Nesta página, descrevemos como o Google Distributed Cloud Connected funciona, incluindo informações sobre infraestrutura, hardware, armazenamento e recursos de rede.
O Google Distributed Cloud Connected consiste nos seguintes componentes:
A infraestrutura conectada do Distributed Cloud. O Google ou um integrador de sistemas (SI) certificado pelo Google entrega, implanta e faz a manutenção do hardware conectado do Distributed Cloud, incluindo o gerenciamento remoto por uma equipe dedicada.
O serviço do Distributed Cloud conectado. Com esse serviço, é possível gerenciar seus clusters conectados e pools de nós do Distributed Cloud usando a Google Cloud CLI e a API Distributed Cloud Edge Container. Os clusters conectados do Distributed Cloud são registrados na sua frota, e você pode usar a ferramenta CLI
kubectldo Kubernetes para interagir com eles.
Infraestrutura conectada do Distributed Cloud
O Google ou um SI certificado pelo Google fornece, implanta, opera e mantém o hardware dedicado que executa sua zona conectada do Distributed Cloud. Os nós conectados do Distributed Cloud que executam suas cargas de trabalho são executados exclusivamente nesse hardware.
As máquinas de hardware são instanciadas como nós conectados do Distributed Cloud e agrupadas em pools de nós, que podem ser atribuídos a clusters na sua zona conectada do Distributed Cloud. É possível configurar sua rede para que as cargas de trabalho executadas em clusters conectados do Distributed Cloud estejam disponíveis apenas para seus usuários locais ou acessíveis pela Internet. Também é possível configurar sua rede para permitir que apenas nós conectados do Distributed Cloud usem recursos locais ou se comuniquem com cargas de trabalho, como instâncias de máquina virtual (VMs) do Compute Engine e Pods do Kubernetes em execução em uma rede de nuvem privada virtual (VPC) por uma conexão de rede segura do Cloud VPN com uma rede VPC em Google Cloud.
Gerenciamento do Distributed Cloud conectado
Os nós conectados do Distributed Cloud não são recursos independentes e precisam permanecer conectados ao Google Cloud para fins de gerenciamento e monitoramento do plano de controle. Os nós do plano de controle são executados localmente no hardware conectado do Distributed Cloud, e as cargas de trabalho continuam sendo executadas se a implantação conectada do Distributed Cloud for desconectada de Google Cloud. As cargas de trabalho continuam sendo executadas enquanto estão desconectadas do Google Cloud por até sete dias.
O Google gerencia remotamente as máquinas físicas e os switches ToR que constituem sua implantação conectada do Distributed Cloud. Isso inclui instalar atualizações de software e patches de segurança e resolver problemas de configuração. O administrador de rede também pode monitorar a integridade e o desempenho dos clusters e nós conectados do Distributed Cloud e trabalhar com o Google para resolver problemas.
Depois que o Google implantar o hardware conectado do Distributed Cloud no local designado, o administrador do cluster poderá começar a configurar o cluster conectado do Distributed Cloud de maneira semelhante a um cluster convencional do Kubernetes. Eles podem atribuir máquinas a pools de nós e pools de nós a clusters, além de conceder acesso aos proprietários de aplicativos conforme exigido pelas funções. No entanto, o administrador do cluster precisa ter em mente as limitações de processamento e armazenamento das máquinas no rack conectado e no cluster de plano do Distributed Cloud, além de configurar a carga de trabalho de acordo.
O Distributed Cloud Connected oferece uma API para configurar clusters e pools de nós.
Acesso à zona conectada do Distributed Cloud
É possível configurar sua rede para permitir o nível de acesso desejado à sua zona conectada do Distributed Cloud, tanto da sua rede local quanto da Internet.
Também é possível conceder à sua zona conectada do Distributed Cloud acesso aos serviços do Google Cloud conectando-a à sua rede VPC. O Distributed Cloud Connected usa o Cloud VPN para se conectar aos endpoints de serviço do Google. Seu administrador de rede precisa configurar a rede para permitir isso.
Personas do Distributed Cloud conectado
As seguintes personas estão envolvidas na implantação e operação da sua zona conectada do Distributed Cloud:
Técnico de campo. Fornece, instala e ativa o hardware conectado do Distributed Cloud no local designado. O administrador da rede trabalha com os técnicos de campo para conectar o hardware à fonte de energia e à rede. Dependendo do tipo de pedido, o técnico é do Google ou certificado por ele.
Engenheiro de confiabilidade do site (SRE) do Google. Monitora e gerencia o hardware conectado do Distributed Cloud. Isso inclui resolver problemas de configuração, instalar patches e atualizações e manter a segurança.
Administrador de rede. Configura e mantém a conectividade de rede e o controle de acesso entre o hardware conectado do Distributed Cloud e sua rede local. Isso inclui configurar suas regras de roteamento e firewall para garantir que todos os tipos necessários de tráfego de rede possam fluir livremente entre o hardware do Distributed Cloud, Google Cloud, os clientes que consomem suas cargas de trabalho conectadas do Distributed Cloud, repositórios de dados internos e externos e assim por diante. O administrador de rede precisa ter acesso ao console do Google Cloud para monitorar o status das máquinas conectadas do Distributed Cloud. O administrador de rede também configura os recursos de rede do Distributed Cloud.
Administrador do cluster. Implanta e mantém clusters conectados do Distributed Cloud na sua organização. Isso inclui configurar permissões, geração de registros e provisionamento de cargas de trabalho para cada cluster. O administrador do cluster atribui nós a pools de nós e pools de nós a clusters conectados do Distributed Cloud. O administrador do cluster precisa entender as diferenças operacionais entre o cluster conectado do Distributed Cloud e um cluster tradicional do Kubernetes, como os recursos de processamento e armazenamento do hardware conectado do Distributed Cloud, para configurar e implantar corretamente as cargas de trabalho.
Proprietário do aplicativo. Um engenheiro de software responsável por desenvolver e/ou implantar e monitorar um aplicativo em execução em um cluster conectado do Distributed Cloud. Os proprietários de aplicativos em um cluster conectado da Distributed Cloud precisam entender as limitações de tamanho e local dos clusters, bem como as ramificações da implantação de um aplicativo na borda, como desempenho e latência.
Formatos do Distributed Cloud conectado
O Distributed Cloud Connected está disponível em um dos seguintes formatos:
Rack do Distributed Cloud. Há dois tipos de racks do Distributed Cloud:
Par de racks de base (obrigatório). Dois racks de base que formam o núcleo mínimo necessário de uma zona do Distributed Cloud. Cada rack de base pode hospedar de três a doze máquinas conectadas do Distributed Cloud. Cada rack de base também tem dois switches na parte superior do rack (ToR, na sigla em inglês), além da infraestrutura elétrica e de rede necessária. Cada rack base em um par também contém um switch agregador, que permite conectar até três racks de expansão com redundância, totalizando cinco racks por zona do Distributed Cloud.
Rack de expansão (opcional). Um rack opcional que pode hospedar de três a doze máquinas do Distributed Cloud. Cada rack de expansão também comporta dois switches de topo de rack (ToR, na sigla em inglês) e os equipamentos elétricos e de rede necessários. Um rack de expansão não pode operar sozinho. Ele precisa ser conectado a um par de racks de base. É possível conectar até três racks de expansão a um par de racks de base para um total de cinco racks por zona do Distributed Cloud.
Servidor do Distributed Cloud conectado. Um grupo de três máquinas conectadas da nuvem distribuída sem um rack que se conectam diretamente à sua rede local por switches ToR próprios.
A tabela a seguir descreve as diferenças entre racks conectados do Distributed Cloud e servidores conectados do Distributed Cloud.
Funcionalidade Rack conectado do GDC Servidor conectado ao GDC Formato físico Rack de 42 RU preenchido
(2 switches ToR, 3 a 12 máquinas para montagem em rack,
mais 1 switch agregador
em cada rack de base)Máquina de rack de meia profundidade 1RU Fonte de alimentação Somente AC Somente AC Workloads de GPU Compatível apenas com hardware de rack legado
("Configuração 1" e "Configuração 2")Sim Cargas de trabalho de VM Compatível apenas com hardware de rack legado
("Configuração 1" e "Configuração 2")Sim Conectividade de rede local Camada 3, compatível com BGP Camada 2, BGP não compatível Redes de borda Totalmente configurável Apenas uma rede (padrão) Sub-redes da rede de borda CIDR e ID da VLAN Somente ID da VLAN Interconexões de rede de borda Sim Sem suporte Anexos de interconexão de rede de borda Sim Sem suporte Conexões de VPN de rede de borda Sim Sem suporte Conectividade VPC Sim Sem suporte Symcloud Storage Compatível apenas com hardware de rack legado
("Configuração 1" e "Configuração 2")Sim Operador de função de rede Sim Sem suporte SR-IOV Sim Sem suporte
Por padrão, só é possível pedir servidores conectados do Distributed Cloud em uma configuração de três máquinas. Se os requisitos da sua empresa exigirem implantações de máquina única de servidores conectados do Distributed Cloud, entre em contato com seu representante de vendas do Google para mais informações.
Hardware de rack conectado do Distributed Cloud
A Figura 1 mostra uma configuração típica de rack de base conectado ao Distributed Cloud com seis máquinas e dois dos quatro slots de bloco de máquinas preenchidos. Os espaços vazios não são mostrados.
A Figura 2 mostra uma configuração típica de rack de expansão conectado ao Distributed Cloud com seis máquinas e dois dos quatro slots de bloco de máquinas preenchidos. Os espaços vazios não são mostrados.
Os componentes de uma instalação de rack conectado do Distributed Cloud são os seguintes:
Google Cloud.O tráfego entre a instalação conectada do Distributed Cloud e Google Cloud inclui tráfego de gerenciamento de hardware e tráfego do Cloud VPN para serviços Google Cloud e cargas de trabalho em execução. Ele também pode incluir tráfego da VPC, se aplicável.
Internet. Tráfego criptografado de gerenciamento e monitoramento entre a instalação conectada do Distributed Cloud e o Google Cloud viaja pela Internet. O Distributed Cloud Connected não aceita conexões de Internet por proxy.
Rede local. A rede local externa ao rack do Distributed Cloud que conecta os roteadores de borda de peering à Internet.
Roteadores de borda de peering. Os roteadores da sua rede local que fazem interface com os switches ToR do Distributed Cloud. Dependendo do local físico escolhido para a instalação do Distributed Cloud, os roteadores de borda de peering podem ser de propriedade e mantidos pela sua organização ou pelo seu data center. É necessário configurar esses roteadores para usar o protocolo de gateway de borda (BGP) para fazer peering com os switches ToR e anunciar uma rota padrão para o hardware conectado do Distributed Cloud. Também é necessário configurar esses roteadores e os firewalls correspondentes para permitir o tráfego de gerenciamento de dispositivos, de monitoramento e do Cloud VPN do Google, se aplicável.
Dependendo dos requisitos da sua empresa, você pode configurar esses roteadores da seguinte forma:
- Permita que os nós conectados do Distributed Cloud acessem a Internet usando a conversão de endereços de rede (NAT) pública ou a exposição direta a endereços IP públicos.
- Permita uma conexão VPN com sua rede VPC e os serviçosGoogle Cloud desejados.
Switches de topo de rack (ToR, na sigla em inglês). Os switches de camada 3 que conectam as máquinas no rack e fazem interface com sua rede local. Esses switches são falantes de BGP e processam o tráfego de rede entre o rack conectado do Distributed Cloud e seu equipamento de rede local. Eles se conectam aos roteadores de borda de peering usando pacotes do Link Aggregation Control Protocol (LACP).
Chave do agregador. O switch da camada 3, presente apenas nos racks básicos, que conecta os switches ToR dos racks de expansão e agrega o tráfego deles para formar uma rede de vários racks. Os switches agregadores se conectam aos roteadores de borda de peering.
Máquinas. As máquinas físicas que executam o software conectado do Distributed Cloud e executam suas cargas de trabalho. Cada máquina física é instanciada como um nó no cluster conectado do Distributed Cloud.
Slots de máquinas de rack do Distributed Cloud conectado
Um rack conectado do Distributed Cloud tem quatro slots disponíveis para cargas de trabalho do usuário, cada um com um bloco de três máquinas, permitindo uma capacidade máxima de 12 máquinas. Para que um rack esteja operacional, ele precisa conter pelo menos um bloco composto por máquinas de computação. Além disso, diferente desses quatro slots configuráveis pelo usuário, um quinto slot é reservado para uso do Google.
É preciso selecionar e pedir todo o hardware conectado do Distributed Cloud para cada zona conectada do Distributed Cloud ao mesmo tempo. Não é possível adicionar ou remover hardware de uma zona depois que ele é implantado. Isso inclui adicionar ou remover blocos de máquinas e racks de expansão.
Nesta versão do Distributed Cloud Connected, o único tipo de máquina disponível é a máquina de computação otimizada para rede.
Hardware de servidor conectado do Distributed Cloud
A Figura 3 mostra uma configuração típica de servidor conectado do Distributed Cloud.
Os componentes de uma instalação de servidor conectado do Distributed Cloud são os seguintes:
O tráfego entre a instalação conectada do Distributed Cloud Google Cloud. e Google Cloud inclui gerenciamento de hardware e tráfego de registros de auditoria.
Internet. O tráfego criptografado de gerenciamento e de registros de auditoria entre a instalação conectada do Distributed Cloud e o Google Cloud viaja pela Internet. O Distributed Cloud Connected não aceita conexões de Internet por proxy.
Rede local. Sua rede local a que os servidores conectados do Distributed Cloud se conectam por switches ToR da camada 2.
Switches de topo de rack (ToR, na sigla em inglês). Seus switches da camada 2 que conectam as máquinas servidoras e fazem interface com sua rede local. Cada máquina de servidor conectada do Distributed Cloud requer, no mínimo, uma conexão na banda e uma fora da banda a um único switch ToR. O Google recomenda usar dois switches ToR e duas conexões no mesmo canal por máquina (uma por switch) para aumentar a confiabilidade. Cada máquina de servidor conectada do Distributed Cloud se conecta aos switches ToR da seguinte maneira:
- Conectividade da carga de trabalho. As interfaces de rede primária e secundária de cada máquina de servidor conectada do Distributed Cloud se conectam a um ou aos dois switches ToR para conectividade de carga de trabalho. Essas conexões transportam o tráfego da sua carga de trabalho entre as máquinas individuais do servidor Distributed Cloud e de e para sua rede local. Coloque as portas de switch correspondentes na mesma VLAN. Se você precisar de mais conectividade de carga de trabalho, poderá fazer o trunking de outras VLANs identificadas para os servidores conectados do Distributed Cloud.
- Conectividade de gerenciamento. A interface de rede do controlador de gerenciamento da placa-mãe (BMC, na sigla em inglês) de cada máquina de servidor conectada ao Distributed Cloud se conecta a um switch ToR para conectividade de gerenciamento, o que permite que os servidores conectados ao Distributed Cloud se comuniquem entre si. É preciso configurá-los como troncos 802.1q e a VLAN nativa correspondente como a rede a que pertencem as interfaces de rede de gerenciamento conectadas do Distributed Cloud.
Máquinas. As máquinas de servidor físicas do Distributed Cloud conectado que executam o software do Distributed Cloud conectado e suas cargas de trabalho. Cada máquina física é instanciada como um nó no cluster conectado do Distributed Cloud.
Serviço do Distributed Cloud
O serviço do Distributed Cloud Connected é executado diretamente no hardware do Distributed Cloud. Ele funciona como um plano de controle para os nós e clusters no hardware conectado do Distributed Cloud. Esse plano de controle cria instâncias e configura sua zona conectada do Distributed Cloud. O data center Google Cloud específico ao qual o hardware do Distributed Cloud se conecta para gerenciamento é escolhido de acordo com a proximidade da instalação conectada do Distributed Cloud.
Uma zona conectada da nuvem distribuída consiste nas máquinas instaladas nos racks conectados da nuvem distribuída ou nas máquinas de servidor conectadas da nuvem distribuída implantadas no local. Com o rack conectado do Distributed Cloud, é possível atribuir essas máquinas, instanciadas como nós do Kubernetes, a um pool de nós e o pool a um cluster do Distributed Cloud. Com os servidores conectados do Distributed Cloud, os pools de nós são preenchidos automaticamente e não podem ser configurados.
As cargas de trabalho continuam sendo executadas mesmo que o Distributed Cloud não consiga se conectar a Google Cloudpor até sete dias. Após esse período, o Distributed Cloud precisa se comunicar com Google Cloud para atualizar tokens de autenticação, chaves de criptografia de armazenamento e sincronizar dados de gerenciamento de hardware e geração de registros de auditoria.
A Figura 4 mostra a organização lógica das entidades conectadas do Distributed Cloud.
As entidades são as seguintes:
Google Cloud region. A regiãoGoogle Cloud da zona conectada do Distributed Cloud é determinada pela localização do data center Google Cloud mais próximo da instalação do Distributed Cloud.
Plano de controle local do Kubernetes. O plano de controle do Kubernetes para cada cluster conectado do Distributed Cloud é executado diretamente no hardware do Distributed Cloud. Um cluster pode entrar no modo de sobrevivência quando a conexão com Google Cloud é perdida temporariamente, permitindo que as cargas de trabalho continuem sendo executadas até que a conexão seja restabelecida. Para mais informações, consulte Modo de capacidade de sobrevivência.
Zona do Distributed Cloud. Uma abstração lógica que representa o hardware do Distributed Cloud conectado implantado no seu local. Uma zona da nuvem distribuída abrange um ou mais racks conectados da nuvem distribuída ou todas as máquinas de servidor conectadas da nuvem distribuída implantadas no seu local. As máquinas físicas na zona são instanciadas como máquinas conectadas do Distributed Cloud no console Google Cloud . As máquinas em uma zona conectada da nuvem distribuída compartilham uma única malha de rede ou um único domínio de falha. O Google cria suas máquinas antes de entregar o hardware conectado do Distributed Cloud. Não é possível criar, excluir ou modificar máquinas conectadas do Distributed Cloud.
Node. Um nó é um recurso do Kubernetes que cria uma máquina física do Distributed Cloud Connected no ambiente do Kubernetes ao criar um pool de nós, disponibilizando-o para executar cargas de trabalho ao atribuir o pool de nós a um cluster do Distributed Cloud Connected.
Pool de nós. Um agrupamento lógico de nós conectados da nuvem distribuída em uma única zona conectada da nuvem distribuída que permite atribuir nós da nuvem distribuída a clusters da nuvem distribuída. Para servidores conectados do Distributed Cloud, os pools de nós são instanciados e preenchidos automaticamente.
Cluster. Um cluster conectado do Distributed Cloud que consiste em um plano de controle e um ou mais pools de nós.
Conexão VPN. Um túnel VPN para uma rede VPC em execução em um projetoGoogle Cloud . Esse túnel permite que suas cargas de trabalho conectadas do Distributed Cloud acessem recursos do Compute Engine conectados a essa rede VPC. É necessário criar pelo menos um pool de nós na sua zona antes de criar uma conexão VPN. Os servidores conectados do Distributed Cloud não são compatíveis com conexões VPN.
Projetos do Distributed Cloud Connected Google Cloud
Com o Distributed Cloud Connected, é possível criar vários clusters em uma única zona do Distributed Cloud Connected. Embora a zona em si esteja associada a um projeto específico do Google Cloud , os clusters individuais que operam nessa zona podem ser anexados a diferentes projetos doGoogle Cloud , que são independentes da afiliação do projeto da zona. Essa arquitetura permite compartilhar a infraestrutura de zona física entre várias equipes ou aplicativos que podem operar em estruturas de projetos separadas para fins de faturamento ou gerenciamento.
Armazenamento
O Distributed Cloud Connected oferece armazenamento utilizável em cada máquina física. Esse armazenamento é configurado como volumes lógicos do Linux. Quando você cria um cluster, o Distributed Cloud cria um ou mais PersistentVolumes do Kubernetes e os expõe como volumes de blocos que podem ser atribuídos a uma carga de trabalho usando PersistentVolumeClaims. Esses PersistentVolumes não oferecem durabilidade de dados e são adequados apenas para dados efêmeros. Para informações sobre como trabalhar com volumes de blocos, consulte PersistentVolumeClaim solicitando um volume de bloco bruto.
Segurança de armazenamento
O Distributed Cloud Connected usa o Linux Unified Key Setup (LUKS) para criptografar o armazenamento da máquina local e oferece suporte a chaves de criptografia gerenciadas pelo cliente (CMEK) com o Cloud KMS. Para mais informações, consulte Práticas recomendadas de segurança.
Integração do Symcloud Storage
Em algumas configurações conectadas do Distributed Cloud, é possível configurar o Distributed Cloud para usar o Rakuten Symcloud Storage, que atua como uma camada de abstração de armazenamento local em cada nó conectado do Distributed Cloud e disponibiliza o armazenamento local para cargas de trabalho executadas em outros nós. Para mais informações, consulte Configurar o Distributed Cloud Connected para o Symcloud Storage.
Rede
Nesta seção, descrevemos os requisitos e recursos de conectividade de rede do Distributed Cloud Connected.
O Google pré-configura alguns dos componentes de rede virtual para sua instalação antes de enviar o hardware conectado do Distributed Cloud para você. Não é possível modificar as configurações pré-configuradas depois que o hardware é entregue.
A Figura 5 mostra a topologia da rede virtual em uma implantação conectada do Distributed Cloud.
Os componentes da rede virtual em uma implantação conectada do Distributed Cloud são os seguintes:
Rede: Uma rede virtual com um espaço de endereço particular na sua zona conectada da nuvem distribuída. Uma rede é isolada da camada 3 de outras redes virtuais na zona e pode conter uma ou mais sub-redes. A rede virtual abrange todas as máquinas físicas no rack conectado do Distributed Cloud. Uma única zona conectada do Distributed Cloud aceita no máximo 20 redes. Os servidores conectados do Distributed Cloud só oferecem suporte a uma única rede, a padrão criada quando um cluster de servidor conectado do Distributed Cloud é instanciado.
Subrede. Uma sub-rede VLAN de camada 2 e camada 3 em uma rede do Distributed Cloud. Uma sub-rede tem seu próprio domínio de transmissão e um ou mais intervalos de endereços IPv4 de sua escolha. As sub-redes na mesma rede são isoladas na camada 2, mas podem se comunicar entre si na camada 3. Os nós em sub-redes diferentes na mesma rede podem se comunicar usando os endereços IP. No entanto, os nós em sub-redes dentro de redes diferentes não podem se comunicar entre si. Os servidores conectados do Distributed Cloud só oferecem suporte ao gerenciamento de sub-redes usando IDs de VLAN.
Router. Uma instância de roteador virtual que controla o tráfego em uma rede do Distributed Cloud. O administrador de rede usa um roteador para configurar uma sessão de peering do BGP em uma conexão de interconexão entre uma rede do Distributed Cloud e sua rede local para que os pods do Distributed Cloud possam anunciar os prefixos de rede na sua rede local. Por padrão, os roteadores reanunciam as rotas recebidas das sub-redes do Distributed Cloud. O Distributed Cloud aceita um roteador por rede. Os servidores conectados do Distributed Cloud não são compatíveis com roteadores.
Interconexão. Um link lógico agrupado entre uma rede do Distributed Cloud e sua rede local. Uma interconexão é composta de um ou mais links físicos. Durante a inicialização inicial, o Google cria as interconexões solicitadas quando você pediu o Distributed Cloud Connected. Não é possível criar, modificar ou remover interconexões depois que o rack conectado do Distributed Cloud estiver funcionando. Por padrão, o Google cria quatro interconexões para oferecer alta disponibilidade à sua instalação. Os servidores conectados do Distributed Cloud não são compatíveis com interconexões.
Anexo de interconexão. Um link virtual entre uma interconexão e um roteador que isola a rede do Distributed Cloud correspondente da sua rede local. O tráfego que flui por um anexo de interconexão pode ser sem tag ou com uma tag de ID da VLAN de sua escolha. Você cria anexos de interconexão com base nos requisitos da sua empresa. Os servidores do Distributed Cloud não são compatíveis com anexos de interconexão.
Os componentes de rede conectada da nuvem distribuída são semelhantes aos Google Cloud equivalentes, mas com as seguintes diferenças:
Os componentes de rede conectados da nuvem distribuída são locais para a zona conectada da nuvem distribuída em que são instanciados.
Uma rede do Distributed Cloud não tem conectividade direta com uma rede VPC.
Por padrão, as redes do Distributed Cloud não têm conectividade entre si em diferentes zonas conectadas do Distributed Cloud. Você pode configurar explicitamente a rede entre zonas.
O administrador de rede configura os componentes de rede conectados do Distributed Cloud, exceto as interconexões, que o Google configura antes de enviar o hardware conectado do Distributed Cloud para você.
O administrador de rede precisa ter o papel de Administrador da rede de borda (roles/edgenetwork.admin) no projeto de destino Google Cloud . Já os desenvolvedores de aplicativos que implantam cargas de trabalho no Distributed Cloud Connected precisam ter o papel de Leitor da rede de borda (roles/edgenetwork.viewer) no projeto de destino Google Cloud .
Conectividade com sua rede local
Para o tráfego de saída para recursos na sua rede local, os pods em um cluster conectado do Distributed Cloud usam as rotas padrão anunciadas pelos roteadores de borda de peering. O Distributed Cloud Connected usa o NAT integrado para conectar pods a esses recursos.
Para o tráfego de entrada de recursos na sua rede local, o administrador de rede precisa configurar políticas de roteamento que atendam aos requisitos da sua empresa para controlar o acesso aos pods em cada um dos clusters conectados do Distributed Cloud. Isso significa, no mínimo, concluir as etapas em Configuração do firewall e configurar outras políticas conforme exigido pelas suas cargas de trabalho. Por exemplo, é possível configurar políticas de "permitir" ou "negar" para sub-redes de nós individuais ou endereços IP virtuais expostos pelo balanceador de carga integrado no Distributed Cloud Connected. Os blocos de CIDR do pod conectado e do serviço conectado do Distributed Cloud não são acessíveis diretamente.
Conectividade à Internet
Para o tráfego de saída para recursos na Internet, os pods em um cluster conectado do Distributed Cloud usam a rota padrão anunciada pelos roteadores para os switches ToR conectados do Distributed Cloud. Isso significa, no mínimo, concluir as etapas em Configuração do firewall e configurar outras políticas conforme exigido pelas suas cargas de trabalho. O Distributed Cloud Connected usa o NAT integrado para conectar pods a esses recursos. Você pode configurar sua própria camada de NAT além da camada integrada no Distributed Cloud Connected.
Para o tráfego de entrada, configure os roteadores WAN de acordo com os requisitos da sua empresa. Esses requisitos determinam o nível de acesso que você precisa fornecer da Internet pública aos pods nos clusters conectados do Distributed Cloud. O Distributed Cloud Connected usa o NAT integrado para blocos CIDR de pod e de gerenciamento de serviços. Portanto, esses blocos não podem ser acessados pela Internet.
Conectividade com uma rede VPC
O Distributed Cloud Connected inclui uma solução de VPN integrada que permite conectar um cluster do Distributed Cloud Connected diretamente a uma rede VPC em Google Cloud se essa rede estiver no mesmo projetoGoogle Cloud que o cluster do Distributed Cloud Connected.
Se você usar o Cloud Interconnect para conectar sua rede local a uma rede VPC, os clusters conectados do Distributed Cloud poderão acessar essa rede VPC usando o peering eBGP padrão de sentido norte. Os roteadores de borda de peering precisam conseguir alcançar os prefixos de VPC adequados, e os roteadores do Cloud Interconnect precisam anunciar corretamente os prefixos conectados do Distributed Cloud, como balanceador de carga, gerenciamento e sub-redes do sistema conectados ao Distributed Cloud.
Depois de estabelecer uma conexão VPN entre o cluster conectado do Distributed Cloud e a rede VPC, as seguintes regras de conectividade serão aplicadas por padrão:
- Sua rede VPC pode acessar todos os pods no cluster conectado do Distributed Cloud.
- Todos os pods no cluster conectado do Distributed Cloud podem acessar todos os pods nos clusters nativos da VPC. Para clusters baseados em rotas, configure manualmente as rotas divulgadas personalizadas.
- Todos os pods no cluster conectado do Distributed Cloud podem acessar sub-redes máquina virtual na sua rede VPC.
A funcionalidade descrita nesta seção não está disponível em servidores conectados do Distributed Cloud.
Conectividade com APIs e serviços do Google Cloud
Depois de configurar uma conexão VPN com sua rede VPC, as cargas de trabalho em execução na instalação conectada do Distributed Cloud podem acessar APIs e serviços do Google Cloud .
Além disso, você pode configurar os seguintes recursos se os requisitos da sua empresa exigirem:
- Acesso privado do Google para acessar APIs e serviços do Google Cloud
- Private Service Connect para usar endpoints de serviço particulares e acessar Google Cloud APIs
A conectividade VPN não está disponível em servidores conectados do Distributed Cloud.
Segurança de rede
Os requisitos da sua empresa e a política de segurança de rede da organização determinam as etapas necessárias para proteger o tráfego de rede que entra e sai da instalação conectada do Distributed Cloud. Para mais informações, consulte Práticas recomendadas de segurança.
Outros recursos de rede
O Distributed Cloud Connected é compatível com os seguintes recursos de rede:
Suporte a redes de alto desempenho
Os racks conectados do Distributed Cloud oferecem suporte à execução de cargas de trabalho que exigem o melhor desempenho de rede possível. Para isso, o Distributed Cloud Connected vem com um operador de função de rede especializado e um conjunto de definições de recursos personalizados (CRDs) do Kubernetes que implementam os recursos necessários para a execução de cargas de trabalho de alta performance.
Os racks conectados do Distributed Cloud também oferecem suporte à virtualização de interfaces de rede usando SR-IOV.
Os recursos descritos nesta seção não estão disponíveis em servidores conectados do Distributed Cloud.
Suporte a cargas de trabalho de máquinas virtuais
Em algumas configurações de hardware, o Distributed Cloud Connected pode executar cargas de trabalho em máquinas virtuais, além de contêineres. Para mais informações, consulte Gerenciar máquinas virtuais.
Para saber como as máquinas virtuais são um componente essencial da plataforma conectada do Google Distributed Cloud, consulte Extensão do GKE Enterprise para gerenciar VMs de edge locais.
Suporte a cargas de trabalho de GPU
Em algumas configurações de hardware, o Distributed Cloud Connected pode executar cargas de trabalho baseadas em GPU nas GPUs NVIDIA L4 e Tesla T4. Você precisa especificar esse requisito ao pedir o hardware conectado do Distributed Cloud. Para mais informações, consulte Gerenciar cargas de trabalho de GPU.