En esta página, se describe cómo funciona Google Distributed Cloud, incluida información sobre su infraestructura, hardware, almacenamiento y capacidades de redes.
Google Distributed Cloud consta de los siguientes componentes:
- Infraestructura de Distributed Cloud. Google proporciona, implementa y mantiene el hardware de Distributed Cloud, incluida la administración remota por parte de un equipo dedicado de Google.
- El servicio de Distributed Cloud. Este servicio te permite administrar tus clústeres y grupos de nodos de Distributed Cloud con Google Cloud CLI y la API de Distributed Cloud Edge Container.
Los clústeres de Distributed Cloud se registran en tu flota y puedes usar la herramienta de CLI de Kubernetes
kubectlpara interactuar con ellos.
Infraestructura de Distributed Cloud
Google proporciona, implementa, opera y mantiene un rack de hardware dedicado que ejecuta tu zona de Distributed Cloud. Este hardware consta de máquinas de servidor montadas en rack y dos interruptores top-of-rack (ToR) que interconectan las máquinas con tu red local. Los nodos de Distributed Cloud que ejecutan tus cargas de trabajo se ejecutan exclusivamente en este hardware.
El hardware ejecuta una cantidad de nodos agrupados en grupos de nodos, que puedes asignar a clústeres dentro de tu zona de Distributed Cloud. Puedes configurar tu red de modo que las cargas de trabajo que se ejecutan en clústeres de Distributed Cloud solo estén disponibles para tus usuarios locales o sean accesibles desde Internet. También puedes configurar tu red para permitir que solo los nodos de Distributed Cloud usen recursos locales o se comuniquen con cargas de trabajo, como instancias de máquinas virtuales (VM) de Compute Engine y Pods de Kubernetes que se ejecutan en una red de nube privada virtual (VPC) a través de una conexión de red de Cloud VPN segura a una red de VPC.
Administración de Distributed Cloud
Los nodos de Distributed Cloud no son recursos independientes y deben permanecer conectados a Google Cloud para la administración y supervisión del plano de control. Los nodos del plano de control de Distributed Cloud se alojan en la región Google Cloud designada. Los nodos de Distributed Cloud locales requieren una conexión de red constante a Google Cloud.
Google administra de forma remota las máquinas físicas y los conmutadores ToR que constituyen tu instalación de Distributed Cloud. Esto incluye la instalación de actualizaciones de software y parches de seguridad, y la resolución de problemas de configuración. Tu administrador de red también puede supervisar el estado y el rendimiento de los clústeres y nodos de Distributed Cloud, y trabajar con Google para resolver cualquier problema.
Una vez que Google haya implementado correctamente el hardware de Distributed Cloud en la ubicación designada, el administrador del clúster podrá comenzar a configurar el clúster de Distributed Cloud de una manera similar a la de un clúster de Kubernetes convencional. Pueden asignar máquinas a grupos de nodos y grupos de nodos a clústeres, y otorgar acceso a los propietarios de aplicaciones según lo requieran sus roles. Sin embargo, el administrador del clúster debe tener en cuenta las limitaciones de procesamiento y almacenamiento de las máquinas en el rack de Distributed Cloud y planificar la configuración del clúster y la carga de trabajo en consecuencia.
Distributed Cloud proporciona una API para configurar clústeres y grupos de nodos.
Acceso a la zona de Distributed Cloud
Puedes configurar tu red para permitir el nivel de acceso deseado a tu zona de Distributed Cloud, tanto desde tu red local como desde Internet.
También puedes otorgar acceso a tu zona de Distributed Cloud a los servicios deGoogle Cloud conectándola a tu red de VPC. Distributed Cloud usa Cloud VPN para conectarse a los extremos de los servicios de Google. El administrador de red debe configurar la red para permitir esto.
Arquetipos de Distributed Cloud
En la implementación y operación de tu zona de Distributed Cloud, participan los siguientes arquetipos:
Técnico de campo de Google. Entrega, instala y activa el hardware de Distributed Cloud en la ubicación designada. El administrador de red trabaja con los técnicos de Google para conectar el hardware a la fuente de alimentación y a la red.
Ingeniero de confiabilidad de sitios (SRE) de Google. Supervisa y administra el hardware de Distributed Cloud. Esto incluye resolver problemas de configuración, instalar parches y actualizaciones, y mantener la seguridad.
Administrador de red. Configura y mantiene la conectividad de red y el control de acceso entre el hardware de Distributed Cloud y tu red local. Esto incluye configurar tus reglas de enrutamiento y firewall para garantizar que todos los tipos requeridos de tráfico de red puedan fluir libremente entre el hardware de Distributed Cloud, Google Cloud, los clientes que consumen tus cargas de trabajo de Distributed Cloud, los repositorios de datos internos y externos, y así sucesivamente. El administrador de red debe tener acceso a la consola de Google Cloud para supervisar el estado de tus máquinas de Distributed Cloud. El administrador de red también configura las funciones de redes de Distributed Cloud.
Administrador del clúster Implementa y mantiene clústeres de Distributed Cloud en tu organización. Esto incluye la configuración de permisos, el registro y el aprovisionamiento de cargas de trabajo para cada clúster. El administrador del clúster asigna nodos a grupos de nodos y grupos de nodos a clústeres de Distributed Cloud. El administrador del clúster debe comprender las diferencias operativas entre el clúster de Distributed Cloud y un clúster de Kubernetes tradicional, como las capacidades de procesamiento y almacenamiento del hardware de Distributed Cloud, para configurar y, luego, implementar correctamente tus cargas de trabajo.
Propietario de la aplicación. Ingeniero de software responsable de desarrollar, implementar y supervisar una aplicación que se ejecuta en un clúster de Distributed Cloud Los propietarios de aplicaciones que poseen aplicaciones en un clúster de Distributed Cloud deben comprender las limitaciones en el tamaño y la ubicación de los clústeres, así como las consecuencias de implementar una aplicación en el borde, como el rendimiento y la latencia.
Hardware de Distributed Cloud
En la figura 1, se muestra una configuración típica de Distributed Cloud.
Los componentes de una instalación de Distributed Cloud son los siguientes:
Google Cloud. El tráfico entre tu instalación de Distributed Cloud y Google Cloud incluye tráfico de administración de hardware, tráfico del plano de control y tráfico de Cloud VPN a los servicios de Google Cloudy cualquier carga de trabajo que ejecutes allí. También puede incluir tráfico de VPC, si corresponde.
Internet: Tráfico encriptado del plano de control y de administración entre tu instalación de Distributed Cloud y Google Cloudque viaja por Internet. Distributed Cloud no admite conexiones a Internet a través de proxy.
Red local. Es la red local externa al rack de Distributed Cloud que conecta los routers perimetrales de intercambio de tráfico a Internet.
Routers perimetrales de intercambio de tráfico. Tus routers de red local que se conectan con los conmutadores ToR de Distributed Cloud. Según la ubicación física que elijas para tu instalación de Distributed Cloud, los routers perimetrales de interconexión pueden ser propiedad de tu organización o de tu centro de colocación, y tu organización o tu centro de colocación pueden encargarse de su mantenimiento. Debes configurar estos routers para que usen el Protocolo de puerta de enlace fronteriza (BGP) para establecer la conexión con los conmutadores ToR y anunciar una ruta predeterminada a tu hardware de Distributed Cloud. También debes configurar estos routers, así como los firewalls correspondientes, para permitir el tráfico de administración de dispositivos de Google, el tráfico del plano de control de Distributed Cloud y el tráfico de Cloud VPN, si corresponde.
Según los requisitos de tu empresa, puedes configurar estos routers de la siguiente manera:
- Permite que tus nodos de Distributed Cloud accedan a Internet a través de la traducción de direcciones de red (NAT) pública o la exposición directa a direcciones IP públicas.
- Permite una conexión de VPN a tu red de VPC y a los servicios deGoogle Cloud que desees.
Conmutadores de la parte superior del rack (ToR): Los conmutadores de capa 3 que conectan las máquinas dentro del rack y se conectan a tu red local. Estos conmutadores son transmisores de BGP y controlan el tráfico de red entre el rack de Distributed Cloud y tu equipo de red local. Se conectan a los routers de borde de intercambio de tráfico mediante paquetes del Protocolo de control de agregación de vínculos (LACP).
Máquinas: Son las máquinas físicas que ejecutan el software de Distributed Cloud y tus cargas de trabajo. Cada máquina física es un nodo dentro del clúster de Distributed Cloud.
Servicio de Distributed Cloud
El servicio de Distributed Cloud se ejecuta en Google Cloud y sirve como plano de control para los nodos y clústeres que se ejecutan en tu hardware de Distributed Cloud. Distributed Cloud debe poder conectarse aGoogle Cloud en todo momento y no puede funcionar sin esa conexión.
Este plano de control crea instancias y configura tu zona de Distributed Cloud. El centro de datos específico de Google al que se conecta tu hardware de Distributed Cloud para la administración se elige según su proximidad a tu instalación de Distributed Cloud.
Una zona de Distributed Cloud consta de varias máquinas, que son iguales a la cantidad de máquinas físicas instaladas en tu rack de Distributed Cloud. Puedes asignar estas máquinas, que se crean como nodos de Kubernetes, a un grupo de nodos y el grupo de nodos a un clúster de Distributed Cloud.
En la figura 2, se muestra la organización lógica de las entidades de Distributed Cloud.
Las entidades son las siguientes:
Google Cloud region. La regiónGoogle Cloud de tu zona de Distributed Cloud se determina según la ubicación del centro de datos de Google más cercano a tu instalación de Distributed Cloud.
Plano de control de Kubernetes en la nube. De forma predeterminada, el plano de control de Kubernetes para cada clúster de Distributed Cloud se ejecuta de forma remota en un centro de datos de Google en la región Google Cloud a la que se asigna tu clúster de Distributed Cloud. Esto permite que Distributed Cloud se beneficie de un plano de control seguro y de alta disponibilidad sin ocupar capacidad de procesamiento en las máquinas físicas de Distributed Cloud.
Plano de control local de Kubernetes. A partir de la versión 1.5.0 de Google Distributed Cloud, tienes la opción de configurar un clúster de Distributed Cloud para que use un plano de control local en lugar del plano de control predeterminado de la nube. Un clúster de plano de control local puede entrar en modo de supervivencia cuando se pierde temporalmente la conexión aGoogle Cloud , lo que permite que tus cargas de trabajo sigan ejecutándose hasta que se restablezca la conexión. Para obtener más información, consulta Modo de supervivencia.
Zona de Distributed Cloud. Es una abstracción lógica que representa el hardware de Distributed Cloud instalado en el rack de Distributed Cloud. Una zona de Distributed Cloud abarca un solo rack de hardware de Distributed Cloud. Las máquinas físicas de la zona se crean como máquinas de Distributed Cloud en la consola de Google Cloud . Las máquinas de una zona de Distributed Cloud comparten una sola estructura de red o un solo dominio con fallas. Google crea tus máquinas antes de entregarte el hardware de Distributed Cloud. No puedes crear, borrar ni modificar máquinas de Distributed Cloud.
Nodo. Un nodo es un recurso de Kubernetes que crea una instancia de una máquina física de Distributed Cloud en el ámbito de Kubernetes cuando creas un grupo de nodos, lo que hace que esté disponible para ejecutar cargas de trabajo asignando el grupo de nodos a un clúster de Distributed Cloud. El plano de control de Kubernetes para cada nodo se ejecuta en Google Cloud.
Grupo de nodos. Es una agrupación lógica de nodos de Distributed Cloud dentro de una sola zona de Distributed Cloud que te permite asignar nodos de Distributed Cloud a clústeres de Distributed Cloud.
Clúster: Es un clúster de Distributed Cloud que consta de un plano de control y uno o más grupos de nodos.
Conexión de VPN Un túnel de VPN a una red de VPC que se ejecuta en unGoogle Cloud proyecto Este túnel permite que tus cargas de trabajo de Distributed Cloud accedan a los recursos de Compute Engine conectados a esa red de VPC. Debes crear al menos un grupo de nodos en tu zona antes de poder crear una conexión de VPN.
Almacenamiento
Distributed Cloud proporciona 3.3 TiB de almacenamiento por máquina física en el rack de Distributed Cloud. Este almacenamiento está configurado como volúmenes lógicos de Linux. Cuando creas un clúster, Distributed Cloud crea uno o más PersistentVolumes y los expone como volúmenes de bloques que puedes asignar a una carga de trabajo con PersistentVolumeClaims. Ten en cuenta que estos PersistentVolumes no proporcionan durabilidad de los datos y solo son adecuados para datos efímeros. Para obtener información sobre cómo trabajar con volúmenes de bloques, consulta PersistentVolumeClaim que solicita un volumen de bloques sin procesar.
Seguridad de almacenamiento
Distributed Cloud usa LUKS para encriptar el almacenamiento local de la máquina y admite claves de encriptación administradas por el cliente (CMEK). Para obtener más información, consulta las prácticas recomendadas de seguridad.
Integración de Symcloud Storage
Puedes configurar Distributed Cloud para que use Rakuten Symcloud Storage, que actúa como una capa de abstracción de almacenamiento local en cada nodo de Distributed Cloud y hace que su almacenamiento local esté disponible para las cargas de trabajo que se ejecutan en otros nodos de Distributed Cloud.
Para obtener más información, consulta Configura Distributed Cloud para el almacenamiento de Symcloud.
Redes
En esta sección, se describen los requisitos y las funciones de conectividad de red de Distributed Cloud.
Google preconfigura algunos de los componentes de redes virtuales de Distributed Cloud para tu instalación antes de enviarte el hardware de Distributed Cloud. No puedes modificar los parámetros de configuración predeterminados después de que se entrega el hardware.
En la figura 3, se muestra la topología de la red virtual de Distributed Cloud.
Los componentes de la red virtual de Distributed Cloud son los siguientes:
Red. Es una red virtual con un espacio de direcciones privadas en tu zona de Distributed Cloud. Una red está aislada en la capa 3 de otras redes virtuales dentro de la zona y puede contener una o más subredes. La red virtual abarca todas las máquinas físicas del rack de Distributed Cloud. Una sola zona de Distributed Cloud admite un máximo de 20 redes.
Subred. Es una subred de VLAN de capa 2 y capa 3 dentro de una red de Distributed Cloud. Una subred tiene su propio dominio de transmisión y uno o más rangos de direcciones IPv4 de tu elección. Las subredes dentro de la misma red están aisladas en la capa 2, pero pueden comunicarse entre sí a través de la capa 3. Los nodos en diferentes subredes dentro de la misma red pueden comunicarse entre sí usando sus direcciones IP. Sin embargo, los nodos de subredes dentro de redes diferentes no pueden comunicarse entre sí.
Router: Instancia de router virtual que rige el tráfico dentro de una red de Distributed Cloud. Tu administrador de red usa un router para configurar una sesión de intercambio de tráfico de BGP a través de una conexión de interconexión entre una red de Distributed Cloud y tu red local, de modo que los pods de Distributed Cloud puedan anunciar sus prefijos de red en tu red local. De forma predeterminada, los routers vuelven a anunciar las rutas que reciben de las subredes de Distributed Cloud. Distributed Cloud admite un router por red.
Interconexión: Es un vínculo lógico agrupado entre una red de Distributed Cloud y tu red local. Una interconexión se compone de uno o más vínculos físicos. Durante el inicio inicial, Google crea las interconexiones que solicitaste cuando pediste Distributed Cloud. Las interconexiones no se pueden crear, modificar ni quitar después de que el rack de Distributed Cloud esté en funcionamiento. De forma predeterminada, Google crea cuatro interconexiones para proporcionar alta disponibilidad a tu instalación.
Es un adjunto de interconexión. Es un vínculo virtual entre una interconexión y un router que aísla la red de Distributed Cloud correspondiente de tu red local. El tráfico que fluye a través de un adjunto de interconexión puede no estar etiquetado o estar etiquetado con un ID de VLAN de tu elección. Creas adjuntos de interconexión según tus requisitos comerciales.
Los componentes de redes de Distributed Cloud comparten similitudes con sus equivalentes de Google Cloud con las siguientes diferencias:
Los componentes de redes de Distributed Cloud son locales para la zona de Distributed Cloud en la que se crean instancias.
Una red de Distributed Cloud no tiene conectividad directa con una red de VPC.
De forma predeterminada, las redes de Distributed Cloud no tienen conectividad entre sí en las diferentes zonas de Distributed Cloud. Tienes la opción de configurar explícitamente las redes entre zonas.
Tu administrador de red configura los componentes de redes de Distributed Cloud, excepto las interconexiones, que Google configura antes de enviarte el hardware de Distributed Cloud.
Tu administrador de red debe tener el rol de administrador de red perimetral (roles/edgenetwork.admin) en el proyecto Google Cloud de destino, mientras que los desarrolladores de aplicaciones que implementan cargas de trabajo en Distributed Cloud deben tener el rol de visualizador de red perimetral (roles/edgenetwork.viewer) en el proyecto Google Cloud de destino.
Conectividad a tu red local
Para el tráfico saliente a los recursos de tu red local, los Pods de un clúster de Distributed Cloud usan las rutas predeterminadas que anuncian tus routers perimetrales de interconexión. Distributed Cloud usa su NAT integrada para conectar los Pods a esos recursos.
Para el tráfico entrante de recursos en tu red local, el administrador de red debe configurar políticas de enrutamiento que coincidan con los requisitos de tu empresa para controlar el acceso a los Pods en cada uno de tus clústeres de Distributed Cloud. Esto significa que, como mínimo, debes completar los pasos que se indican en Configuración del firewall y configurar políticas adicionales según lo requieran tus cargas de trabajo. Por ejemplo, puedes configurar políticas de permiso o denegación para subredes de nodos individuales o direcciones IP virtuales expuestas por el balanceador de cargas integrado en Distributed Cloud. Los bloques CIDR del pod y del servicio de Distributed Cloud no son directamente accesibles.
Conectividad a Internet
Para el tráfico saliente a recursos en Internet, los Pods de un clúster de Distributed Cloud usan la ruta predeterminada que anuncian tus routers a los conmutadores ToR de Distributed Cloud. Esto significa que, como mínimo, debes completar los pasos que se indican en Configuración del firewall y configurar políticas adicionales según lo requieran tus cargas de trabajo. Distributed Cloud usa su NAT integrada para conectar los Pods a esos recursos. De manera opcional, puedes configurar tu propia capa de NAT sobre la capa integrada en Distributed Cloud.
Para el tráfico entrante, debes configurar tus routers WAN según los requisitos de tu empresa. Estos requisitos determinan el nivel de acceso que debes proporcionar desde Internet pública a los Pods en tus clústeres de Distributed Cloud. Distributed Cloud usa su NAT integrada para los bloques CIDR de Pod y los bloques CIDR de administración de servicios, por lo que no se puede acceder a esos bloques CIDR desde Internet.
Conectividad a una red de VPC
Distributed Cloud incluye una solución de VPN integrada que te permite conectar un clúster de Distributed Cloud directamente a una instancia de VPC si esa instancia se encuentra en el mismo proyecto deGoogle Cloud que el clúster de Distributed Cloud.
Si usas Cloud Interconnect para conectar tu red local a una instancia de VPC, tus clústeres de Distributed Cloud pueden acceder a esa instancia a través del peering de eBGP estándar de norte a sur. Tus routers perimetrales de intercambio de tráfico deben poder acceder a los prefijos de VPC adecuados, y tus routers de Cloud Interconnect deben anunciar correctamente tus prefijos de Distributed Cloud, como las subredes del sistema, de administración y del balanceador de cargas de Distributed Cloud.
Después de establecer una conexión de VPN entre tu clúster de Distributed Cloud y tu red de VPC, se aplican las siguientes reglas de conectividad de forma predeterminada:
- Tu red de VPC puede acceder a todos los Pods del clúster de Distributed Cloud.
- Todos los Pods del clúster de Distributed Cloud pueden acceder a todos los Pods de tus clústeres nativos de VPC. En el caso de los clústeres basados en rutas, debes configurar manualmente las rutas anunciadas personalizadas.
- Todos los Pods del clúster de Distributed Cloud pueden acceder a las subredes de máquina virtual en tu red de VPC.
Conectividad a las APIs y los servicios de Google Cloud
Después de configurar una conexión de VPN a tu red de VPC, las cargas de trabajo que se ejecutan en tu instalación de Distributed Cloud pueden acceder a las Google Cloud APIs y los servicios.
Además, puedes configurar las siguientes funciones si los requisitos de tu empresa lo exigen:
- Acceso privado a Google para acceder a Google Cloud APIs y servicios
- Private Service Connect para usar extremos de servicio privados y acceder a las Google Cloud APIs
Seguridad de red
Los requisitos de tu empresa y la política de seguridad de red de tu organización dictan los pasos necesarios para proteger el tráfico de red que entra y sale de tu instalación de Distributed Cloud. Para obtener más información, consulta las prácticas recomendadas de seguridad.
Otras funciones de redes
Distributed Cloud admite las siguientes funciones de redes:
Compatibilidad con redes de alto rendimiento
Distributed Cloud admite la ejecución de cargas de trabajo que requieren el mejor rendimiento de redes posible. Para ello, Distributed Cloud incluye un operador de funciones de red especializado y un conjunto de definiciones de recursos personalizados (CRD) de Kubernetes que implementan las funciones necesarias para la ejecución de cargas de trabajo de alto rendimiento.
Distributed Cloud también admite la virtualización de interfaces de red con SR-IOV.
Compatibilidad con cargas de trabajo de máquinas virtuales
Distributed Cloud puede ejecutar cargas de trabajo en máquinas virtuales además de en contenedores. Para obtener más información, consulta Administra máquinas virtuales.
Para obtener información sobre cómo las máquinas virtuales son un componente esencial de la plataforma de Google Distributed Cloud, consulta Extiende GKE Enterprise para administrar VMs perimetrales locales.
Compatibilidad con cargas de trabajo de GPU
Distributed Cloud puede ejecutar cargas de trabajo basadas en GPU en GPU NVIDIA Tesla T4. Debes especificar este requisito cuando pidas tu hardware de Distributed Cloud. Para obtener más información, consulta Administra cargas de trabajo de GPU.