GCP Lab 實作挑戰 — 8 個迷你實作練習，動手掌握 GCP 核心服務

難度

考試領域

先決條件

GCP 帳號（免費方案即可）
已安裝 gcloud CLI 或使用 Cloud Shell

學習目標

建立 Compute Engine VM 實例
使用 startup script 自動化安裝軟體
設定防火牆規則允許 HTTP 流量
透過外部 IP 驗證網頁服務

實作步驟（共 5 步）

先確認你的專案 ID，並設定預設區域為 us-central1-a（免費方案可用區域）。

shell


                                  gcloud config set project YOUR_PROJECT_ID
gcloud config set compute/zone us-central1-a

提示

將 YOUR_PROJECT_ID 替換為你的實際專案 ID，可用 gcloud projects list 查看。

驗證方式

執行 gcloud config list 確認 project 和 compute/zone 已正確設定。

建立一台 e2-micro VM（免費方案機型），並使用 startup script 安裝 Nginx 網頁伺服器。

shell


                                  gcloud compute instances create my-first-vm \
  --machine-type=e2-micro \
  --image-family=debian-12 \
  --image-project=debian-cloud \
  --tags=http-server \
  --metadata=startup-script='#!/bin/bash
apt-get update
apt-get install -y nginx
systemctl start nginx
echo "<h1>Hello from $(hostname)!</h1>" > /var/www/html/index.html'

提示

e2-micro 是免費方案包含的機型，每月有 720 小時免費額度（限 us-central1 等指定區域）。

驗證方式

執行 gcloud compute instances describe my-first-vm --format='value(status)' 應回傳 RUNNING。

建立防火牆規則，允許外部 HTTP（port 80）流量進入帶有 http-server 標籤的 VM。

shell


                                  gcloud compute firewall-rules create allow-http \
  --direction=INGRESS \
  --priority=1000 \
  --network=default \
  --action=ALLOW \
  --rules=tcp:80 \
  --target-tags=http-server \
  --source-ranges=0.0.0.0/0

提示

target-tags 要和建立 VM 時的 --tags 一致，這樣防火牆規則才會套用到正確的 VM。

驗證方式

執行 gcloud compute firewall-rules list --filter='name=allow-http' 確認規則已建立。

查詢 VM 的外部 IP 位址，並在瀏覽器中開啟以驗證 Nginx 服務。

shell


                                  gcloud compute instances describe my-first-vm \
  --format='get(networkInterfaces[0].accessConfigs[0].natIP)'

提示

startup script 需要 1-2 分鐘才能完成安裝。如果瀏覽器無法連線，請稍等片刻再試。

驗證方式

在瀏覽器開啟 http://EXTERNAL_IP，應看到 'Hello from my-first-vm!' 字樣。

實驗完成後，刪除 VM 和防火牆規則以避免產生費用。

shell


                                  gcloud compute instances delete my-first-vm --quiet
gcloud compute firewall-rules delete allow-http --quiet

提示

加上 --quiet 旗標可以跳過確認提示，適合用在自動化腳本中。

驗證方式

執行 gcloud compute instances list 確認清單中已無 my-first-vm。

考試相關性

ACE 考試 Domain 1：規劃與設定雲端解決方案。包括建立 Compute Engine 實例、管理 VM 生命週期、設定 startup script。

進階挑戰

進階挑戰：改用 Instance Template 建立相同配置，然後用該 Template 建立一個 Managed Instance Group (MIG) 並設定自動擴展。

先決條件

GCP 帳號
已安裝 gcloud CLI 或使用 Cloud Shell
準備一個 HTML 檔案（或使用範例）

學習目標

建立 Cloud Storage bucket
上傳檔案並設定公開存取
設定靜態網站的首頁和 404 頁面
了解 bucket 命名與全球唯一性

實作步驟（共 6 步）

建立一個 Cloud Storage bucket。Bucket 名稱需全球唯一，建議使用專案 ID 作為前綴。

shell


                                  gcloud storage buckets create gs://YOUR_PROJECT_ID-static-site \
  --location=us-central1 \
  --uniform-bucket-level-access

提示

Bucket 名稱全球唯一，如遇名稱衝突可加上日期或亂數後綴。--uniform-bucket-level-access 是 Google 推薦的存取控制模式。

驗證方式

執行 gcloud storage buckets describe gs://YOUR_PROJECT_ID-static-site 確認 bucket 已建立。

建立簡單的 HTML 首頁和 404 錯誤頁面。

shell


                                  cat > index.html << 'EOF'
<!DOCTYPE html>
<html lang="zh-TW">
<head><meta charset="UTF-8"><title>My GCP Site</title></head>
<body>
  <h1>Welcome to My GCP Static Site!</h1>
  <p>This site is hosted on Cloud Storage.</p>
</body>
</html>
EOF

cat > 404.html << 'EOF'
<!DOCTYPE html>
<html lang="zh-TW">
<head><meta charset="UTF-8"><title>404</title></head>
<body><h1>404 - Page Not Found</h1></body>
</html>
EOF

提示

你也可以上傳自己的網站檔案，支援 HTML、CSS、JavaScript、圖片等靜態資源。

驗證方式

執行 ls -la index.html 404.html 確認檔案已建立。

將 HTML 檔案上傳到 Cloud Storage bucket。

shell


                                  gcloud storage cp index.html gs://YOUR_PROJECT_ID-static-site/
gcloud storage cp 404.html gs://YOUR_PROJECT_ID-static-site/

提示

gcloud storage cp 支援萬用字元，例如 gcloud storage cp *.html gs://bucket/ 可一次上傳所有 HTML 檔案。

驗證方式

執行 gcloud storage ls gs://YOUR_PROJECT_ID-static-site/ 確認檔案已上傳。

將 bucket 設為公開存取，讓所有人都能瀏覽網站。

shell


                                  gcloud storage buckets add-iam-policy-binding gs://YOUR_PROJECT_ID-static-site \
  --member=allUsers \
  --role=roles/storage.objectViewer

提示

allUsers 代表任何人（包括未登入的使用者）。生產環境通常會搭配 Cloud CDN 和自訂網域。

驗證方式

在瀏覽器開啟 https://storage.googleapis.com/YOUR_PROJECT_ID-static-site/index.html 確認網頁可存取。

設定 bucket 的靜態網站功能，指定首頁和 404 頁面。

shell


                                  gcloud storage buckets update gs://YOUR_PROJECT_ID-static-site \
  --web-main-page-suffix=index.html \
  --web-error-page=404.html

提示

設定後，訪問 bucket URL 時會自動載入 index.html，找不到的路徑則顯示 404.html。

驗證方式

執行 gcloud storage buckets describe gs://YOUR_PROJECT_ID-static-site --format='value(website)' 確認設定。

刪除 bucket 和所有物件。

shell


                                  gcloud storage rm -r gs://YOUR_PROJECT_ID-static-site

提示

-r 旗標會遞迴刪除 bucket 內所有物件及 bucket 本身。

驗證方式

執行 gcloud storage buckets list 確認 bucket 已移除。

考試相關性

ACE 考試 Domain 3：部署與實作雲端解決方案。涵蓋 Cloud Storage 的 bucket 建立、IAM 權限、靜態網站託管。

進階挑戰

進階挑戰：替網站加上 Cloud CDN 和自訂網域。使用 gcloud compute backend-buckets create 和 URL map 設定。

先決條件

GCP 帳號
已安裝 gcloud CLI 或使用 Cloud Shell

學習目標

使用 Cloud Run 從原始碼部署應用程式
了解 Cloud Run 的自動擴展機制
設定環境變數和資源限制
管理 Cloud Run 服務的版本修訂

實作步驟（共 5 步）

啟用 Cloud Run 和 Artifact Registry API。

shell


                                  gcloud services enable run.googleapis.com
gcloud services enable artifactregistry.googleapis.com

提示

首次使用 Cloud Run 時需要啟用 API。啟用可能需要 30 秒到 1 分鐘。

驗證方式

執行 gcloud services list --enabled --filter='name:run.googleapis.com' 確認已啟用。

建立一個簡單的 Python Flask 應用程式和 Dockerfile。

shell


                                  mkdir my-cloud-run-app && cd my-cloud-run-app

cat > main.py << 'EOF'
import os
from flask import Flask

app = Flask(__name__)

@app.route('/')
def hello():
    name = os.environ.get('NAME', 'World')
    return f'<h1>Hello {name}!</h1><p>Running on Cloud Run</p>'

if __name__ == '__main__':
    port = int(os.environ.get('PORT', 8080))
    app.run(host='0.0.0.0', port=port)
EOF

cat > Dockerfile << 'EOF'
FROM python:3.12-slim
WORKDIR /app
RUN pip install flask gunicorn
COPY main.py .
CMD exec gunicorn --bind :$PORT --workers 1 --threads 8 --timeout 0 main:app
EOF

cat > .dockerignore << 'EOF'
__pycache__
*.pyc
.git
EOF

提示

Cloud Run 要求容器監聽 PORT 環境變數指定的埠號（預設 8080）。

驗證方式

確認 my-cloud-run-app 資料夾中有 main.py、Dockerfile、.dockerignore 三個檔案。

使用 gcloud 直接從原始碼部署到 Cloud Run，會自動建構容器映像。

shell


                                  cd my-cloud-run-app
gcloud run deploy my-app \
  --source=. \
  --region=us-central1 \
  --allow-unauthenticated \
  --set-env-vars=NAME=GCP-Learner \
  --memory=256Mi \
  --cpu=1 \
  --max-instances=3

提示

首次部署時 gcloud 會自動建立 Artifact Registry 儲存庫並建構容器映像。--source=. 表示從當前目錄建構。

驗證方式

部署成功後，gcloud 會輸出服務 URL。在瀏覽器中開啟該 URL，應看到 'Hello GCP-Learner!' 字樣。

檢查已部署服務的狀態、URL 和修訂版本。

shell


                                  gcloud run services describe my-app \
  --region=us-central1 \
  --format='value(status.url)'

gcloud run revisions list \
  --service=my-app \
  --region=us-central1

提示

每次部署都會建立新的 revision。你可以將流量分配到不同的 revision 實現金絲雀部署。

驗證方式

命令應顯示服務 URL 和至少一個 revision。

刪除 Cloud Run 服務以停止計費。

shell


                                  gcloud run services delete my-app --region=us-central1 --quiet

提示

Cloud Run 按使用量計費（request 和 CPU/memory 時間），不使用時不產生費用。但刪除服務可確保不會有意外流量。

驗證方式

執行 gcloud run services list --region=us-central1 確認服務已刪除。

考試相關性

ACE 考試 Domain 3：部署與實作雲端解決方案。涵蓋 Cloud Run 部署、容器化概念、無伺服器運算服務比較。

進階挑戰

進階挑戰：設定 Cloud Run 的流量分割功能。部署第二個版本並將 50% 的流量導向新版本，實現金絲雀部署。

先決條件

GCP 帳號
已安裝 gcloud CLI 或使用 Cloud Shell
基本網路概念（IP、Port、Protocol）

學習目標

建立自訂 VPC 網路和子網路
設定 ingress 和 egress 防火牆規則
使用標籤和優先順序控制流量
驗證防火牆規則的生效

實作步驟（共 7 步）

建立一個自訂模式的 VPC 網路（不自動建立子網路），然後手動新增子網路。

shell


                                  gcloud compute networks create lab-vpc \
  --subnet-mode=custom

gcloud compute networks subnets create lab-subnet \
  --network=lab-vpc \
  --range=10.0.1.0/24 \
  --region=us-central1

提示

自訂模式 VPC 讓你完全控制子網路的 IP 範圍和區域配置，是生產環境的推薦做法。

驗證方式

執行 gcloud compute networks describe lab-vpc 確認網路已建立，且 subnets 欄位包含 lab-subnet。

在自訂 VPC 中建立兩台 VM：一台作為 Web Server，一台作為測試用 Client。

shell


                                  gcloud compute instances create web-server \
  --zone=us-central1-a \
  --machine-type=e2-micro \
  --network=lab-vpc \
  --subnet=lab-subnet \
  --tags=web-server \
  --metadata=startup-script='#!/bin/bash
apt-get update && apt-get install -y nginx'

gcloud compute instances create test-client \
  --zone=us-central1-a \
  --machine-type=e2-micro \
  --network=lab-vpc \
  --subnet=lab-subnet \
  --tags=client

提示

兩台 VM 在同一個 VPC 和子網路中，但自訂 VPC 預設沒有任何防火牆規則（不像 default VPC）。

驗證方式

執行 gcloud compute instances list --filter='networkInterfaces.network:lab-vpc' 確認兩台 VM 都在 lab-vpc 網路中。

建立允許 SSH 連線的防火牆規則（用於管理 VM），使用 IAP 的來源 IP 範圍。

shell


                                  gcloud compute firewall-rules create lab-allow-ssh \
  --network=lab-vpc \
  --direction=INGRESS \
  --priority=1000 \
  --action=ALLOW \
  --rules=tcp:22 \
  --source-ranges=35.235.240.0/20

提示

35.235.240.0/20 是 Google Cloud IAP（Identity-Aware Proxy）的 IP 範圍。透過 IAP 連線比開放 0.0.0.0/0 更安全。

驗證方式

執行 gcloud compute ssh web-server --zone=us-central1-a --tunnel-through-iap 測試 SSH 連線。

建立防火牆規則只允許 HTTP 流量進入有 web-server 標籤的 VM。

shell


                                  gcloud compute firewall-rules create lab-allow-http \
  --network=lab-vpc \
  --direction=INGRESS \
  --priority=900 \
  --action=ALLOW \
  --rules=tcp:80 \
  --target-tags=web-server \
  --source-ranges=0.0.0.0/0

提示

priority 值越小優先順序越高。target-tags 確保只有帶 web-server 標籤的 VM 會受到此規則影響。

驗證方式

取得 web-server 外部 IP 並在瀏覽器訪問，應看到 Nginx 預設頁面。test-client 的 80 port 則不可從外部存取。

允許同一 VPC 內的 VM 互相通訊（例如 client 可以連到 web-server 的 80 port）。

shell


                                  gcloud compute firewall-rules create lab-allow-internal \
  --network=lab-vpc \
  --direction=INGRESS \
  --priority=1000 \
  --action=ALLOW \
  --rules=tcp:0-65535,udp:0-65535,icmp \
  --source-ranges=10.0.1.0/24

提示

source-ranges 設定為子網路的 CIDR，代表只允許來自同一子網路的流量。這是常見的內部通訊模式。

驗證方式

SSH 到 test-client，執行 curl http://web-server-internal-ip 應能看到 Nginx 頁面。

列出所有防火牆規則，確認配置正確。

shell


                                  gcloud compute firewall-rules list \
  --filter='network:lab-vpc' \
  --format='table(name, direction, priority, sourceRanges.list():label=SRC, allowed[].map().firewall_rule().list():label=ALLOW, targetTags.list():label=TARGET)'

提示

這個 format 參數可以產出清晰的表格檢視，是排查防火牆問題的實用技巧。

驗證方式

應看到三條規則：lab-allow-ssh、lab-allow-http、lab-allow-internal，且各自的設定正確。

刪除所有實驗資源。

shell


                                  gcloud compute instances delete web-server test-client \
  --zone=us-central1-a --quiet
gcloud compute firewall-rules delete lab-allow-ssh \
  lab-allow-http lab-allow-internal --quiet
gcloud compute networks subnets delete lab-subnet \
  --region=us-central1 --quiet
gcloud compute networks delete lab-vpc --quiet

提示

刪除順序很重要：先刪 VM，再刪防火牆規則，再刪子網路，最後刪 VPC。有依賴關係的資源需按序刪除。

驗證方式

執行 gcloud compute networks list 確認 lab-vpc 已不存在。

考試相關性

ACE 考試 Domain 4：確保解決方案的運行成功。涵蓋 VPC 設計、防火牆規則管理、網路標籤、IAP 安全存取。

進階挑戰

進階挑戰：改用服務帳號（Service Account）基礎的防火牆規則，取代網路標籤。建立專用服務帳號並綁定到 VM，然後用 --target-service-accounts 設定防火牆。

先決條件

GCP 帳號
已安裝 gcloud CLI 或使用 Cloud Shell
了解 IAM 基本概念

學習目標

建立自訂服務帳號
授予特定 bucket 的最小權限
理解 Predefined Role 和 Custom Role 的差異
使用 IAM 條件限制存取範圍

實作步驟（共 6 步）

建立一個專門用來存取 Cloud Storage 的服務帳號。

shell


                                  gcloud iam service-accounts create storage-reader \
  --display-name='Storage Read-Only Service Account' \
  --description='Lab: Minimal permissions for reading storage objects'

提示

服務帳號命名應清楚反映其用途。每個應用程式或工作負載都應該有自己的服務帳號。

驗證方式

執行 gcloud iam service-accounts list --filter='email:storage-reader' 確認服務帳號已建立。

建立一個 Cloud Storage bucket 並上傳測試檔案。

shell


                                  gcloud storage buckets create gs://YOUR_PROJECT_ID-iam-lab \
  --location=us-central1

echo 'This is a secret document.' > test-doc.txt
gcloud storage cp test-doc.txt gs://YOUR_PROJECT_ID-iam-lab/

提示

記得將 YOUR_PROJECT_ID 替換為你的專案 ID。

驗證方式

執行 gcloud storage ls gs://YOUR_PROJECT_ID-iam-lab/ 確認檔案已上傳。

只授予該服務帳號對特定 bucket 的物件讀取權限，而非整個專案。

shell


                                  gcloud storage buckets add-iam-policy-binding gs://YOUR_PROJECT_ID-iam-lab \
  --member='serviceAccount:storage-reader@YOUR_PROJECT_ID.iam.gserviceaccount.com' \
  --role='roles/storage.objectViewer'

提示

roles/storage.objectViewer 只能讀取物件，不能寫入或刪除。在 bucket 層級綁定比專案層級更安全。

驗證方式

執行 gcloud storage buckets get-iam-policy gs://YOUR_PROJECT_ID-iam-lab 確認綁定已設定。

使用 --impersonate-service-account 測試服務帳號是否只能讀取，無法寫入。

shell


                                  # 先授予自己模擬服務帳號的權限
gcloud iam service-accounts add-iam-policy-binding \
  storage-reader@YOUR_PROJECT_ID.iam.gserviceaccount.com \
  --member='user:YOUR_EMAIL' \
  --role='roles/iam.serviceAccountTokenCreator'

# 測試讀取（應成功）
gcloud storage cat gs://YOUR_PROJECT_ID-iam-lab/test-doc.txt \
  --impersonate-service-account=storage-reader@YOUR_PROJECT_ID.iam.gserviceaccount.com

# 測試寫入（應失敗）
echo 'hacked!' > evil.txt
gcloud storage cp evil.txt gs://YOUR_PROJECT_ID-iam-lab/ \
  --impersonate-service-account=storage-reader@YOUR_PROJECT_ID.iam.gserviceaccount.com

提示

模擬服務帳號是測試權限的好方法，不需要下載金鑰。寫入操作應回傳 403 Forbidden。

驗證方式

讀取操作應輸出 'This is a secret document.'，寫入操作應回傳權限拒絕錯誤。

使用 gcloud 查看服務帳號的有效權限，確認符合最小權限原則。

shell


                                  gcloud asset analyze-iam-policy \
  --organization=YOUR_ORG_ID \
  --identity='serviceAccount:storage-reader@YOUR_PROJECT_ID.iam.gserviceaccount.com' \
  --full-resource-name='//storage.googleapis.com/YOUR_PROJECT_ID-iam-lab' 2>/dev/null || \
echo '提示：如果沒有 Organization 權限，可改用以下指令查看 bucket 的 IAM 綁定：'
gcloud storage buckets get-iam-policy gs://YOUR_PROJECT_ID-iam-lab \
  --format='table(bindings.role, bindings.members)'

提示

IAM Policy Analyzer 需要組織層級權限。對於個人帳號，直接查看 bucket 的 IAM 政策即可。

驗證方式

應只看到 storage-reader 服務帳號綁定了 roles/storage.objectViewer 角色。

刪除服務帳號和測試 bucket。

shell


                                  gcloud iam service-accounts delete \
  storage-reader@YOUR_PROJECT_ID.iam.gserviceaccount.com --quiet
gcloud storage rm -r gs://YOUR_PROJECT_ID-iam-lab

提示

刪除服務帳號會自動移除其所有 IAM 綁定。

驗證方式

執行 gcloud iam service-accounts list 確認 storage-reader 服務帳號已刪除。

考試相關性

ACE 考試 Domain 5：設定存取與安全。涵蓋服務帳號管理、IAM 角色綁定、最小權限原則、資源層級 IAM 政策。

進階挑戰

進階挑戰：建立 Custom Role，只包含 storage.objects.get 和 storage.objects.list 兩個權限，然後用這個自訂角色取代 predefined role。

先決條件

GCP 帳號
已安裝 gcloud CLI 或使用 Cloud Shell
基本 SQL 知識

學習目標

建立 Cloud SQL MySQL 實例
設定自動備份排程
執行手動備份和還原
了解備份、匯出和複本的差異

實作步驟（共 6 步）

啟用 API 並建立一個小型 Cloud SQL MySQL 實例，同時啟用自動備份。

shell


                                  gcloud services enable sqladmin.googleapis.com

gcloud sql instances create lab-mysql \
  --database-version=MYSQL_8_0 \
  --tier=db-f1-micro \
  --region=us-central1 \
  --backup-start-time=03:00 \
  --storage-auto-increase \
  --root-password=TempPass123!

提示

db-f1-micro 是最小的實例類型，適合學習和測試。建立可能需要 3-5 分鐘。--backup-start-time 使用 UTC 時間。

驗證方式

執行 gcloud sql instances describe lab-mysql --format='value(state)' 應回傳 RUNNABLE。

連線到 Cloud SQL 並建立測試資料庫和表格。

shell


                                  gcloud sql databases create lab_db --instance=lab-mysql

gcloud sql connect lab-mysql --user=root << 'EOF'
USE lab_db;
CREATE TABLE users (
  id INT AUTO_INCREMENT PRIMARY KEY,
  name VARCHAR(100),
  email VARCHAR(100),
  created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP
);
INSERT INTO users (name, email) VALUES
  ('Alice', 'alice@example.com'),
  ('Bob', 'bob@example.com'),
  ('Charlie', 'charlie@example.com');
SELECT * FROM users;
EOF

提示

gcloud sql connect 會透過 Cloud SQL Auth Proxy 建立安全連線。如果被提示安裝 Cloud SQL Auth Proxy，請按提示操作。

驗證方式

SELECT 查詢應回傳 3 筆使用者資料。

在修改資料前建立一份手動備份，作為還原點。

shell


                                  gcloud sql backups create \
  --instance=lab-mysql \
  --description='Before data modification - lab checkpoint'

提示

手動備份不會被自動備份的保留政策影響，會一直保留到你手動刪除為止。

驗證方式

執行 gcloud sql backups list --instance=lab-mysql 應看到一筆 status 為 SUCCESSFUL 的備份。

模擬一個誤操作：刪除所有使用者資料。

shell


                                  gcloud sql connect lab-mysql --user=root << 'EOF'
USE lab_db;
DELETE FROM users;
SELECT COUNT(*) AS remaining_rows FROM users;
EOF

提示

這模擬了生產環境中常見的誤刪資料情境。有備份才能安心恢復。

驗證方式

SELECT COUNT(*) 應回傳 0，確認資料已被刪除。

使用剛才的手動備份還原資料庫。先取得備份 ID，再執行還原。

shell


                                  # 取得備份 ID
gcloud sql backups list --instance=lab-mysql \
  --format='table(id, startTime, status, description)'

# 使用備份 ID 還原（將 BACKUP_ID 替換為實際 ID）
gcloud sql backups restore BACKUP_ID \
  --restore-instance=lab-mysql \
  --quiet

提示

還原會覆蓋整個實例的資料，因此生產環境中通常會還原到新的實例進行驗證。還原過程約需 2-3 分鐘。

驗證方式

還原完成後連線查詢 SELECT * FROM lab_db.users; 應看到原本的 3 筆資料。

刪除 Cloud SQL 實例（同時刪除所有備份）。

shell


                                  gcloud sql instances delete lab-mysql --quiet

提示

Cloud SQL 的計費是按實例運行時間。刪除實例會永久移除所有資料和備份，請確認不需要後再刪除。

驗證方式

執行 gcloud sql instances list 確認 lab-mysql 已不存在。

考試相關性

ACE 考試 Domain 3 & 4：部署雲端解決方案、確保運行成功。涵蓋 Cloud SQL 管理、備份策略、災難復原、資料庫維運。

進階挑戰

進階挑戰：建立 Cloud SQL Read Replica，然後測試 failover 到複本。使用 gcloud sql instances create --master-instance-name 建立讀取複本。

先決條件

GCP 帳號
已安裝 gcloud CLI 或使用 Cloud Shell

學習目標

建立 Notification Channel（通知管道）
設定指標型告警政策
理解 Monitoring 的指標和條件
使用壓力測試觸發告警

實作步驟（共 6 步）

啟用 Cloud Monitoring API 並建立一台用於測試的 VM。

shell


                                  gcloud services enable monitoring.googleapis.com

gcloud compute instances create monitoring-test-vm \
  --zone=us-central1-a \
  --machine-type=e2-micro \
  --image-family=debian-12 \
  --image-project=debian-cloud

提示

Compute Engine VM 會自動將指標（CPU、記憶體、磁碟等）回報到 Cloud Monitoring，不需要額外安裝 agent。

驗證方式

執行 gcloud compute instances describe monitoring-test-vm --zone=us-central1-a --format='value(status)' 應回傳 RUNNING。

建立一個 Email 通知管道，用於接收告警通知。

shell


                                  gcloud beta monitoring channels create \
  --display-name='Lab Alert Email' \
  --type=email \
  --channel-labels=email_address=YOUR_EMAIL@example.com

提示

將 YOUR_EMAIL 替換為你的實際信箱。通知管道也支援 SMS、Slack、PagerDuty 等。

驗證方式

執行 gcloud beta monitoring channels list --format='value(name, displayName)' 確認通知管道已建立。記下 channel name（格式如 projects/xxx/notificationChannels/yyy）。

建立告警政策：當 VM 的 CPU 使用率超過 70% 持續 60 秒時觸發告警。

shell


                                  cat > cpu-alert-policy.json << 'POLICY'
{
  "displayName": "High CPU Usage Alert",
  "documentation": {
    "content": "VM CPU usage exceeded 70% for 60 seconds. Check for runaway processes.",
    "mimeType": "text/markdown"
  },
  "conditions": [{
    "displayName": "CPU > 70%",
    "conditionThreshold": {
      "filter": "resource.type = \"gce_instance\" AND metric.type = \"compute.googleapis.com/instance/cpu/utilization\"",
      "comparison": "COMPARISON_GT",
      "thresholdValue": 0.7,
      "duration": "60s",
      "aggregations": [{
        "alignmentPeriod": "60s",
        "perSeriesAligner": "ALIGN_MEAN"
      }]
    }
  }],
  "combiner": "OR",
  "notificationChannels": ["CHANNEL_NAME"],
  "alertStrategy": {
    "autoClose": "1800s"
  }
}
POLICY

echo '請將 CHANNEL_NAME 替換為上一步取得的通知管道 name，然後執行：'
echo 'gcloud alpha monitoring policies create --policy-from-file=cpu-alert-policy.json'

提示

thresholdValue 0.7 代表 70%。compute.googleapis.com/instance/cpu/utilization 的值範圍是 0.0 到 1.0。

驗證方式

執行 gcloud alpha monitoring policies list --format='value(displayName)' 確認告警政策已建立。

SSH 進入 VM 並執行壓力測試，讓 CPU 使用率飆升以觸發告警。

shell


                                  gcloud compute ssh monitoring-test-vm --zone=us-central1-a --command='
  # 安裝壓力測試工具
  sudo apt-get update && sudo apt-get install -y stress-ng

  # 對 CPU 施壓 3 分鐘
  echo "Starting CPU stress test for 3 minutes..."
  stress-ng --cpu 1 --timeout 180 &

  # 監控 CPU 使用率
  echo "CPU usage will be reported by Cloud Monitoring in ~60s"
  top -bn1 | head -5
'

提示

Monitoring 指標有 1-2 分鐘的延遲。壓力測試需要持續超過告警的 duration（60 秒）才會觸發告警。

驗證方式

約 2-3 分鐘後，應在 Email 收到 CPU 告警通知。也可以到 Cloud Console > Monitoring > Alerting 查看告警事件。

確認告警已觸發，查看告警事件詳情。

shell


                                  gcloud alpha monitoring policies list \
  --format='table(displayName, enabled, conditions.displayName)'

echo '\n提示：到 Cloud Console > Monitoring > Alerting 可看到告警事件的完整時間軸和圖表。'

提示

Cloud Console 的 Monitoring Dashboard 提供更直覺的視覺化介面，包括指標圖表和告警歷史。

驗證方式

應能在告警列表或信箱中看到觸發的 CPU 告警通知。

刪除告警政策、通知管道和測試 VM。

shell


                                  # 刪除告警政策
gcloud alpha monitoring policies list --format='value(name)' | \
  xargs -I {} gcloud alpha monitoring policies delete {} --quiet

# 刪除通知管道
gcloud beta monitoring channels list --format='value(name)' | \
  xargs -I {} gcloud beta monitoring channels delete {} --quiet --force

# 刪除 VM
gcloud compute instances delete monitoring-test-vm \
  --zone=us-central1-a --quiet

# 清理本地檔案
rm -f cpu-alert-policy.json

提示

通知管道刪除時需要加 --force，因為它可能被告警政策參照。先刪除政策再刪通道。

驗證方式

執行 gcloud compute instances list 和 gcloud alpha monitoring policies list 確認資源已清理。

考試相關性

ACE 考試 Domain 4：確保解決方案的運行成功。涵蓋 Cloud Monitoring 設定、告警政策、通知管道、SLI/SLO 概念。

進階挑戰

進階挑戰：設定 Uptime Check 監控你的 Web Server。使用 gcloud alpha monitoring uptime create 建立可用性檢查，並搭配告警通知。

先決條件

GCP 帳號
已安裝 gcloud CLI 或使用 Cloud Shell

學習目標

熟練使用 gcloud 的設定和專案管理指令
掌握資源查詢和篩選技巧
了解 format 和 filter 參數的使用
建立 gcloud 指令的操作直覺

實作步驟（共 10 步）

查看 gcloud CLI 的所有目前設定，包括帳號、專案、區域等。

shell


                                  gcloud config list

提示

此指令等同於查看 ~/.config/gcloud/properties 檔案。輸出分為 [core]、[compute] 等區段。

驗證方式

應看到 account、project 等設定值。如果 compute/region 為空，代表尚未設定預設區域。

列出你有權存取的所有 GCP 專案。

shell


                                  gcloud projects list --format='table(projectId, name, projectNumber)'

提示

--format 參數可以自訂輸出格式。常用格式有 table、json、csv、value。

驗證方式

應看到至少一個專案，包含 projectId、name 和 projectNumber。

設定或切換到指定的 GCP 專案。

shell


                                  gcloud config set project YOUR_PROJECT_ID

提示

也可以用 --project 旗標在單一指令中指定專案，不影響全域設定。

驗證方式

執行 gcloud config get-value project 確認已切換到正確的專案。

查看目前專案啟用了哪些 Google Cloud API。

shell


                                  gcloud services list --enabled \
  --format='table(name, title)' \
  --limit=10

提示

--limit 可以限制輸出數量。不加 --enabled 則列出所有可用的 API（數量非常多）。

驗證方式

應看到已啟用的 API 列表，如 compute.googleapis.com、storage.googleapis.com 等。

列出所有 Compute Engine VM，並使用 filter 篩選特定條件。

shell


                                  # 列出所有 VM
gcloud compute instances list

# 篩選運行中的 VM
gcloud compute instances list --filter='status=RUNNING'

# 只看特定區域
gcloud compute instances list --filter='zone:us-central1'

提示

filter 支援多種運算子：=（精確比對）、:（包含）、>、<、AND、OR。

驗證方式

如果沒有 VM，會顯示空白列表（這是正常的）。filter 語法是考試常考重點。

查看專案層級的 IAM 政策，了解誰有什麼權限。

shell


                                  gcloud projects get-iam-policy YOUR_PROJECT_ID \
  --format='table(bindings.role, bindings.members)' \
  --flatten='bindings[].members'

提示

--flatten 可以將巢狀的 members 陣列展開成一行一筆，更容易閱讀。

驗證方式

應看到專案的 IAM 綁定，包含角色和成員。如 roles/owner 綁定到你的帳號。

列出可用的區域、地區和機器類型。

shell


                                  # 列出所有區域
gcloud compute regions list --format='table(name, status)'

# 列出特定區域的機器類型
gcloud compute machine-types list \
  --zones=us-central1-a \
  --filter='name:e2-' \
  --format='table(name, guestCpus, memoryMb)'

提示

e2 系列是成本效益最高的通用機型。filter 'name:e2-' 使用包含比對（:），列出所有 e2 開頭的機型。

驗證方式

應看到多個區域和 e2 系列的機器類型清單。

練習 Cloud Storage 的常用操作：列出 bucket、查看物件。

shell


                                  # 列出所有 bucket
gcloud storage ls

# 查看 bucket 詳細資訊（如果有 bucket 的話）
# gcloud storage buckets describe gs://BUCKET_NAME

# 查看磁碟使用量
gcloud storage du gs://BUCKET_NAME --summarize 2>/dev/null || \
  echo '目前沒有 bucket，這是正常的'

提示

gcloud storage 是新版 CLI（取代舊的 gsutil）。新版語法更一致，建議優先使用。

驗證方式

如果有 bucket 會列出清單；沒有 bucket 則輸出空白，兩者都是正常結果。

取得目前帳號的存取權杖和身分資訊，用於 API 呼叫或除錯。

shell


                                  # 查看目前授權的帳號
gcloud auth list

# 取得存取權杖（用於 REST API 呼叫）
gcloud auth print-access-token | head -c 20
echo '...(truncated for security)'

# 查看帳號詳細資訊
gcloud config get-value account

提示

存取權杖（Access Token）有效期通常為 1 小時。不要在不安全的地方貼上完整的 token。

驗證方式

應看到你的帳號 email 和截斷的存取權杖。

學習快速取得幫助和進行互動式設定。

shell


                                  # 查看任何指令的說明
gcloud compute instances create --help | head -30

# 查看指令的簡短用法
gcloud compute instances --help 2>&1 | head -20

# 查看 gcloud 版本
gcloud version

# 列出所有可用的元件
gcloud components list 2>/dev/null | head -20 || \
  echo 'Cloud Shell 中元件由 Google 管理'

提示

gcloud 的 --help 是你最好的朋友。考試中雖然不直接用 CLI，但理解指令結構有助於理解 GCP 概念。

驗證方式

應看到 gcloud 的說明文件和版本資訊。恭喜完成所有 10 個指令！

考試相關性

ACE 考試全領域。gcloud CLI 的熟練度直接影響你對 GCP 服務的理解。考試雖是選擇題，但許多選項就是 gcloud 指令片段。

進階挑戰

進階挑戰：建立 gcloud 設定檔（configuration）在多個專案間快速切換。使用 gcloud config configurations create 建立新的設定檔，然後用 gcloud config configurations activate 切換。

建立你的第一台 VM

先決條件

學習目標

實作步驟 （共 5 步）

考試相關性

進階挑戰

Cloud Storage 靜態網站

先決條件

學習目標

實作步驟 （共 6 步）

考試相關性

進階挑戰

Cloud Run 部署容器

先決條件

學習目標

實作步驟 （共 5 步）

考試相關性

進階挑戰

VPC 防火牆設定

先決條件

學習目標

實作步驟 （共 7 步）

考試相關性

進階挑戰

IAM 最小權限

先決條件

學習目標

實作步驟 （共 6 步）

考試相關性

進階挑戰

Cloud SQL 備份還原

先決條件

學習目標

實作步驟 （共 6 步）

考試相關性

進階挑戰

Cloud Monitoring 告警

先決條件

學習目標

實作步驟 （共 6 步）

考試相關性

進階挑戰

gcloud CLI 速成

先決條件

學習目標

實作步驟 （共 10 步）

考試相關性

進階挑戰

相關學習資源

gcloud CLI 速查表

ACE 考前重點複習

ACE 閃卡練習

情境題拆解

實作步驟（共 5 步）

實作步驟（共 6 步）

實作步驟（共 5 步）

實作步驟（共 7 步）

實作步驟（共 6 步）

實作步驟（共 6 步）

實作步驟（共 6 步）

實作步驟（共 10 步）