如需了解版本信息，请参阅 Distributed Cloud Connected 版本说明。

Distributed Cloud Connected 的运作方式

本页介绍了 Google Distributed Cloud Connected 的工作原理，包括有关其基础设施、硬件、存储和网络功能的信息。

Google Distributed Cloud connected 由以下组件组成：

Distributed Cloud connected 基础架构。Google 或 Google 认证的系统集成商 (SI) 会交付、部署和维护 Distributed Cloud Connected 硬件，包括由专门的团队进行远程管理。
Distributed Cloud Connected 服务。借助此服务，您可以使用 Google Cloud CLI 和 Distributed Cloud Edge Container API 管理 Distributed Cloud 连接的集群和节点池。Distributed Cloud 已连接的集群已在您的舰队中注册，您可以使用 Kubernetes kubectl CLI 工具与其进行交互。

Distributed Cloud connected 基础架构

Google 或 Google 认证的 SI 会提供、部署、运营和维护运行 Distributed Cloud Connected 区域的专用硬件。执行工作负载的 Distributed Cloud connected 节点仅在此硬件上运行。

硬件机器实例化为 Distributed Cloud connected 节点，并分组到节点池中，您可以将这些节点池分配给 Distributed Cloud connected 可用区中的集群。您可以配置网络，使在连接的 Distributed Cloud 集群上运行的工作负载仅对本地用户可用，或可从互联网访问。您还可以配置网络，以仅允许连接到分布式云的节点使用本地资源或与工作负载进行通信，例如 Compute Engine 虚拟机 (VM) 实例和在 Virtual Private Cloud (VPC) 网络中运行的 Kubernetes Pod，这些节点通过安全的 Cloud VPN 网络连接到 Google Cloud上的 VPC 网络。

Distributed Cloud Connected 管理

分布式云连接节点不是独立资源，必须保持与 Google Cloud 的连接，以便进行控制平面管理和监控。控制平面节点在 Distributed Cloud Connected 硬件上本地运行，如果 Distributed Cloud Connected 部署与 Google Cloud断开连接，工作负载仍会继续运行。在与 Google Cloud 断开连接的情况下，工作负载最多可继续运行 7 天。

Google 会远程管理构成 Distributed Cloud Connected 部署的物理机。这包括安装软件更新和安全补丁，以及解决配置问题。您的网络管理员还可以监控 Distributed Cloud connected 集群和节点的运行状况和性能，并与 Google 合作解决任何问题。

Google 在您指定的位置成功部署 Distributed Cloud Connected 硬件后，集群管理员便可以开始配置 Distributed Cloud Connected 集群，其方式与配置常规 Kubernetes 集群类似。他们可以将机器分配给节点池，将节点池分配给集群，并根据应用所有者的角色授予相应访问权限。不过，集群管理员必须注意分布式云连接部署中机器的处理和存储限制，并相应地规划集群和工作负载配置。

Distributed Cloud Connected 提供用于配置集群和节点池的 API。

访问 Distributed Cloud connected 可用区

您可以配置网络，以允许从本地网络和互联网对 Distributed Cloud 连接区域进行适当级别的访问。

您还可以通过将分布式云连接区连接到 VPC 网络，授予该连接区对Google Cloud 服务的访问权限。Distributed Cloud connected 使用 Cloud VPN 连接到 Google 服务端点。您的网络管理员必须配置您的网络以允许此操作。

Distributed Cloud connected 角色

以下角色会参与到 Distributed Cloud 连接区域的部署和运营中：

现场技术人员。在您指定的位置交付、安装和激活 Distributed Cloud Connected 硬件。您的网络管理员会与现场技术人员合作，将硬件连接到电源和网络。根据您的订单类型，此人可能是 Google 技术人员，也可能是 Google 认证的 SI 技术人员。
Google 站点可靠性工程师 (SRE)。监控和管理 Distributed Cloud Connected 硬件。这包括解决配置问题、安装补丁和更新，以及维护安全性。
网络管理员。配置并维护分布式云连接硬件与本地网络之间的网络连接和访问权限控制。这包括配置路由和防火墙规则，以确保所有必需类型的网络流量可以在分布式云硬件 ( Google Cloud)、使用分布式云连接工作负载的客户端、内部和外部数据存储区以及其他促成因素之间自由流动。网络管理员必须有权访问 Google Cloud 控制台，才能监控 Distributed Cloud 连接的机器的状态。网络管理员还会配置分布式云网络功能。
集群管理员。 在组织内部署和维护 Distributed Cloud Connected 集群。这包括为每个集群配置权限、日志记录和预配工作负载。集群管理员将节点分配给节点池，并将节点池分配给 Distributed Cloud 连接集群。集群管理员必须了解分布式云连接集群与标准 Kubernetes 集群之间的操作差异，例如分布式云连接硬件的处理和存储能力，才能正确配置和部署工作负载。
应用所有者。负责开发和/或部署并监控在 Distributed Cloud Connected 集群上运行的应用的软件工程师。在 Distributed Cloud Connected 集群上拥有应用的应用所有者必须了解集群的大小和位置限制，以及在边缘部署应用（例如性能和延迟时间）的后果。

Distributed Cloud Connected 硬件

Distributed Cloud connected servers 可在以下硬件平台上使用：

Distributed Cloud connected 服务器 G1。一组一台或三台 Dell XR11 系列 1U 机架式机器。
Distributed Cloud connected 服务器 G2。配备一个或三个 XR8610t 机器滑轨的 Dell XR8000 系列机箱。

Distributed Cloud connected 硬件通常包含三台 Distributed Cloud connected 服务器，这些服务器可通过您自己的 ToR 交换机直接连接到本地网络。默认情况下，您只能订购三台机器配置的 Distributed Cloud Connected 服务器。如果您的业务需求需要单机部署 Distributed Cloud 连接服务器，请与您的 Google 现场销售代表联系以了解详情。

图 1 展示了典型的 Distributed Cloud Connected Server 配置。

图 1. 分布式云服务器组件。 — **图 1.** Distributed Cloud connected 组件。

Distributed Cloud connected 安装的组件如下所示：

Google Cloud. Distributed Cloud connected 安装与 Google Cloud 之间的流量包括硬件管理和审核日志记录流量。
互联网。在您的 Distributed Cloud 连接的安装与 Google Cloud之间加密管理和审核日志记录流量，并通过互联网传输。Distributed Cloud Connected 不支持代理互联网连接。
本地网络。本地网络，Distributed Cloud 连接的服务器通过第 2 层 ToR 交换机连接到该网络。
架顶 (ToR) 交换机。连接服务器机器并与本地网络连接的第 2 层交换机。每个 Distributed Cloud 连接的服务器机器至少需要一个带内连接和一个带外连接到单个 ToR 交换机。Google 建议每台机器使用两个 ToR 交换机和两个带内连接（每个交换机一个），以提高可靠性。每个 Distributed Cloud 连接的服务器机器按如下方式连接到您的 ToR 交换机：
- 工作负载连接。每个 Distributed Cloud 连接的服务器机器的主网络接口和辅助网络接口都连接到您的一个或两个 ToR 交换机，以实现工作负载连接。这些连接用于在各个分布式云服务器机器之间以及在本地网络与分布式云服务器机器之间传输工作负载流量。您必须将相应的交换机端口放置在同一 VLAN 中。如果您需要额外的工作负载连接，可以将额外的标记 VLAN 中继到 Distributed Cloud 连接的服务器。
- 管理连接。每个连接到 Distributed Cloud 的服务器机器的主板管理控制器 (BMC) 网络接口都连接到一个 ToR 交换机，以实现管理连接，从而使连接到 Distributed Cloud 的服务器能够相互通信。您必须将它们配置为 802.1q 中继，并将相应的原生 VLAN 配置为分布式云所连接的管理网络接口所属的网络。
机器。运行 Distributed Cloud connected 软件并执行工作负载的物理 Distributed Cloud connected 服务器机器。每个物理机都实例化为 Distributed Cloud 连接集群中的一个节点。

分布式云服务

Distributed Cloud Connected 服务直接在 Distributed Cloud 硬件上运行。它充当 Distributed Cloud Connected 硬件上的节点和集群的控制平面。此控制平面可实例化并配置您的 Distributed Cloud Connected Zone。Distributed Cloud 硬件连接以进行管理的特定 Google Cloud 数据中心是根据其与 Distributed Cloud connected 安装的距离来选择的。

Distributed Cloud connected 可用区由部署在您本地环境中的所有 Distributed Cloud connected 服务器组成。您可以将机器分配给 Distributed Cloud connected 集群。

即使 Distributed Cloud 无法连接到 Google Cloud，您的工作负载仍会继续运行，最长可达 7 天。在此期限过后，Distributed Cloud 必须与 Google Cloud通信，以刷新身份验证令牌、存储加密密钥，并同步硬件管理和审核日志记录数据。

图 2 描绘了 Distributed Cloud Connected 实体的逻辑组织。

图 2.分布式云实体。 — **图 2.** Distributed Cloud connected 实体。

实体如下：

Google Cloud region. Distributed Cloud connected 可用区的Google Cloud 区域由距离 Distributed Cloud 安装位置最近的 Google Cloud 数据中心的位置决定。
Kubernetes 本地控制平面。每个 Distributed Cloud connected 集群的 Kubernetes 控制平面直接在您的 Distributed Cloud 硬件上运行。当与 Google Cloud 的连接暂时中断时，集群可以进入生存模式，从而让工作负载继续运行，直到连接恢复。如需了解详情，请参阅可存活模式。
分布式云区域。一种逻辑抽象，表示部署在您本地环境中的 Distributed Cloud connected 硬件。Distributed Cloud 可用区涵盖部署在您位置的所有 Distributed Cloud connected 服务器机器。相应可用区中的物理机会在 Google Cloud 控制台中实例化为 Distributed Cloud 连接的机器。Distributed Cloud connected 可用区中的机器共享单个网络结构或单个故障域。Google 会在交付 Distributed Cloud Connected 硬件之前创建您的机器。您无法创建、删除或修改 Distributed Cloud 连接的机器。

注意：连接的分布式云可用区不同于 Compute Engine 可用区， Google Cloud 对这两种类型的可用区采取不同的处理方式。分布式云连接可用区不会显示在 Google Cloud 控制台的 Compute Engine 可用区列表中。
节点。节点是一种 Kubernetes 资源，可在创建节点池时将 Distributed Cloud 连接的物理机器实例化到 Kubernetes 领域中，从而通过将节点池分配给 Distributed Cloud 连接的集群来运行工作负载。
节点池。单个 Distributed Cloud connected 可用区内 Distributed Cloud connected 节点的逻辑分组，可让您将 Distributed Cloud 节点分配给 Distributed Cloud 集群。对于 Distributed Cloud 连接的服务器，节点池会自动实例化和填充。
集群。一个 Distributed Cloud 连接集群，由一个控制平面和一个或多个节点池组成。

Distributed Cloud Connected Google Cloud 项目

借助 Distributed Cloud connected，您可以在单个 Distributed Cloud connected 可用区内创建多个集群。虽然可用区本身与一个特定的 Google Cloud 项目相关联，但在该可用区内运行的各个集群可以附加到不同的Google Cloud 项目，这些项目独立于可用区的项目关联。借助此架构，您可以在多个团队或应用之间共享物理区域基础架构，这些团队或应用可能出于结算或管理目的而在单独的项目结构下运行。

存储

Distributed Cloud connected 通过 Rakuten Symcloud Storage 提供每个物理机上可用的存储空间，该存储空间充当每个 Distributed Cloud connected 节点上的本地存储抽象层，并使其本地存储空间可供在其他节点上运行的工作负载使用。如需了解详情，请参阅为 Symcloud Storage 配置 Distributed Cloud Connected。

存储安全

Distributed Cloud connected 使用 Linux Unified Key Setup (LUKS) 加密本地机器存储空间，并支持将客户管理的加密密钥 (CMEK) 与 Cloud KMS 搭配使用。如需了解详情，请参阅安全性方面的最佳实践。

Symcloud Storage 集成

在某些分布式云连接配置中，您可以将分布式云配置为使用 Rakuten Symcloud Storage，该存储空间充当每个分布式云连接节点上的本地存储抽象层，并使其本地存储空间可供在其他节点上运行的工作负载使用。如需了解详情，请参阅为 Symcloud Storage 配置 Distributed Cloud Connected。

网络

本部分介绍了 Distributed Cloud Connected 的网络连接要求和功能。

在将 Distributed Cloud Connected 硬件寄送给您之前，Google 会预先为您的安装配置部分虚拟网络组件。硬件交付后，您将无法修改预配置的设置。

图 3 展示了分布式云连接部署中的虚拟网络拓扑。

图 3. Distributed Cloud 网络组件。 — **图 3.** Distributed Cloud 网络组件。

在分布式云互联部署中，虚拟网络的组件如下：

网络。Distributed Cloud connected 可用区中具有私有地址空间的虚拟网络。网络在第 2 层与地区内的其他虚拟网络隔离，并且可以包含一个或多个子网。虚拟网络涵盖 Distributed Cloud 已连接服务器部署中的所有物理机。当实例化连接了 Distributed Cloud 的服务器集群时，系统会自动创建此默认网络。
子网。Distributed Cloud 网络中的第 2 层 VLAN 子网。子网有自己的广播网域和一个或多个您选择的 IPv4 地址范围。同一网络中的子网在第 2 层上是隔离的。同一网络中不同子网上的节点可以使用其 IP 地址相互通信。Distributed Cloud 连接的服务器仅支持使用 VLAN ID 进行子网管理。

Distributed Cloud connected 网络组件与其 Google Cloud 等效组件类似，但存在以下差异：

Distributed Cloud connected 网络组件位于其实例化所在的 Distributed Cloud connected 可用区本地。
分布式云网络无法直接连接到 VPC 网络。
默认情况下，分布式云网络在不同的分布式云连接区域之间没有连接。您可以选择显式配置跨可用区网络。

您的网络管理员配置 Distributed Cloud connected 网络组件。您的网络管理员必须在目标 Google Cloud 项目中拥有 Edge Network Admin 角色 (roles/edgenetwork.admin)，而将工作负载部署在 Distributed Cloud Connected 上的应用开发者必须在目标 Google Cloud 项目中拥有 Edge Network Viewer 角色 (roles/edgenetwork.viewer)。

与本地网络的连接

对于发送到本地网络上资源的出站流量，连接到 Distributed Cloud 的集群中的 Pod 会使用对等互连边缘路由器通告的默认路由。Distributed Cloud Connected 使用其内置 NAT 将 Pod 连接到这些资源。

对于来自本地网络上资源的入站流量，网络管理员必须配置符合业务要求的路由政策，以控制对每个 Distributed Cloud 连接集群中 Pod 的访问。这意味着，您至少需要完成防火墙配置中的步骤，并根据工作负载的需要配置其他政策。例如，您可以为 Distributed Cloud Connected 中内置负载均衡器公开的各个节点子网络或虚拟 IP 地址设置“允许”或“拒绝”政策。分布式云连接的 Pod 和分布式云连接的服务 CIDR 块无法直接访问。

互联网连接

对于发往互联网上资源的出站流量，Distributed Cloud Connected 集群中的 Pod 使用路由器向 Distributed Cloud Connected ToR 交换机通告的默认路由。这意味着，您至少需要完成防火墙配置中的步骤，并根据工作负载的需要配置其他政策。Distributed Cloud Connected 使用其内置的 NAT 将 Pod 连接到这些资源。您可以选择在 Distributed Cloud Connected 中的内置 NAT 层之上配置自己的 NAT 层。

对于入站流量，您必须根据业务需求配置 WAN 路由器。这些要求决定了您需要从公共互联网向 Distributed Cloud 连接集群中的 Pod 提供何种级别的访问权限。Distributed Cloud connected 会针对 Pod CIDR 地址块和服务管理 CIDR 地址块使用其内置 NAT，因此这些 CIDR 地址块无法从互联网访问。

网络安全

您的业务需求和组织的网络安全政策决定了保护进出 Distributed Cloud 连接安装的网络流量所需的步骤。如需了解详情，请参阅安全性方面的最佳实践。

负载均衡

Distributed Cloud Connected 支持基于 MetalLB 的第 2 层负载均衡。如需了解详情，请参阅负载均衡。

高性能网络支持

Distributed Cloud Connected 支持执行需要尽可能最佳的网络性能的工作负载。为此，Distributed Cloud Connected 随附一个专门的网络功能运算符和一组 Kubernetes 自定义资源定义 (CRD)，用于实现高性能工作负载执行所需的功能。

虚拟机工作负载支持

Distributed Cloud Connected 除了可以在容器中运行工作负载之外，还可以在虚拟机中运行工作负载。如需了解详情，请参阅管理虚拟机。

如需了解虚拟机如何作为 Google Distributed Cloud 连接平台的重要组成部分，请参阅扩展 GKE Enterprise 以管理本地边缘虚拟机。

GPU 工作负载支持

在某些硬件配置中，Distributed Cloud Connected 可以在 NVIDIA L4 GPU 上运行基于 GPU 的工作负载。订购 Distributed Cloud connected 硬件时，您必须指定此要求。如需了解详情，请参阅管理 GPU 工作负载。

后续步骤

人际交流功能