Distributed Cloud Connected 작동 방식

이 페이지에서는 Google Distributed Cloud Connected의 작동 방식과 인프라, 하드웨어, 스토리지, 네트워킹 기능에 관한 정보를 설명합니다.

Google Distributed Cloud(연결형)는 다음 구성요소로 구성됩니다.

  • Distributed Cloud(연결형) 인프라 Google은 전담 Google팀의 원격 관리를 포함하여 Distributed Cloud connected 하드웨어를 제공, 배포, 유지관리합니다.
  • Distributed Cloud(연결형) 서비스 이 서비스를 사용하면 Google Cloud CLI 및 Distributed Cloud Edge Container API를 사용하여 Distributed Cloud 연결 클러스터와 노드 풀을 관리할 수 있습니다. Distributed Cloud 연결된 클러스터는 Fleet에 등록되며 Kubernetes kubectl CLI 도구를 사용하여 상호작용할 수 있습니다.

Distributed Cloud Connected 폼 팩터

Distributed Cloud connected는 다음 폼 팩터 중 하나로 제공됩니다.

  • Distributed Cloud 랙 이 폼 팩터는 로컬 컨트롤 플레인과 클라우드 컨트롤 플레인 클러스터를 모두 지원합니다. Distributed Cloud 랙에는 두 가지 유형이 있습니다.

    • 독립형 랙 Distributed Cloud Connected 서버 6대와 top-of-rack (ToR) 스위치 2대로 구성된 단일 랙 독립형 단일 영역 설치로 배포하거나 기본 랙에 연결하여 다중 랙 영역으로 집계할 수 있습니다.
    • 기본 랙 각각 Distributed Cloud 연결 서버 6개, top-of-rack (ToR) 스위치 2개, 애그리게이터 스위치 2개가 포함된 랙 쌍 기본 랙을 사용하면 하나 이상의 독립형 랙의 리소스를 집계하여 다중 랙 배포를 만들 수 있습니다. 기본 랙이 포함된 영역에는 기본 랙을 구성하는 랙 2개를 포함하여 최소 2개, 최대 10개의 랙이 있을 수 있습니다.

  • Distributed Cloud(연결형) 서버 자체 ToR 스위치를 통해 로컬 네트워크에 직접 연결되는 독립형 Distributed Cloud 연결 서버 이 폼 팩터는 로컬 컨트롤 플레인 클러스터만 지원합니다. Distributed Cloud 연결 서버는 3개 그룹으로만 배포할 수 있습니다.

    다음 표에서는 Distributed Cloud connectedracks와 Distributed Cloud connected servers 간의 차이점을 설명합니다.

    기능 GDC 연결 랙 GDC 연결 서버
    물리적 폼 팩터 완전히 채워진 랙
    (ToR 스위치 2개, 랙마운트 머신 6개, 집계기 스위치 2개(선택사항))    		 1RU 절반 깊이 랙 장착 머신
    (3개 그룹으로 배포)
    전원 공급 장치 AC 및 DC AC만
    클러스터 유형 클라우드 컨트롤 플레인 및 로컬 컨트롤 플레인 로컬 컨트롤 플레인만
    GPU 워크로드 지원됨 지원되지 않음
    로컬 네트워크 연결 레이어 3, BGP 지원 레이어 2, BGP 지원 안함
    EdgeNetwork 네트워크 완전히 구성 가능 단일 (기본) 네트워크만
    EdgeNetwork 서브네트워크 CIDR 및 VLAN ID VLAN ID만
    EdgeNetwork 상호 연결 지원됨 지원되지 않음
    EdgeNetwork 상호 연결 연결 지원됨 지원되지 않음
    EdgeNetwork VPN 연결 지원됨 지원되지 않음
    VPC 연결 지원됨 지원되지 않음
    Symcloud Storage 지원됨 지원됨
    네트워크 기능 운영자 지원됨 지원되지 않음
    SR-IOV 지원됨 지원되지 않음

Distributed Cloud Connected 인프라

Google은 Distributed Cloud 연결 영역을 실행하는 전용 하드웨어를 제공, 배포, 운영, 유지관리합니다. 워크로드를 실행하는 Distributed Cloud 연결 노드는 이 하드웨어에서만 실행됩니다.

하드웨어는 노드 풀로 그룹화된 여러 노드를 실행하며, 이러한 노드 풀은 Distributed Cloud 연결 영역 내의 클러스터에 할당할 수 있습니다. Distributed Cloud 연결 클러스터에서 실행되는 워크로드가 로컬 사용자에게만 제공되거나 인터넷에서 액세스할 수 있도록 네트워크를 구성할 수 있습니다. 또한 보안 Cloud VPN 네트워크 연결을 통해 VPC 네트워크에서 실행되는 Compute Engine 가상 머신(VM) 인스턴스 및 Kubernetes 포드와 같은 워크로드와 통신하거나 로컬 리소스를 사용할 수 있도록 Distributed Cloud 연결 노드만 허용하도록 네트워크를 구성할 수도 있습니다.

Distributed Cloud Connected 관리

Distributed Cloud 연결 노드는 독립형 리소스가 아니며 컨트롤 플레인 관리 및 모니터링 목적으로 Google Cloud 에 연결된 상태를 유지해야 합니다. 클라우드 컨트롤 플레인 클러스터의 경우 Distributed Cloud Connected 컨트롤 플레인 노드는 지정된 Google Cloud 리전에서 호스팅되며 해당 온프레미스 Distributed Cloud Connected 워크로드 노드에는 Google Cloud에 대한 지속적인 네트워크 연결이 필요합니다. 로컬 컨트롤 플레인 클러스터의 경우 컨트롤 플레인 노드가 Distributed Cloud 연결 하드웨어에서 로컬로 실행되며 Distributed Cloud가 Google Cloud 에서 최대 7일 동안 연결이 끊어져도 워크로드가 계속 실행됩니다.

Google은 연결된 Distributed Cloud 배포를 구성하는 물리적 머신과 ToR 스위치를 원격으로 관리합니다. 여기에는 소프트웨어 업데이트 및 보안 패치 설치, 구성 문제 해결이 포함됩니다. 네트워크 관리자는 Distributed Cloud에 연결된 클러스터와 노드의 상태 및 성능을 모니터링하고 Google과 협력하여 문제를 해결할 수도 있습니다.

Google에서 지정된 위치에 Distributed Cloud 연결 하드웨어를 성공적으로 배포하면 클러스터 관리자가 기존 Kubernetes 클러스터와 유사한 방식으로 Distributed Cloud 연결 클러스터를 구성할 수 있습니다. 노드 풀에 머신을 할당하고 클러스터에 노드 풀을 할당하며 역할에 따라 필요한 애플리케이션 소유자에게 액세스 권한을 부여할 수 있습니다. 하지만 클러스터 관리자는 Distributed Cloud에 연결된 랙의 머신 처리 및 스토리지 제한을 염두에 두고 클러스터 및 워크로드 구성을 계획해야 합니다.

Distributed Cloud Connected는 클러스터와 노드 풀을 구성하기 위한 API를 제공합니다.

Distributed Cloud 연결 영역에 대한 액세스

로컬 네트워크와 인터넷 모두에서 Distributed Cloud 연결 영역에 원하는 수준의 액세스를 허용하도록 네트워크를 구성할 수 있습니다.

VPC 네트워크에 연결하여 Distributed Cloud 연결 영역에Google Cloud 서비스 액세스 권한을 부여할 수도 있습니다. Distributed Cloud Connected는 Cloud VPN을 사용하여 Google 서비스 엔드포인트에 연결합니다. 네트워크 관리자가 이를 허용하도록 네트워크를 구성해야 합니다.

Distributed Cloud connected 페르소나

Distributed Cloud 연결된 영역의 배포 및 운영에는 다음 페르소나가 참여합니다.

  • Google 현장 기술자. 지정된 위치에 Distributed Cloud connected 하드웨어를 제공, 설치, 활성화합니다. 네트워크 관리자는 Google 기술자와 협력하여 하드웨어를 전원에 연결하고 네트워크에 연결합니다.

  • Google 사이트 안정성 엔지니어 (SRE) Distributed Cloud connected 하드웨어를 모니터링하고 관리합니다. 여기에는 구성 문제 해결, 패치 및 업데이트 설치, 보안 유지가 포함됩니다.

  • 네트워크 관리자. Distributed Cloud에 연결된 하드웨어와 로컬 네트워크 간의 네트워크 연결 및 액세스 제어를 구성하고 유지합니다. 여기에는 Distributed Cloud 하드웨어( Google Cloud), Distributed Cloud 연결 워크로드를 사용하는 클라이언트, 내부 및 외부 데이터 저장소 간에 필요한 모든 유형의 네트워크 트래픽이 자유롭게 흐를 수 있도록 라우팅 및 방화벽 규칙을 구성하는 작업이 포함됩니다. 네트워크 관리자는 Distributed Cloud에 연결된 머신의 상태를 모니터링하기 위해 Google Cloud 콘솔에 액세스할 수 있어야 합니다. 네트워크 관리자는 Distributed Cloud 네트워킹 기능도 구성합니다.

  • 클러스터 관리자. 조직 내에서 Distributed Cloud connected 클러스터를 배포하고 유지관리합니다. 여기에는 각 클러스터의 권한, 로깅, 워크로드 프로비저닝 구성이 포함됩니다. 클러스터 관리자는 노드를 노드 풀에, 노드 풀을 Distributed Cloud 연결 클러스터에 할당합니다. 클러스터 관리자는 워크로드를 올바르게 구성하고 배포하기 위해 Distributed Cloud 연결 클러스터와 기존 Kubernetes 클러스터 간의 운영 차이점(예: Distributed Cloud 연결 하드웨어의 처리 및 스토리지 기능)을 이해해야 합니다.

  • 애플리케이션 소유자. Distributed Cloud Connected 클러스터에서 실행되는 애플리케이션을 개발 또는 배포 및 모니터링하는 소프트웨어 엔지니어 Distributed Cloud Connected 클러스터에서 애플리케이션을 소유한 애플리케이션 소유자는 클러스터의 크기와 위치에 대한 제한사항은 물론 성능 및 지연 시간과 같은 에지에서 애플리케이션을 배포할 때 발생하는 결과도 이해해야 합니다.

Distributed Cloud Connected 랙 하드웨어

그림 1은 일반적인 Distributed Cloud 연결 랙 구성을 보여줍니다.

그림 1. Distributed Cloud 구성요소
그림 1. Distributed Cloud Connected 랙 구성요소입니다.

Distributed Cloud Connected 랙 설치의 구성요소는 다음과 같습니다.

  • Google Cloud. Distributed Cloud 연결 설치와 Google Cloud 간 트래픽에는 하드웨어 관리 트래픽, 제어 영역 트래픽, Google Cloud서비스 및 실행 중인 워크로드로의 Cloud VPN 트래픽이 포함됩니다. 해당하는 경우 VPC 트래픽도 포함될 수 있습니다.

  • 인터넷 Distributed Cloud 연결 설치와 Google Cloud 인터넷을 통해 이동하는 관리 및 컨트롤 플레인 트래픽이 암호화됩니다. Distributed Cloud Connected는 프록시 인터넷 연결을 지원하지 않습니다.

  • 로컬 네트워크. 피어링 에지 라우터를 인터넷에 연결하는 분산 클라우드 랙 외부의 로컬 네트워크입니다.

  • 피어링 에지 라우터 Distributed Cloud ToR 스위치와 인터페이스하는 로컬 네트워크 라우터 분산 클라우드 설치에 선택한 실제 위치에 따라 피어링 에지 라우터는 조직 또는 공동 배치 시설에서 소유하고 유지관리할 수 있습니다. 경계 게이트웨이 프로토콜 (BGP)을 사용하여 ToR 스위치와 피어링하고 Distributed Cloud에 연결된 하드웨어에 기본 경로를 공지하도록 이러한 라우터를 구성해야 합니다. 또한 이러한 라우터와 해당 방화벽을 구성하여 Google의 기기 관리 트래픽, Distributed Cloud 연결 제어 영역 트래픽, Cloud VPN 트래픽을 허용해야 합니다(해당하는 경우).

    비즈니스 요구사항에 따라 다음과 같이 라우터를 구성할 수 있습니다.

    • 분산 클라우드 연결 노드가 공개 네트워크 주소 변환 (NAT) 또는 공개 IP 주소에 대한 직접 노출을 사용하여 인터넷에 액세스하도록 합니다.
    • VPC 네트워크 및 원하는Google Cloud 서비스에 대한 VPN 연결을 허용합니다.

  • ToR (top-of-rack) 스위치. 랙 내의 머신을 연결하고 로컬 네트워크와 인터페이스하는 레이어 3 스위치입니다. 이러한 스위치는 BGP 스피커이며 Distributed Cloud 연결 랙과 로컬 네트워크 장비 간의 네트워크 트래픽을 처리합니다. 링크 집계 제어 프로토콜 (LACP) 번들을 사용하여 피어링 에지 라우터에 연결됩니다.

  • 애그리게이터 스위치 독립형 랙의 ToR 스위치를 연결하고 트래픽을 집계하여 멀티 랙 클러스터 네트워크를 형성하는 기본 랙에만 있는 레이어 3 스위치 최대 20개의 독립형 랙 ToR 스위치를 기본 랙에 있는 4개의 어그리게이터 스위치 세트에 연결하여 총 10개의 독립형 랙을 만들 수 있습니다. 어그리게이터 스위치는 피어링 에지 라우터에 연결됩니다.

  • 머신 Distributed Cloud(연결형) 소프트웨어를 실행하고 워크로드를 실행하는 물리적 머신입니다. 각 물리적 머신은 Distributed Cloud 연결 클러스터 내의 노드입니다.

Distributed Cloud Connected 서버 하드웨어

그림 2는 일반적인 Distributed Cloud 연결 서버 구성을 보여줍니다.

그림 2. Distributed Cloud 서버 구성요소입니다.
그림 2. Distributed Cloud 연결 서버 구성요소입니다.

Distributed Cloud 연결 서버 설치의 구성요소는 다음과 같습니다.

  • Google Cloud. Distributed Cloud 연결 설치와 Google Cloud 간의 트래픽에는 하드웨어 관리 및 감사 로깅 트래픽이 포함됩니다. 해당하는 경우 VPC 트래픽도 포함될 수 있습니다.

  • 인터넷 Distributed Cloud 연결 설치와 Google Cloud간의 암호화된 관리 및 감사 로깅 트래픽이 인터넷을 통해 이동합니다. Distributed Cloud Connected는 프록시 인터넷 연결을 지원하지 않습니다.

  • 로컬 네트워크. Distributed Cloud Connected Server가 레이어 2 ToR 스위치를 통해 연결되는 로컬 네트워크입니다.

  • ToR (top-of-rack) 스위치. 서버 머신을 연결하고 로컬 네트워크와 인터페이스하는 레이어 2 스위치 각 Distributed Cloud 연결 서버 머신에는 단일 ToR 스위치에 대한 인밴드 연결과 아웃오브밴드 연결이 각각 하나 이상 필요합니다. 안정성을 높이기 위해 머신당 ToR 스위치 2개와 인밴드 연결 2개 (스위치당 1개)를 사용하는 것이 좋습니다. 각 Distributed Cloud 연결 서버 머신은 다음과 같이 ToR 스위치에 연결됩니다.

    • 인밴드 연결 각 Distributed Cloud 연결 서버 머신은 대역 내 연결을 위해 하나 또는 두 개의 ToR 스위치에 연결됩니다. 이러한 연결은 워크로드 트래픽을 전송합니다. 802.1q 트렁크와 해당 기본 VLAN을 Distributed Cloud Connected Management Network 인터페이스가 속한 네트워크로 구성해야 합니다. 워크로드 연결이 추가로 필요한 경우 Distributed Cloud에 연결된 서버에 태그된 VLAN을 추가로 트렁크할 수 있습니다.
    • 대역 외 연결 Distributed Cloud에 연결된 각 서버는 대역 외 연결을 위해 하나의 ToR 스위치에도 연결되어 Distributed Cloud에 연결된 서버가 서로 통신할 수 있습니다. 대역 외 스위치 포트를 동일한 VLAN 내에 배치해야 합니다.

  • 머신 Distributed Cloud connected 소프트웨어를 실행하고 워크로드를 실행하는 물리적 Distributed Cloud connected 서버 머신입니다. 각 물리적 머신은 Distributed Cloud 연결 클러스터 내의 노드입니다.

Distributed Cloud 서비스

Distributed Cloud(연결형) 서비스는 클라우드 컨트롤 플레인 클러스터의 경우 Google Cloud에서 실행되고, 로컬 컨트롤 플레인 클러스터의 경우 Distributed Cloud 하드웨어에서 직접 실행됩니다. Distributed Cloud connected 하드웨어의 노드와 클러스터의 컨트롤 플레인 역할을 합니다.

원격 컨트롤 플레인 클러스터의 경우 Distributed Cloud가 항상Google Cloud 에 연결할 수 있어야 하며 이 연결이 없으면 작동할 수 없습니다. 로컬 제어 영역 클러스터의 경우 Distributed Cloud가 최대 7일 동안 Google Cloud 에 연결할 수 없더라도 워크로드가 계속 실행됩니다. 이 기간이 지나면 Distributed Cloud는 Google Cloud 와 통신하여 인증 토큰과 스토리지 암호화 키를 새로고침하고 하드웨어 관리 및 감사 로깅 데이터를 동기화해야 합니다.

이 컨트롤 플레인은 Distributed Cloud 연결 영역을 인스턴스화하고 구성합니다. 관리를 위해 Distributed Cloud 하드웨어가 연결되는 특정 Google 데이터 센터는 Distributed Cloud 연결 설치와의 거리에 따라 선택됩니다.

분산 클라우드 연결 영역은 분산 클라우드 연결 랙에 설치된 머신 또는 온프레미스에 배포된 분산 클라우드 연결 서버 머신으로 구성됩니다. Distributed Cloud(연결형) 랙을 사용하면 Kubernetes 노드로 인스턴스화된 이러한 머신을 노드 풀에 할당하고 노드 풀을 Distributed Cloud 클러스터에 할당할 수 있습니다. Distributed Cloud 연결 서버를 사용하면 노드 풀이 자동으로 채워지며 구성할 수 없습니다.

그림 3은 연결된 Distributed Cloud 엔티티의 논리적 조직을 보여줍니다.

그림 2. Distributed Cloud 엔티티입니다.
그림 3. Distributed Cloud Connected 엔티티입니다.

항목은 다음과 같습니다.

  • Google Cloud region. Distributed Cloud(연결형) 영역의 Google Cloud region은 Distributed Cloud 설치에 가장 가까운 Google 데이터 센터의 위치에 따라 결정됩니다.

  • Kubernetes Cloud 컨트롤 플레인 각 Distributed Cloud 연결 클러스터의 Kubernetes 컨트롤 플레인은 기본적으로 Distributed Cloud 연결 클러스터가 할당된 Google Cloud 리전의 Google 데이터 센터에서 원격으로 실행됩니다. 이를 통해 Distributed Cloud connected는 Distributed Cloud connected 물리적 머신의 처리 용량을 차지하지 않고도 안전하고 가용성이 높은 컨트롤 플레인을 활용할 수 있습니다. 분산 클라우드 연결 서버에서는 클라우드 컨트롤 플레인 클러스터를 사용할 수 없습니다.

  • Kubernetes 로컬 컨트롤 플레인 Google Distributed Cloud connected 버전 1.5.0부터 기본 클라우드 컨트롤 플레인 대신 로컬 컨트롤 플레인을 사용하도록 Distributed Cloud connected 클러스터를 구성할 수 있습니다. Google Cloud 와의 연결이 일시적으로 끊어지면 로컬 제어 영역 클러스터가 생존 가능성 모드로 전환되어 연결이 복원될 때까지 워크로드가 계속 실행될 수 있습니다. 분산 클라우드 연결 서버에서 사용할 수 있는 유일한 클러스터 유형입니다. 자세한 내용은 생존 가능성 모드를 참고하세요.

  • Distributed Cloud 영역 온프레미스에 배포된 Distributed Cloud Connected 하드웨어를 나타내는 논리적 추상화입니다. Distributed Cloud 영역은 단일 Distributed Cloud 연결 랙 또는 위치에 배포된 모든 Distributed Cloud 연결 서버 머신을 포함합니다. 영역의 실제 머신은 Google Cloud 콘솔에서 Distributed Cloud 연결 머신으로 인스턴스화됩니다. 분산 클라우드 연결 영역의 머신은 단일 네트워크 패브릭 또는 단일 장애 도메인을 공유합니다. Google은 Distributed Cloud connected 하드웨어를 제공하기 전에 머신을 만듭니다. Distributed Cloud 연결 머신을 만들거나 삭제하거나 수정할 수 없습니다.

  • 노드 노드는 노드 풀을 만들 때 Distributed Cloud(연결형) 실제 머신을 Kubernetes 영역에 인스턴스화하는 Kubernetes 리소스입니다. 노드 풀을 Distributed Cloud(연결형) 클러스터에 할당하여 워크로드를 실행할 수 있도록 합니다.

  • 노드 풀. 단일 Distributed Cloud(연결형) 영역 내에서 Distributed Cloud(연결형) 노드를 Distributed Cloud 클러스터에 할당할 수 있도록 하는 Distributed Cloud(연결형) 노드의 논리적 그룹화입니다. Distributed Cloud 연결 서버의 경우 노드 풀이 자동으로 인스턴스화되고 채워집니다.

  • 클러스터 컨트롤 플레인과 하나 이상의 노드 풀로 구성된 Distributed Cloud 연결된 클러스터입니다.

  • VPN 연결Google Cloud 프로젝트에서 실행되는 VPC 네트워크로 연결되는 VPN 터널입니다. 이 터널을 통해 Distributed Cloud에 연결된 워크로드가 해당 VPC 네트워크에 연결된 Compute Engine 리소스에 액세스할 수 있습니다. VPN 연결을 만들려면 먼저 영역에 노드 풀을 하나 이상 만들어야 합니다. Distributed Cloud 연결 서버는 VPN 연결을 지원하지 않습니다.

스토리지

Distributed Cloud connected는 Distributed Cloud connected 랙의 실제 머신당 3.3TiB의 사용 가능한 스토리지를 제공합니다. 이 스토리지는 Linux 논리 볼륨으로 구성됩니다. 클러스터를 만들면 Distributed Cloud에서 하나 이상의 PersistentVolume을 만들고 PersistentVolumeClaims를 사용하여 워크로드에 할당할 수 있는 블록 볼륨으로 노출합니다. 이러한 PersistentVolume은 데이터 내구성을 제공하지 않으며 임시 데이터에만 적합합니다. 블록 볼륨 작업에 대한 자세한 내용은 원시 블록 볼륨을 요청하는 PersistentVolumeClaim을 참고하세요.

Distributed Cloud Connected 서버의 경우 스토리지는 Rakuten Symcloud Storage를 통해서만 추상화됩니다. Distributed Cloud 연결 서버 머신은 각각 1TB의 사용 가능한 스토리지를 제공합니다.

저장소 보안

Distributed Cloud Connected는 LUKS를 사용하여 로컬 머신 스토리지를 암호화하고 고객 관리 암호화 키 (CMEK)를 지원합니다. 자세한 내용은 보안 권장사항을 참고하세요.

Symcloud Storage 통합

Distributed Cloud 연결 랙에서 각 Distributed Cloud 연결 랙 노드의 로컬 스토리지 추상화 레이어 역할을 하며 다른 Distributed Cloud 연결 노드에서 실행되는 워크로드에 로컬 스토리지를 제공하는 Rakuten Symcloud Storage를 사용하도록 Distributed Cloud를 구성할 수 있습니다. 분산 클라우드 연결 서버에서는 Symcloud Storage가 기본값이며 사용 가능한 유일한 스토리지 옵션입니다. 분산 클라우드 연결 서버는 로컬 스토리지를 Linux 논리 볼륨으로 노출하지 않습니다.

자세한 내용은 Symcloud Storage용 Distributed Cloud 연결 구성을 참고하세요.

네트워킹

이 섹션에서는 Distributed Cloud Connected의 네트워크 연결 요구사항과 기능을 설명합니다.

Google은 Distributed Cloud connected 하드웨어를 배송하기 전에 설치를 위해 일부 가상 네트워킹 구성요소를 사전 구성합니다. 하드웨어가 배송된 후에는 사전 구성된 설정을 수정할 수 없습니다.

그림 3은 연결된 분산 클라우드 배포의 가상 네트워크 토폴로지를 보여줍니다.

그림 3. Distributed Cloud 네트워킹 구성요소
그림 3. Distributed Cloud 네트워킹 구성요소

Distributed Cloud Connected 배포의 가상 네트워크 구성요소는 다음과 같습니다.

  • 네트워크: 분산 클라우드 연결 영역에 있는 비공개 주소 공간이 있는 가상 네트워크입니다. 네트워크는 영역 내 다른 가상 네트워크에서 레이어 3으로 격리되며 하나 이상의 서브네트워크를 포함할 수 있습니다. 가상 네트워크는 연결된 랙의 Distributed Cloud에 있는 모든 실제 머신에 걸쳐 있습니다. 단일 Distributed Cloud 연결 영역은 최대 20개의 네트워크를 지원합니다. Distributed Cloud 연결 서버는 Distributed Cloud 연결 서버 클러스터가 인스턴스화될 때 생성되는 기본 네트워크 하나만 지원합니다.

  • 서브네트워크. 분산 클라우드 네트워크 내의 레이어 2 및 레이어 3 VLAN 서브네트워크입니다. 서브네트워크에는 자체 브로드캐스트 도메인과 선택한 하나 이상의 IPv4 주소 범위가 있습니다. 동일한 네트워크 내의 서브네트워크는 Layer 2로 격리되지만 Layer 3을 통해 서로 통신할 수 있습니다. 동일한 네트워크 내의 서로 다른 서브네트워크에 있는 노드는 IP 주소를 사용하여 서로 통신할 수 있습니다. 하지만 서로 다른 네트워크 내의 서브네트워크에 있는 노드는 서로 통신할 수 없습니다. Distributed Cloud 연결 서버는 VLAN ID를 사용한 서브넷 관리만 지원합니다.

  • 라우터 분산 클라우드 네트워크 내의 트래픽을 관리하는 가상 라우터 인스턴스입니다. 네트워크 관리자는 라우터를 사용하여 Distributed Cloud 네트워크와 로컬 네트워크 간의 인터커넥트 연결을 통해 BGP 피어링 세션을 구성하여 Distributed Cloud 포드가 로컬 네트워크에서 네트워크 접두사를 공지할 수 있도록 합니다. 기본적으로 라우터는 Distributed Cloud 서브네트워크에서 수신한 경로를 다시 공지합니다. Distributed Cloud는 네트워크당 하나의 라우터를 지원합니다. Distributed Cloud 연결 서버는 라우터를 지원하지 않습니다.

  • Interconnect. 분산 클라우드 네트워크와 로컬 네트워크 간의 번들로 묶인 논리적 링크입니다. 인터커넥트는 하나 이상의 실제 링크로 구성됩니다. 초기 시작 중에 Google은 Distributed Cloud Connected를 주문할 때 요청한 인터커넥트를 만듭니다. Distributed Cloud 연결 랙이 가동된 후에는 상호 연결을 생성, 수정 또는 삭제할 수 없습니다. 기본적으로 Google은 설치의 고가용성을 제공하기 위해 4개의 인터커넥트를 만듭니다. Distributed Cloud 연결 서버는 인터커넥트를 지원하지 않습니다.

  • Interconnect 연결 인터커넥트와 라우터 간의 가상 링크로, 해당 Distributed Cloud 네트워크를 로컬 네트워크에서 격리합니다. 상호 연결 연결을 통해 흐르는 트래픽은 태그가 지정되지 않거나 원하는 VLAN ID로 태그가 지정될 수 있습니다. 비즈니스 요구사항에 따라 상호 연결 첨부파일을 만듭니다. Distributed Cloud 서버는 Interconnect 연결을 지원하지 않습니다.

분산 클라우드 연결 네트워킹 구성요소는 다음과 같은 차이점을 제외하고 Google Cloud 에 상응하는 구성요소와 유사합니다.

  • 분산 클라우드 연결 네트워킹 구성요소는 인스턴스화된 분산 클라우드 연결 영역에 로컬입니다.

  • Distributed Cloud 네트워크는 VPC 네트워크에 직접 연결되지 않습니다.

  • 기본적으로 Distributed Cloud 네트워크는 서로 다른 Distributed Cloud(연결형) 영역 간에 서로 연결되지 않습니다. 영역 간 네트워킹을 명시적으로 구성할 수 있습니다.

네트워크 관리자는 Distributed Cloud 연결 하드웨어를 배송하기 전에 Google에서 구성하는 인터커넥트를 제외한 Distributed Cloud 연결 네트워킹 구성요소를 구성합니다.

네트워크 관리자에게 타겟 Google Cloud 프로젝트에 대한 Edge 네트워크 관리자 역할(roles/edgenetwork.admin)이 있어야 하며, Distributed Cloud Connected에 워크로드를 배포하는 애플리케이션 개발자에게 타겟 Google Cloud 프로젝트에 대한 Edge 네트워크 뷰어 역할(roles/edgenetwork.viewer)이 있어야 합니다.

로컬 네트워크 연결

로컬 네트워크의 리소스로 향하는 아웃바운드 트래픽의 경우 연결된 분산 클라우드 클러스터의 포드는 피어링 에지 라우터에서 공지한 기본 경로를 사용합니다. Distributed Cloud connected는 내장 NAT를 사용하여 포드를 이러한 리소스에 연결합니다.

로컬 네트워크의 리소스에서 들어오는 인바운드 트래픽의 경우 네트워크 관리자는 비즈니스 요구사항에 맞는 라우팅 정책을 구성하여 Distributed Cloud에 연결된 각 클러스터의 포드에 대한 액세스를 제어해야 합니다. 즉, 최소한 방화벽 구성의 단계를 완료하고 워크로드에 필요한 추가 정책을 구성해야 합니다. 예를 들어 Distributed Cloud Connected의 기본 제공 부하 분산기에서 노출된 개별 노드 서브네트워크 또는 가상 IP 주소에 대해 허용/거부 정책을 설정할 수 있습니다. Distributed Cloud 연결 Pod 및 Distributed Cloud 연결 서비스 CIDR 블록에는 직접 액세스할 수 없습니다.

인터넷 연결

인터넷의 리소스로 향하는 아웃바운드 트래픽의 경우 Distributed Cloud 연결 클러스터의 포드는 라우터가 Distributed Cloud 연결 ToR 스위치에 공지하는 기본 경로를 사용합니다. 즉, 최소한 방화벽 구성의 단계를 완료하고 워크로드에 필요한 추가 정책을 구성해야 합니다. Distributed Cloud connected는 기본 제공 NAT를 사용하여 포드를 이러한 리소스에 연결합니다. 선택적으로 Distributed Cloud Connected의 기본 제공 레이어 위에 자체 NAT 레이어를 구성할 수 있습니다.

인바운드 트래픽의 경우 비즈니스 요구사항에 따라 WAN 라우터를 구성해야 합니다. 이러한 요구사항은 분산 클라우드 연결 클러스터의 포드에 공용 인터넷에서 제공해야 하는 액세스 수준을 나타냅니다. Distributed Cloud connected는 포드 CIDR 블록 및 서비스 관리 CIDR 블록에 내장된 NAT를 사용하므로 인터넷에서 이러한 CIDR 블록에 액세스할 수 없습니다.

VPC 네트워크에 대한 연결

Distributed Cloud Connected에는 Distributed Cloud Connected 클러스터가 VPC 인스턴스와 동일한Google Cloud 프로젝트에 있는 경우 Distributed Cloud Connected 클러스터를 VPC 인스턴스에 직접 연결할 수 있는 내장 VPN 솔루션이 포함되어 있습니다.

Cloud Interconnect를 사용하여 로컬 네트워크를 VPC 인스턴스에 연결하는 경우 Distributed Cloud 연결 클러스터는 표준 북바운드 eBGP 피어링을 사용하여 해당 인스턴스에 도달할 수 있습니다. 피어링 에지 라우터가 적절한 VPC 프리픽스에 도달할 수 있어야 하며 Cloud Interconnect 라우터가 Distributed Cloud 연결 부하 분산기, 관리, 시스템 서브넷과 같은 Distributed Cloud 연결 프리픽스를 올바르게 공지해야 합니다.

Distributed Cloud 연결 클러스터와 VPC 네트워크 간에 VPN 연결을 설정하면 기본적으로 다음 연결 규칙이 적용됩니다.

  • VPC 네트워크는 Distributed Cloud 연결 클러스터의 모든 포드에 액세스할 수 있습니다.
  • Distributed Cloud 연결 클러스터의 모든 포드는 VPC 기반 클러스터의 모든 포드에 액세스할 수 있습니다. 경로 기반 클러스터의 경우 커스텀 공지 경로를 수동으로 구성해야 합니다.
  • Distributed Cloud 연결 클러스터의 모든 포드는 VPC 네트워크의 가상 머신 서브네트워크에 액세스할 수 있습니다.

이 섹션에 설명된 기능은 Distributed Cloud 연결 서버에서 사용할 수 없습니다.

Google Cloud API 및 서비스에 연결

VPC 네트워크에 대한 VPN 연결을 구성하면 Distributed Cloud 연결 설치에서 실행되는 워크로드가 Google Cloud API 및 서비스에 액세스할 수 있습니다.

비즈니스 요구사항에 따라 다음 기능을 추가로 구성할 수 있습니다.

Distributed Cloud 연결 서버에서는 VPN 연결을 사용할 수 없습니다.

네트워크 보안

비즈니스 요구사항과 조직의 네트워크 보안 정책에 따라 Distributed Cloud 연결 설치로 들어오고 나가는 네트워크 트래픽을 보호하는 데 필요한 단계가 결정됩니다. 자세한 내용은 보안 권장사항을 참고하세요.

기타 네트워킹 기능

Distributed Cloud Connected는 다음 네트워킹 기능을 지원합니다.

고성능 네트워킹 지원

Distributed Cloud 연결 랙은 최상의 네트워킹 성능이 필요한 워크로드의 실행을 지원합니다. 이를 위해 Distributed Cloud 연결은 특수 네트워크 기능 연산자와 고성능 워크로드 실행에 필요한 기능을 구현하는 Kubernetes CustomResourceDefinitions (CRD) 집합과 함께 제공됩니다.

Distributed Cloud 연결 랙은 SR-IOV를 사용하여 네트워크 인터페이스 가상화도 지원합니다.

이 섹션에 설명된 기능은 Distributed Cloud 연결 서버에서 사용할 수 없습니다.

가상 머신 워크로드 지원

Distributed Cloud(연결형)는 컨테이너 외에도 가상 머신에서 워크로드를 실행할 수 있습니다. 자세한 내용은 가상 머신 관리를 참고하세요.

가상 머신이 Google Distributed Cloud 연결 플랫폼의 필수 구성요소로 작동하는 방식을 알아보려면 GKE Enterprise를 확장하여 온프레미스 에지 VM 관리를 참고하세요.

GPU 워크로드 지원

Distributed Cloud Connected는 NVIDIA Tesla T4 GPU에서 GPU 기반 워크로드를 실행할 수 있습니다. 분산 클라우드 연결 하드웨어를 주문할 때 이 요구사항을 지정해야 합니다. 자세한 내용은 GPU 워크로드 관리를 참고하세요.

이 기능은 Distributed Cloud 연결 서버에서 사용할 수 없습니다.

다음 단계