间做出艰难的选择。这可能导致复杂、定制的解决方案难以管理，削弱安全态势，并且通常无法提供最佳结果。Cloud WAN 是我们最新的跨云网络解决方案，它是一个完全托管、可靠且安全的企业骨干网，旨在转变企业广域网 (WAN) 架构并应对这些挑战。 Cloud WAN 具有显著优势： - 与利用主机托管设施的客户自管理 WAN 解决方案相比，Cloud WAN 可节省高达 40% 的总拥有成本 (TCO)¹ - 通过 Google 广阔的骨干网络实现全球覆盖和性能，可靠性高达 99.99% - 与公共互联网相比，跨云网络的性能提升高达 40%² - 与主要的 SD-WAN 和安全供应商构建了一个开放、灵活且紧密集成的生态系统更多详情，请阅读[此处的完整公告](https://cloud.google.com/blog/products/networking/connect-globally-with-cloud-wan-for-the-ai-era) 。 ### 为 AI 时代打造的网络我们的云网络产品和解决方案使您能够在全球范围内连接、简化、现代化和保护您的组织。凭借这些新的创新——以及 [新的 Cloud WAN](https://cloud.google.com/blog/products/networking/connect-globally-with-cloud-wan-for-the-ai-era?e=48754805) ——我们继续为您提供适应新技术、服务、应用和地点的灵活性，所有这些都具备 AI 时代所需的敏捷性。要了解更多关于我们 Google Cloud Next 2025 的公告，您可以观看我们的 [跨云网络创新会议](https://cloud.withgoogle.com/next/25/session-library?session=BRK2-029&utm_source=copylink&utm_medium=unpaidsoc&utm_campaign=FY25-Q2-global-EXP106-physicalevent-er-next25-mc&utm_content=reg-is-live-next-homepage-social-share&utm_term=-) ，并查看众多精彩的网络 [分组会议](https://cloud.withgoogle.com/next/25/session-library?filters=session-type-breakouts,interest-networking#all) 。 --- *1. 架构包括 SD-WAN 和第三方防火墙，比较了使用多站点主机托管设施的客户自管理 WAN 与由 Google Cloud 管理和托管的 WAN。 2. 在测试期间，当流量通过跨云网络传输到目标时，网络延迟比流量通过公共互联网传输到同一目标时低 40% 以上。* 发布于 - [网络](https://cloud.google.com/blog/products/networking) - [Google Cloud Next](https://cloud.google.com/blog/topics/google-cloud-next)