バージョン情報については、Distributed Cloud 接続のリリースノートをご覧ください。

Distributed Cloud コネクテッドの仕組み

このページでは、Google Distributed Cloud Connected の仕組みについて説明します。インフラストラクチャ、ハードウェア、ストレージ、ネットワーキング機能に関する情報も含まれます。

Google Distributed Cloud connected は、次のコンポーネントで構成されています。

Distributed Cloud コネクテッドインフラストラクチャ。Google または Google のパートナーであるシステムインテグレータ（SI）が、Distributed Cloud コネクテッドハードウェアを配送、デプロイ、保守します。これには、専任チームによるリモート管理も含まれます。
Distributed Cloud コネクテッドサービス。このサービスを使用すると、Google Cloud CLI と Distributed Cloud Edge Container API を使用して、Distributed Cloud 接続クラスタとノードプールを管理できます。Distributed Cloud 接続クラスタはフリートに登録され、Kubernetes kubectl CLI ツールを使用して操作できます。

Distributed Cloud コネクテッドの注文タイプ

ビジネス要件に基づいて、次のいずれかの方法で Distributed Cloud コネクテッドハードウェアを注文できます。

Google 所有のハードウェア。Distributed Cloud コネクテッドは、Google から直接注文できます。このシナリオでは、Google が Distributed Cloud 接続ハードウェアの所有、メンテナンス、修理、廃止を行います。契約が終了すると、Google は Distributed Cloud ハードウェアを回収し、保存されているすべてのデータを破棄します。
お客様所有のハードウェア。Distributed Cloud Connected は、Google パートナーの SI から注文できます。このシナリオでは、Distributed Cloud 接続ハードウェアを所有しています。SI は、お客様と Google と連携して、ハードウェアのデプロイ、修理、廃止を行います。契約が終了すると、SI は Distributed Cloud に接続されたハードウェアからすべての Google ソフトウェアとデータを消去します。その後、ハードウェアを再利用または廃棄できます。

Distributed Cloud コネクテッドのフォームファクタ

Distributed Cloud Connected は、次のいずれかのフォームファクタで利用できます。

Distributed Cloud ラック。Distributed Cloud ラックには次の 2 つのタイプがあります。
- スタンドアロンラック。3 ～ 12 台の Distributed Cloud 接続サーバーと 2 台のトップオブラック（ToR）スイッチを 1 つのラックに収容します。これらは、スタンドアロンのシングルゾーンインストールとしてデプロイすることも、ベースラックに接続してマルチラックゾーンに集約することもできます。
- ベースラック。3 ～ 12 台の Distributed Cloud 接続サーバー、2 台のトップオブラック（ToR）スイッチ、1 台のアグリゲータスイッチを含むラックのペア。ベースラックを使用すると、1 つ以上のスタンドアロンラックのリソースを集約して、マルチラックデプロイを作成できます。ベースラックを含むゾーンには、ベースラックを構成する 2 つのラックを含め、最小 2 つ、最大 10 個のラックを含めることができます。

Distributed Cloud コネクテッドサーバー。独自の ToR スイッチを介してローカルネットワークに直接接続するスタンドアロンの Distributed Cloud 接続サーバー。Distributed Cloud 接続サーバーは、3 つのグループでのみデプロイできます。

次の表は、Distributed Cloud 接続ラックと Distributed Cloud 接続サーバーの違いを示したものです。

機能	GDC コネクテッドラック	GDC 接続済みサーバー
物理フォームファクタ	ラックにすべてが搭載されている（ToR スイッチ 2 台、ラックマウントマシン 3 ～ 12 台、アグリゲータスイッチ 1 台（オプション））	1RU ハーフデプスラックマウントマシン（3 台のグループでデプロイ）
電源	AC と DC	AC のみ
GPU ワークロード	サポート対象	非対応
ローカルネットワーク接続	レイヤ 3、BGP サポート	レイヤ 2、BGP はサポートされていません
エッジネットワーク	完全に構成可能	単一（デフォルト）ネットワークのみ
Edge Network サブネットワーク	CIDR と VLAN ID	VLAN ID のみ
エッジネットワークの相互接続	サポート対象	非対応
エッジネットワーク相互接続アタッチメント	サポート対象	非対応
エッジネットワーク VPN 接続	サポート対象	非対応
VPC 接続	サポート対象	非対応
Symcloud Storage	サポート対象	サポート対象
ネットワーク機能オペレーター	サポート対象	非対応
SR-IOV	サポート対象	非対応

Distributed Cloud コネクテッドインフラストラクチャ

Google は、Distributed Cloud コネクテッドゾーンを実行する専用ハードウェアを提供、デプロイ、運用、保守します。ワークロードを実行する Distributed Cloud コネクテッドノードは、このハードウェアでのみ実行されます。

ハードウェアは、ノードプールにグループ化された複数のノードを実行します。これらのノードプールは、Distributed Cloud 接続ゾーン内のクラスタに割り当てることができます。ネットワークを構成して、Distributed Cloud 接続クラスタで実行されるワークロードをローカルユーザーのみが利用できるようにしたり、インターネットからアクセスできるようにしたりできます。また、Distributed Cloud に接続されたノードのみがローカルリソースを使用したり、Compute Engine 仮想マシン（VM）インスタンスや Kubernetes Pod などのワークロードと通信したりできるように、ネットワークを構成することもできます。これらのワークロードは、VPC ネットワークへの安全な Cloud VPN ネットワーク接続を介して Virtual Private Cloud（VPC）ネットワークで実行されます。

Distributed Cloud コネクテッドの管理

Distributed Cloud 接続ノードはスタンドアロンリソースではなく、コントロールプレーンの管理とモニタリングのために Google Cloud に接続されたままにする必要があります。コントロールプレーンノードは Distributed Cloud 接続ハードウェアでローカルに実行され、Distributed Cloud が Google Cloud から切断されても、ワークロードは最大 7 日間実行され続けます。

Google は、接続された Distributed Cloud デプロイを構成する物理マシンと ToR スイッチをリモートで管理します。これには、ソフトウェアアップデートとセキュリティパッチのインストール、構成の問題の解決が含まれます。ネットワーク管理者は、Distributed Cloud に接続されたクラスタとノードの健全性とパフォーマンスをモニタリングし、Google と協力して問題を解決することもできます。

Google が指定された場所に Distributed Cloud 接続ハードウェアを正常にデプロイすると、クラスタ管理者は従来の Kubernetes クラスタと同様の方法で Distributed Cloud 接続クラスタの構成を開始できます。マシンをノードプールに、ノードプールをクラスタに割り当て、ロールに必要なアプリケーションオーナーにアクセス権を付与できます。ただし、クラスタ管理者は、Distributed Cloud Connected ラック内のマシンの処理とストレージの制限を考慮し、それに応じてクラスタとワークロードの構成を計画する必要があります。

Distributed Cloud Connected は、クラスタとノードプールを構成するための API を提供します。

Distributed Cloud コネクテッドゾーンへのアクセス

ローカルネットワークとインターネットの両方から、Distributed Cloud 接続ゾーンへのアクセスレベルを構成できます。

また、Distributed Cloud 接続ゾーンを VPC ネットワークに接続することで、Google Cloud サービスへのアクセス権を付与することもできます。Distributed Cloud Connected は、Cloud VPN を使用して Google サービスエンドポイントに接続します。ネットワーク管理者が、これを許可するようにネットワークを構成する必要があります。

Distributed Cloud コネクテッドのペルソナ

Distributed Cloud 接続ゾーンのデプロイと運用には、次のペルソナが関与します。

フィールド技術者。指定された場所に Distributed Cloud 接続ハードウェアを配送、設置、有効化します。ネットワーク管理者が現場の技術者と連携して、ハードウェアを電源に接続し、ネットワークに接続します。注文の種類に応じて、Google の技術者または Google のパートナー SI の技術者が対応します。
Google サイト信頼性エンジニア（SRE）。Distributed Cloud に接続されたハードウェアをモニタリングして管理します。これには、構成の問題の解決、パッチとアップデートのインストール、セキュリティの維持が含まれます。
ネットワーク管理者。Distributed Cloud の接続されたハードウェアとローカルネットワーク間のネットワーク接続とアクセス制御を構成して維持します。これには、必要なすべてのタイプのネットワークトラフィックが、Distributed Cloud ハードウェア Google Cloud、Distributed Cloud 接続ワークロードを使用するクライアント、内部データリポジトリと外部データリポジトリなどの間で自由に流れるように、ルーティングルールとファイアウォールルールを構成することが含まれます。ネットワーク管理者は、Distributed Cloud 接続マシンのステータスをモニタリングするために、 Google Cloud コンソールにアクセスできる必要があります。ネットワーク管理者は、Distributed Cloud ネットワーキング機能も構成します。
クラスタ管理者。組織内の Distributed Cloud 接続クラスタをデプロイして維持します。これには、各クラスタの権限、ロギング、ワークロードのプロビジョニングの構成が含まれます。クラスタ管理者は、ノードをノードプールに割り当て、ノードプールを Distributed Cloud 接続クラスタに割り当てます。クラスタ管理者は、ワークロードを正しく構成してデプロイするために、Distributed Cloud 接続クラスタと従来の Kubernetes クラスタの運用上の違い（Distributed Cloud 接続ハードウェアの処理機能やストレージ機能など）を理解する必要があります。
アプリケーションオーナー。Distributed Cloud コネクテッドクラスタで実行されているアプリケーションの開発、デプロイ、モニタリングを担当するソフトウェアエンジニア。Distributed Cloud 接続クラスタでアプリケーションを所有するアプリケーションオーナーは、クラスタのサイズとロケーションの制限と、パフォーマンスやレイテンシなど、エッジにアプリケーションをデプロイすることによる影響を理解する必要があります。

Distributed Cloud コネクテッドラックハードウェア

図 1 は、一般的な 6 台のマシンで構成された Distributed Cloud 接続ラックの構成を示しています。

図 1. Distributed Cloud コンポーネント。 — **図 1.** Distributed Cloud コネクテッドラックのコンポーネント。

Distributed Cloud コネクテッドラックのインストールコンポーネントは次のとおりです。

Google Cloud. Distributed Cloud 接続インストールと Google Cloud 間のトラフィックには、ハードウェア管理トラフィック、 Google Cloud サービスへの Cloud VPN トラフィック、そこで実行しているワークロードが含まれます。該当する場合は、VPC トラフィックも含まれます。
インターネット。Distributed Cloud の接続済みインストールと Google Cloud間の暗号化された管理トラフィックとモニタリングトラフィックは、インターネット経由で転送されます。Distributed Cloud Connected は、プロキシインターネット接続をサポートしていません。
ローカルネットワーク。ピアリングエッジルーターをインターネットに接続する、Distributed Cloud ラックの外部にあるローカルネットワーク。
ピアリングエッジルーター。Distributed Cloud ToR スイッチとインターフェースするローカルネットワークルーター。Distributed Cloud のインストール用に選択した物理ロケーションに応じて、ピアリングエッジルーターは組織またはコロケーション施設が所有して管理できます。これらのルーターは、Border Gateway Protocol（BGP）を使用して ToR スイッチとピアリングし、Distributed Cloud 接続ハードウェアにデフォルトルートをアドバタイズするように構成する必要があります。また、これらのルーターと対応するファイアウォールを構成して、Google のデバイス管理トラフィック、モニタリングトラフィック、Cloud VPN トラフィック（該当する場合）を許可する必要があります。

ビジネス要件に応じて、これらのルーターを次のように構成できます。
- パブリックネットワークアドレス変換（NAT）またはパブリック IP アドレスへの直接公開を使用して、Distributed Cloud 接続ノードがインターネットにアクセスできるようにします。
- VPC ネットワークと必要なGoogle Cloud サービスへの VPN 接続を許可します。
トップオブラック（ToR）スイッチ。ラック内のマシンを接続し、ローカルネットワークとインターフェースするレイヤ 3 スイッチ。これらのスイッチは BGP スピーカーで、Distributed Cloud 接続ラックとローカルネットワーク機器の間のネットワークトラフィックを処理します。スイッチは、LACP（Link Aggregation Control Protocol）バンドルを使用してピアリング対象のエッジルーターに接続されます。
アグリゲータスイッチ。ベースラックにのみ存在するレイヤ 3 スイッチ。スタンドアロンラックの ToR スイッチを接続し、トラフィックを集約してマルチラッククラスタネットワークを形成します。ベースラックペアにある 2 つのアグリゲータスイッチのセットに、最大 20 個のスタンドアロンラック ToR スイッチを接続できます。合計で 10 個のスタンドアロンラックを接続できます。アグリゲータスイッチは、ピアリングエッジルーターに接続します。
マシン。Distributed Cloud 接続ソフトウェアを実行し、ワークロードを実行する物理マシン。各物理マシンは、Distributed Cloud 接続クラスタ内のノードです。

Distributed Cloud コネクテッドサーバーハードウェア

図 2 は、一般的な Distributed Cloud 接続サーバーの構成を示しています。

図 2. Distributed Cloud Server コンポーネント。 — **図 2.** Distributed Cloud 接続サーバーコンポーネント。

Distributed Cloud 接続サーバーのインストールのコンポーネントは次のとおりです。

Google Cloud. Distributed Cloud 接続インストールと Google Cloud 間のトラフィックには、ハードウェア管理と監査ロギングのトラフィックが含まれます。該当する場合は、VPC トラフィックも含まれます。
インターネット。Distributed Cloud 接続インストールと Google Cloud間の暗号化された管理トラフィックと監査ロギングトラフィックは、インターネット経由で転送されます。Distributed Cloud Connected は、プロキシインターネット接続をサポートしていません。
ローカルネットワーク。Distributed Cloud に接続されたサーバーがレイヤ 2 ToR スイッチを介して接続するローカルネットワーク。
トップオブラック（ToR）スイッチ。サーバーマシンを接続し、ローカルネットワークとインターフェースするレイヤ 2 スイッチ。Distributed Cloud に接続された各サーバーマシンには、少なくとも 1 つのインバンド接続と 1 つのアウトオブバンド接続が必要です。信頼性を高めるために、マシンごとに 2 つの ToR スイッチと 2 つのインバンド接続（スイッチごとに 1 つ）を使用することをおすすめします。Distributed Cloud に接続された各サーバーマシンは、次のように ToR スイッチに接続します。
- インバンド接続。各 Distributed Cloud 接続サーバーマシンは、インバンド接続用に 1 つまたは両方の ToR スイッチに接続します。これらの接続はワークロードトラフィックを伝送します。これらは 802.1q トランクとして構成し、対応するネイティブ VLAN を、Distributed Cloud 接続の管理ネットワークインターフェースが属するネットワークとして構成する必要があります。ワークロードの接続を追加する必要がある場合は、追加のタグ付き VLAN を Distributed Cloud 接続サーバーにトランキングできます。
- 帯域外接続。各 Distributed Cloud 接続サーバーは、アウトオブバンド接続用の ToR スイッチにも接続します。これにより、Distributed Cloud 接続サーバーが相互に通信できるようになります。アウトオブバンドスイッチポートは同じ VLAN 内に配置する必要があります。
マシン。Distributed Cloud 接続ソフトウェアを実行し、ワークロードを実行する物理 Distributed Cloud 接続サーバーマシン。各物理マシンは、Distributed Cloud 接続クラスタ内のノードです。

分散型クラウドサービス

Distributed Cloud コネクテッドサービスは、Distributed Cloud ハードウェアで直接実行されます。これは、Distributed Cloud 接続ハードウェア上のノードとクラスタのコントロールプレーンとして機能します。このコントロールプレーンは、Distributed Cloud 接続ゾーンをインスタンス化して構成します。管理のために Distributed Cloud ハードウェアが接続する特定の Google データセンターは、Distributed Cloud 接続インストールとの近接性に基づいて選択されます。

Distributed Cloud コネクテッドゾーンは、Distributed Cloud コネクテッドラックにインストールされたマシン、またはオンプレミスにデプロイされた Distributed Cloud コネクテッドサーバーマシンで構成されます。Distributed Cloud コネクテッドラックを使用すると、これらのマシンを Kubernetes ノードとしてインスタンス化し、ノードプールに割り当てて、ノードプールを Distributed Cloud クラスタに割り当てることができます。Distributed Cloud 接続サーバーでは、ノードプールは自動的に入力され、構成できません。

Distributed Cloud が Google Cloudに接続できなくても、ワークロードは最長 7 日間実行され続けます。この期間が過ぎると、Distributed Cloud は Google Cloudと通信して、認証トークンとストレージ暗号鍵を更新し、ハードウェア管理と監査ロギングのデータを同期する必要があります。

図 3 は、Distributed Cloud 接続エンティティの論理的な構成を示しています。

図 2. Distributed Cloud エンティティ。 — **図 3.** Distributed Cloud コネクテッドエンティティ。

エンティティは次のとおりです。

Google Cloud region. Distributed Cloud 接続ゾーンの Google Cloud リージョンは、Distributed Cloud インストールに最も近い Google データセンターのロケーションによって決まります。
Kubernetes ローカルコントロールプレーン。各 Distributed Cloud 接続クラスタの Kubernetes コントロールプレーンは、Distributed Cloud ハードウェアで直接実行されます。 Google Cloud への接続が一時的に失われると、クラスタは存続モードに入り、接続が復元されるまでワークロードの実行を継続できます。詳細については、生存モードをご覧ください。
Distributed Cloud ゾーン。オンプレミスにデプロイされた Distributed Cloud コネクテッドハードウェアを表す論理的抽象化。Distributed Cloud ゾーンは、1 つ以上の Distributed Cloud 接続ラック、またはお客様のロケーションにデプロイされたすべての Distributed Cloud 接続サーバーマシンをカバーします。ゾーン内の物理マシンは、 Google Cloud コンソールで Distributed Cloud 接続マシンとしてインスタンス化されます。Distributed Cloud コネクテッドゾーン内のマシンは、単一のネットワークファブリックまたは単一のフォールトドメインを共有します。Google は、Distributed Cloud 接続ハードウェアを納品する前にマシンを作成します。Distributed Cloud 接続マシンを作成、削除、変更することはできません。

注: Distributed Cloud 接続ゾーンは Compute Engine ゾーンとは異なり、 Google Cloud はこれら 2 種類のゾーンを異なる方法で処理します。Distributed Cloud 接続ゾーンが Google Cloud コンソールの Compute Engine ゾーンのリストに表示されない。
ノード。ノードは、ノードプールの作成時に Distributed Cloud コネクテッドの物理マシンを Kubernetes 領域にインスタンス化する Kubernetes リソースです。ノードプールを Distributed Cloud コネクテッドクラスタに割り当てることで、ワークロードを実行できるようになります。
ノードプール。単一の Distributed Cloud コネクテッドゾーン内の Distributed Cloud コネクテッドノードの論理グループ。Distributed Cloud ノードを Distributed Cloud クラスタに割り当てることができます。Distributed Cloud 接続サーバーの場合、ノードプールは自動的にインスタンス化され、入力されます。
Cluster. コントロールプレーンと 1 つ以上のノードプールで構成される Distributed Cloud 接続クラスタ。
VPN 接続。Google Cloud プロジェクトで実行されている VPC ネットワークへの VPN トンネル。このトンネルにより、Distributed Cloud に接続されたワークロードは、その VPC ネットワークに接続された Compute Engine リソースにアクセスできます。VPN 接続を作成するには、ゾーンに少なくとも 1 つのノードプールを作成する必要があります。Distributed Cloud 接続サーバーは VPN 接続をサポートしていません。

ストレージ

Distributed Cloud connected では、Distributed Cloud connected ラック内の物理マシン 1 台あたり 3.3 TiB の使用可能なストレージが提供されます。このストレージは Linux 論理ボリュームとして構成されます。クラスタを作成すると、Distributed Cloud は 1 つ以上の PersistentVolume を作成し、それらをブロックボリュームとして公開します。このブロックボリュームは、PersistentVolumeClaims を使用してワークロードに割り当てることができます。これらの PersistentVolume はデータの耐久性を提供せず、エフェメラルデータにのみ適しています。ブロックボリュームの操作については、Raw ブロックボリュームをリクエストする PersistentVolumeClaim をご覧ください。

Distributed Cloud 接続サーバーの場合、ストレージは Rakuten Symcloud Storage を介してのみ抽象化されます。Distributed Cloud 接続サーバーマシンごとに 1 TB の使用可能なストレージが提供されます。

ストレージセキュリティ

Distributed Cloud connected は、LUKS を使用してローカルマシンのストレージを暗号化し、顧客管理の暗号鍵（CMEK）をサポートしています。詳細については、セキュリティのベストプラクティスをご覧ください。

Symcloud Storage の統合

Distributed Cloud 接続ラックでは、各 Distributed Cloud 接続ラックノードのローカルストレージ抽象化レイヤとして機能し、他の Distributed Cloud 接続ノードで実行されているワークロードでローカルストレージを使用できるようにする Rakuten Symcloud Storage を使用するように Distributed Cloud を構成できます。Distributed Cloud 接続サーバーでは、Symcloud Storage がデフォルトであり、使用可能な唯一のストレージオプションです。Distributed Cloud 接続サーバーは、ローカルストレージを Linux 論理ボリュームとして公開しません。

詳細については、Symcloud Storage 用に Distributed Cloud Connected を構成するをご覧ください。

ネットワーキング

このセクションでは、Distributed Cloud Connected のネットワーク接続の要件と機能について説明します。

Google は、Distributed Cloud コネクテッドハードウェアをお客様に発送する前に、インストール用の仮想ネットワーキングコンポーネントの一部を事前構成します。ハードウェアの納品後に事前構成済みの設定を変更することはできません。

図 3 は、Distributed Cloud 接続デプロイの仮想ネットワークのトポロジを示しています。

図 3. Distributed Cloud ネットワーキングコンポーネント。 — **図 3.** Distributed Cloud ネットワーキングコンポーネント。

Distributed Cloud 接続デプロイの仮想ネットワークのコンポーネントは次のとおりです。

ネットワーク。Distributed Cloud 接続ゾーンにプライベートアドレス空間を持つ仮想ネットワーク。ネットワークは、ゾーン内の他の仮想ネットワークからレイヤ 3 で分離され、1 つ以上のサブネットワークを含めることができます。仮想ネットワークは、Distributed Cloud に接続されたラック内のすべての物理マシンにまたがっています。単一の Distributed Cloud 接続ゾーンは、最大 20 個のネットワークをサポートします。Distributed Cloud コネクテッドサーバーは、Distributed Cloud コネクテッドサーバークラスタのインスタンス化時に作成されるデフォルトのネットワーク 1 つのみをサポートします。
サブネットワーク。Distributed Cloud ネットワーク内のレイヤ 2 とレイヤ 3 の VLAN サブネットワーク。サブネットワークには、独自のブロードキャストドメインと、選択した 1 つ以上の IPv4 アドレス範囲があります。同じネットワーク内のサブネットワークはレイヤ 2 で分離されますが、レイヤ 3 を介して相互に通信できます。同じネットワーク内の異なるサブネットワークにあるノードは、IP アドレスを使用して相互に通信できます。ただし、異なるネットワーク内のサブネットワーク上のノードは相互に通信できません。Distributed Cloud 接続サーバーは、VLAN ID を使用したサブネットワーク管理のみをサポートします。
ルーター。Distributed Cloud ネットワーク内のトラフィックを制御する仮想ルーターインスタンス。ネットワーク管理者は、ルーターを使用して、Distributed Cloud Pod がローカルネットワークでネットワークプレフィックスをアドバタイズできるように、Distributed Cloud ネットワークとローカルネットワーク間のインターコネクトアタッチメントを介して BGP ピアリングセッションを構成します。デフォルトでは、ルーターは Distributed Cloud サブネットワークから受信したルートを再アドバタイズします。Distributed Cloud は、ネットワークごとに 1 つのルーターをサポートします。Distributed Cloud 接続サーバーはルーターをサポートしていません。
Interconnect. Distributed Cloud ネットワークとローカルネットワーク間のバンドルされた論理リンク。相互接続は 1 つ以上の物理リンクで構成されます。初回起動時に、Distributed Cloud Connected の注文時にリクエストしたインターコネクトが Google によって作成されます。Distributed Cloud 接続ラックが稼働中になった後は、相互接続の作成、変更、削除はできません。デフォルトでは、Google はインストールに高可用性を提供するために 4 つのインターコネクトを作成します。Distributed Cloud 接続サーバーは相互接続をサポートしていません。
相互接続のアタッチメント。インターコネクトとルーター間の仮想リンク。対応する Distributed Cloud ネットワークをローカルネットワークから分離します。相互接続のアタッチメントを通過するトラフィックは、タグなしにすることも、選択した VLAN ID でタグ付けすることもできます。ビジネス要件に基づいて相互接続アタッチメントを作成します。Distributed Cloud サーバーは、相互接続アタッチメントをサポートしていません。

Distributed Cloud コネクテッドネットワーキングコンポーネントは、次の違いを除いて、 Google Cloud と同等のコンポーネントと類似しています。

Distributed Cloud 接続ネットワーキングコンポーネントは、インスタンス化される Distributed Cloud 接続ゾーンに対してローカルです。
Distributed Cloud ネットワークは VPC ネットワークに直接接続されていません。
デフォルトでは、Distributed Cloud ネットワークは、異なる Distributed Cloud コネクテッドゾーン間で相互に接続されていません。クロスゾーンネットワーキングを明示的に構成することもできます。

ネットワーク管理者は、Distributed Cloud 接続のネットワーキングコンポーネント（インターコネクトを除く）を構成します。インターコネクトは、Google が Distributed Cloud 接続ハードウェアを発送する前に構成します。

ネットワーク管理者は、ターゲット Google Cloud プロジェクトに対するエッジネットワーク管理者ロール（roles/edgenetwork.admin）が必要です。一方、Distributed Cloud Connected にワークロードをデプロイするアプリケーションデベロッパーは、ターゲット Google Cloud プロジェクトに対するエッジネットワーク閲覧者ロール（roles/edgenetwork.viewer）が必要です。

ローカルネットワークへの接続

ローカルネットワーク上のリソースへのアウトバウンドトラフィックの場合、Distributed Cloud 接続クラスタ内の Pod は、ピアリングエッジルーターによってアドバタイズされるデフォルトルートを使用します。Distributed Cloud Connected は、組み込みの NAT を使用して Pod をこれらのリソースに接続します。

ローカルネットワーク上のリソースからのインバウンドトラフィックの場合、ネットワーク管理者は、ビジネス要件に一致するルーティングポリシーを構成して、Distributed Cloud 接続クラスタ内の Pod へのアクセスを制御する必要があります。つまり、少なくとも、ファイアウォール構成の手順を完了し、ワークロードで必要に応じて追加のポリシーを構成する必要があります。たとえば、Distributed Cloud Connected の組み込みロードバランサによって公開される個々のノードサブネットワークまたは仮想 IP アドレスに対して、許可/拒否ポリシーを設定できます。Distributed Cloud 接続 Pod と Distributed Cloud 接続 Service の CIDR ブロックには直接アクセスできません。

インターネットへの接続

インターネット上のリソースへの下り（外向き）トラフィックの場合、Distributed Cloud 接続クラスタ内の Pod は、ルーターによって Distributed Cloud 接続 ToR スイッチにアドバタイズされるデフォルトルートを使用します。つまり、少なくともファイアウォール構成の手順を完了し、ワークロードで必要に応じて追加のポリシーを構成する必要があります。Distributed Cloud Connected は、組み込みの NAT を使用して Pod をこれらのリソースに接続します。必要に応じて、Distributed Cloud Connected の組み込みレイヤの上に独自の NAT レイヤを構成できます。

インバウンドトラフィックの場合は、ビジネス要件に応じて WAN ルーターを構成する必要があります。これらの要件は、パブリックインターネットから Distributed Cloud 接続クラスタの Pod に提供する必要があるアクセスレベルを規定します。Distributed Cloud Connected は、Pod CIDR ブロックとサービス管理 CIDR ブロックに組み込みの NAT を使用するため、これらの CIDR ブロックはインターネットからアクセスできません。

VPC ネットワークへの接続

Distributed Cloud connected には、Distributed Cloud connected クラスタを VPC インスタンスに直接接続できる組み込みの VPN ソリューションが含まれています。ただし、そのインスタンスが Distributed Cloud connected クラスタと同じGoogle Cloud プロジェクトにある場合に限ります。

Cloud Interconnect を使用してローカルネットワークを VPC インスタンスに接続する場合、Distributed Cloud 接続クラスタは、標準のノースバウンド eBGP ピアリングを使用してそのインスタンスにアクセスできます。ピアリングエッジルーターは適切な VPC 接頭辞に到達でき、Cloud Interconnect ルーターは Distributed Cloud 接続ロードバランサ、管理、システムサブネットワークなどの Distributed Cloud 接続接頭辞を正しくアドバタイズする必要があります。

Distributed Cloud 接続クラスタと VPC ネットワークの間に VPN 接続を確立すると、次の接続ルールがデフォルトで適用されます。

VPC ネットワークは、Distributed Cloud 接続クラスタ内のすべての Pod にアクセスできます。
Distributed Cloud 接続クラスタ内のすべての Pod は、VPC ネイティブクラスタ内のすべての Pod にアクセスできます。ルートベースのクラスタの場合、カスタムアドバタイズルートを手動で構成する必要があります。
Distributed Cloud 接続クラスタ内のすべての Pod は、VPC ネットワーク内の仮想マシンサブネットワークにアクセスできます。

このセクションで説明する機能は、Distributed Cloud 接続サーバーでは使用できません。

Google Cloud API とサービスへの接続

VPC ネットワークへの VPN 接続を構成すると、Distributed Cloud 接続インストールで実行されているワークロードが Google Cloud API とサービスにアクセスできるようになります。

ビジネス要件に応じて、次の機能を追加で構成できます。

限定公開の Google アクセスを使用して Google Cloud API とサービスにアクセスする
Private Service Connect を使用して、プライベートサービスエンドポイントから Google Cloud API にアクセスする

VPN 接続は、Distributed Cloud 接続サーバーでは使用できません。

ネットワークセキュリティ

ビジネス要件と組織のネットワークセキュリティポリシーによって、Distributed Cloud 接続インストールに出入りするネットワークトラフィックを保護するために必要な手順が規定されます。詳細については、セキュリティのベストプラクティスをご覧ください。

その他のネットワーキング機能

Distributed Cloud Connected は、次のネットワーキング機能をサポートしています。

ハイパフォーマンスネットワーキングのサポート

Distributed Cloud 接続ラックは、可能な限り最高のネットワーキングパフォーマンスを必要とするワークロードの実行をサポートします。このため、Distributed Cloud Connected は、専用のネットワーク機能オペレータと、高パフォーマンスのワークロード実行に必要な機能を実装する一連の Kubernetes CustomResourceDefinitions（CRD）を備えています。

Distributed Cloud 接続ラックは、SR-IOV を使用したネットワークインターフェースの仮想化もサポートしています。

このセクションで説明する機能は、Distributed Cloud 接続サーバーでは使用できません。

仮想マシンのワークロードのサポート

Distributed Cloud コネクテッドは、コンテナに加えて仮想マシンでワークロードを実行できます。詳細については、仮想マシンを管理するをご覧ください。

仮想マシンが Google Distributed Cloud 接続プラットフォームの重要なコンポーネントとして機能する方法については、GKE Enterprise を拡張してオンプレミスエッジ VM を管理するをご覧ください。

GPU ワークロードのサポート

Distributed Cloud コネクテッドは、NVIDIA Tesla T4 GPU で GPU ベースのワークロードを実行できます。この要件は、Distributed Cloud コネクテッドハードウェアを注文する際に指定する必要があります。詳細については、GPU ワークロードを管理するをご覧ください。

この機能は、Distributed Cloud 接続サーバーでは使用できません。

次のステップ

ネットワーキング機能

Distributed Cloud コネクテッドの仕組み コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。