Questa pagina descrive il funzionamento di Google Distributed Cloud connected, incluse informazioni sull'infrastruttura, sull'hardware, sull'archiviazione e sulle funzionalità di rete.
Google Distributed Cloud connected è composto dai seguenti componenti:
L'infrastruttura Distributed Cloud connected. Google o un integratore di sistemi (SI) certificato da Google fornisce, esegue il deployment e gestisce l'hardware Distributed Cloud connected, inclusa la gestione remota da parte di un team dedicato.
Il servizio Distributed Cloud connected. Questo servizio ti consente di gestire i cluster e i pool di nodi Distributed Cloud connected utilizzando Google Cloud CLI e l'API Distributed Cloud Edge Container. I cluster Distributed Cloud connected sono registrati nella tua Fleet e puoi utilizzare lo strumento CLI
kubectldi Kubernetes per interagire con loro.
Infrastruttura Distributed Cloud connected
Google o un SI certificato da Google fornisce, esegue il deployment, gestisce e mantiene l'hardware dedicato su cui viene eseguita la zona Distributed Cloud connected. I nodi Distributed Cloud connected che eseguono i tuoi workload vengono eseguiti esclusivamente su questo hardware.
Le macchine hardware vengono create come nodi Distributed Cloud connected e raggruppate in pool di nodi, che puoi assegnare ai cluster all'interno della zona Distributed Cloud connected. Puoi configurare la rete in modo che i workload in esecuzione sui cluster Distributed Cloud connected siano disponibili solo per gli utenti locali o accessibili da internet. Puoi anche configurare la rete in modo da consentire solo ai nodi Distributed Cloud connected di utilizzare le risorse locali o di comunicare con i workload, ad esempio le istanze di macchine virtuali (VM) Compute Engine e i pod Kubernetes in esecuzione in una rete Virtual Private Cloud (VPC) tramite una connessione di rete Cloud VPN sicura a una rete VPC su Google Cloud.
Gestione di Distributed Cloud connected
I nodi Distributed Cloud connected non sono risorse autonome e devono rimanere connessi a Google Cloud per scopi di gestione e monitoraggio del control plane. I nodi del control plane vengono eseguiti localmente sull'hardware Distributed Cloud connected e i workload continuano a essere eseguiti se il deployment di Distributed Cloud connected è disconnesso da Google Cloud. I workload continuano a essere eseguiti mentre sono disconnessi da Google Cloud per un massimo di sette giorni.
Google gestisce da remoto le macchine fisiche e che comprendono il deployment di Distributed Cloud connected. Ciò include l'installazione di aggiornamenti software e patch di sicurezza e la risoluzione dei problemi di configurazione. L'amministratore di rete può anche monitorare lo stato e le prestazioni dei cluster e dei nodi Distributed Cloud connected e collaborare con Google per risolvere eventuali problemi.
Dopo che Google ha eseguito il deployment dell'hardware Distributed Cloud connected nella località designata, l'amministratore del cluster può iniziare a configurare il cluster Distributed Cloud connected in modo simile a un cluster Kubernetes convenzionale. Può assegnare macchine ai node pool e node pool ai cluster e concedere l'accesso ai proprietari delle applicazioni in base ai ruoli. L'amministratore del cluster deve, tuttavia, tenere presente i limiti di elaborazione e archiviazione delle macchine nel deployment di Distributed Cloud connected e pianificare di conseguenza la configurazione del cluster e dei workload.
Distributed Cloud connected fornisce un'API per la configurazione di cluster e pool di nodi.
Accesso alla zona Distributed Cloud connected
Puoi configurare la rete per consentire il livello di accesso appropriato alla zona Distributed Cloud connected, sia dalla rete locale sia da internet.
Puoi anche concedere alla zona Distributed Cloud connected l'accesso ai Google Cloud servizi collegandola alla rete VPC. Distributed Cloud connected utilizza Cloud VPN per connettersi agli endpoint di servizio Google. L'amministratore di rete deve configurare la rete per consentirlo.
Personaggi di Distributed Cloud connected
I seguenti personaggi sono coinvolti nel deployment e nel funzionamento della zona Distributed Cloud connected:
Tecnico sul campo. Fornisce, installa e attiva l'hardware Distributed Cloud connected nella località designata. L'amministratore di rete collabora con i tecnici sul campo per collegare l'hardware alla fonte di alimentazione e alla rete. A seconda del tipo di ordine, si tratta di un tecnico Google o di un tecnico SI certificato da Google.
Site Reliability Engineer (SRE) di Google. Monitora e gestisce l'hardware Distributed Cloud connected. Ciò include la risoluzione dei problemi di configurazione, l'installazione di patch e aggiornamenti e la manutenzione della sicurezza.
Amministratore di rete. Configura e gestisce la connettività di rete e il controllo dell'accesso tra l'hardware Distributed Cloud connected e la rete locale. Ciò include la configurazione delle regole di routing e firewall per garantire che tutti i tipi di traffico di rete richiesti possano fluire liberamente tra l'hardware Distributed Cloud, Google Cloud, i client che utilizzano i workload Distributed Cloud connected, i repository di dati interni ed esterni e altri fattori che contribuiscono. L'amministratore di rete deve avere accesso alla Google Cloud console per monitorare lo stato delle macchine Distributed Cloud connected. L'amministratore di rete configura anche le funzionalità di rete di Distributed Cloud.
Amministratore del cluster. Esegue il deployment e gestisce i cluster Distributed Cloud connected all'interno dell'organizzazione. Ciò include la configurazione di autorizzazioni, logging e provisioning dei workload per ogni cluster. L'amministratore del cluster assegna i nodi ai pool di nodi e i pool di nodi ai cluster Distributed Cloud connected. L'amministratore del cluster deve comprendere le differenze operative tra il cluster Distributed Cloud connected e un cluster Kubernetes standard, ad esempio le funzionalità di elaborazione e archiviazione dell'hardware Distributed Cloud connected, per configurare ed eseguire il deployment correttamente dei workload.
Proprietario dell'applicazione. Un ingegnere software responsabile dello sviluppo e/o del deployment e del monitoraggio di un'applicazione in esecuzione su un cluster Distributed Cloud connected. I proprietari delle applicazioni su un cluster Distributed Cloud connected devono comprendere le limitazioni relative alle dimensioni e alla località dei cluster, nonché le conseguenze del deployment di un'applicazione sull'edge, ad esempio prestazioni e latenza.
Hardware Distributed Cloud connected
I server Distributed Cloud connected sono disponibili sulle seguenti piattaforme hardware:
Server Distributed Cloud connected G1. Un gruppo di una o tre macchine rackmount 1U serie Dell XR11.
Server Distributed Cloud connected G2. Uno chassis serie Dell XR8000 con uno o tre sled macchina XR8610t.
L'hardware Distributed Cloud connected in genere è costituito da tre macchine server Distributed Cloud connected che si connettono direttamente alla rete locale tramite i tuoi switch ToR. Per impostazione predefinita, puoi ordinare i server Distributed Cloud connected solo in una configurazione a tre macchine. Se i requisiti aziendali richiedono deployment a macchina singola dei server Distributed Cloud connected, contatta il tuo rappresentante di vendita sul campo di Google per ulteriori informazioni.
La Figura 1 mostra una configurazione tipica del server Distributed Cloud connected.
I componenti di un'installazione Distributed Cloud connected sono i seguenti:
Google Cloud. Il traffico tra l'installazione Distributed Cloud connected e Google Cloud include il traffico di gestione dell'hardware e di logging di audit.
Internet. Il traffico di gestione e di logging di audit criptato tra l'installazione Distributed Cloud connected e Google Cloud viaggia su internet. Distributed Cloud connected non supporta le connessioni internet con proxy.
Rete locale. La rete locale a cui i server Distributed Cloud connected si connettono tramite gli switch ToR di livello 2.
Switch Top-of-Rack (ToR). Gli switch di livello 2 che connettono le macchine server e l'interfaccia con la rete locale. Ogni macchina server Distributed Cloud connected richiede, come minimo, una connessione in-band e una out-of-band a un singolo switch ToR. Per una maggiore affidabilità, Google consiglia di utilizzare due switch ToR e due connessioni in-band per macchina (una per switch). Ogni macchina server Distributed Cloud connected si connette agli switch ToR nel seguente modo:
- Connettività dei workload. Le interfacce di rete primaria e secondaria di ogni macchina server Distributed Cloud connected si connettono a uno o entrambi gli switch ToR per la connettività dei workload. Queste connessioni trasportano il traffico dei workload tra le singole macchine server Distributed Cloud e da e verso la rete locale. Devi inserire le porte dello switch corrispondenti nella stessa VLAN. Se hai bisogno di ulteriore connettività dei workload, puoi eseguire il trunking di VLAN con tag aggiuntive sui server Distributed Cloud connected.
- Connettività di gestione. L'interfaccia di rete Baseboard Management Controller (BMC) di ogni macchina server Distributed Cloud connected si connette a uno switch ToR per la connettività di gestione, che consente ai server Distributed Cloud connected di comunicare tra loro. Devi configurarle come trunk 802.1q e la VLAN nativa corrispondente come rete a cui appartengono le interfacce di rete di gestione Distributed Cloud connected.
Macchine. Le macchine server fisiche Distributed Cloud connected che eseguono il software Distributed Cloud connected ed eseguono i workload. Ogni macchina fisica viene creata come nodo all'interno del cluster Distributed Cloud connected.
Servizio Distributed Cloud
Il servizio Distributed Cloud connected viene eseguito direttamente sull'hardware Distributed Cloud. Funge da control plane per i nodi e i cluster sull'hardware Distributed Cloud connected. Questo control plane crea e configura la zona Distributed Cloud connected. Il data center specifico Google Cloud a cui si connette l'hardware Distributed Cloud per la gestione viene scelto in base alla sua vicinanza all'installazione Distributed Cloud connected.
Una zona Distributed Cloud connected è costituita da tutte le macchine server Distributed Cloud connected di cui hai eseguito il deployment on-premise. Puoi assegnare le macchine ai cluster Distributed Cloud connected.
I workload continuano a essere eseguiti anche se Distributed Cloud non riesce a connettersi a Google Cloud per un massimo di 7 giorni. Trascorso questo periodo, Distributed Cloud deve comunicare con Google Cloud per aggiornare i token di autenticazione, le chiavi di crittografia dell'archiviazione e sincronizzare i dati di gestione dell'hardware e di logging di audit.
La Figura 2 mostra l'organizzazione logica delle entità Distributed Cloud connected.
Le entità sono le seguenti:
Google Cloud Regione. La Google Cloud regione per la zona Distributed Cloud connected è determinata dalla località del Google Cloud data center più vicino all' installazione Distributed Cloud.
Control plane locale Kubernetes. Il control plane Kubernetes per ogni cluster Distributed Cloud connected viene eseguito direttamente sull'hardware Distributed Cloud. Un cluster può entrare in modalità di sopravvivenza quando la connessione a Google Cloud viene persa temporaneamente, consentendo ai workload di continuare a essere eseguiti fino al ripristino della connessione. Per ulteriori informazioni, consulta la sezione Modalità di sopravvivenza.
Zona Distributed Cloud. Un'astrazione logica che rappresenta l'hardware Distributed Cloud connected di cui hai eseguito il deployment on-premise. Una zona Distributed Cloud copre tutte le macchine server Distributed Cloud connected di cui hai eseguito il deployment nella tua località. Le macchine fisiche nella zona vengono create come macchine Distributed Cloud connected nella Google Cloud console. Le macchine in una zona Distributed Cloud connected condividono una singola infrastruttura di rete o un singolo dominio di errore. Google crea le macchine prima di consegnare l'hardware Distributed Cloud connected. Non puoi creare, eliminare o modificare le macchine Distributed Cloud connected.
Nodo. Un nodo è una risorsa Kubernetes che crea una macchina fisica Distributed Cloud connected nell'ambito di Kubernetes quando crei un pool di nodi, rendendola disponibile per l'esecuzione dei workload assegnando il pool di nodi a un cluster Distributed Cloud connected.
Pool di nodi. Un raggruppamento logico di nodi Distributed Cloud connected all'interno di una singola zona Distributed Cloud connected che ti consente di assegnare i nodi Distributed Cloud ai cluster Distributed Cloud. Per i server Distributed Cloud connected, i pool di nodi vengono creati e popolati automaticamente.
Cluster. Un cluster Distributed Cloud connected costituito da un control plane e uno o più pool di nodi.
Progetti Distributed Cloud connected Google Cloud
Distributed Cloud connected ti consente di creare più cluster all'interno di una singola zona Distributed Cloud connected. Sebbene la zona stessa sia associata a un progetto specifico Google Cloud , i singoli cluster che operano all'interno di questa zona possono essere collegati a progetti diversi Google Cloud indipendenti dall'affiliazione del progetto della zona. Questa architettura ti consente di condividere l'infrastruttura fisica della zona tra vari team o applicazioni che potrebbero operare in strutture di progetto separate per scopi di fatturazione o gestione.
Archiviazione
Distributed Cloud connected fornisce spazio di archiviazione utilizzabile su ogni macchina fisica esposta tramite Rakuten Symcloud Storage, che funge da livello di astrazione dell'archiviazione locale su ogni nodo Distributed Cloud connected e rende disponibile l'archiviazione locale ai workload in esecuzione su altri nodi. Per ulteriori informazioni, consulta la sezione Configurare Distributed Cloud connected per Symcloud Storage.
Sicurezza dell'archiviazione
Distributed Cloud connected utilizza Linux Unified Key Setup (LUKS) per criptare l'archiviazione della macchina locale e supporta le chiavi di crittografia gestite dal cliente (CMEK) con Cloud KMS. Per ulteriori informazioni, consulta la sezione Best practice per la sicurezza.
Integrazione di Symcloud Storage
In alcune configurazioni Distributed Cloud connected, puoi configurare Distributed Cloud in modo che utilizzi Rakuten Symcloud Storage, che funge da livello di astrazione dell'archiviazione locale su ogni nodo Distributed Cloud connected e rende disponibile l'archiviazione locale ai workload in esecuzione su altri nodi. Per ulteriori informazioni, consulta la sezione Configurare Distributed Cloud connected per Symcloud Storage.
Networking
Questa sezione descrive i requisiti e le funzionalità di connettività di rete di Distributed Cloud connected.
Prima di spedirti l'hardware Distributed Cloud connected, Google preconfigura alcuni dei componenti di rete virtuale per l'installazione. Non puoi modificare le impostazioni preconfigurate dopo la consegna dell'hardware.
La Figura 3 mostra la topologia della rete virtuale in un deployment Distributed Cloud connected.
I componenti della rete virtuale in un deployment Distributed Cloud connected sono i seguenti:
Rete. Una rete virtuale con uno spazio di indirizzi privati nella zona Distributed Cloud connected. Una rete è isolata a livello 2 da altre reti virtuali all'interno della zona e può contenere una o più subnet. La rete virtuale si estende a tutte le macchine fisiche nel deployment dei server Distributed Cloud connected. Questa rete predefinita viene creata automaticamente quando viene creata un'istanza di un cluster di server Distributed Cloud connected.
Subnet. Una subnet VLAN di livello 2 all'interno di una rete Distributed Cloud. Una subnet ha un proprio dominio di trasmissione e uno o più intervalli di indirizzi IPv4 a tua scelta. Le subnet all'interno della stessa rete sono isolate a livello 2. I nodi su subnet diverse all'interno della stessa rete possono comunicare tra loro utilizzando i rispettivi indirizzi IP. I server Distributed Cloud connected supportano solo la gestione delle subnet utilizzando gli ID VLAN.
I componenti di rete Distributed Cloud connected condividono somiglianze con i relativi Google Cloud equivalenti con le seguenti differenze:
I componenti di rete Distributed Cloud connected sono locali alla zona Distributed Cloud connected in cui vengono creati.
Una rete Distributed Cloud non ha connettività diretta a una rete VPC.
Per impostazione predefinita, le reti Distributed Cloud non hanno connettività tra loro in diverse zone Distributed Cloud connected. Hai la possibilità di configurare esplicitamente la rete tra zone.
L'amministratore di rete configura i componenti di rete Distributed Cloud connected. L'amministratore di rete deve avere il
ruolo Amministratore di rete Edge
(roles/edgenetwork.admin) nel progetto di Google Cloud destinazione, mentre gli
sviluppatori di applicazioni che eseguono il deployment dei workload su
Distributed Cloud connected devono avere il
ruolo Visualizzatore di rete Edge
(roles/edgenetwork.viewer) nel progetto di Google Cloud destinazione.
Connettività alla rete locale
Per il traffico in uscita verso le risorse sulla rete locale, i pod in un cluster Distributed Cloud connected utilizzano le route predefinite annunciate dai router edge di peering. Distributed Cloud connected utilizza il NAT integrato per connettere i pod a queste risorse.
Per il traffico in entrata dalle risorse sulla rete locale, l'amministratore di rete deve configurare le policy di routing che corrispondono ai requisiti aziendali per controllare l'accesso ai pod in ciascuno dei cluster Distributed Cloud connected. Ciò significa, come minimo, completare i passaggi descritti in Configurazione del firewall e configurare policy aggiuntive in base ai requisiti dei workload. Ad esempio, puoi configurare policy "consenti" o "nega" per le singole subnet dei nodi o gli indirizzi IP virtuali esposti dal bilanciatore del carico integrato in Distributed Cloud connected. I blocchi CIDR dei pod Distributed Cloud connected e dei servizi Distributed Cloud connected non sono accessibili direttamente.
Connettività a internet
Per il traffico in uscita verso le risorse su internet, i pod in un cluster Distributed Cloud connected utilizzano la route predefinita annunciata dai router agli switch ToR Distributed Cloud connected. Ciò significa, come minimo, completare i passaggi descritti in Configurazione del firewall e configurare policy aggiuntive in base ai requisiti dei workload. Distributed Cloud connected utilizza il NAT integrato per connettere i pod a queste risorse. Facoltativamente, puoi configurare un tuo livello di NAT sopra il livello integrato in Distributed Cloud connected.
Per il traffico in entrata, devi configurare i router WAN in base ai requisiti aziendali. Questi requisiti determinano il livello di accesso che devi fornire da internet pubblico ai pod nei cluster Distributed Cloud connected. Distributed Cloud connected utilizza il NAT integrato per i blocchi CIDR dei pod e i blocchi CIDR di gestione dei servizi, quindi questi blocchi CIDR non sono accessibili da internet.
Sicurezza della rete
I requisiti aziendali e la policy di sicurezza di rete della tua organizzazione determinano i passaggi necessari per proteggere il traffico di rete in entrata e in uscita dall'installazione Distributed Cloud connected. Per ulteriori informazioni, consulta la sezione Best practice per la sicurezza.
Bilanciamento del carico
Distributed Cloud connected supporta il bilanciamento del carico di livello 2 basato su MetalLB. Per ulteriori informazioni, consulta la sezione Bilanciamento del carico.
Supporto per reti ad alte prestazioni
Distributed Cloud connected supporta l'esecuzione di workload che richiedono le migliori prestazioni di rete possibili. A questo scopo, Distributed Cloud connected viene fornito con un operatore di funzioni di rete specializzato e un insieme di definizioni di risorse personalizzate (CRD) di Kubernetes che implementano le funzionalità richieste per l'esecuzione di workload ad alte prestazioni.
Supporto per i workload delle macchine virtuali
Distributed Cloud connected può eseguire workload nelle macchine virtuali oltre che nei container. Per ulteriori informazioni, consulta la sezione Gestire le macchine virtuali.
Per scoprire in che modo le macchine virtuali fungono da componente essenziale della piattaforma Google Distributed Cloud connected, consulta la sezione Estendere GKE Enterprise per gestire le VM edge on-premise.
Supporto per i workload GPU
In alcune configurazioni hardware, Distributed Cloud connected può eseguire workload basati su GPU su GPU NVIDIA L4. Devi specificare questo requisito quando ordini l'hardware Distributed Cloud connected. Per ulteriori informazioni, consulta la sezione Gestire i workload GPU.