如需版本資訊，請參閱「Distributed Cloud connected 版本資訊」。

Distributed Cloud connected 的運作方式

本頁面說明 Google Distributed Cloud connected 的運作方式，包括基礎架構、硬體、儲存空間和網路功能等資訊。

Google Distributed Cloud connected 包含下列元件：

Distributed Cloud connected 基礎架構。Google 或 Google 認證的系統整合商 (SI) 會交付、部署及維護 Distributed Cloud 連線硬體，包括由專屬團隊進行遠端管理。
Distributed Cloud connected 服務。這項服務可讓您使用 Google Cloud CLI 和 Distributed Cloud Edge Container API，管理 Distributed Cloud 連線叢集和節點集區。Distributed Cloud 連線叢集已註冊至機群，您可以使用 Kubernetes kubectl CLI 工具與這些叢集互動。

Distributed Cloud connected 基礎架構

Google 或 Google 認證的系統整合商會提供、部署、運作及維護專屬硬體，用來執行 Distributed Cloud 連線區域。執行工作負載的 Distributed Cloud connected 節點只會在此硬體上執行。

硬體機器會以 Distributed Cloud connected 節點的形式例項化，並分組到節點集區中，您可以將這些節點集區指派給 Distributed Cloud connected 可用區內的叢集。您可以設定網路，讓在 Distributed Cloud connected 叢集上執行的工作負載僅供本機使用者使用，或可從網際網路存取。您也可以設定網路，只允許 Distributed Cloud 連線節點使用本機資源，或透過安全 Cloud VPN 網路連線，與虛擬私有雲 (VPC) 網路中執行的工作負載 (例如 Compute Engine 虛擬機器 (VM) 執行個體和 Kubernetes Pod) 通訊。 Google Cloud

管理 Distributed Cloud connected

Distributed Cloud connected 節點並非獨立資源，必須保持連線 Google Cloud ，才能進行控制層管理和監控。控制層節點會在 Distributed Cloud connected 硬體上在本機執行，如果 Distributed Cloud connected 部署作業與 Google Cloud中斷連線，工作負載仍會繼續執行。與 Google Cloud 中斷連線後，工作負載最多可繼續執行七天。

Google 會從遠端管理實體機器，以及構成 Distributed Cloud 連結網路部署作業的機器。包括安裝軟體更新和安全性修補程式，以及解決設定問題。網路管理員也可以監控 Distributed Cloud 連線叢集和節點的健康狀態和效能，並與 Google 合作解決任何問題。

Google 在指定位置成功部署 Distributed Cloud connected 硬體後，叢集管理員就能開始設定 Distributed Cloud connected 叢集，方式與傳統 Kubernetes 叢集類似。他們可以將機器指派給節點集區，並將節點集區指派給叢集，以及根據角色授予應用程式擁有者存取權。不過，叢集管理員必須留意 Distributed Cloud 連線部署項目的機器處理和儲存空間限制，並據此規劃叢集和工作負載設定。

Distributed Cloud Connected 提供 API，可設定叢集和節點集區。

存取 Distributed Cloud connected 可用區

您可以設定網路，允許從本機網路和網際網路，以適當的存取層級存取 Distributed Cloud 連線區域。

您也可以將 Distributed Cloud 連線區域連線至虛擬私有雲網路，藉此授予該區域Google Cloud 服務存取權。Distributed Cloud Connected 會使用 Cloud VPN 連線至 Google 服務端點。網路管理員必須設定網路，允許這項操作。

Distributed Cloud connected 角色

下列角色會參與 Distributed Cloud connected zone 的部署和運作：

現場技術人員。在指定位置交付、安裝及啟用 Distributed Cloud connected 硬體。網路管理員會與現場技術人員合作，將硬體連接至電源，並連上網路。視訂單類型而定，這可能是 Google 技術人員或 Google 認證的系統整合技術人員。
Google 網站可靠性工程師 (SRE)。監控及管理 Distributed Cloud connected 硬體。包括解決設定問題、安裝修補程式和更新，以及維護安全性。
網路管理員。設定及維護 Distributed Cloud 連線硬體與本機網路之間的網路連線和存取控制。包括設定路由和防火牆規則，確保所有必要的網路流量類型都能在 Distributed Cloud 硬體、 Google Cloud、使用 Distributed Cloud 連線工作負載的用戶端、內部和外部資料存放區，以及其他影響因素之間自由流動。網路管理員必須有權存取 Google Cloud 控制台，才能監控 Distributed Cloud 連線機器的狀態。網路管理員也會設定Distributed Cloud 網路功能。
叢集管理員。在貴機構中部署及維護 Distributed Cloud 連線叢集。包括設定權限、記錄，以及為每個叢集佈建工作負載。叢集管理員會將節點指派給節點集區，並將節點集區指派給 Distributed Cloud connected 叢集。叢集管理員必須瞭解 Distributed Cloud connected 叢集與標準 Kubernetes 叢集之間的運作差異，例如 Distributed Cloud connected 硬體的處理和儲存功能，才能正確設定及部署工作負載。
應用程式擁有者。軟體工程師，負責開發及/或部署和監控在 Distributed Cloud 連線叢集上執行的應用程式。如果應用程式擁有者在 Distributed Cloud 連線叢集上擁有應用程式，就必須瞭解叢集大小和位置的限制，以及在邊緣部署應用程式的影響，例如效能和延遲。

Distributed Cloud connected 硬體

Distributed Cloud connected 伺服器適用於下列硬體平台：

Distributed Cloud connected 伺服器 G1。一或三台 Dell XR11 系列 1U 機架式電腦。
Distributed Cloud connected 伺服器 G2。Dell XR8000 系列機箱，其中裝有一或三個 XR8610t 機器滑軌。

Distributed Cloud connected 硬體通常包含三部 Distributed Cloud connected 伺服器，可透過您自己的 ToR 交換機直接連線至本機網路。根據預設，您只能訂購三部機器的 Distributed Cloud 連結伺服器。如果您的業務需求需要單一機器的 Distributed Cloud 連線伺服器部署作業，請洽詢 Google 現場銷售代表瞭解詳情。

圖 1 顯示典型的 Distributed Cloud 連線伺服器設定。

圖 1. Distributed Cloud Server 元件。 — **圖 1.** Distributed Cloud connected 元件。

Distributed Cloud connected 安裝作業的元件如下：

Google Cloud. Distributed Cloud connected 安裝作業與 Google Cloud 之間的流量，包括硬體管理和稽核記錄流量。
網際網路。Distributed Cloud 連線安裝與 Google Cloud之間的管理和稽核記錄流量會經過加密，並透過網際網路傳輸。Distributed Cloud Connected 不支援透過 Proxy 連線至網際網路。
區域網路：Distributed Cloud 連線伺服器透過第 2 層 ToR 交換機連線的本機網路。
機架頂端 (ToR) 交換器。連接伺服器電腦並與本機網路介接的第 2 層交換器。每部 Distributed Cloud 連線伺服器機器至少需要一個頻內連線和一個頻外連線，才能連線至單一 ToR 交換器。Google 建議每部機器使用兩個 ToR 交換器和兩個頻內連線 (每個交換器各一)，以提高可靠性。每個 Distributed Cloud 連線伺服器機器都會連線至 ToR 交換器，如下所示：
- 工作負載連線。每個 Distributed Cloud connected 伺服器機器的主要和次要網路介面，都會連線至一或兩個 ToR 交換器，以提供工作負載連線。這些連線會在個別 Distributed Cloud 伺服器機器之間，以及本機網路之間傳輸工作負載流量。您必須將對應的交換器連接埠放在同一個 VLAN 中。如需額外的工作負載連線，您可以將其他已標記的 VLAN 中繼線路連線至 Distributed Cloud 連線伺服器。
- 管理連線：每個 Distributed Cloud 連線伺服器機器的基板管理控制器 (BMC) 網路介面都會連線至一個 ToR 交換器，以進行管理連線，讓 Distributed Cloud 連線伺服器彼此通訊。您必須將這些介面設定為 802.1q 中繼線，並將對應的原生 VLAN 設為 Distributed Cloud 連線的管理網路介面所屬的網路。
機器。實體 Distributed Cloud connected 伺服器，可執行 Distributed Cloud connected 軟體並執行工作負載。每部實體機器都會在 Distributed Cloud 連線叢集中例項化為節點。

Distributed Cloud 服務

Distributed Cloud connected 服務會直接在 Distributed Cloud 硬體上執行。可做為 Distributed Cloud connected 硬體上節點和叢集的控制層。這個控制層會例項化及設定 Distributed Cloud connected 可用區。系統會根據 Distributed Cloud 硬體與 Distributed Cloud connected 安裝位置的距離，選擇要連線的管理資料中心。 Google Cloud

Distributed Cloud connected 可用區包含部署在您所在位置的所有 Distributed Cloud connected 伺服器。您可以將機器指派給 Distributed Cloud connected 叢集。

即使 Distributed Cloud 無法連線至 Google Cloud，工作負載最多仍可繼續執行 7 天。這段時間過後，Distributed Cloud 必須與 Google Cloud通訊，才能重新整理驗證權杖、儲存空間加密金鑰，以及同步處理硬體管理和稽核記錄資料。

圖 2 顯示 Distributed Cloud connected 實體的邏輯組織。

圖 2：Distributed Cloud 實體。 — **圖 2.** Distributed Cloud connected 實體。

實體如下：

Google Cloud 區域。Distributed Cloud connected zone 的Google Cloud 區域取決於 Google Cloud 資料中心的位置，該資料中心必須最靠近 Distributed Cloud 安裝位置。
Kubernetes 本機控制層。每個 Distributed Cloud connected 叢集的 Kubernetes 控制層，都會直接在 Distributed Cloud 硬體上執行。如果暫時無法連線至 Google Cloud ，叢集就會進入存續能力模式，讓工作負載繼續執行，直到連線恢復正常為止。詳情請參閱「存活模式」。
Distributed Cloud 區域。邏輯抽象概念，代表部署在您所在位置的 Distributed Cloud connected 硬體。Distributed Cloud 可用區涵蓋部署在您所在位置的所有 Distributed Cloud 連線伺服器。區域中的實體機器會在 Google Cloud 控制台中，以 Distributed Cloud 連線機器的形式例項化。Distributed Cloud connected 可用區中的機器共用單一網路架構或單一容錯網域。Google 會先建立機器，再交付 Distributed Cloud 連線硬體。您無法建立、刪除或修改 Distributed Cloud 連線機器。

注意： Distributed Cloud 連線區域與 Compute Engine 區域不同， Google Cloud 這兩種類型的區域處理方式也不一樣。Distributed Cloud 連線區域不會顯示在 Google Cloud 控制台的 Compute Engine 區域清單中。
節點。節點是 Kubernetes 資源，建立節點集區時，會將 Distributed Cloud 連線實體機器例項化至 Kubernetes 領域，並將節點集區指派給 Distributed Cloud 連線叢集，讓節點可執行工作負載。
節點集區。在單一 Distributed Cloud connected 可用區中，以邏輯方式將 Distributed Cloud connected 節點歸為一組，方便您將 Distributed Cloud 節點指派給 Distributed Cloud 叢集。如果是 Distributed Cloud 連線伺服器，節點集區會自動例項化及填入。
叢集。Distributed Cloud connected 叢集，由控制層和一或多個節點集區組成。

Distributed Cloud connected Google Cloud 專案

您可以在單一 Distributed Cloud connected 區域中，使用 Distributed Cloud connected 建立多個叢集。雖然可用區本身與特定 Google Cloud 專案相關聯，但可用區內運作的個別叢集可以附加至與可用區專案所屬關係無關的其他Google Cloud 專案。這個架構可讓您在不同團隊或應用程式之間共用實體區域基礎架構，這些團隊或應用程式可能在不同的專案結構下運作，以利帳單或管理作業。

儲存空間

Distributed Cloud Connected 會透過 Rakuten Symcloud Storage，在每個實體機器上提供可用的儲存空間，做為每個 Distributed Cloud Connected 節點上的本機儲存空間抽象層，並讓其他節點上執行的工作負載可使用本機儲存空間。詳情請參閱「為 Symcloud Storage 設定 Distributed Cloud 連結」。

儲存安全

Distributed Cloud Connected 使用 Linux Unified Key Setup (LUKS) 加密本機儲存空間，並支援透過 Cloud KMS 使用客戶管理加密金鑰 (CMEK)。詳情請參閱「安全性最佳做法」。

整合 Symcloud Storage

在特定 Distributed Cloud 連線設定中，您可以設定 Distributed Cloud 使用 Rakuten Symcloud Storage，這項服務會做為每個 Distributed Cloud 連線節點上的本機儲存空間抽象層，並讓其他節點上執行的工作負載使用本機儲存空間。詳情請參閱「為 Symcloud Storage 設定 Distributed Cloud 連結」。

網路

本節說明 Distributed Cloud Connected 的網路連線需求和功能。

Google 會在將 Distributed Cloud connected 硬體寄給您之前，預先設定部分安裝作業的虛擬網路元件。硬體送達後，您就無法修改預先設定。

圖 3 描繪 Distributed Cloud 連結部署中的虛擬網路拓撲。

圖 3. Distributed Cloud 網路元件。 — **圖 3.** Distributed Cloud 網路元件。

Distributed Cloud connected 部署作業中的虛擬網路元件如下：

電視網。Distributed Cloud connected 可用區中的虛擬網路，具有私人位址空間。網路與區域內的其他虛擬網路在第 2 層隔離，且可包含一或多個子網路。虛擬網路涵蓋 Distributed Cloud 連線伺服器部署作業中的所有實體機器。當 Distributed Cloud 連線伺服器叢集例項化時，系統會自動建立這個預設網路。
子網路。Distributed Cloud 網路中的第 2 層 VLAN 子網路。子網路有自己的廣播網域，以及您選擇的一或多個 IPv4 位址範圍。同一網路中的子網路會以第 2 層隔離。同一網路內不同子網路上的節點可以透過 IP 位址相互通訊。Distributed Cloud 連線伺服器僅支援使用 VLAN ID 管理子網路。

Distributed Cloud connected 網路元件與Google Cloud 對應元件類似，但有以下差異：

Distributed Cloud connected 網路元件位於 Distributed Cloud connected 可用區，並在該可用區中例項化。
Distributed Cloud 網路無法直接連線至虛擬私有雲網路。
根據預設，Distributed Cloud 網路在不同 Distributed Cloud 連線區域之間沒有連線能力。您可以選擇明確設定跨區域網路。

網路管理員會設定 Distributed Cloud connected 網路元件。網路管理員必須在目標 Google Cloud 專案中具備Edge Network 管理員角色 (roles/edgenetwork.admin)，而應用程式開發人員必須在目標 Google Cloud 專案中具備Edge Network 檢視者角色 (roles/edgenetwork.viewer)，才能在 Distributed Cloud 連線中部署工作負載。

連線至區域網路

如要將傳出流量導向本機網路上的資源，Distributed Cloud 連線叢集中的 Pod 會使用對等互連邊緣路由器通告的預設路徑。Distributed Cloud Connected 會使用內建的 NAT，將 Pod 連線至這些資源。

如要從本機網路上的資源傳送輸入流量，網路管理員必須設定符合業務需求的路由政策，控管每個 Distributed Cloud 連線叢集中 Pod 的存取權。也就是說，您至少要完成「防火牆設定」一節中的步驟，並視工作負載需求設定其他政策。舉例來說，您可以為 Distributed Cloud Connected 中內建負載平衡器公開的個別節點子網路或虛擬 IP 位址，設定「允許」或「拒絕」政策。您無法直接存取 Distributed Cloud 連線 Pod 和 Distributed Cloud 連線服務 CIDR 區塊。

網際網路連線

如要將輸出流量傳送至網際網路上的資源，Distributed Cloud 連線叢集中的 Pod 會使用路由器通告至 Distributed Cloud 連線 ToR 交換器的預設路徑。也就是說，您至少要完成「防火牆設定」中的步驟，並視工作負載需求設定其他政策。Distributed Cloud Connected 會使用內建的 NAT，將 Pod 連線至這些資源。您可以選擇在 Distributed Cloud 連結設定的內建層之上，設定自己的 NAT 層。

如要處理連入流量，您必須根據業務需求設定 WAN 路由器。這些需求會決定您需要從公開網際網路提供給 Distributed Cloud 連線叢集中 Pod 的存取層級。Distributed Cloud Connected 會使用內建的 NAT 處理 Pod CIDR 區塊和服務管理 CIDR 區塊，因此這些 CIDR 區塊無法從網際網路存取。

網路安全

貴機構的業務需求和網路安全政策，決定了保護進出 Distributed Cloud 連線安裝作業網路流量的必要步驟。詳情請參閱「安全性最佳做法」。

負載平衡

Distributed Cloud 連結網路方案支援以 MetalLB 為基礎的第 2 層負載平衡。詳情請參閱負載平衡。

支援高效能網路

Distributed Cloud Connected 支援執行需要最佳網路效能的工作負載。為此，Distributed Cloud Connected 隨附專用的網路功能運算子，以及一組 Kubernetes 自訂資源定義 (CRD)，可實作執行高效能工作負載所需的功能。

虛擬機器工作負載支援

除了容器，Distributed Cloud Connected 也能在虛擬機器中執行工作負載。詳情請參閱「管理虛擬機器」。

如要瞭解虛擬機器如何做為 Google Distributed Cloud connected 平台的重要元件，請參閱「擴充 GKE Enterprise，管理內部部署邊緣 VM」。

支援 GPU 工作負載

在特定硬體設定中，Distributed Cloud connected 可以在 NVIDIA L4 GPU 上執行 GPU 工作負載。訂購 Distributed Cloud connected 硬體時，請務必指定這項需求。詳情請參閱「管理 GPU 工作負載」。

後續步驟

網路功能