Nesta página, descrevemos como o Google Distributed Cloud Connected funciona, incluindo informações sobre infraestrutura, hardware, armazenamento e recursos de rede.
O Google Distributed Cloud Connected consiste nos seguintes componentes:
- A infraestrutura conectada do Distributed Cloud. O Google fornece, implanta e mantém o hardware conectado do Distributed Cloud, incluindo o gerenciamento remoto por uma equipe dedicada do Google.
- O serviço do Distributed Cloud conectado. Com ele, é possível gerenciar seus clusters conectados e pools de nós do Distributed Cloud usando a Google Cloud CLI e a API Distributed Cloud Edge Container.
Os clusters conectados do Distributed Cloud são registrados na sua
frota, e você pode usar a ferramenta CLI
kubectldo Kubernetes para interagir com eles.
Formatos do Distributed Cloud conectado
O Distributed Cloud Connected está disponível em um dos seguintes formatos:
Rack do Distributed Cloud. Esse formato é compatível com clusters de plano de controle local e de nuvem. Há dois tipos de racks do Distributed Cloud:
- Rack independente. Um único rack de seis servidores conectados do Distributed Cloud e dois switches de topo de rack (ToR). É possível implantá-los como instalações autônomas de zona única ou agregá-los em uma zona de vários racks conectando-os a um rack de base.
- Rack básico. Um par de racks, cada um contendo seis servidores conectados do Distributed Cloud, dois switches de topo de rack (ToR) e dois switches agregadores. Com um rack básico, é possível criar implantações de vários racks agregando os recursos de um ou mais racks autônomos. Uma zona que contém um rack de base pode ter no mínimo dois e no máximo dez racks, incluindo os dois racks que compõem o rack de base.
Servidor do Distributed Cloud conectado. Um servidor independente do Distributed Cloud conectado que se conecta diretamente à sua rede local por switches ToR próprios. Esse formato só é compatível com clusters de plano de controle local. Os servidores conectados do Distributed Cloud só podem ser implantados em grupos de três.
A tabela a seguir descreve as diferenças entre os racks conectados do Distributed Cloud e os servidores conectados do Distributed Cloud.
Funcionalidade Rack conectado do GDC Servidor conectado ao GDC Formato físico Rack totalmente preenchido
(2 switches ToR, 6 máquinas para montagem em rack, opcionalmente 2 switches agregadores)Máquina de rack de meia profundidade 1RU
(implantada em grupos de 3)Fonte de alimentação CA e CC Somente AC Tipo de cluster Plano de controle da nuvem e plano de controle local Apenas plano de controle local Workloads de GPU Sim Sem suporte Conectividade de rede local Camada 3, compatível com BGP Camada 2, BGP não compatível Redes EdgeNetwork Totalmente configurável Apenas uma rede (padrão) Sub-redes do EdgeNetwork CIDR e ID da VLAN Somente ID da VLAN Interconexões do EdgeNetwork Sim Sem suporte Anexos de interconexão do EdgeNetwork Sim Sem suporte Conexões VPN do EdgeNetwork Sim Sem suporte Conectividade VPC Sim Sem suporte Symcloud Storage Sim Sim Operador de função de rede Sim Sem suporte SR-IOV Sim Sem suporte
Infraestrutura conectada do Distributed Cloud
O Google fornece, implanta, opera e mantém o hardware dedicado que executa sua zona conectada do Distributed Cloud. Os nós conectados da Distributed Cloud que executam suas cargas de trabalho são executados exclusivamente nesse hardware.
O hardware executa vários nós agrupados em pools de nós, que podem ser atribuídos a clusters na sua zona conectada do Distributed Cloud. Você pode configurar sua rede para que as cargas de trabalho executadas em clusters conectados do Distributed Cloud estejam disponíveis apenas para seus usuários locais ou acessíveis pela Internet. Também é possível configurar sua rede para permitir que apenas nós conectados do Distributed Cloud usem recursos locais ou se comuniquem com cargas de trabalho, como instâncias de máquina virtual (VM) do Compute Engine e pods do Kubernetes em execução em uma rede de nuvem privada virtual (VPC) por uma conexão de rede segura do Cloud VPN com uma rede VPC.
Gerenciamento do Distributed Cloud conectado
Os nós conectados do Distributed Cloud não são recursos independentes e precisam permanecer conectados ao Google Cloud para fins de gerenciamento e monitoramento do plano de controle. Para clusters do plano de controle do Cloud, os nós do plano de controle do Distributed Cloud Connected são hospedados na região Google Cloud designada, e os nós de trabalho correspondentes do Distributed Cloud Connected no local exigem uma conexão de rede constante com Google Cloud. Para clusters locais do plano de controle, os nós do plano de controle são executados localmente no hardware conectado do Distributed Cloud, e as cargas de trabalho continuam sendo executadas enquanto o Distributed Cloud está desconectado de Google Cloud por até sete dias.
O Google gerencia remotamente as máquinas físicas e os switches ToR que constituem sua implantação conectada do Distributed Cloud. Isso inclui instalar atualizações de software e patches de segurança e resolver problemas de configuração. O administrador de rede também pode monitorar a integridade e o desempenho dos clusters e nós conectados do Distributed Cloud e trabalhar com o Google para resolver problemas.
Depois que o Google implantar o hardware conectado do Distributed Cloud no local designado, o administrador do cluster poderá começar a configurar o cluster conectado do Distributed Cloud de maneira semelhante a um cluster convencional do Kubernetes. Eles podem atribuir máquinas a pools de nós e pools de nós a clusters, além de conceder acesso aos proprietários de aplicativos conforme exigido pelas funções. No entanto, o administrador do cluster precisa ter em mente as limitações de processamento e armazenamento das máquinas no rack conectado e no cluster de plano do Distributed Cloud, além de configurar a carga de trabalho de acordo.
O Distributed Cloud Connected oferece uma API para configurar clusters e pools de nós.
Acesso à zona conectada do Distributed Cloud
É possível configurar sua rede para permitir o nível de acesso desejado à sua zona conectada do Distributed Cloud, tanto da sua rede local quanto da Internet.
Também é possível conceder à sua zona conectada do Distributed Cloud acesso aos serviços do Google Cloud conectando-a à sua rede VPC. O Distributed Cloud Connected usa o Cloud VPN para se conectar aos endpoints de serviço do Google. Seu administrador de rede precisa configurar a rede para permitir isso.
Personas do Distributed Cloud conectado
As seguintes personas estão envolvidas na implantação e operação da sua zona conectada do Distributed Cloud:
Técnico de campo do Google. Fornece, instala e ativa o hardware conectado do Distributed Cloud no local designado. O administrador da rede trabalha com os técnicos do Google para conectar o hardware à fonte de energia e à rede.
Engenheiro de confiabilidade do site (SRE) do Google. Monitora e gerencia o hardware conectado do Distributed Cloud. Isso inclui resolver problemas de configuração, instalar patches e atualizações e manter a segurança.
Administrador de rede. Configura e mantém a conectividade de rede e o controle de acesso entre o hardware conectado do Distributed Cloud e sua rede local. Isso inclui configurar suas regras de roteamento e firewall para garantir que todos os tipos necessários de tráfego de rede possam fluir livremente entre o hardware do Distributed Cloud, Google Cloud, os clientes que consomem suas cargas de trabalho conectadas do Distributed Cloud, repositórios de dados internos e externos e assim por diante. O administrador de rede precisa ter acesso ao console do Google Cloud para monitorar o status das máquinas conectadas do Distributed Cloud. O administrador de rede também configura os recursos de rede do Distributed Cloud.
Administrador do cluster. Implanta e mantém clusters conectados do Distributed Cloud na sua organização. Isso inclui configurar permissões, geração de registros e provisionamento de cargas de trabalho para cada cluster. O administrador do cluster atribui nós a pools de nós e pools de nós a clusters conectados do Distributed Cloud. O administrador do cluster precisa entender as diferenças operacionais entre o cluster conectado do Distributed Cloud e um cluster tradicional do Kubernetes, como os recursos de processamento e armazenamento do hardware conectado do Distributed Cloud, para configurar e implantar corretamente as cargas de trabalho.
Proprietário do aplicativo. Um engenheiro de software responsável por desenvolver e/ou implantar e monitorar um aplicativo em execução em um cluster conectado do Distributed Cloud. Os proprietários de aplicativos em um cluster conectado da Distributed Cloud precisam entender as limitações de tamanho e local dos clusters, bem como as ramificações da implantação de um aplicativo na borda, como desempenho e latência.
Hardware de rack conectado do Distributed Cloud
A Figura 1 mostra uma configuração típica de rack conectado do Distributed Cloud.
Os componentes de uma instalação de rack conectado do Distributed Cloud são os seguintes:
Google Cloud. O tráfego entre a instalação conectada do Distributed Cloud e Google Cloud inclui tráfego de gerenciamento de hardware, tráfego do plano de controle e tráfego do Cloud VPN para serviços Google Cloude cargas de trabalho em execução. Ele também pode incluir tráfego da VPC, se aplicável.
Internet. Tráfego criptografado do plano de controle e gerenciamento entre a instalação conectada do Distributed Cloud e Google Cloud na Internet. O Distributed Cloud Connected não aceita conexões de Internet por proxy.
Rede local. A rede local externa ao rack do Distributed Cloud que conecta os roteadores de borda de peering à Internet.
Roteadores de borda de peering. Os roteadores da sua rede local que fazem interface com os switches ToR do Distributed Cloud. Dependendo do local físico escolhido para a instalação do Distributed Cloud, os roteadores de borda de peering podem ser de propriedade e mantidos pela sua organização ou pelo seu data center. É necessário configurar esses roteadores para usar o protocolo de gateway de borda (BGP) para fazer peering com os switches ToR e anunciar uma rota padrão para o hardware conectado do Distributed Cloud. Também é necessário configurar esses roteadores, bem como os firewalls correspondentes, para permitir o tráfego de gerenciamento de dispositivos do Google, o tráfego do plano de controle conectado do Distributed Cloud e o tráfego do Cloud VPN, se aplicável.
Dependendo dos requisitos da sua empresa, você pode configurar esses roteadores da seguinte forma:
- Permita que os nós conectados do Distributed Cloud acessem a Internet usando a conversão de endereços de rede (NAT) pública ou a exposição direta a endereços IP públicos.
- Permita uma conexão VPN com sua rede VPC e os serviçosGoogle Cloud desejados.
Switches de topo de rack (ToR, na sigla em inglês). Os switches de camada 3 que conectam as máquinas no rack e fazem interface com sua rede local. Esses switches são falantes de BGP e processam o tráfego de rede entre o rack conectado do Distributed Cloud e seu equipamento de rede local. Eles se conectam aos roteadores de borda de peering usando pacotes do Link Aggregation Control Protocol (LACP).
Alternâncias de agregador. Os switches de camada 3 estão presentes apenas nos racks básicos que conectam os switches ToR dos racks independentes e agregam o tráfego deles para formar uma rede de cluster de vários racks. É possível conectar até 20 switches ToR de rack independente ao conjunto de quatro switches agregadores presentes em um rack de base, totalizando 10 racks independentes. Os switches agregadores se conectam aos roteadores de borda de peering.
Máquinas. As máquinas físicas que executam o software conectado do Distributed Cloud e executam suas cargas de trabalho. Cada máquina física é um nó no cluster conectado do Distributed Cloud.
Hardware de servidor conectado do Distributed Cloud
A Figura 2 mostra uma configuração típica de servidor conectado do Distributed Cloud.
Os componentes de uma instalação de servidor conectado do Distributed Cloud são os seguintes:
O tráfego entre a instalação conectada do Distributed Cloud Google Cloud. e Google Cloud inclui gerenciamento de hardware e tráfego de registros de auditoria. Ele também pode incluir tráfego da VPC, se aplicável.
Internet. O tráfego criptografado de gerenciamento e de registros de auditoria entre a instalação conectada do Distributed Cloud e o Google Cloud viaja pela Internet. O Distributed Cloud Connected não aceita conexões de Internet por proxy.
Rede local. Sua rede local a que os servidores conectados do Distributed Cloud se conectam por switches ToR da camada 2.
Switches de topo de rack (ToR, na sigla em inglês). Seus switches da camada 2 que conectam as máquinas servidoras e fazem interface com sua rede local. Cada máquina do servidor conectado do Distributed Cloud requer, no mínimo, uma conexão na banda e uma fora da banda a um único switch ToR. O Google recomenda usar dois switches ToR e duas conexões no mesmo canal por máquina (uma por switch) para aumentar a confiabilidade. Cada máquina de servidor conectada do Distributed Cloud se conecta aos switches ToR da seguinte maneira:
- Conectividade na banda. Cada máquina de servidor conectado do Distributed Cloud se conecta a um ou aos dois switches ToR para conectividade na banda. Essas conexões transportam o tráfego da carga de trabalho. Configure-os como troncos 802.1q e a VLAN nativa correspondente como a rede a que pertencem as interfaces de rede de gerenciamento conectadas ao Distributed Cloud. Se você precisar de mais conectividade de carga de trabalho, poderá fazer o trunking de outras VLANs identificadas para os servidores conectados do Distributed Cloud.
- Conectividade fora da banda. Cada servidor conectado do Distributed Cloud também se conecta a um switch ToR para conectividade fora da banda, o que permite que os servidores conectados do Distributed Cloud se comuniquem entre si. Coloque as portas de switch fora da banda na mesma VLAN.
Máquinas. As máquinas de servidor físicas do Distributed Cloud conectado que executam o software do Distributed Cloud conectado e suas cargas de trabalho. Cada máquina física é um nó no cluster conectado do Distributed Cloud.
Serviço do Distributed Cloud
O serviço conectado do Distributed Cloud é executado em Google Cloudpara clusters de plano de controle do Cloud ou diretamente no hardware do Distributed Cloud para clusters de plano de controle local. Ele serve como um plano de controle para os nós e clusters no hardware do Distributed Cloud Connected.
Para clusters remotos do plano de controle, o Distributed Cloud precisa se conectar ao Google Cloud em todos os momentos e não pode funcionar sem essa conexão. Para clusters de plano de controle local, as cargas de trabalho continuam sendo executadas mesmo que o Distributed Cloud não consiga se conectar a Google Cloud por até 7 dias. Após esse período, o Distributed Cloud precisará se comunicar com Google Cloud para atualizar tokens de autenticação, chaves de criptografia de armazenamento e sincronizar dados de gerenciamento de hardware e registros de auditoria.
Esse plano de controle cria uma instância e configura sua zona conectada do Distributed Cloud. O data center específico do Google a que o hardware do Distributed Cloud se conecta para gerenciamento é escolhido de acordo com a proximidade da instalação conectada do Distributed Cloud.
Uma zona conectada da nuvem distribuída consiste nas máquinas instaladas nos racks conectados da nuvem distribuída ou nas máquinas de servidor conectadas da nuvem distribuída implantadas no local. Com o rack conectado do Distributed Cloud, é possível atribuir essas máquinas, instanciadas como nós do Kubernetes, a um pool de nós e o pool a um cluster do Distributed Cloud. Com os servidores conectados do Distributed Cloud, os pools de nós são preenchidos automaticamente e não podem ser configurados.
A Figura 3 mostra a organização lógica das entidades conectadas do Distributed Cloud.
As entidades são as seguintes:
Google Cloud region. A regiãoGoogle Cloud da sua zona conectada do Distributed Cloud é determinada pela localização do data center do Google mais próximo da sua instalação do Distributed Cloud.
Plano de controle do Kubernetes Cloud. Por padrão, o plano de controle do Kubernetes para cada cluster conectado do Distributed Cloud é executado remotamente em um data center do Google na região Google Cloud a que seu cluster conectado do Distributed Cloud está atribuído. Isso permite que o Distributed Cloud Connected se beneficie de um plano de controle seguro e altamente disponível sem ocupar a capacidade de processamento nas máquinas físicas do Distributed Cloud Connected. Os clusters do plano de controle da nuvem não estão disponíveis nos servidores conectados do Google Distributed Cloud.
Plano de controle local do Kubernetes. A partir da versão 1.5.0 do Google Distributed Cloud Connected, é possível configurar um cluster do Distributed Cloud Connected para usar um plano de controle local em vez do plano de controle padrão da nuvem. Um cluster de plano de controle local pode entrar no modo de sobrevivência quando a conexão com Google Cloud é perdida temporariamente, permitindo que suas cargas de trabalho continuem sendo executadas até que a conexão seja restaurada. Esse é o único tipo de cluster disponível nos servidores conectados do Distributed Cloud. Para mais informações, consulte Modo de capacidade de sobrevivência.
Zona do Distributed Cloud. Uma abstração lógica que representa o hardware do Distributed Cloud conectado implantado no seu local. Uma zona do Distributed Cloud abrange um único rack conectado do Distributed Cloud ou todas as máquinas de servidor conectadas do Distributed Cloud implantadas no seu local. As máquinas físicas na zona são instanciadas como máquinas conectadas do Distributed Cloud no console Google Cloud . As máquinas em uma zona conectada da nuvem distribuída compartilham uma única malha de rede ou um único domínio de falha. O Google cria suas máquinas antes de entregar o hardware conectado do Distributed Cloud. Não é possível criar, excluir ou modificar máquinas conectadas do Distributed Cloud.
Node. Um nó é um recurso do Kubernetes que cria uma máquina física do Distributed Cloud Connected no ambiente do Kubernetes ao criar um pool de nós, disponibilizando-o para executar cargas de trabalho ao atribuir o pool de nós a um cluster do Distributed Cloud Connected.
Pool de nós. Um agrupamento lógico de nós conectados da nuvem distribuída em uma única zona conectada da nuvem distribuída que permite atribuir nós da nuvem distribuída a clusters da nuvem distribuída. Para servidores conectados do Distributed Cloud, os pools de nós são instanciados e preenchidos automaticamente.
Cluster. Um cluster conectado do Distributed Cloud que consiste em um plano de controle e um ou mais pools de nós.
Conexão VPN. Um túnel VPN para uma rede VPC em execução em um projetoGoogle Cloud . Esse túnel permite que suas cargas de trabalho conectadas do Distributed Cloud acessem recursos do Compute Engine conectados a essa rede VPC. É necessário criar pelo menos um pool de nós na sua zona antes de criar uma conexão VPN. Os servidores conectados do Distributed Cloud não são compatíveis com conexões VPN.
Armazenamento
O Distributed Cloud Connected oferece 3,3 TiB de armazenamento utilizável por máquina física no rack do Distributed Cloud Connected. Esse armazenamento é configurado como volumes lógicos do Linux. Ao criar um cluster, o Distributed Cloud cria um ou mais PersistentVolumes e os expõe como volumes de blocos que podem ser atribuídos a uma carga de trabalho usando PersistentVolumeClaims. Esses PersistentVolumes não oferecem durabilidade de dados e são adequados apenas para dados efêmeros. Para informações sobre como trabalhar com volumes de blocos, consulte PersistentVolumeClaim solicitando um volume de bloco bruto.
Para servidores conectados do Distributed Cloud, o armazenamento é abstraído exclusivamente pelo Rakuten Symcloud Storage. Cada máquina de servidor conectado do Distributed Cloud oferece 1 TB de armazenamento utilizável.
Segurança de armazenamento
O Distributed Cloud Connected usa LUKS para criptografar o armazenamento da máquina local e oferece suporte a chaves de criptografia gerenciadas pelo cliente (CMEK). Para mais informações, consulte Práticas recomendadas de segurança.
Integração do Symcloud Storage
Nos racks conectados do Google Distributed Cloud, é possível configurar o Distributed Cloud para usar o Rakuten Symcloud Storage, que atua como uma camada de abstração de armazenamento local em cada nó de rack conectado do Distributed Cloud e disponibiliza o armazenamento local para cargas de trabalho executadas em outros nós conectados do Distributed Cloud. Em servidores conectados do Distributed Cloud, o Symcloud Storage é a opção de armazenamento padrão e única disponível. Os servidores conectados da nuvem distribuída não expõem o armazenamento local como volumes lógicos do Linux.
Para mais informações, consulte Configurar o Distributed Cloud Connected para o Symcloud Storage.
Rede
Nesta seção, descrevemos os requisitos e recursos de conectividade de rede do Distributed Cloud Connected.
O Google pré-configura alguns dos componentes de rede virtual para sua instalação antes de enviar o hardware conectado do Distributed Cloud para você. Não é possível modificar as configurações pré-configuradas depois que o hardware é entregue.
A Figura 3 mostra a topologia da rede virtual em uma implantação conectada do Distributed Cloud.
Os componentes da rede virtual em uma implantação conectada do Distributed Cloud são os seguintes:
Rede: Uma rede virtual com um espaço de endereço particular na sua zona conectada da nuvem distribuída. Uma rede é isolada da camada 3 de outras redes virtuais na zona e pode conter uma ou mais sub-redes. A rede virtual abrange todas as máquinas físicas no rack conectado do Distributed Cloud. Uma única zona conectada do Distributed Cloud aceita no máximo 20 redes. Os servidores conectados do Distributed Cloud só oferecem suporte a uma única rede, a padrão criada quando um cluster de servidor conectado do Distributed Cloud é instanciado.
Subrede. Uma sub-rede VLAN de camada 2 e camada 3 em uma rede do Distributed Cloud. Uma sub-rede tem seu próprio domínio de transmissão e um ou mais intervalos de endereços IPv4 de sua escolha. As sub-redes na mesma rede são isoladas na camada 2, mas podem se comunicar entre si na camada 3. Os nós em sub-redes diferentes na mesma rede podem se comunicar usando os endereços IP. No entanto, os nós em sub-redes dentro de redes diferentes não podem se comunicar entre si. Os servidores conectados do Distributed Cloud só oferecem suporte ao gerenciamento de sub-redes usando IDs de VLAN.
Router. Uma instância de roteador virtual que controla o tráfego em uma rede do Distributed Cloud. O administrador de rede usa um roteador para configurar uma sessão de peering do BGP em uma conexão de interconexão entre uma rede do Distributed Cloud e sua rede local para que os pods do Distributed Cloud possam anunciar os prefixos de rede na sua rede local. Por padrão, os roteadores reanunciam as rotas recebidas das sub-redes do Distributed Cloud. O Distributed Cloud aceita um roteador por rede. Os servidores conectados do Distributed Cloud não são compatíveis com roteadores.
Interconexão. Um link lógico agrupado entre uma rede do Distributed Cloud e sua rede local. Uma interconexão é composta de um ou mais links físicos. Durante a inicialização inicial, o Google cria as interconexões solicitadas quando você pediu o Distributed Cloud Connected. Não é possível criar, modificar ou remover interconexões depois que o rack conectado do Distributed Cloud estiver funcionando. Por padrão, o Google cria quatro interconexões para oferecer alta disponibilidade à sua instalação. Os servidores conectados do Distributed Cloud não são compatíveis com interconexões.
Anexo de interconexão. Um link virtual entre uma interconexão e um roteador que isola a rede do Distributed Cloud correspondente da sua rede local. O tráfego que flui por um anexo de interconexão pode ser sem tag ou com uma tag de ID da VLAN de sua escolha. Você cria anexos de interconexão com base nos requisitos da sua empresa. Os servidores do Distributed Cloud não são compatíveis com anexos de interconexão.
Os componentes de rede conectados da nuvem distribuída são semelhantes aos equivalentes do Google Cloud , mas com as seguintes diferenças:
Os componentes de rede conectados da nuvem distribuída são locais para a zona conectada da nuvem distribuída em que são instanciados.
Uma rede do Distributed Cloud não tem conectividade direta com uma rede VPC.
Por padrão, as redes do Distributed Cloud não têm conectividade entre si em diferentes zonas conectadas do Distributed Cloud. Você pode configurar explicitamente a rede entre zonas.
O administrador de rede configura os componentes de rede conectados do Distributed Cloud, exceto as interconexões, que o Google configura antes de enviar o hardware conectado do Distributed Cloud para você.
O administrador de rede precisa ter o papel de Administrador da rede de borda (roles/edgenetwork.admin) no projeto de destino Google Cloud . Já os desenvolvedores de aplicativos que implantam cargas de trabalho no Distributed Cloud Connected precisam ter o papel de Leitor da rede de borda (roles/edgenetwork.viewer) no projeto de destino Google Cloud .
Conectividade com sua rede local
Para o tráfego de saída para recursos na sua rede local, os pods em um cluster conectado do Distributed Cloud usam as rotas padrão anunciadas pelos roteadores de borda de peering. O Distributed Cloud Connected usa o NAT integrado para conectar pods a esses recursos.
Para o tráfego de entrada de recursos na sua rede local, o administrador de rede precisa configurar políticas de roteamento que atendam aos requisitos da sua empresa para controlar o acesso aos pods em cada um dos clusters conectados do Distributed Cloud. Isso significa, no mínimo, concluir as etapas em Configuração do firewall e configurar outras políticas conforme exigido pelas suas cargas de trabalho. Por exemplo, é possível configurar políticas de permissão/negação para sub-redes de nós individuais ou endereços IP virtuais expostos pelo balanceador de carga integrado no Distributed Cloud Connected. Os blocos de CIDR do pod conectado e do serviço conectado do Distributed Cloud não são acessíveis diretamente.
Conectividade à Internet
Para o tráfego de saída para recursos na Internet, os pods em um cluster conectado do Distributed Cloud usam a rota padrão anunciada pelos roteadores para os switches ToR conectados do Distributed Cloud. Isso significa, no mínimo, concluir as etapas em Configuração do firewall e configurar outras políticas conforme exigido pelas suas cargas de trabalho. O Distributed Cloud Connected usa o NAT integrado para conectar pods a esses recursos. Você pode configurar sua própria camada de NAT além da camada integrada no Distributed Cloud Connected.
Para o tráfego de entrada, configure os roteadores WAN de acordo com os requisitos da sua empresa. Esses requisitos determinam o nível de acesso que você precisa fornecer da Internet pública aos pods nos clusters conectados do Distributed Cloud. O Distributed Cloud Connected usa o NAT integrado para blocos CIDR de pod e de gerenciamento de serviços. Portanto, esses blocos não podem ser acessados pela Internet.
Conectividade com uma rede VPC
O Distributed Cloud Connected inclui uma solução de VPN integrada que permite conectar um cluster do Distributed Cloud Connected diretamente a uma instância de VPC se essa instância estiver no mesmo projetoGoogle Cloud do cluster do Distributed Cloud Connected.
Se você usa o Cloud Interconnect para conectar sua rede local a uma instância de VPC, os clusters conectados do Distributed Cloud podem acessar essa instância usando o peering eBGP padrão de sentido norte. Os roteadores de borda de peering precisam conseguir alcançar os prefixos de VPC adequados, e os roteadores do Cloud Interconnect precisam anunciar corretamente os prefixos conectados do Distributed Cloud, como balanceador de carga, gerenciamento e sub-redes do sistema conectados ao Distributed Cloud.
Depois de estabelecer uma conexão VPN entre o cluster conectado do Distributed Cloud e a rede VPC, as seguintes regras de conectividade serão aplicadas por padrão:
- Sua rede VPC pode acessar todos os pods no cluster conectado do Distributed Cloud.
- Todos os pods no cluster conectado do Distributed Cloud podem acessar todos os pods nos clusters nativos da VPC. Para clusters baseados em rotas, configure manualmente as rotas divulgadas personalizadas.
- Todos os pods no cluster conectado do Distributed Cloud podem acessar sub-redes máquina virtual na sua rede VPC.
A funcionalidade descrita nesta seção não está disponível em servidores conectados do Distributed Cloud.
Conectividade com APIs e serviços do Google Cloud
Depois de configurar uma conexão VPN com sua rede VPC, as cargas de trabalho em execução na instalação conectada do Distributed Cloud podem acessar APIs e serviços do Google Cloud .
Além disso, você pode configurar os seguintes recursos se os requisitos da sua empresa exigirem:
- Acesso privado do Google para acessar APIs e serviços do Google Cloud
- Private Service Connect para usar endpoints de serviço particulares e acessar Google Cloud APIs
A conectividade VPN não está disponível em servidores conectados do Distributed Cloud.
Segurança de rede
Os requisitos da sua empresa e a política de segurança de rede da organização determinam as etapas necessárias para proteger o tráfego de rede que entra e sai da instalação conectada do Distributed Cloud. Para mais informações, consulte Práticas recomendadas de segurança.
Outros recursos de rede
O Distributed Cloud Connected é compatível com os seguintes recursos de rede:
Suporte a redes de alto desempenho
Os racks conectados do Distributed Cloud oferecem suporte à execução de cargas de trabalho que exigem o melhor desempenho de rede possível. Para isso, o Distributed Cloud Connected vem com um operador de função de rede especializado e um conjunto de CustomResourceDefinitions (CRDs) do Kubernetes que implementam os recursos necessários para a execução de cargas de trabalho de alta performance.
Os racks conectados do Distributed Cloud também oferecem suporte à virtualização de interfaces de rede usando SR-IOV.
Os recursos descritos nesta seção não estão disponíveis em servidores conectados do Distributed Cloud.
Suporte a cargas de trabalho de máquinas virtuais
O Distributed Cloud Connected pode executar cargas de trabalho em máquinas virtuais, além de contêineres. Para mais informações, consulte Gerenciar máquinas virtuais.
Para saber como as máquinas virtuais são um componente essencial da plataforma conectada do Google Distributed Cloud, consulte Extensão do GKE Enterprise para gerenciar VMs de edge locais.
Suporte a cargas de trabalho de GPU
O Distributed Cloud Connected pode executar cargas de trabalho baseadas em GPU nas GPUs NVIDIA Tesla T4. Você precisa especificar esse requisito ao pedir o hardware conectado do Distributed Cloud. Para mais informações, consulte Gerenciar cargas de trabalho de GPU.
Essa funcionalidade não está disponível em servidores conectados do Distributed Cloud.