En esta página, se describe cómo funciona Google Distributed Cloud conectado, incluida información sobre su infraestructura, hardware, almacenamiento y capacidades de redes.
Google Distributed Cloud conectado consta de los siguientes componentes:
- La infraestructura de Distributed Cloud conectado. Google o un integrador de sistemas (SI) asociado a Google entregan, implementan y mantienen el hardware de Distributed Cloud conectado, incluida la administración remota por parte de un equipo exclusivo.
- Es el servicio de Distributed Cloud conectado. Este servicio te permite administrar tus clústeres conectados y grupos de nodos de Distributed Cloud con Google Cloud CLI y la API de Distributed Cloud Edge Container.
Los clústeres conectados de Distributed Cloud se registran en tu flota y puedes usar la herramienta de CLI de Kubernetes
kubectlpara interactuar con ellos.
Modelos de propiedad de Distributed Cloud conectado
Puedes pedir el hardware conectado a Distributed Cloud de una de las siguientes maneras, según los requisitos de tu empresa:
Hardware propiedad de Google. Puedes solicitar Distributed Cloud conectado directamente a Google. En esta situación, Google es propietario del hardware conectado de Distributed Cloud, lo mantiene, lo repara y lo retira. Cuando finaliza el contrato, Google retira el hardware de Distributed Cloud y destruye todos los datos almacenados en él.
Hardware propiedad del cliente. Puedes pedir Distributed Cloud conectado a un SI socio de Google. En esta situación, eres propietario del hardware conectado a Distributed Cloud. El SI trabaja contigo y con Google para implementar, reparar y retirar el hardware. Cuando finaliza el contrato, el SI borra todo el software de Google y tus datos del hardware conectado de Distributed Cloud. Luego, podrás reutilizar o desechar el hardware.
Para obtener más información, consulta Elige el modelo de propiedad.
Factores de forma de Distributed Cloud conectado
Distributed Cloud conectado está disponible en uno de los siguientes factores de forma:
Rack de Distributed Cloud. Existen dos tipos de racks de Distributed Cloud:
- Soporte independiente. Un solo rack de tres a doce servidores conectados de Distributed Cloud y dos conmutadores top-of-rack (ToR) Puedes implementarlos como instalaciones independientes de una sola zona o agregarlos en una zona de varios racks conectándolos a un rack base.
- Portaequipaje básico Un par de racks, cada uno con entre tres y doce servidores conectados a Distributed Cloud, dos conmutadores top-of-rack (ToR) y un conmutador agregador. Un rack base te permite crear implementaciones de varios racks agregando los recursos de uno o más racks independientes. Una zona que contiene un soporte base puede tener un mínimo de dos y un máximo de diez soportes, incluidos los dos soportes que componen el soporte base.
Servidor de Distributed Cloud conectado. Un servidor conectado de Distributed Cloud independiente que se conecta directamente a tu red local a través de tus propios conmutadores ToR.
En la siguiente tabla, se describen las diferencias entre los racks conectados de Distributed Cloud y los servidores conectados de Distributed Cloud.
Funcionalidad Rack de GDC conectado Servidor de GDC conectado Factor de forma física Rack completamente equipado
(2 interruptores ToR, 3 a 12 máquinas para rack, opcionalmente 1 interruptor agregador)Máquina de montaje en rack de 1RU y media profundidad Fuente de alimentación CA y CC Solo AC Cargas de trabajo de GPU Admitido No compatible Conectividad de red local Capa 3, compatible con BGP Capa 2, no se admite BGP Redes de Edge Network Totalmente configurable Solo una red (predeterminada) Subredes de Edge Network CIDR y ID de VLAN Solo el ID de VLAN Interconexiones de la red perimetral Admitido No compatible Archivos adjuntos de interconexión de red perimetral Admitido No compatible Conexiones de VPN de red perimetral Admitido No compatible Conectividad VPC Admitido No compatible Almacenamiento de Symcloud Admitido Admitido Operador de funciones de red Admitido No compatible SR-IOV Admitido No compatible
De forma predeterminada, solo puedes pedir servidores de Distributed Cloud connected en una configuración de tres nodos. Si los requisitos de tu empresa exigen implementaciones de un solo nodo de servidores conectados de Distributed Cloud, comunícate con tu representante de ventas externo de Google para obtener más información.
Infraestructura de Distributed Cloud conectado
Google proporciona, implementa, opera y mantiene el hardware dedicado que ejecuta tu zona conectada de Distributed Cloud. Los nodos conectados de Distributed Cloud que ejecutan tus cargas de trabajo se ejecutan exclusivamente en este hardware.
El hardware ejecuta una cantidad de nodos agrupados en grupos de nodos, que puedes asignar a clústeres dentro de tu zona conectada de Distributed Cloud. Puedes configurar tu red de modo que las cargas de trabajo que se ejecutan en clústeres conectados de Distributed Cloud solo estén disponibles para tus usuarios locales o sean accesibles desde Internet. También puedes configurar tu red para permitir que solo los nodos conectados a Distributed Cloud usen recursos locales o se comuniquen con cargas de trabajo, como instancias de máquinas virtuales (VM) de Compute Engine y Pods de Kubernetes que se ejecutan en una red de nube privada virtual (VPC) a través de una conexión de red de Cloud VPN segura a una red de VPC.
Administración de Distributed Cloud conectado
Los nodos conectados de Distributed Cloud no son recursos independientes y deben permanecer conectados a Google Cloud para la administración y supervisión del plano de control. Los nodos del plano de control se ejecutan de forma local en el hardware conectado de Distributed Cloud, y tus cargas de trabajo siguen ejecutándose mientras Distributed Cloud está desconectado de Google Cloud durante un máximo de siete días.
Google administra de forma remota las máquinas físicas y los conmutadores ToR que constituyen tu implementación de Distributed Cloud conectada. Esto incluye la instalación de actualizaciones de software y parches de seguridad, y la resolución de problemas de configuración. Tu administrador de red también puede supervisar el estado y el rendimiento de los clústeres y nodos conectados de Distributed Cloud, y trabajar con Google para resolver cualquier problema.
Después de que Google implemente correctamente el hardware de Distributed Cloud Connected en la ubicación designada, el administrador del clúster podrá comenzar a configurar el clúster de Distributed Cloud Connected de una manera similar a la de un clúster de Kubernetes convencional. Pueden asignar máquinas a grupos de nodos y grupos de nodos a clústeres, y otorgar acceso a los propietarios de aplicaciones según lo requieran sus roles. Sin embargo, el administrador del clúster debe tener en cuenta las limitaciones de procesamiento y almacenamiento de las máquinas en el rack conectado de Distributed Cloud y planificar la configuración del clúster y la carga de trabajo en consecuencia.
Distributed Cloud Connected proporciona una API para configurar clústeres y grupos de nodos.
Acceso a la zona conectada de Distributed Cloud
Puedes configurar tu red para permitir el nivel de acceso deseado a tu zona conectada de Distributed Cloud, tanto desde tu red local como desde Internet.
También puedes otorgar acceso a tu zona conectada de Distributed Cloud a los servicios deGoogle Cloud conectándola a tu red de VPC. Distributed Cloud Connected usa Cloud VPN para conectarse a los extremos de los servicios de Google. El administrador de red debe configurar la red para permitir esto.
Arquetipos de Distributed Cloud conectado
En la implementación y operación de tu zona conectada de Distributed Cloud, participan los siguientes arquetipos:
Técnico de campo: Entrega, instala y activa el hardware conectado de Distributed Cloud en la ubicación designada. El administrador de red trabaja con los técnicos de campo para conectar el hardware a la fuente de alimentación y a la red. Según el tipo de pedido, se trata de un técnico de Google o de un SI asociado a Google.
Ingeniero de confiabilidad de sitios (SRE) de Google. Supervisa y administra el hardware conectado de Distributed Cloud. Esto incluye la resolución de problemas de configuración, la instalación de parches y actualizaciones, y el mantenimiento de la seguridad.
Administrador de red. Configura y mantiene la conectividad de red y el control de acceso entre el hardware conectado de Distributed Cloud y tu red local. Esto incluye configurar tus reglas de enrutamiento y firewall para garantizar que todos los tipos requeridos de tráfico de red puedan fluir libremente entre el hardware de Distributed Cloud, Google Cloud, los clientes que consumen tus cargas de trabajo conectadas de Distributed Cloud, los repositorios de datos internos y externos, y así sucesivamente. El administrador de red debe tener acceso a la consola de Google Cloud para supervisar el estado de las máquinas conectadas de Distributed Cloud. El administrador de red también configura las funciones de redes de Distributed Cloud.
Administrador del clúster Implementa y mantiene clústeres conectados de Distributed Cloud dentro de tu organización. Esto incluye la configuración de permisos, el registro y el aprovisionamiento de cargas de trabajo para cada clúster. El administrador del clúster asigna nodos a grupos de nodos y grupos de nodos a clústeres conectados de Distributed Cloud. El administrador del clúster debe comprender las diferencias operativas entre el clúster conectado de Distributed Cloud y un clúster de Kubernetes tradicional, como las capacidades de procesamiento y almacenamiento del hardware conectado de Distributed Cloud, para configurar y, luego, implementar correctamente tus cargas de trabajo.
Propietario de la aplicación. Ingeniero de software responsable de desarrollar, implementar y supervisar una aplicación que se ejecuta en un clúster conectado de Distributed Cloud Los propietarios de aplicaciones que tienen aplicaciones en un clúster conectado de Distributed Cloud deben comprender las limitaciones sobre el tamaño y la ubicación de los clústeres, así como las consecuencias de implementar una aplicación en el borde, como el rendimiento y la latencia.
Hardware de rack conectado a Distributed Cloud
En la figura 1, se muestra una configuración típica de un rack conectado de Distributed Cloud con seis máquinas.
Los componentes de una instalación de rack de Distributed Cloud conectado son los siguientes:
Google Cloud. El tráfico entre tu instalación conectada de Distributed Cloud y Google Cloud incluye tráfico de administración de hardware y tráfico de Cloud VPN a los servicios de Google Cloud y a cualquier carga de trabajo que ejecutes allí. También puede incluir tráfico de VPC, si corresponde.
Internet: Tráfico de administración y supervisión encriptado entre tu instalación conectada de Distributed Cloud y Google Cloudque viaja por Internet. Distributed Cloud Connected no admite conexiones a Internet a través de proxy.
Red local. Es la red local externa al rack de Distributed Cloud que conecta los routers perimetrales de intercambio de tráfico a Internet.
Routers perimetrales de intercambio de tráfico. Tus routers de red local que se conectan con los conmutadores ToR de Distributed Cloud. Según la ubicación física que elijas para tu instalación de Distributed Cloud, los routers perimetrales de interconexión pueden ser propiedad de tu organización o de tu centro de colocación, y tu organización o tu centro de colocación pueden encargarse de su mantenimiento. Debes configurar estos routers para que usen el Protocolo de puerta de enlace fronteriza (BGP) para establecer la conexión con los conmutadores ToR y anunciar una ruta predeterminada a tu hardware conectado de Distributed Cloud. También debes configurar estos routers, así como los firewalls correspondientes, para permitir el tráfico de administración de dispositivos, el tráfico de supervisión y el tráfico de Cloud VPN de Google, si corresponde.
Según los requisitos de tu empresa, puedes configurar estos routers de la siguiente manera:
- Permite que tus nodos conectados de Distributed Cloud accedan a Internet a través de la traducción de direcciones de red (NAT) pública o la exposición directa a direcciones IP públicas.
- Permite una conexión de VPN a tu red de VPC y a los servicios deGoogle Cloud que desees.
Conmutadores de la parte superior del rack (ToR): Los conmutadores de capa 3 que conectan las máquinas dentro del rack y se conectan a tu red local. Estos conmutadores son dispositivos de BGP y controlan el tráfico de red entre el rack conectado de Distributed Cloud y tu equipo de red local. Se conectan a los routers de borde de intercambio de tráfico mediante paquetes del Protocolo de control de agregación de vínculos (LACP).
Interruptor del agregador: El conmutador de capa 3 solo está presente en los racks básicos que conectan los conmutadores ToR de los racks independientes y agregan su tráfico para formar una red de clústeres de varios racks. Puedes conectar hasta 20 conmutadores ToR independientes para racks al conjunto de dos conmutadores agregadores presentes en un par de racks base, lo que da un total de 10 racks independientes. Los conmutadores del agregador se conectan a tus routers perimetrales de interconexión.
Máquinas: Son las máquinas físicas que ejecutan el software conectado a Distributed Cloud y ejecutan tus cargas de trabajo. Cada máquina física es un nodo dentro del clúster conectado de Distributed Cloud.
Hardware del servidor de Distributed Cloud conectado
En la figura 2, se muestra una configuración típica de servidor conectado de Distributed Cloud.
Los componentes de una instalación de servidor conectado de Distributed Cloud son los siguientes:
Google Cloud. El tráfico entre tu instalación conectada a Distributed Cloud y Google Cloud incluye la administración de hardware y el tráfico de registro de auditoría. También puede incluir tráfico de VPC, si corresponde.
Internet: Tráfico de registros de auditoría y administración encriptado entre tu instalación conectada de Distributed Cloud y Google Cloudque viaja por Internet. Distributed Cloud Connected no admite conexiones a Internet a través de proxy.
Red local. Tu red local a la que se conectan los servidores de Distributed Cloud Connected a través de tus conmutadores ToR de capa 2.
Conmutadores de la parte superior del rack (ToR): Tus conmutadores de capa 2 que conectan las máquinas de servidor y se interconectan con tu red local. Cada máquina del servidor conectado de Distributed Cloud requiere, como mínimo, una conexión dentro de la banda y una fuera de la banda a un solo conmutador ToR. Para mayor confiabilidad, Google recomienda usar dos conmutadores ToR y dos conexiones dentro de la banda por máquina (una por conmutador). Cada máquina del servidor conectada a Distributed Cloud se conecta a los conmutadores ToR de la siguiente manera:
- Conectividad dentro de la banda. Cada máquina de servidor conectada de Distributed Cloud se conecta a uno o ambos conmutadores ToR para la conectividad dentro de la banda. Estas conexiones transportan el tráfico de tu carga de trabajo. Debes configurarlos como troncales 802.1q y la VLAN nativa correspondiente como la red a la que pertenecen las interfaces de red de administración conectadas a Distributed Cloud. Si necesitas conectividad adicional para la carga de trabajo, puedes agregar VLAN etiquetadas adicionales a tus servidores conectados de Distributed Cloud.
- Conectividad fuera de banda. Cada servidor conectado de Distributed Cloud también se conecta a un conmutador ToR para la conectividad fuera de banda, lo que permite que los servidores conectados de Distributed Cloud se comuniquen entre sí. Debes colocar los puertos del conmutador fuera de banda dentro de la misma VLAN.
Máquinas: Son las máquinas servidor físicas conectadas a Distributed Cloud que ejecutan el software conectado a Distributed Cloud y ejecutan tus cargas de trabajo. Cada máquina física es un nodo dentro del clúster conectado de Distributed Cloud.
Servicio de Distributed Cloud
El servicio conectado de Distributed Cloud se ejecuta directamente en el hardware de Distributed Cloud. Sirve como plano de control para los nodos y clústeres en el hardware conectado de Distributed Cloud. Este plano de control crea instancias y configura tu zona conectada de Distributed Cloud. El centro de datos específico de Google al que se conecta tu hardware de Distributed Cloud para la administración se elige según su proximidad a la instalación conectada de Distributed Cloud.
Una zona conectada de Distributed Cloud consta de las máquinas instaladas en los racks conectados de Distributed Cloud o de las máquinas de servidor conectadas de Distributed Cloud implementadas en tus instalaciones. Con el rack de Distributed Cloud conectado, puedes asignar estas máquinas, que se crean como nodos de Kubernetes, a un grupo de nodos y el grupo de nodos a un clúster de Distributed Cloud. Con los servidores conectados de Distributed Cloud, los grupos de nodos se propagan automáticamente y no se pueden configurar.
Tus cargas de trabajo continúan ejecutándose incluso si Distributed Cloud no puede conectarse a Google Clouddurante un máximo de 7 días. Después de este período, Distributed Cloud debe comunicarse con Google Cloud para actualizar los tokens de autenticación y las claves de encriptación de almacenamiento, y sincronizar los datos de administración de hardware y de registro de auditoría.
En la figura 3, se muestra la organización lógica de las entidades de Distributed Cloud conectado.
Las entidades son las siguientes:
Google Cloud region. La regiónGoogle Cloud de tu zona de Distributed Cloud conectado se determina según la ubicación del centro de datos de Google más cercano a tu instalación de Distributed Cloud.
Plano de control local de Kubernetes. El plano de control de Kubernetes para cada clúster conectado a Distributed Cloud se ejecuta directamente en tu hardware de Distributed Cloud. Un clúster puede entrar en modo de supervivencia cuando se pierde temporalmente la conexión a Google Cloud , lo que permite que tus cargas de trabajo sigan ejecutándose hasta que se restablezca la conexión. Para obtener más información, consulta Modo de supervivencia.
Zona de Distributed Cloud. Es una abstracción lógica que representa el hardware conectado de Distributed Cloud implementado en tus instalaciones. Una zona de Distributed Cloud abarca uno o más racks conectados de Distributed Cloud o todas las máquinas servidoras conectadas de Distributed Cloud implementadas en tu ubicación. Las máquinas físicas de la zona se crean como máquinas conectadas a Distributed Cloud en la consola de Google Cloud . Las máquinas de una zona conectada de Distributed Cloud comparten una sola estructura de red o un solo dominio con fallas. Google crea tus máquinas antes de entregar el hardware conectado de Distributed Cloud. No puedes crear, borrar ni modificar máquinas conectadas de Distributed Cloud.
Nodo. Un nodo es un recurso de Kubernetes que crea una instancia de una máquina física de Distributed Cloud connected en el ámbito de Kubernetes cuando se crea un grupo de nodos, lo que hace que esté disponible para ejecutar cargas de trabajo asignando el grupo de nodos a un clúster de Distributed Cloud connected.
Grupo de nodos. Es una agrupación lógica de nodos de Distributed Cloud conectado dentro de una sola zona de Distributed Cloud conectado que te permite asignar nodos de Distributed Cloud a clústeres de Distributed Cloud. En el caso de los servidores conectados de Distributed Cloud, los grupos de nodos se crean y se propagan automáticamente.
Clúster: Es un clúster conectado de Distributed Cloud que consta de un plano de control y uno o más grupos de nodos.
Conexión de VPN Un túnel de VPN a una red de VPC que se ejecuta en unGoogle Cloud proyecto Este túnel permite que tus cargas de trabajo conectadas a Distributed Cloud accedan a los recursos de Compute Engine conectados a esa red de VPC. Debes crear al menos un grupo de nodos en tu zona antes de poder crear una conexión de VPN. Los servidores conectados de Distributed Cloud no admiten conexiones de VPN.
Almacenamiento
Distributed Cloud connected proporciona almacenamiento utilizable en cada máquina física. Este almacenamiento se configura como volúmenes lógicos de Linux. Cuando creas un clúster, Distributed Cloud crea uno o más PersistentVolumes y los expone como volúmenes de bloques que puedes asignar a una carga de trabajo con PersistentVolumeClaims. Ten en cuenta que estos PersistentVolumes no proporcionan durabilidad de los datos y solo son adecuados para datos efímeros. Para obtener información sobre cómo trabajar con volúmenes de bloques, consulta PersistentVolumeClaim que solicita un volumen de bloques sin procesar.
Seguridad de almacenamiento
Distributed Cloud Connected usa LUKS para encriptar el almacenamiento local de la máquina y admite claves de encriptación administradas por el cliente (CMEK). Para obtener más información, consulta las prácticas recomendadas de seguridad.
Integración de Symcloud Storage
En los racks conectados de Distributed Cloud, puedes configurar Distributed Cloud para que use Rakuten Symcloud Storage, que actúa como una capa de abstracción de almacenamiento local en cada nodo de rack conectado de Distributed Cloud y hace que su almacenamiento local esté disponible para las cargas de trabajo que se ejecutan en otros nodos conectados de Distributed Cloud. En los servidores conectados de Distributed Cloud, Symcloud Storage es la opción de almacenamiento predeterminada y la única disponible. Los servidores conectados de Distributed Cloud no exponen el almacenamiento local como volúmenes lógicos de Linux.
Para obtener más información, consulta Cómo configurar Distributed Cloud connected para Symcloud Storage.
Redes
En esta sección, se describen los requisitos y las funciones de conectividad de red de Distributed Cloud connected.
Google preconfigura algunos de los componentes de redes virtuales para tu instalación antes de enviarte el hardware de Distributed Cloud conectado. No puedes modificar la configuración preestablecida después de que se entrega el hardware.
En la figura 3, se muestra la topología de la red virtual en una implementación conectada de Distributed Cloud.
Los componentes de la red virtual en una implementación conectada de Distributed Cloud son los siguientes:
Red. Una red virtual con un espacio de direcciones privadas en tu zona conectada de Distributed Cloud Una red está aislada en la capa 3 de otras redes virtuales dentro de la zona y puede contener una o más subredes. La red virtual abarca todas las máquinas físicas del rack conectado de Distributed Cloud. Una sola zona conectada de Distributed Cloud admite un máximo de 20 redes. Los servidores de Distributed Cloud Connected solo admiten una red, la predeterminada que se crea cuando se instancia un clúster de servidores de Distributed Cloud Connected.
Subred. Es una subred de VLAN de capa 2 y capa 3 dentro de una red de Distributed Cloud. Una subred tiene su propio dominio de transmisión y uno o más rangos de direcciones IPv4 de tu elección. Las subredes dentro de la misma red están aisladas en la capa 2, pero pueden comunicarse entre sí a través de la capa 3. Los nodos en diferentes subredes dentro de la misma red pueden comunicarse entre sí usando sus direcciones IP. Sin embargo, los nodos de subredes dentro de redes diferentes no pueden comunicarse entre sí. Los servidores conectados de Distributed Cloud solo admiten la administración de subredes con IDs de VLAN.
Router: Instancia de router virtual que rige el tráfico dentro de una red de Distributed Cloud. Tu administrador de red usa un router para configurar una sesión de intercambio de tráfico de BGP a través de una conexión de interconexión entre una red de Distributed Cloud y tu red local, de modo que los pods de Distributed Cloud puedan anunciar sus prefijos de red en tu red local. De forma predeterminada, los routers vuelven a anunciar las rutas que reciben de las subredes de Distributed Cloud. Distributed Cloud admite un router por red. Los servidores conectados de Distributed Cloud no admiten routers.
Interconexión: Es un vínculo lógico agrupado entre una red de Distributed Cloud y tu red local. Una interconexión se compone de uno o más vínculos físicos. Durante el inicio inicial, Google crea las interconexiones que solicitaste cuando pediste Distributed Cloud Connected. Las interconexiones no se pueden crear, modificar ni quitar después de que el rack conectado de Distributed Cloud esté en funcionamiento. De forma predeterminada, Google crea cuatro interconexiones para proporcionar alta disponibilidad a tu instalación. Los servidores conectados de Distributed Cloud no admiten interconexiones.
Es un adjunto de interconexión. Es un vínculo virtual entre una interconexión y un router que aísla la red de Distributed Cloud correspondiente de tu red local. El tráfico que fluye a través de un adjunto de interconexión puede no estar etiquetado o estar etiquetado con un ID de VLAN de tu elección. Creas adjuntos de interconexión según tus requisitos comerciales. Los servidores de Distributed Cloud no admiten adjuntos de interconexión.
Los componentes de redes conectadas de Distributed Cloud comparten similitudes con sus equivalentes de Google Cloud , con las siguientes diferencias:
Los componentes de redes conectadas de Distributed Cloud son locales para la zona conectada de Distributed Cloud en la que se crean instancias.
Una red de Distributed Cloud no tiene conectividad directa con una red de VPC.
De forma predeterminada, las redes de Distributed Cloud no tienen conectividad entre sí en las diferentes zonas de Distributed Cloud conectado. Tienes la opción de configurar explícitamente las redes entre zonas.
Tu administrador de red configura los componentes de redes conectadas de Distributed Cloud, excepto las interconexiones, que Google configura antes de enviarte el hardware conectado de Distributed Cloud.
Tu administrador de red debe tener el rol de administrador de red perimetral (roles/edgenetwork.admin) en el proyecto Google Cloud de destino, mientras que los desarrolladores de aplicaciones que implementan cargas de trabajo en Distributed Cloud Connected deben tener el rol de visualizador de red perimetral (roles/edgenetwork.viewer) en el proyecto Google Cloud de destino.
Conectividad a tu red local
Para el tráfico saliente a los recursos de tu red local, los Pods de un clúster conectado a Distributed Cloud usan las rutas predeterminadas que anuncian tus routers perimetrales de intercambio de tráfico. Distributed Cloud Connected usa su NAT integrada para conectar Pods a esos recursos.
Para el tráfico entrante de los recursos de tu red local, el administrador de red debe configurar políticas de enrutamiento que coincidan con los requisitos de tu empresa para controlar el acceso a los Pods en cada uno de tus clústeres conectados de Distributed Cloud. Esto significa que, como mínimo, debes completar los pasos que se indican en Configuración del firewall y configurar políticas adicionales según lo requieran tus cargas de trabajo. Por ejemplo, puedes configurar políticas de permiso o denegación para subredes de nodos individuales o direcciones IP virtuales expuestas por el balanceador de cargas integrado en Distributed Cloud connected. No se puede acceder directamente a los bloques CIDR del Pod conectado de Distributed Cloud y del servicio conectado de Distributed Cloud.
Conectividad a Internet
Para el tráfico saliente a los recursos en Internet, los Pods en un clúster conectado a Distributed Cloud usan la ruta predeterminada que anuncian tus routers a los conmutadores ToR conectados a Distributed Cloud. Esto significa que, como mínimo, debes completar los pasos que se indican en Configuración del firewall y configurar políticas adicionales según lo requieran tus cargas de trabajo. Distributed Cloud Connected usa su NAT integrada para conectar los Pods a esos recursos. De manera opcional, puedes configurar tu propia capa de NAT sobre la capa integrada en Distributed Cloud connected.
Para el tráfico entrante, debes configurar tus routers WAN según los requisitos de tu empresa. Estos requisitos determinan el nivel de acceso que debes proporcionar desde Internet pública a los Pods en tus clústeres conectados de Distributed Cloud. Distributed Cloud Connected usa su NAT integrada para los bloques CIDR de Pod y los bloques CIDR de administración de servicios, por lo que no se puede acceder a esos bloques CIDR desde Internet.
Conectividad a una red de VPC
Distributed Cloud Connected incluye una solución de VPN integrada que te permite conectar un clúster de Distributed Cloud Connected directamente a una instancia de VPC si esa instancia se encuentra en el mismo proyecto deGoogle Cloud que el clúster de Distributed Cloud Connected.
Si usas Cloud Interconnect para conectar tu red local a una instancia de VPC, tus clústeres conectados de Distributed Cloud pueden acceder a esa instancia a través del peering de eBGP estándar de norte a sur. Tus routers perimetrales de intercambio de tráfico deben poder acceder a los prefijos de VPC adecuados, y tus routers de Cloud Interconnect deben anunciar correctamente tus prefijos conectados de Distributed Cloud, como las subredes del sistema, de administración y del balanceador de cargas conectado de Distributed Cloud.
Después de establecer una conexión de VPN entre tu clúster conectado de Distributed Cloud y tu red de VPC, se aplican las siguientes reglas de conectividad de forma predeterminada:
- Tu red de VPC puede acceder a todos los Pods del clúster conectado de Distributed Cloud.
- Todos los Pods del clúster conectado de Distributed Cloud pueden acceder a todos los Pods de tus clústeres nativos de VPC. En el caso de los clústeres basados en rutas, debes configurar manualmente las rutas anunciadas personalizadas.
- Todos los Pods del clúster conectado de Distributed Cloud pueden acceder a las subredes de máquina virtual en tu red de VPC.
La funcionalidad que se describe en esta sección no está disponible en los servidores conectados de Distributed Cloud.
Conectividad a las APIs y los servicios de Google Cloud
Después de configurar una conexión de VPN a tu red de VPC, las cargas de trabajo que se ejecutan en tu instalación conectada de Distributed Cloud pueden acceder a las Google Cloud APIs y los servicios.
Además, puedes configurar las siguientes funciones si los requisitos de tu empresa lo exigen:
- Acceso privado a Google para acceder a Google Cloud APIs y servicios
- Private Service Connect para usar extremos de servicio privados y acceder a las Google Cloud APIs
La conectividad de VPN no está disponible en los servidores conectados de Distributed Cloud.
Seguridad de red
Los requisitos de tu empresa y la política de seguridad de red de tu organización dictan los pasos necesarios para proteger el tráfico de red que entra y sale de tu instalación conectada de Distributed Cloud. Para obtener más información, consulta las prácticas recomendadas de seguridad.
Otras funciones de redes
Distributed Cloud Connected admite las siguientes funciones de redes:
Compatibilidad con redes de alto rendimiento
Los racks conectados de Distributed Cloud admiten la ejecución de cargas de trabajo que requieren el mejor rendimiento de redes posible. Para ello, Distributed Cloud Connected incluye un operador de funciones de red especializado y un conjunto de definiciones de recursos personalizados (CRD) de Kubernetes que implementan las funciones necesarias para la ejecución de cargas de trabajo de alto rendimiento.
Los racks conectados de Distributed Cloud también admiten la virtualización de interfaces de red con SR-IOV.
Las funciones que se describen en esta sección no están disponibles en los servidores conectados de Distributed Cloud.
Compatibilidad con cargas de trabajo de máquinas virtuales
Distributed Cloud conectado puede ejecutar cargas de trabajo en máquinas virtuales además de en contenedores. Para obtener más información, consulta Administra máquinas virtuales.
Para obtener información sobre cómo las máquinas virtuales son un componente esencial de la plataforma conectada de Google Distributed Cloud, consulta Extiende GKE Enterprise para administrar VMs perimetrales locales.
Compatibilidad con cargas de trabajo de GPU
Distributed Cloud conectado puede ejecutar cargas de trabajo basadas en GPU en GPU NVIDIA Tesla T4. Debes especificar este requisito cuando solicites el hardware conectado a Distributed Cloud. Para obtener más información, consulta Administra cargas de trabajo de GPU.
Esta función no está disponible en los servidores conectados de Distributed Cloud.