谷歌云服务器开通后必做的15项初始配置：从“能跑”到“生产级”的分水岭

很多用户以为创建好VM实例、能SSH登录就算大功告成了。但根据我们作为谷歌云代理商的统计，超过60%的客户在开通服务器后的第一周内，都会遇到至少一次因初始配置不足导致的问题，轻则服务暴露，重则数据丢失。今天这份清单，就是我们为每一位代开服务器的客户实际执行的标准作业程序。无论你是刚通过代理开通账号，还是自助注册的新人，照着做，你的服务器就能直接从“玩具”变成真正的生产环境。

基础安全层面（前5项）

禁用外部IP上的root密码登录：默认情况下，谷歌云不会给root设置密码，只能通过SSH密钥登录，这是安全的设计。但如果你自己设了root密码并允许密码认证，就会成为扫描器的活靶子。修改/etc/ssh/sshd_config，确保PermitRootLogin prohibit-password或者without-password，并且PasswordAuthentication no。

更改SSH端口并非灵丹妙药，但能挡掉90%的噪音：把22端口改成其他高端口（如2222），并配合谷歌云VPC防火墙规则放行新端口。很快你会发现，每天几千条暴力破解日志消失了，日志空间都省了。

创建非root操作用户并赋予sudo：永远不要直接用root操作日常任务。一个误操作rm -rf就可能毁灭一切。同时，限制sudo权限，只给必须的命令。

设置VPC防火墙规则为最小权限：默认的default-allow-http和default-allow-https没问题，但很多用户会放行“0.0.0.0/0”到所有端口，或者完全开放内部流量。正确的做法是：只对需要公网的端口（如80/443）开放，后端数据库端口（3306、5432）仅对应用服务器的内部IP开放。我们经常帮客户做安全巡检，80%的暴露风险都来自过于宽松的防火墙规则。

启用OS Login：在项目的元数据中开启enable-oslogin=TRUE，这样用户通过gcloud和谷歌云IAM控制SSH访问，不再依赖手动管理的SSH密钥，并可关联组织成员、审计登录事件。

数据与备份（6-8项）

立即创建启动磁盘快照调度：在Compute Engine的“快照”菜单下，为所有生产磁盘设置每日快照计划。保留7天的每日快照，成本极低，但足以应对勒索病毒、误删除。我们有个客户，网站被入侵后数据库被删除，幸亏有前一晚的快照，三分钟就回滚了。

分离系统和数据磁盘：不要把业务数据放在启动盘上。额外挂载一个或多个持久磁盘存放数据库文件、用户上传内容、日志等。这样系统崩溃需要重装时，数据盘可以直接挂载到新实例，业务中断时间从半天缩短到几分钟。

配置Cloud Storage定期备份：对于数据库，除了磁盘快照，还要定期导出.sql文件或使用mysqldump，然后上传到Cloud Storage。设置生命周期规则，自动将30天前的备份转移到Archive存储级别，成本可以忽略不计。

可观测性与运维（9-12项）

安装Ops Agent：这是谷歌云统一的日志和监控采集器。一条命令安装后，你可以在Cloud Monitoring里看到内存、磁盘、网络、自定义指标的仪表板。没有监控的服务器就像闭着眼睛开车。

设置告警策略：在Monitoring里创建至少一条告警：CPU持续超过90%超过5分钟、磁盘使用率大于85%、实例健康检查失败。告警通过邮件或短信通知你，而不是等用户投诉才发现。

配置启动脚本和元数据：在实例模板或单实例的“自定义元数据”中添加startup-script，把环境初始化、挂载磁盘、启动服务的命令放进去。这样即使实例被自动扩缩或替换，也能自举启动，无需人工干预。

开启串行端口日志：在实例的“高级选项”中勾选“启用串行端口连接”，故障时你可以通过串口输出排查启动问题，即使SSH不通也能看到内核输出。

成本与合规（13-15项）

设置预算与提醒：在“结算”中建立预算，设定实际消费的50%、80%、100%三档提醒，绑定多个收件人。防止测试项目忘记关，一夜跑出几千美元的账单。

标记一切资源：给VM、磁盘、快照、负载均衡器统一打上标签，如environment:production、cost-center:marketing。通过标签你可以按部门分拆账单，问责清晰。我们作为代理商，也会利用标签帮客户做成本优化报告。

绑定自定义服务账号而非默认计算服务账号：为实例创建专用的Service Account，只授予所需的最小权限（如写日志、读Cloud Storage），不要直接使用Compute Engine Default Service Account（默认拥有项目编辑者权限）。这符合零信任原则。

这15项就是我们为每一位通过我们代理开通谷歌云服务器的客户默认执行的“安全基线模板”。很多客户拿到手的是一个已经加固好、打好监控、做好备份的生产就绪实例。如果你已经在谷歌云上跑了业务，不妨对照检查，把没做的补齐。要知道，上云只是开始，把云用好、用安全，才是真正的价值。

如果需要更深入咨询了解可以联系全球代理上TG:@jinniuge  他们在云平台领域有更专业的知识和建议，他们有国际阿里云，国际腾讯云，国际华为云，aws亚马逊，谷歌云一级代理的渠道，客服1V1服务，支持免实名、免备案、免绑卡。开通即享专属VIP优惠、充值秒到账、官网下单享双重售后支持。不懂找他们就对了。