Questa pagina descrive il funzionamento di Google Distributed Cloud connected, incluse informazioni su infrastruttura, hardware, archiviazione e funzionalità di rete.
Google Distributed Cloud connesso è costituito dai seguenti componenti:
- L'infrastruttura di Distributed Cloud connesso. Google fornisce, esegue il deployment e gestisce l'hardware Distributed Cloud Connected, inclusa la gestione remota da parte di un team Google dedicato.
- Il servizio Distributed Cloud connesso. Questo servizio ti consente di gestire i cluster e i pool di nodi connessi a Distributed Cloud utilizzando Google Cloud CLI e l'API Distributed Cloud Edge Container.
I cluster connessi Distributed Cloud sono registrati nel tuo parco risorse e puoi utilizzare lo strumento CLI
kubectldi Kubernetes per interagire con loro.
Fattori di forma di Distributed Cloud connected
Distributed Cloud connected è disponibile in uno dei seguenti fattori di forma:
Rack Distributed Cloud. Questo fattore di forma supporta sia i cluster del control plane locale sia quelli del control plane cloud. Esistono due tipi di rack Distributed Cloud:
- Rack autonomo. Un singolo rack di sei server Distributed Cloud connessi e due switch top-of-rack (ToR). Puoi eseguirne il deployment come installazioni autonome a zona singola oppure aggregale in una zona multirack collegandole a un rack base.
- Portapacchi di base. Una coppia di rack, ognuno contenente sei server Distributed Cloud connected, due switch top-of-rack (ToR) e due switch di aggregazione. Un rack base ti consente di creare implementazioni multirack aggregando le risorse di uno o più rack autonomi. Una zona contenente un rack base può avere un minimo di due e un massimo di dieci rack, inclusi i due rack che compongono il rack base.
Server Distributed Cloud connesso. Un server connesso a Distributed Cloud autonomo che si connette direttamente alla rete locale tramite i tuoi switch ToR. Questo fattore di forma supporta solo i cluster del control plane locale. I server connessi a Distributed Cloud possono essere sottoposti a deployment solo in gruppi di tre.
La tabella seguente descrive le differenze tra i rack Distributed Cloud connessi e i server Distributed Cloud connessi.
Funzionalità Rack GDC connesso Server GDC Connected Fattore di forma fisico Rack completamente popolato
(2 switch ToR, 6 macchine montate su rack, 2 switch di aggregazione opzionali)Macchina rackmount a metà profondità 1RU
(implementata in gruppi di 3)Alimentatore AC e DC Solo AC Tipo di cluster Control plane cloud e control plane locale Solo control plane locale Workload GPU Supportato Non supportata Connettività di rete locale Livello 3, BGP supportato Livello 2, BGP non supportato Reti EdgeNetwork Completamente configurabile Solo rete singola (predefinita) Subnet EdgeNetwork CIDR e ID VLAN Solo ID VLAN Interconnessioni EdgeNetwork Supportato Non supportata Allegati di interconnessione EdgeNetwork Supportato Non supportata Connessioni VPN EdgeNetwork Supportato Non supportata Connettività VPC Supportato Non supportata Symcloud Storage Supportato Supportato Network Function Operator Supportato Non supportata SR-IOV Supportato Non supportata
Infrastruttura Distributed Cloud connesso
Google fornisce, esegue il deployment, gestisce e mantiene l'hardware dedicato che esegue la zona connessa a Distributed Cloud. I nodi connessi a Distributed Cloud che eseguono i tuoi carichi di lavoro vengono eseguiti esclusivamente su questo hardware.
L'hardware esegue un numero di nodi raggruppati in node pool, che puoi assegnare ai cluster all'interno della zona connessa a Distributed Cloud. Puoi configurare la tua rete in modo che i carichi di lavoro in esecuzione sui cluster connessi a Distributed Cloud siano disponibili solo per gli utenti locali o accessibili da internet. Puoi anche configurare la rete in modo da consentire solo ai nodi connessi a Distributed Cloud di utilizzare le risorse locali o di comunicare con i carichi di lavoro, come le istanze di macchine virtuali (VM) di Compute Engine e i pod Kubernetes in esecuzione in una rete Virtual Private Cloud (VPC) tramite una connessione di rete Cloud VPN sicura a una rete VPC.
Gestione di Distributed Cloud connesso
I nodi Distributed Cloud Connected non sono risorse autonome e devono rimanere connessi a Google Cloud per la gestione e il monitoraggio del control plane. Per i cluster del control plane Cloud, i nodi del control plane Distributed Cloud connected sono ospitati nella regione Google Cloud designata e i nodi dei workload Distributed Cloud connected on-premise corrispondenti richiedono una connessione di rete costante a Google Cloud. Per i cluster del control plane locale, i nodi del control plane vengono eseguiti localmente sull'hardware Distributed Cloud connected e i carichi di lavoro continuano a essere eseguiti mentre Distributed Cloud è disconnesso da Google Cloud per un massimo di sette giorni.
Google gestisce da remoto le macchine fisiche e gli switch ToR che costituiscono il deployment di Distributed Cloud connesso. Ciò include l'installazione di aggiornamenti software e patch di sicurezza e la risoluzione dei problemi di configurazione. L'amministratore di rete può anche monitorare l'integrità e le prestazioni dei cluster e dei nodi di Distributed Cloud connesso e collaborare con Google per risolvere eventuali problemi.
Dopo che Google ha eseguito il deployment dell'hardware Distributed Cloud Connected nella posizione designata, l'amministratore del cluster può iniziare a configurare il cluster Distributed Cloud Connected in modo simile a un cluster Kubernetes convenzionale. Possono assegnare macchine a pool di nodi e pool di nodi a cluster e concedere l'accesso ai proprietari delle applicazioni in base ai requisiti dei loro ruoli. L'amministratore del cluster deve, tuttavia, tenere presente i limiti di elaborazione e archiviazione delle macchine nel rack e nel cluster connessi a Distributed Cloud e pianificare la configurazione di cluster e workload di conseguenza.
Distributed Cloud connesso fornisce un'API per la configurazione di cluster e node pool.
Accesso alla zona connessa a Distributed Cloud
Puoi configurare la rete per consentire il livello di accesso desiderato alla zona connessa a Distributed Cloud, sia dalla rete locale sia da internet.
Puoi anche concedere alla tua zona connessa Distributed Cloud l'accesso ai serviziGoogle Cloud connettendola alla tua rete VPC. Distributed Cloud connesso utilizza Cloud VPN per connettersi agli endpoint di servizio Google. L'amministratore di rete deve configurare la rete per consentirlo.
Personas di Distributed Cloud connesso
Le seguenti persone sono coinvolte nel deployment e nel funzionamento della tua zona connessa a Distributed Cloud:
Tecnico sul campo di Google. Consegna, installa e attiva l'hardware connesso a Distributed Cloud nella posizione designata. L'amministratore di rete collabora con i tecnici Google per collegare l'hardware alla fonte di alimentazione e alla rete.
Google site reliability engineer (SRE). Monitora e gestisce l'hardware connesso a Distributed Cloud. Ciò include la risoluzione dei problemi di configurazione, l'installazione di patch e aggiornamenti e la manutenzione della sicurezza.
Amministratore di rete. Configura e gestisce la connettività di rete e controllo dell'accessoo tra l'hardware connesso a Distributed Cloud e la tua rete locale. Ciò include la configurazione delle regole di routing e firewall per garantire che tutti i tipi di traffico di rete richiesti possano fluire liberamente tra l'hardware Distributed Cloud, Google Cloud, i client che utilizzano i carichi di lavoro connessi a Distributed Cloud, i repository di dati interni ed esterni e così via. L'amministratore di rete deve avere accesso alla console Google Cloud per monitorare lo stato delle macchine Distributed Cloud connesse. L'amministratore di rete configura anche le funzionalità di rete Distributed Cloud.
Amministratore cluster. Esegue il deployment e la manutenzione dei cluster connessi di Distributed Cloud all'interno della tua organizzazione. Ciò include la configurazione di autorizzazioni, logging e provisioning dei carichi di lavoro per ogni cluster. L'amministratore del cluster assegna i nodi ai pool di nodi e i pool di nodi ai cluster Google Distributed Cloud connected. L'amministratore del cluster deve comprendere le differenze operative tra il cluster connesso a Distributed Cloud e un cluster Kubernetes tradizionale, ad esempio le funzionalità di elaborazione e archiviazione dell'hardware connesso a Distributed Cloud, per configurare e distribuire correttamente i workload.
Proprietario dell'applicazione. Un ingegnere software responsabile dello sviluppo e/o del deployment e del monitoraggio di un'applicazione in esecuzione su un cluster Google Distributed Cloud connesso. I proprietari delle applicazioni che possiedono applicazioni su un cluster Google Distributed Cloud connesso devono comprendere i limiti di dimensioni e posizione dei cluster, nonché le conseguenze del deployment di un'applicazione all'edge, come prestazioni e latenza.
Hardware rack connesso a Distributed Cloud
La Figura 1 mostra una tipica configurazione di un rack Distributed Cloud connected.
I componenti di un'installazione di rack Distributed Cloud connected sono i seguenti:
Google Cloud. Il traffico tra l'installazione di Distributed Cloud connessa e Google Cloud include il traffico di gestione hardware, il traffico del control plane e il traffico Cloud VPN verso i servizi Google Cloude qualsiasi carico di lavoro in esecuzione. Può includere anche il traffico VPC, se applicabile.
Internet. Il traffico di gestione e del control plane criptato tra l'installazione di Distributed Cloud Connected e Google Cloud transita su internet. Distributed Cloud connesso non supporta le connessioni a internet tramite proxy.
Rete locale. La rete locale esterna al rack Distributed Cloud che connette i router edge di peering a internet.
Router edge di peering. I router di rete locale che si interfacciano con gli switch ToR di Distributed Cloud. A seconda della posizione fisica che scegli per l'installazione di Distributed Cloud, i router di peering edge possono essere di proprietà e gestiti dalla tua organizzazione o dalla tua struttura di colocation. Devi configurare questi router in modo che utilizzino il protocollo Border Gateway Protocol (BGP) per il peering con gli switch ToR e annuncino una route predefinita all'hardware connesso a Distributed Cloud. Devi anche configurare questi router, nonché tutti i firewall corrispondenti, per consentire il traffico di gestione dei dispositivi di Google, il traffico del piano di controllo connesso di Distributed Cloud e il traffico Cloud VPN, se applicabile.
A seconda dei requisiti della tua attività, puoi configurare questi router come segue:
- Consenti ai nodi connessi di Distributed Cloud di accedere a internet utilizzando la Network Address Translation (NAT) pubblica o l'esposizione diretta agli indirizzi IP pubblici.
- Consenti una connessione VPN alla tua rete VPC e a tutti i serviziGoogle Cloud che preferisci.
Switch top-of-rack (ToR). Gli switch di livello 3 che collegano le macchine all'interno del rack e si interfacciano con la tua rete locale. Questi switch sono speaker BGP e gestiscono il traffico di rete tra il rack connesso a Distributed Cloud e le tue apparecchiature di rete locali. Si connettono ai router di peering perimetrali utilizzando i bundle Link Aggregation Control Protocol (LACP).
Aggregatori. Gli switch di livello 3 presenti solo nei rack di base che collegano gli switch ToR dei rack autonomi e aggregano il loro traffico per formare una rete di cluster multirack. Puoi collegare fino a 20 switch ToR rack autonomi al set di quattro switch di aggregazione presenti in un rack base, per un totale di 10 rack autonomi. Gli switch di aggregazione si connettono ai router di peering perimetrali.
Macchine. Le macchine fisiche che eseguono il software Distributed Cloud connesso ed eseguono i tuoi carichi di lavoro. Ogni macchina fisica è un nodo all'interno del cluster connesso Distributed Cloud.
Hardware del server connesso a Distributed Cloud
La Figura 2 mostra una tipica configurazione del server Distributed Cloud Connected.
I componenti di un'installazione del server connesso a Distributed Cloud sono i seguenti:
Google Cloud. Il traffico tra l'installazione di Distributed Cloud connesso e Google Cloud include la gestione dell'hardware e il traffico di logging di controllo. Se applicabile, può includere anche il traffico VPC.
Internet. Il traffico di gestione e logging di controllo criptato tra l'installazione connessa di Distributed Cloud e Google Cloud viene trasferito su internet. Distributed Cloud connesso non supporta le connessioni a internet tramite proxy.
Rete locale. La tua rete locale a cui si connettono i server Distributed Cloud tramite gli switch ToR di livello 2.
Switch top-of-rack (ToR). Gli switch di livello 2 che collegano le macchine server e si interfacciano con la rete locale. Ogni macchina server Distributed Cloud connessa richiede, come minimo, una connessione in banda e una fuori banda a un singolo switch ToR. Per una maggiore affidabilità, Google consiglia di utilizzare due switch ToR e due connessioni in banda per macchina (una per switch). Ogni macchina server connessa a Distributed Cloud si connette agli switch ToR nel seguente modo:
- Connettività in banda. Ogni macchina server connessa a Distributed Cloud si connette a uno o entrambi gli switch ToR per la connettività in banda. Queste connessioni trasportano il traffico del tuo workload. Devi configurarli come trunk 802.1q e la VLAN nativa corrispondente come rete a cui appartengono le interfacce di rete di gestione connesse a Distributed Cloud. Se hai bisogno di una connettività aggiuntiva per i carichi di lavoro, puoi troncare VLAN taggate aggiuntive ai server connessi a Distributed Cloud.
- Connettività fuori banda. Ogni server Distributed Cloud connesso si connette anche a uno switch ToR per la connettività out-of-band, che consente ai server Distributed Cloud connessi di comunicare tra loro. Devi posizionare le porte dello switch out-of-band all'interno della stessa VLAN.
Macchine. Le macchine server fisiche di Distributed Cloud connected che eseguono il software Distributed Cloud connected ed eseguono i tuoi carichi di lavoro. Ogni macchina fisica è un nodo all'interno del cluster Distributed Cloud connesso.
Servizio Distributed Cloud
Il servizio Distributed Cloud connected viene eseguito su Google Cloud per i cluster del control plane Cloud o direttamente sull'hardware Distributed Cloud per i cluster del control plane locale. Funge da control plane per i nodi e i cluster sull'hardware connesso a Distributed Cloud.
Per i cluster del control plane remoto, Distributed Cloud deve essere in grado di connettersi a Google Cloud in qualsiasi momento e non può funzionare senza questa connessione. Per i cluster del control plane locale, i tuoi carichi di lavoro continuano a essere eseguiti anche se Distributed Cloud non riesce a connettersi a Google Cloud per un massimo di 7 giorni. Al termine di questo periodo, Distributed Cloud deve comunicare con Google Cloud per aggiornare i token di autenticazione, le chiavi di crittografia dell'archiviazione e sincronizzare i dati di gestione dell'hardware e di logging degli audit.
Questo control plane crea e configura la tua zona connessa a Distributed Cloud. Il data center Google specifico a cui si connette l'hardware di Distributed Cloud per la gestione viene scelto in base alla sua vicinanza all'installazione di Distributed Cloud connesso.
Una zona connessa a Distributed Cloud è costituita dalle macchine installate nei rack connessi a Distributed Cloud o dalle macchine server connessi a Distributed Cloud distribuite on-premise. Con il rack Google Distributed Cloud connected, puoi assegnare queste macchine, istanziate come nodi Kubernetes, a un pool di nodi e il pool di nodi a un cluster Google Distributed Cloud. Con i server connessi di Distributed Cloud, i pool di nodi vengono compilati automaticamente e non sono configurabili.
La Figura 3 mostra l'organizzazione logica delle entità Distributed Cloud connected.
Le entità sono le seguenti:
Google Cloud region. La regione per la zona connessa a Distributed Cloud è determinata dalla posizione del data center Google più vicino alla tua installazione di Distributed Cloud.Google Cloud
Control plane Kubernetes Cloud. Il control plane Kubernetes per ogni cluster connesso a Distributed Cloud viene eseguito per impostazione predefinita in remoto in un data center Google nella regione Google Cloud a cui è assegnato il cluster connesso a Distributed Cloud. In questo modo Distributed Cloud connesso può usufruire di un control plane sicuro e ad alta disponibilità senza occupare capacità di elaborazione sulle macchine fisiche di Distributed Cloud connesso. I cluster del piano di controllo cloud non sono disponibili sui server Distributed Cloud Connected.
Control plane locale di Kubernetes. A partire dalla versione 1.5.0 di Google Distributed Cloud connected, hai la possibilità di configurare un cluster Distributed Cloud connected in modo che utilizzi un control plane locale anziché quello cloud predefinito. Un cluster del control plane locale può entrare in modalità di sopravvivenza quando la connessione a Google Cloud viene temporaneamente persa, consentendo ai tuoi workload di continuare a essere eseguiti finché la connessione non viene ripristinata. Questo è l'unico tipo di cluster disponibile sui server connessi di Distributed Cloud. Per saperne di più, vedi Modalità di sopravvivenza.
Zona Distributed Cloud. Un'astrazione logica che rappresenta l'hardware di Distributed Cloud connesso di cui è stato eseguito il deployment nella tua sede. Una zona Distributed Cloud copre un singolo rack connesso a Distributed Cloud o tutte le macchine server connesse a Distributed Cloud implementate nella tua località. Le macchine fisiche nella zona vengono istanziate come macchine Distributed Cloud connected nella console Google Cloud . Le macchine in una zona connessa a Distributed Cloud condividono una singola infrastruttura di rete o un singolo dominio di errore. Google crea le macchine prima di consegnare l'hardware<0xD><0xA>Distributed Cloud connesso. Non puoi creare, eliminare o modificare le macchine connesse a Distributed Cloud.
Nodo. Un nodo è una risorsa Kubernetes che istanzia una macchina fisica Distributed Cloud connessa nel realm Kubernetes quando viene creato un pool di nodi, rendendola disponibile per l'esecuzione dei carichi di lavoro assegnando il pool di nodi a un cluster Distributed Cloud connesso.
Node pool. Un raggruppamento logico di nodi Distributed Cloud connessi all'interno di una singola zona Distributed Cloud connessa che consente di assegnare nodi Distributed Cloud ai cluster Distributed Cloud. Per i server connessi a Distributed Cloud, i pool di nodi vengono istanziati e compilati automaticamente.
Cluster. Un cluster Distributed Cloud Connected composto da un control plane e da uno o più pool di nodi.
Connessione VPN. Un tunnel VPN a una rete VPC in esecuzione in un progettoGoogle Cloud . Questo tunnel consente ai carichi di lavoro connessi a Distributed Cloud di accedere alle risorse Compute Engine connesse a quella rete VPC. Prima di poter creare una connessione VPN, devi creare almeno un pool di nodi nella tua zona. I server Distributed Cloud connected non supportano le connessioni VPN.
Archiviazione
Distributed Cloud connected fornisce 3,3 TiB di spazio di archiviazione utilizzabile per macchina fisica nel rack Distributed Cloud connected. Questo spazio di archiviazione è configurato come volumi logici Linux. Quando crei un cluster, Distributed Cloud crea uno o più PersistentVolume e li espone come volumi a blocchi che puoi assegnare a un carico di lavoro utilizzando PersistentVolumeClaims. Tieni presente che questi PersistentVolume non garantiscono la durabilità dei dati e sono adatti solo ai dati effimeri. Per informazioni sull'utilizzo dei volumi a blocchi, consulta PersistentVolumeClaim che richiede un volume a blocchi non elaborato.
Per i server Distributed Cloud connected, lo spazio di archiviazione viene estratto esclusivamente tramite Rakuten Symcloud Storage. Ogni macchina server connessa a Distributed Cloud fornisce 1 TB di spazio di archiviazione utilizzabile.
Sicurezza dello spazio di archiviazione
Distributed Cloud connesso utilizza LUKS per criptare lo spazio di archiviazione della macchina locale e supporta le chiavi di crittografia gestite dal cliente (CMEK). Per saperne di più, consulta le best practice per la sicurezza.
Integrazione di Symcloud Storage
Sui rack Distributed Cloud connected, puoi configurare Distributed Cloud in modo che utilizzi Rakuten Symcloud Storage, che funge da livello di astrazione dello spazio di archiviazione locale su ogni nodo del rack Distributed Cloud connected e rende disponibile lo spazio di archiviazione locale ai carichi di lavoro in esecuzione su altri nodi Distributed Cloud connected. Sui server connessi a Distributed Cloud, Symcloud Storage è l'unica opzione di archiviazione disponibile e quella predefinita. I server connessi a Distributed Cloud non espongono lo spazio di archiviazione locale come volumi logici Linux.
Per saperne di più, consulta Configurare Distributed Cloud connesso per Symcloud Storage.
Networking
Questa sezione descrive i requisiti e le funzionalità di connettività di rete di Distributed Cloud connetted.
Google preconfigura alcuni componenti di rete virtuale per l'installazione prima di spedirti l'hardware Google Distributed Cloud connesso. Non puoi modificare le impostazioni preconfigurate dopo la consegna dell'hardware.
La figura 3 mostra la topologia della rete virtuale in un'implementazione di Distributed Cloud connected.
I componenti della rete virtuale in un deployment di Distributed Cloud connected sono i seguenti:
Rete. Una rete virtuale con uno spazio di indirizzi privati nella tua zona connessa a Distributed Cloud. Una rete è isolata a livello 3 dalle altre reti virtuali all'interno della zona e può contenere una o più subnet. La rete virtuale copre tutte le macchine fisiche nel rack Distributed Cloud connected. Una singola zona connessa a Distributed Cloud supporta un massimo di 20 reti. I server Distributed Cloud connected supportano una sola rete, quella predefinita creata quando viene istanziato un cluster di server Distributed Cloud connected.
Subnet. Una subnet VLAN di livello 2 e livello 3 all'interno di una rete Distributed Cloud. Una subnet ha un proprio dominio di trasmissione e uno o più intervalli di indirizzi IPv4 a tua scelta. Le subnet all'interno della stessa rete sono isolate a livello 2, ma possono comunicare tra loro a livello 3. I nodi in subnet diverse all'interno della stessa rete possono comunicare tra loro utilizzando i rispettivi indirizzi IP. Tuttavia, i nodi nelle subnet all'interno di reti diverse non possono comunicare tra loro. I server connessi a Distributed Cloud supportano solo la gestione delle subnet utilizzando gli ID VLAN.
Router. Un'istanza di router virtuale che gestisce il traffico all'interno di una rete Distributed Cloud. L'amministratore di rete utilizza un router per configurare una sessione di peering BGP su un collegamento di interconnessione tra una rete Distributed Cloud e la tua rete locale, in modo che i pod Distributed Cloud possano annunciare i prefissi di rete sulla tua rete locale. Per impostazione predefinita, i router riannunciano le route ricevute dalle subnet di Distributed Cloud. Distributed Cloud supporta un router per rete. I server Distributed Cloud Connected non supportano i router.
Interconnessione. Un collegamento logico in bundle tra una rete Distributed Cloud e la tua rete locale. Un'interconnessione è costituita da uno o più link fisici. Durante l'avvio iniziale, Google crea gli interconnessioni che hai richiesto quando hai ordinato Distributed Cloud connected. Le interconnessioni non possono essere create, modificate o rimosse dopo che il rack connesso di Distributed Cloud è attivo e funzionante. Per impostazione predefinita, Google crea quattro interconnessioni per fornire alta disponibilità per l'installazione. I server connessi a Distributed Cloud non supportano le interconnessioni.
Collegamento di interconnessione. Un collegamento virtuale tra un'interconnessione e un router che isola la rete Distributed Cloud corrispondente dalla tua rete locale. Il traffico che scorre attraverso un collegamento di interconnessione può essere non taggato o taggato con un ID VLAN a tua scelta. Crea allegati di interconnessione in base ai requisiti aziendali. I server Distributed Cloud non supportano i collegamenti di interconnessione.
I componenti di rete connessi a Distributed Cloud condividono somiglianze con i loro Google Cloud equivalenti, con le seguenti differenze:
I componenti di rete di Distributed Cloud connesso sono locali alla zona connessa a Distributed Cloud in cui vengono istanziati.
Una rete Distributed Cloud non ha connettività diretta a una rete VPC.
Per impostazione predefinita, le reti Distributed Cloud non hanno connettività tra loro in diverse zone Distributed Cloud connesse. Hai la possibilità di configurare esplicitamente il networking tra zone.
L'amministratore di rete configura i componenti di rete di Distributed Cloud connesso, ad eccezione degli interconnessioni, che Google configura prima di spedire l'hardware Distributed Cloud connesso.
L'amministratore di rete deve disporre del ruolo Edge Network Admin (roles/edgenetwork.admin) nel progetto di destinazione Google Cloud , mentre gli sviluppatori di applicazioni che eseguono il deployment dei carichi di lavoro su Distributed Cloud connesso devono disporre del ruolo Edge Network Viewer (roles/edgenetwork.viewer) nel progetto di destinazione Google Cloud .
Connettività alla rete locale
Per il traffico in uscita verso le risorse sulla tua rete locale, i pod in un cluster connesso Distributed Cloud utilizzano le route predefinite annunciate dai router edge di peering. Distributed Cloud connesso utilizza il NAT integrato per connettere i pod a queste risorse.
Per il traffico in entrata dalle risorse sulla tua rete locale, l'amministratore di rete deve configurare criteri di routing che corrispondano ai requisiti aziendali per controllare l'accesso ai pod in ciascuno dei cluster connessi a Distributed Cloud. Ciò significa, come minimo, completare i passaggi descritti in Configurazione del firewall e configurare policy aggiuntive in base ai requisiti dei tuoi carichi di lavoro. Ad esempio, puoi configurare criteri di autorizzazione/negazione per singole subnet di nodi o indirizzi IP virtuali esposti dal bilanciamento del carico integrato in Distributed Cloud. I blocchi CIDR di Distributed Cloud connected Pod e Distributed Cloud connected Service non sono accessibili direttamente.
Connettività a internet
Per il traffico in uscita verso le risorse su internet, i pod in un cluster connesso a Distributed Cloud utilizzano la route predefinita pubblicizzata dai router agli switch ToR connessi a Distributed Cloud. Ciò significa, come minimo, completare i passaggi descritti in Configurazione firewall e configurare ulteriori criteri in base ai requisiti dei tuoi carichi di lavoro. Distributed Cloud connesso utilizza la NAT integrata per connettere i pod a queste risorse. Facoltativamente, puoi configurare un tuo livello NAT sopra il livello integrato in Distributed Cloud connesso.
Per il traffico in entrata, devi configurare i router WAN in base ai requisiti della tua attività. Questi requisiti determinano il livello di accesso che devi fornire da internet pubblico ai pod nei cluster connessi di Distributed Cloud. Distributed Cloud connesso utilizza il NAT integrato per i blocchi CIDR dei pod e i blocchi CIDR di gestione dei servizi, pertanto questi blocchi CIDR non sono accessibili da internet.
Connettività a una rete VPC
Distributed Cloud Connected include una soluzione VPN integrata che ti consente di connettere un cluster Distributed Cloud Connected direttamente a un'istanza VPC se questa si trova nello stesso progettoGoogle Cloud del cluster Distributed Cloud Connected.
Se utilizzi Cloud Interconnect per connettere la tua rete locale a un'istanza VPC, i cluster connessi di Distributed Cloud possono raggiungere l'istanza utilizzando il peering eBGP standard in direzione nord. I router di peering edge devono essere in grado di raggiungere i prefissi VPC appropriati e i router Cloud Interconnect devono annunciare correttamente i prefissi connessi a Distributed Cloud, ad esempio le subnet di bilanciamento del carico, gestione e sistema connesse a Distributed Cloud.
Dopo aver stabilito una connessione VPN tra il cluster connesso a Distributed Cloud e la rete VPC, per impostazione predefinita si applicano le seguenti regole di connettività:
- La tua rete VPC può accedere a tutti i pod nel cluster connesso a Distributed Cloud.
- Tutti i pod nel cluster connesso Distributed Cloud possono accedere a tutti i pod nei cluster VPC nativi. Per i cluster basati sulle route, devi configurare manualmente le route annunciate personalizzate.
- Tutti i pod nel cluster connesso di Distributed Cloud possono accedere alle subnet delle macchine virtuali nella tua rete VPC.
La funzionalità descritta in questa sezione non è disponibile sui server connessi di Distributed Cloud.
Connettività con Google Cloud API e servizi
Dopo aver configurato una connessione VPN alla rete VPC, i carichi di lavoro in esecuzione nell'installazione connessa di Distributed Cloud possono accedere ad API e servizi. Google Cloud
Se le esigenze della tua attività lo richiedono, puoi configurare anche le seguenti funzionalità:
- Accesso privato Google per accedere alle API e ai servizi Google Cloud
- Private Service Connect per utilizzare endpoint di servizio privati per accedere alle API Google Cloud
La connettività VPN non è disponibile sui server Distributed Cloud connesso.
Sicurezza della rete
I requisiti aziendali e le norme di sicurezza di rete della tua organizzazione dettano i passaggi necessari per proteggere il traffico di rete in entrata e in uscita dall'installazione connessa di Distributed Cloud. Per saperne di più, consulta le best practice per la sicurezza.
Altre funzionalità di networking
Distributed Cloud connesso supporta le seguenti funzionalità di networking:
Supporto di rete ad alte prestazioni
I rack connessi di Distributed Cloud supportano l'esecuzione di carichi di lavoro che richiedono le migliori prestazioni di rete possibili. A questo scopo, Distributed Cloud connected viene fornito con un operatore di funzioni di rete specializzato e un insieme di CustomResourceDefinitions (CRD) di Kubernetes che implementano le funzionalità richieste per l'esecuzione di carichi di lavoro ad alte prestazioni.
I rack Distributed Cloud connected supportano anche la virtualizzazione delle interfacce di rete utilizzando SR-IOV.
Le funzionalità descritte in questa sezione non sono disponibili sui server connessi di Distributed Cloud.
Supporto dei carichi di lavoro delle macchine virtuali
Distributed Cloud connesso può eseguire carichi di lavoro in macchine virtuali oltre che in container. Per saperne di più, consulta Gestire le macchine virtuali.
Per scoprire in che modo le macchine virtuali fungono da componente essenziale della piattaforma Google Distributed Cloud connected, consulta Estendere GKE Enterprise per gestire le VM edge on-premise.
Supporto dei workload GPU
Distributed Cloud connected può eseguire carichi di lavoro basati su GPU su GPU NVIDIA Tesla T4. Devi specificare questo requisito quando ordini l'hardware connesso a Distributed Cloud. Per saperne di più, consulta Gestire i carichi di lavoro GPU.
Questa funzionalità non è disponibile sui server connessi di Distributed Cloud.