このページでは、Google Distributed Cloud コネクテッドの仕組みについて、インフラストラクチャ、ハードウェア、ストレージ、ネットワーキング機能などの情報を含めて説明します。
Google Distributed Cloud コネクテッドは、次のコンポーネントで構成されています。
Distributed Cloud コネクテッド インフラストラクチャ 。Google または Google 認定システム インテグレータ(SI)が、Distributed Cloud コネクテッド ハードウェアの配送、デプロイ、保守を行います。これには、専任チームによるリモート管理も含まれます。
Distributed Cloud コネクテッド サービス 。このサービスを使用すると、Google Cloud CLI と Distributed Cloud Edge Container API を使用して、Distributed Cloud コネクテッド クラスタとノードプールを管理できます。 Distributed Cloud コネクテッド クラスタはフリートに登録され、Kubernetes
kubectlCLI ツールを使用して操作できます。
Distributed Cloud コネクテッド インフラストラクチャ
Google または Google 認定 SI が、Distributed Cloud コネクテッド ゾーンを実行する専用ハードウェアを提供、デプロイ、運用、保守します。 ワークロードを実行する Distributed Cloud コネクテッド ノードは、このハードウェアでのみ実行されます。
ハードウェア マシンは Distributed Cloud コネクテッド ノードとしてインスタンス化され、ノードプールにグループ化されます。このノードプールは、Distributed Cloud コネクテッド ゾーン内のクラスタに割り当てることができます。ネットワーク構成によって、Distributed Cloud コネクテッド クラスタで実行されるワークロードを、ローカル ユーザーのみが利用できるようにしたり、インターネットからアクセスできるようにしたりできます。また、ネットワークを構成して、 Distributed Cloud コネクテッド ノードのみがローカル リソースを使用したり、 での VPC ネットワークへの安全な Cloud VPN ネットワーク接続を介して Virtual Private Cloud(VPC)ネットワークで実行されている Compute Engine 仮想マシン(VM)インスタンスや Kubernetes Pod などのワークロードと通信したりできるようにすることもできます。 Google Cloud
Distributed Cloud コネクテッドの管理
Distributed Cloud コネクテッド ノードはスタンドアロン リソースではなく、コントロール プレーンの管理とモニタリング のために に接続されたままにする必要があります。 Google Cloud コントロール プレーン ノードは Distributed Cloud コネクテッド ハードウェアでローカルに実行され、Distributed Cloud コネクテッド デプロイが Google Cloudから切断されてもワークロードは引き続き実行されます。 から切断されている間も、最大 7 日間はワークロードが実行されます。 Google Cloud
Google は、Distributed Cloud コネクテッド デプロイを構成する物理マシンと をリモートで管理します。これには、ソフトウェア アップデートとセキュリティ パッチのインストール、構成の問題の解決が含まれます。ネットワーク管理者は、Distributed Cloud コネクテッド クラスタとノードの健全性とパフォーマンスをモニタリングし、Google と協力して問題を解決することもできます。
Google が指定された場所に Distributed Cloud コネクテッド ハードウェアを正常にデプロイすると、クラスタ管理者は従来の Kubernetes クラスタと同様の方法で Distributed Cloud コネクテッド クラスタの構成を開始できます。マシンをノードプールに、ノードプールをクラスタに割り当て、ロールに必要なアクセス権をアプリケーション オーナーに付与できます。ただし、クラスタ管理者は、Distributed Cloud コネクテッド デプロイのマシンの処理とストレージの制限を考慮し、それに応じてクラスタとワークロードの構成を計画する必要があります。
Distributed Cloud コネクテッドには、クラスタとノードプールを構成するための API が用意されています。
Distributed Cloud コネクテッド ゾーンへのアクセス
ローカル ネットワークとインターネットの両方から、Distributed Cloud コネクテッド ゾーンへの適切なレベルのアクセスを許可するようにネットワークを構成できます。
また、VPC ネットワークに接続することで、Distributed Cloud コネクテッド ゾーンに Google Cloud サービスへのアクセス権を付与することもできます。 Distributed Cloud コネクテッドは、Cloud VPN を使用して Google サービス エンドポイントに接続します。ネットワーク管理者は、これを許可するようにネットワークを構成する必要があります。
Distributed Cloud コネクテッドのペルソナ
Distributed Cloud コネクテッド ゾーンのデプロイと運用には、次のペルソナが関与します。
フィールド技術者 。指定された場所に Distributed Cloud コネクテッド ハードウェアを配送、設置、有効化します。ネットワーク管理者は、フィールド技術者と協力して、ハードウェアを電源に接続し、ネットワークに接続します。 注文タイプに応じて、Google の技術者または Google 認定 SI の技術者が担当します。
Google サイト信頼性エンジニア(SRE) 。Distributed Cloud コネクテッド ハードウェアをモニタリングして管理します。これには、構成の問題の解決、パッチとアップデートのインストール、セキュリティの維持が含まれます。
ネットワーク管理者 。Distributed Cloud コネクテッド ハードウェアとローカル ネットワーク間のネットワーク接続とアクセス制御を構成して維持します。これには、ルーティング ルールとファイアウォール ルールを構成して 、必要なすべてのタイプのネットワーク トラフィックが Distributed Cloud ハードウェア、 Google CloudDistributed Cloud コネクテッド ワークロードを使用するクライアント 、内部データ リポジトリと外部データ リポジトリ、その他の要因の間で自由に流れるようにすることが含まれます。ネットワーク管理者は、 コンソールにアクセスして、 Google Cloud Distributed Cloud コネクテッド マシンのステータスをモニタリングする必要があります。ネットワーク管理者は、 Distributed Cloud ネットワーキング機能も 構成します。
クラスタ管理者 。組織内に Distributed Cloud コネクテッド クラスタをデプロイして維持します。これには、各クラスタの権限、ロギング、ワークロードのプロビジョニングの構成が含まれます。クラスタ管理者は、ノードをノードプールに、ノードプールを Distributed Cloud コネクテッド クラスタに割り当てます。クラスタ管理者は、ワークロードを正しく構成してデプロイするために、Distributed Cloud コネクテッド ハードウェアの処理能力やストレージ容量など、Distributed Cloud コネクテッド クラスタと標準の Kubernetes クラスタの運用上の違いを理解する必要があります。
アプリケーション オーナー 。Distributed Cloud コネクテッド クラスタで実行されるアプリケーションの開発、デプロイ、モニタリングを担当するソフトウェア エンジニア。Distributed Cloud コネクテッド クラスタでアプリケーションを所有するアプリケーション オーナーは、クラスタのサイズとロケーションの制限、エッジでのアプリケーションのデプロイの影響(パフォーマンスやレイテンシなど)を理解する必要があります。
Distributed Cloud コネクテッド ハードウェア
Distributed Cloud コネクテッド サーバーは、次のハードウェア プラットフォームで利用できます。
Distributed Cloud コネクテッド サーバー G1 。1 台または 3 台の Dell XR11 シリーズ 1U ラックマウント マシンのグループ。
Distributed Cloud コネクテッド サーバー G2 。1 台または 3 台の XR8610t マシン スレッドが搭載された Dell XR8000 シリーズ シャーシ。
Distributed Cloud コネクテッド ハードウェアは通常、独自の ToR スイッチを介してローカル ネットワークに直接接続する 3 台の Distributed Cloud コネクテッド サーバー マシンで構成されます。デフォルトでは、3 台構成の Distributed Cloud コネクテッド サーバーのみを注文できます。ビジネス要件で Distributed Cloud コネクテッド サーバーの単一マシン デプロイが必要な場合は、Google のフィールド セールス担当者にお問い合わせください。
図 1 は、一般的な Distributed Cloud コネクテッド サーバーの構成を示しています。
Distributed Cloud コネクテッド インストールのコンポーネントは次のとおりです。
Google Cloud. Distributed Cloud コネクテッド インストールと Google Cloud の間のトラフィックには、ハードウェア管理と 監査ロギングのトラフィックが含まれます。
インターネット 。Distributed Cloud コネクテッド インストールと Google Cloud の間の暗号化された管理と監査ロギングのトラフィックは、インターネット経由で転送されます。Distributed Cloud コネクテッドは、プロキシされたインターネット接続をサポートしていません。
ローカル ネットワーク 。Distributed Cloud コネクテッド サーバーがレイヤ 2 ToR スイッチを介して接続するローカル ネットワーク。
トップオブラック(ToR)スイッチ 。サーバー マシンを接続し、ローカル ネットワークとインターフェースするレイヤ 2 スイッチ。各 Distributed Cloud コネクテッド サーバー マシンには、1 つの ToR スイッチへのインバンド接続とアウトオブバンド接続が少なくとも 1 つずつ必要です。信頼性を高めるために、マシンごとに 2 つの ToR スイッチと 2 つのインバンド接続(スイッチごとに 1 つ)を使用することをおすすめします。各 Distributed Cloud コネクテッド サーバー マシンは、次のように ToR スイッチに接続します。
- ワークロード接続 。各 Distributed Cloud コネクテッド サーバー マシンのプライマリ ネットワーク インターフェースとセカンダリ ネットワーク インターフェースは、ワークロード接続のために 1 つまたは両方の ToR スイッチに接続します。これらの接続は、個々の Distributed Cloud サーバー マシン間、ローカル ネットワークとの間でワークロード トラフィックを伝送します。対応するスイッチポートは同じ VLAN 内に配置する必要があります。ワークロード接続を追加する必要がある場合は、タグ付き VLAN を Distributed Cloud コネクテッド サーバーにトランキングできます。
- 管理接続 。各 Distributed Cloud コネクテッド サーバー マシンのベースボード管理コントローラ(BMC)ネットワーク インターフェースは、管理接続のために 1 つの ToR スイッチに接続します。これにより、Distributed Cloud コネクテッド サーバーが相互に通信できるようになります。 これらを 802.1q トランクとして構成し、対応するネイティブ VLAN を Distributed Cloud コネクテッド管理ネットワーク インターフェースが属するネットワークとして構成する必要があります。
マシン 。Distributed Cloud コネクテッド ソフトウェアを実行し、ワークロードを実行する物理 Distributed Cloud コネクテッド サーバー マシン。 各物理マシンは、Distributed Cloud コネクテッド クラスタ内のノードとしてインスタンス化されます。
Distributed Cloud サービス
Distributed Cloud コネクテッド サービスは、Distributed Cloud ハードウェアで直接実行されます。Distributed Cloud コネクテッド ハードウェア上のノードとクラスタのコントロール プレーンとして機能します。このコントロール プレーンは、Distributed Cloud コネクテッド ゾーンをインスタンス化して構成します。Distributed Cloud ハードウェアが管理のために接続する特定の Google Cloud データセンターは、Distributed Cloud コネクテッド インストールとの近さに応じて選択されます。
Distributed Cloud コネクテッド ゾーンは、オンプレミスにデプロイされたすべての Distributed Cloud コネクテッド サーバー マシンで構成されます。マシンを Distributed Cloud コネクテッド クラスタに割り当てることができます。
Distributed Cloud が Google Cloud に接続できない場合でも、ワークロードは最大 7 日間実行されます。この期間が経過すると、Distributed Cloud は Google Cloud と通信して認証トークンとストレージ暗号鍵を更新し、ハードウェア管理データと監査ロギングデータを同期する必要があります。
図 2 は、Distributed Cloud コネクテッド エンティティの論理的な構成を示しています。
エンティティは次のとおりです。
Google Cloud region 。Distributed Cloud コネクテッド ゾーンのリージョンは、Distributed Cloud インストールに最も近い データセンターのロケーションによって決まります。Google Cloud Google Cloud
Kubernetes ローカル コントロール プレーン 。各 Distributed Cloud コネクテッド クラスタの Kubernetes コントロール プレーンは、Distributed Cloud ハードウェアで直接実行されます。 への接続が一時的に失われると、クラスタは存続可能 モードに移行し、接続が復元されるまで ワークロードを実行し続けることができます。 Google Cloud 詳細については、存続可能モードをご覧ください。
Distributed Cloud ゾーン 。オンプレミスにデプロイされた Distributed Cloud コネクテッド ハードウェアを表す論理的な抽象化。Distributed Cloud ゾーンは、ロケーションにデプロイされたすべての Distributed Cloud コネクテッド サーバー マシンをカバーします。ゾーン内の物理マシンは、 コンソールで Distributed Cloud コネクテッド マシンとしてインスタンス化されます。 Google Cloud Distributed Cloud コネクテッド ゾーン内のマシンは、単一のネットワーク ファブリックまたは単一のフォールト ドメインを共有します。Google は、Distributed Cloud コネクテッド ハードウェアを配送する前にマシンを作成します。Distributed Cloud コネクテッド マシンを作成、削除、変更することはできません。
Google Cloudノード 。ノードは Kubernetes リソースです。ノードプールを作成するときに、Distributed Cloud コネクテッド物理マシンを Kubernetes レルムにインスタンス化し、ノードプールを Distributed Cloud コネクテッド クラスタに割り当てることで、ワークロードを実行できるようにします。
ノードプール 。単一の Distributed Cloud コネクテッド ゾーン内の Distributed Cloud コネクテッド ノードの論理グループ。Distributed Cloud ノードを Distributed Cloud クラスタに割り当てることができます。Distributed Cloud コネクテッド サーバーの場合、ノードプールは自動的にインスタンス化され、入力されます。
クラスタ 。コントロール プレーンと 1 つ以上のノードプールで構成される Distributed Cloud コネクテッド クラスタ。
Distributed Cloud コネクテッド Google Cloud プロジェクト
Distributed Cloud コネクテッドを使用すると、単一の Distributed Cloud コネクテッド ゾーン内に複数のクラスタを作成できます。ゾーン 自体は特定の Google Cloud プロジェクトに関連付けられていますが、そのゾーン内で動作する個々の クラスタは、ゾーンのプロジェクト 所属とは独立した別の Google Cloud プロジェクトに接続できます。このアーキテクチャを使用すると、課金や管理の目的で別々のプロジェクト構造で動作する可能性のあるさまざまなチームやアプリケーション間で、物理ゾーン インフラストラクチャを共有できます。
ストレージ
Distributed Cloud コネクテッドは、 Rakuten Symcloud Storage を介して公開される各物理 マシンで使用可能なストレージを提供します。これは、各 Distributed Cloud コネクテッド ノードのローカル ストレージ抽象化レイヤとして機能し、他のノードで実行されているワークロードでローカル ストレージを使用できるようにします。 詳細については、 Symcloud Storage 用に Distributed Cloud コネクテッドを構成するをご覧ください。
ストレージ セキュリティ
Distributed Cloud コネクテッドは、 LUKS(Linux Unified Key Setup) を使用してローカルマシンのストレージを暗号化し、顧客管理の暗号鍵(CMEK) をCloud KMSでサポートしています。 詳細については、セキュリティのベスト プラクティスをご覧ください。
Symcloud Storage の統合
一部の Distributed Cloud コネクテッド構成では、 Distributed Cloud を構成して Rakuten Symcloud Storage を使用できます。 これは、各 Distributed Cloud コネクテッド ノードのローカル ストレージ抽象化レイヤとして機能し、他のノードで実行されているワークロードでローカル ストレージを使用できるようにします。 詳細については、 Symcloud Storage 用に Distributed Cloud コネクテッドを構成するをご覧ください。
ネットワーキング
このセクションでは、Distributed Cloud コネクテッドのネットワーク接続の要件と機能について説明します。
Google は、Distributed Cloud コネクテッド ハードウェアをお客様に発送する前に、インストール用の仮想ネットワーキング コンポーネントの一部を事前構成します。ハードウェアの配送後に、事前構成された設定を変更することはできません。
図 3 は、Distributed Cloud コネクテッド デプロイでの仮想ネットワークのトポロジを示しています。
Distributed Cloud コネクテッド デプロイの仮想ネットワークのコンポーネントは次のとおりです。
ネットワーク 。Distributed Cloud コネクテッド ゾーンに限定公開アドレス空間を持つ仮想ネットワーク。ネットワークは、ゾーン内の他の仮想ネットワークからレイヤ 2 で分離されており、1 つ以上のサブネットワークを含めることができます。 仮想ネットワークは、Distributed Cloud コネクテッド サーバー デプロイ内のすべての物理マシンにまたがります。このデフォルト ネットワークは、Distributed Cloud コネクテッド サーバー クラスタがインスタンス化されるときに自動的に作成されます。
サブネットワーク 。Distributed Cloud ネットワーク内のレイヤ 2 VLAN サブネットワーク。 サブネットワークには独自のブロードキャスト ドメインと、選択した 1 つ以上の IPv4 アドレス範囲があります。 同じネットワーク内のサブネットワークはレイヤ 2 で分離されています。同じネットワーク内の異なるサブネットワーク上のノードは、IP アドレスを使用して相互に通信できます。 Distributed Cloud コネクテッド サーバーは、VLAN ID を使用したサブネットワーク管理のみをサポートしています。
Distributed Cloud コネクテッド ネットワーキング コンポーネントは、同等のコンポーネントと似ていますが、次の点が異なります。Google Cloud
Distributed Cloud コネクテッド ネットワーキング コンポーネントは、インスタンス化される Distributed Cloud コネクテッド ゾーンに対してローカルです。
Distributed Cloud ネットワークは、VPC ネットワークに直接接続されていません。
デフォルトでは、Distributed Cloud ネットワークは、異なる Distributed Cloud コネクテッド ゾーン間で相互に接続されていません。ゾーン間のネットワーキングを明示的に構成することもできます。
ネットワーク管理者は、Distributed Cloud コネクテッド ネットワーキング コンポーネントを構成します。ネットワーク管理者は、ターゲット プロジェクトに対する
Edge ネットワーク管理者ロール
(roles/edgenetwork.admin)が必要です。一方、
Distributed Cloud コネクテッドにワークロードをデプロイする
アプリケーション デベロッパーは、ターゲット Google Cloud プロジェクトに対する
Edge ネットワーク閲覧者ロール
(roles/edgenetwork.viewer)が必要です。 Google Cloud
ローカル ネットワークへの接続
ローカル ネットワーク上のリソースへのアウトバウンド トラフィックの場合、Distributed Cloud コネクテッド クラスタ内の Pod は、ピアリング エッジルーターによってアドバタイズされるデフォルト ルートを使用します。Distributed Cloud コネクテッドは、組み込みの NAT を使用して Pod をこれらのリソースに接続します。
ローカル ネットワーク上のリソースからのインバウンド トラフィックの場合、ネットワーク管理者は、ビジネス要件に一致するルーティング ポリシーを構成して、各 Distributed Cloud コネクテッド クラスタ内の Pod へのアクセスを制御する必要があります。つまり、少なくとも ファイアウォールの構成の手順を完了し、ワークロードに必要な追加のポリシーを構成する必要があります。たとえば、Distributed Cloud コネクテッドの組み込みロードバランサによって公開される個々のノード サブネットワークまたは仮想 IP アドレスに対して、'許可' または '拒否' のポリシーを設定できます。Distributed Cloud コネクテッド Pod と Distributed Cloud コネクテッド サービス CIDR ブロックには直接アクセスできません。
インターネットへの接続
インターネット上のリソースへのアウトバウンド トラフィックの場合、Distributed Cloud コネクテッド クラスタ内の Pod は、ルーターによって Distributed Cloud コネクテッド ToR スイッチにアドバタイズされるデフォルト ルートを使用します。つまり、少なくとも ファイアウォールの構成の手順を完了し、 ワークロードに必要な追加のポリシーを構成する必要があります。 Distributed Cloud コネクテッドは、組み込みの NAT を使用して Pod をこれらのリソースに接続します。必要に応じて、Distributed Cloud コネクテッドの組み込みレイヤの上に独自の NAT レイヤを構成できます。
インバウンド トラフィックの場合は、ビジネス要件に応じて WAN ルーターを構成する必要があります。これらの要件によって、パブリック インターネットから Distributed Cloud コネクテッド クラスタ内の Pod に提供する必要があるアクセスレベルが決まります。 Distributed Cloud コネクテッドは、Pod CIDR ブロックとサービス管理 CIDR ブロックに組み込みの NAT を使用するため、これらの CIDR ブロックにはインターネットからアクセスできません。
ネットワーク セキュリティ
ビジネス要件と組織のネットワーク セキュリティ ポリシーによって、設置した Distributed Cloud コネクテッド を出入りするネットワーク トラフィックを保護するために必要な手順が規定されます。詳細については、 セキュリティのベスト プラクティスをご覧ください。
負荷分散
Distributed Cloud コネクテッドは、MetalLB に基づくレイヤ 2 の負荷分散をサポートしています。 詳細については、負荷分散をご覧ください。
ハイ パフォーマンス ネットワーキングのサポート
Distributed Cloud コネクテッドは、可能な限り最高のネットワーキング パフォーマンスを必要とするワークロードの実行をサポートしています。このため、 Distributed Cloud コネクテッドには、特殊な ネットワーク機能オペレーター と、ハイ パフォーマンス ワークロードの実行に必要な機能を実装する Kubernetes カスタム リソース定義(CRD)のセットが付属しています。
仮想マシン ワークロードのサポート
Distributed Cloud コネクテッドは、コンテナに加えて仮想マシンでワークロードを実行できます。詳細については、 仮想マシンを管理するをご覧ください。
仮想マシンが Google Distributed Cloud コネクテッド プラットフォームの重要なコンポーネントとして機能する方法については、 GKE Enterprise を拡張してオンプレミス エッジ VM を管理するをご覧ください。
GPU ワークロードのサポート
一部のハードウェア構成では、Distributed Cloud コネクテッドは NVIDIA L4 GPU で GPU ベースのワークロードを実行できます。Distributed Cloud コネクテッド ハードウェアを注文する際に、この要件を指定する必要があります。 詳細については、GPU ワークロードを管理するをご覧ください。