把 gcloud 当成**“只读的望远镜 + 低风险的工具箱”**,用来辅助管理网站/平台,而不是拿它去一键改生产。
下面这些属于相对安全、对站长很有用、且基本可控/可回滚的用法(我按“最常用”排序)。
最安全的一类:只读查询(强烈推荐)
1) 资源盘点:我到底在 GCP 上跑了啥?
- 列出正在跑的 VM / Cloud Run / GKE / 负载均衡 / Cloud SQL / 存储桶
- 查实例规格、区域、标签、外网 IP、当前状态
用途:防止“忘了开了啥”+ 排查性能/成本问题。
示例(只读):
gcloud compute instances list
gcloud run services list --region=us-central1
gcloud sql instances list
gcloud storage buckets list
2) 日志排查:出问题时最快定位
- Cloud Run/VM/负载均衡日志过滤(看 500/502、某路径、某时间段)
- 找最近错误峰值、看请求来源、看某次发布后是否爆错
用途:比控制台点来点去快很多。
gcloud logging read 'severity>=ERROR' --limit=50 --format=json
3) 配置核对:检查“是不是哪儿被改了”
- 查看服务/实例的配置(环境变量、镜像版本、连接信息、网络等)
- 对照你心里“正确配置”,快速发现偏差
用途:你说的“怕出问题”,很多问题其实是配置漂移导致的。
低风险但很实用:导出/备份/取信息(可控)
4) 导出清单做文档/审计(不动生产)
- 把当前资源列表导出成 CSV/JSON,留档
用途:做“变更前快照”、交接、排障对比。
gcloud compute instances list --format=json > instances.json
5) 触发一次“手动备份”(比改配置安全得多)
- Cloud SQL 触发 on-demand backup / 导出(前提是你真的要动生产前)
- 存储桶把关键目录复制到备份桶(或者下载到本地)
用途:你真正的安全感来源不是“我不动”,是“我能恢复”。
这类操作会产生数据/费用,但一般不破坏生产(比改防火墙、改流量安全得多)。
站长管理最值钱的:成本/权限的“只读看板”
6) 成本排查(只读):谁在烧钱?
- 列出运行中的机器、规格、地区,定位“为什么账单变高”
- 如果你用的是 Billing 导出到 BigQuery,可以配合查询(更高级)
用途:避免“测试机忘记关三周”这种真实事故。
7) 权限/IAM核查(只读):谁能动生产?
- 看有哪些 service account、谁有 Owner/Editor、谁有运行权限
用途:减少误操作与权限过大带来的风险。
我建议你设定一个“安全边界”
A) 给自己一个“只读配置”
你可以用 gcloud 但把权限限制在只读角色(这样你想误操作都做不到):
常见只读角色(思路,不要求你现在就配全):
- Viewer(项目只读)
- Logs Viewer(看日志)
- Monitoring Viewer(看监控)
- Billing Viewer(看账单)
真要做变更时,再临时切换到高权限账号/配置,而不是长期开着“可写权限”。
B) 本地用“两个配置”,读写分离
prod-readonly:只读,看资源/日志/配置prod-admin:真要改东西才切过去
这样你心理上更稳,也更不容易手滑。
现在最适合的“安全用法套餐”(站长日常)
- 每天/每周:列资源 + 找异常(有没有多出来的实例/服务)
- 出故障:先看日志(ERROR/5xx/最近 1 小时)
- 要改生产前:导出配置快照 + 触发备份
- 月底:盘点“谁在运行 + 什么规格”→ 立刻能省钱