이 페이지에서는 Google Distributed Cloud Connected의 작동 방식과 인프라, 하드웨어, 스토리지, 네트워킹 기능에 관한 정보를 설명합니다.
Google Distributed Cloud(연결형)는 다음 구성요소로 구성됩니다.
Distributed Cloud(연결형) 인프라 Google 또는 Google 인증 시스템 통합업체 (SI)가 전담팀의 원격 관리를 포함한 Distributed Cloud connected 하드웨어를 제공, 배포, 유지관리합니다.
Distributed Cloud(연결형) 서비스 이 서비스를 사용하면 Google Cloud CLI 및 Distributed Cloud Edge Container API를 사용하여 Distributed Cloud 연결 클러스터와 노드 풀을 관리할 수 있습니다. Distributed Cloud 연결된 클러스터는 Fleet에 등록되며 Kubernetes
kubectlCLI 도구를 사용하여 상호작용할 수 있습니다.
Distributed Cloud Connected 인프라
Google 또는 Google 인증 SI가 Distributed Cloud connected 영역을 실행하는 전용 하드웨어를 제공, 배포, 운영, 유지보수합니다. 워크로드를 실행하는 Distributed Cloud 연결 노드는 이 하드웨어에서만 실행됩니다.
하드웨어 머신은 분산 클라우드 연결 노드로 인스턴스화되고 노드 풀로 그룹화되며, 이 노드 풀을 분산 클라우드 연결 영역 내의 클러스터에 할당할 수 있습니다. Distributed Cloud 연결 클러스터에서 실행되는 워크로드가 로컬 사용자에게만 제공되거나 인터넷에서 액세스할 수 있도록 네트워크를 구성할 수 있습니다. 또한 분산 클라우드에 연결된 노드만 로컬 리소스를 사용하거나 Google Cloud의 VPC 네트워크에 대한 보안 Cloud VPN 네트워크 연결을 통해 Virtual Private Cloud (VPC) 네트워크에서 실행되는 Compute Engine 가상 머신 (VM) 인스턴스 및 Kubernetes 포드와 같은 워크로드와 통신하도록 네트워크를 구성할 수 있습니다.
Distributed Cloud Connected 관리
Distributed Cloud 연결 노드는 독립형 리소스가 아니며 컨트롤 플레인 관리 및 모니터링 목적으로 Google Cloud 에 연결된 상태를 유지해야 합니다. 컨트롤 플레인 노드는 Distributed Cloud connected 하드웨어에서 로컬로 실행되며 Distributed Cloud connected 배포가 Google Cloud에서 연결이 끊어져도 워크로드는 계속 실행됩니다. 워크로드는 Google Cloud 에서 연결이 해제된 상태로 최대 7일 동안 계속 실행됩니다.
Google은 Distributed Cloud connected 배포를 구성하는 물리적 머신을 원격으로 관리합니다. 여기에는 소프트웨어 업데이트 및 보안 패치 설치, 구성 문제 해결이 포함됩니다. 네트워크 관리자는 Distributed Cloud(연결형) 클러스터 및 노드의 상태와 성능을 모니터링하고 Google과 협력하여 문제를 해결할 수도 있습니다.
Google에서 지정된 위치에 Distributed Cloud 연결 하드웨어를 성공적으로 배포하면 클러스터 관리자가 기존 Kubernetes 클러스터와 유사한 방식으로 Distributed Cloud 연결 클러스터를 구성할 수 있습니다. 노드 풀에 머신을 할당하고 클러스터에 노드 풀을 할당하며 역할에 따라 필요한 애플리케이션 소유자에게 액세스 권한을 부여할 수 있습니다. 하지만 클러스터 관리자는 Distributed Cloud 연결 배포의 머신 처리 및 저장소 제한을 염두에 두고 클러스터 및 워크로드 구성을 적절하게 계획해야 합니다.
Distributed Cloud Connected는 클러스터와 노드 풀을 구성하기 위한 API를 제공합니다.
Distributed Cloud 연결 영역에 대한 액세스
로컬 네트워크와 인터넷 모두에서 Distributed Cloud 연결 영역에 적절한 수준의 액세스를 허용하도록 네트워크를 구성할 수 있습니다.
VPC 네트워크에 연결하여 Distributed Cloud 연결 영역에Google Cloud 서비스 액세스 권한을 부여할 수도 있습니다. Distributed Cloud Connected는 Cloud VPN을 사용하여 Google 서비스 엔드포인트에 연결합니다. 네트워크 관리자가 이를 허용하도록 네트워크를 구성해야 합니다.
Distributed Cloud connected 페르소나
Distributed Cloud 연결된 영역의 배포 및 운영에는 다음 페르소나가 참여합니다.
현장 기술자. 지정된 위치에 Distributed Cloud connected 하드웨어를 제공, 설치, 활성화합니다. 네트워크 관리자는 현장 기술자와 협력하여 하드웨어를 전원에 연결하고 네트워크에 연결합니다. 주문 유형에 따라 Google 기술자 또는 Google 인증 SI 기술자가 방문합니다.
Google 사이트 안정성 엔지니어 (SRE) Distributed Cloud connected 하드웨어를 모니터링하고 관리합니다. 여기에는 구성 문제 해결, 패치 및 업데이트 설치, 보안 유지가 포함됩니다.
네트워크 관리자. Distributed Cloud에 연결된 하드웨어와 로컬 네트워크 간의 네트워크 연결 및 액세스 제어를 구성하고 유지합니다. 여기에는 분산 클라우드 하드웨어( Google Cloud), 분산 클라우드 연결 워크로드를 사용하는 클라이언트, 내부 및 외부 데이터 저장소, 기타 요인 간에 필요한 모든 유형의 네트워크 트래픽이 자유롭게 흐르도록 라우팅 및 방화벽 규칙을 구성하는 작업이 포함됩니다. 네트워크 관리자는 Distributed Cloud에 연결된 머신의 상태를 모니터링하기 위해 Google Cloud 콘솔에 액세스할 수 있어야 합니다. 네트워크 관리자는 Distributed Cloud 네트워킹 기능도 구성합니다.
클러스터 관리자. 조직 내에서 Distributed Cloud connected 클러스터를 배포하고 유지관리합니다. 여기에는 각 클러스터의 권한, 로깅, 워크로드 프로비저닝 구성이 포함됩니다. 클러스터 관리자는 노드를 노드 풀에, 노드 풀을 Distributed Cloud 연결 클러스터에 할당합니다. 클러스터 관리자는 워크로드를 올바르게 구성하고 배포하기 위해 Distributed Cloud 연결된 클러스터와 표준 Kubernetes 클러스터 간의 운영 차이점(예: Distributed Cloud 연결된 하드웨어의 처리 및 스토리지 기능)을 이해해야 합니다.
애플리케이션 소유자. Distributed Cloud Connected 클러스터에서 실행되는 애플리케이션을 개발 또는 배포 및 모니터링하는 소프트웨어 엔지니어 Distributed Cloud Connected 클러스터에서 애플리케이션을 소유한 애플리케이션 소유자는 클러스터의 크기와 위치에 대한 제한사항은 물론 성능 및 지연 시간과 같은 에지에서 애플리케이션을 배포할 때 발생하는 결과도 이해해야 합니다.
Distributed Cloud 연결 하드웨어
Distributed Cloud 연결된 서버는 다음 하드웨어 플랫폼에서 사용할 수 있습니다.
Distributed Cloud connected 서버 G1. 1개 또는 3개의 Dell XR11 시리즈 1U 랙마운트 머신 그룹
Distributed Cloud connected 서버 G2. XR8610t 머신 슬레드가 1개 또는 3개 장착된 Dell XR8000 시리즈 섀시
분산 클라우드 연결 하드웨어는 일반적으로 자체 ToR 스위치를 통해 로컬 네트워크에 직접 연결되는 분산 클라우드 연결 서버 머신 3대로 구성됩니다. 기본적으로 3대 구성으로 Distributed Cloud 연결 서버만 주문할 수 있습니다. 비즈니스 요구사항에 따라 Distributed Cloud 연결 서버의 단일 머신 배포가 필요한 경우 Google 현장 영업 담당자에게 자세한 내용을 문의하세요.
그림 1은 일반적인 Distributed Cloud 연결 서버 구성을 보여줍니다.
Distributed Cloud(연결형) 설치의 구성요소는 다음과 같습니다.
Google Cloud. Distributed Cloud 연결 설치와 Google Cloud 간의 트래픽에는 하드웨어 관리 및 감사 로깅 트래픽이 포함됩니다.
인터넷 Distributed Cloud 연결 설치와 Google Cloud간의 암호화된 관리 및 감사 로깅 트래픽이 인터넷을 통해 이동합니다. Distributed Cloud Connected는 프록시 인터넷 연결을 지원하지 않습니다.
로컬 네트워크. Distributed Cloud 연결 서버가 Layer 2 ToR 스위치를 통해 연결되는 로컬 네트워크입니다.
ToR (top-of-rack) 스위치. 서버 머신을 연결하고 로컬 네트워크와 인터페이스하는 레이어 2 스위치 각 Distributed Cloud 연결 서버 머신에는 단일 ToR 스위치에 대한 인밴드 연결과 아웃오브밴드 연결이 각각 하나 이상 필요합니다. 안정성을 높이기 위해 머신당 ToR 스위치 2개와 인밴드 연결 2개 (스위치당 1개)를 사용하는 것이 좋습니다. 각 Distributed Cloud 연결 서버 머신은 다음과 같이 ToR 스위치에 연결됩니다.
- 워크로드 연결. 각 Distributed Cloud 연결 서버 머신의 기본 및 보조 네트워크 인터페이스는 워크로드 연결을 위해 ToR 스위치 중 하나 또는 둘 모두에 연결됩니다. 이러한 연결은 개별 Distributed Cloud 서버 머신 간에 그리고 로컬 네트워크와 Distributed Cloud 서버 머신 간에 워크로드 트래픽을 전송합니다. 해당 스위치 포트를 동일한 VLAN 내에 배치해야 합니다. 워크로드 연결이 추가로 필요한 경우 태그가 지정된 추가 VLAN을 Distributed Cloud 연결 서버에 트렁크할 수 있습니다.
- 관리 연결 각 Distributed Cloud 연결 서버 머신의 베이스보드 관리 컨트롤러 (BMC) 네트워크 인터페이스는 관리 연결을 위해 하나의 ToR 스위치에 연결되어 Distributed Cloud 연결 서버가 서로 통신할 수 있습니다. 802.1q 트렁크와 해당 기본 VLAN을 Distributed Cloud 연결 관리 네트워크 인터페이스가 속한 네트워크로 구성해야 합니다.
머신 Distributed Cloud connected 소프트웨어를 실행하고 워크로드를 실행하는 물리적 Distributed Cloud connected 서버 머신입니다. 각 물리적 머신은 Distributed Cloud 연결 클러스터 내에서 노드로 인스턴스화됩니다.
Distributed Cloud 서비스
Distributed Cloud Connected 서비스는 Distributed Cloud 하드웨어에서 직접 실행됩니다. Distributed Cloud connected 하드웨어의 노드와 클러스터의 컨트롤 플레인 역할을 합니다. 이 컨트롤 플레인은 Distributed Cloud 연결 영역을 인스턴스화하고 구성합니다. 관리를 위해 분산 클라우드 하드웨어가 연결되는 특정 Google Cloud 데이터 센터는 분산 클라우드 연결 설치와의 거리에 따라 선택됩니다.
분산 클라우드 연결 영역은 온프레미스에 배포된 모든 분산 클라우드 연결 서버 머신으로 구성됩니다. Distributed Cloud Connected 클러스터에 머신을 할당할 수 있습니다.
Distributed Cloud가 최대 7일 동안 Google Cloud에 연결할 수 없더라도 워크로드는 계속 실행됩니다. 이 기간이 지나면 Distributed Cloud는 Google Cloud와 통신하여 인증 토큰과 스토리지 암호화 키를 새로고침하고 하드웨어 관리 및 감사 로깅 데이터를 동기화해야 합니다.
그림 2는 연결된 Distributed Cloud 엔티티의 논리적 조직을 보여줍니다.
항목은 다음과 같습니다.
Google Cloud region. 분산 클라우드 연결 영역의 Google Cloud 리전은 분산 클라우드 설치에 가장 가까운 Google Cloud 데이터 센터의 위치에 따라 결정됩니다.
Kubernetes 로컬 컨트롤 플레인 각 Distributed Cloud 연결 클러스터의 Kubernetes 컨트롤 플레인은 Distributed Cloud 하드웨어에서 직접 실행됩니다. Google Cloud 와의 연결이 일시적으로 끊어지면 클러스터가 생존 가능성 모드로 전환되어 연결이 복원될 때까지 워크로드가 계속 실행될 수 있습니다. 자세한 내용은 생존 가능성 모드를 참고하세요.
Distributed Cloud 영역 온프레미스에 배포된 Distributed Cloud Connected 하드웨어를 나타내는 논리적 추상화입니다. 분산 클라우드 영역은 내 위치에 배포된 모든 분산 클라우드 연결 서버 머신을 포함합니다. 영역의 실제 머신은 Google Cloud 콘솔에서 Distributed Cloud 연결 머신으로 인스턴스화됩니다. 분산 클라우드 연결 영역의 머신은 단일 네트워크 패브릭 또는 단일 결함 도메인을 공유합니다. Google은 Distributed Cloud connected 하드웨어를 제공하기 전에 머신을 만듭니다. Distributed Cloud 연결 머신을 만들거나 삭제하거나 수정할 수 없습니다.
노드 노드는 노드 풀을 만들 때 Distributed Cloud(연결형) 실제 머신을 Kubernetes 영역에 인스턴스화하는 Kubernetes 리소스입니다. 노드 풀을 Distributed Cloud(연결형) 클러스터에 할당하여 워크로드를 실행할 수 있도록 합니다.
노드 풀. 단일 Distributed Cloud(연결형) 영역 내에서 Distributed Cloud(연결형) 노드를 Distributed Cloud 클러스터에 할당할 수 있도록 하는 Distributed Cloud(연결형) 노드의 논리적 그룹화입니다. Distributed Cloud 연결 서버의 경우 노드 풀이 자동으로 인스턴스화되고 채워집니다.
클러스터 컨트롤 플레인과 하나 이상의 노드 풀로 구성된 Distributed Cloud 연결된 클러스터입니다.
Distributed Cloud Connected Google Cloud 프로젝트
Distributed Cloud(연결형)를 사용하면 단일 Distributed Cloud(연결형) 영역 내에 여러 클러스터를 만들 수 있습니다. 영역 자체는 하나의 특정 Google Cloud 프로젝트와 연결되지만 해당 영역 내에서 작동하는 개별 클러스터는 영역의 프로젝트 소속과 독립적인 다른Google Cloud 프로젝트에 연결될 수 있습니다. 이 아키텍처를 사용하면 청구 또는 관리 목적으로 별도의 프로젝트 구조에서 운영될 수 있는 다양한 팀 또는 애플리케이션 간에 실제 영역 인프라를 공유할 수 있습니다.
스토리지
Distributed Cloud connected는 Rakuten Symcloud Storage를 통해 노출되는 각 실제 머신에서 사용 가능한 스토리지를 제공합니다. 이는 각 Distributed Cloud connected 노드에서 로컬 스토리지 추상화 레이어 역할을 하며 다른 노드에서 실행되는 워크로드에 로컬 스토리지를 제공합니다. 자세한 내용은 Symcloud Storage용 Distributed Cloud Connected 구성을 참고하세요.
저장소 보안
Distributed Cloud connected는 Linux Unified Key Setup (LUKS)을 사용하여 로컬 머신 스토리지를 암호화하고 Cloud KMS를 사용하여 고객 관리 암호화 키 (CMEK)를 지원합니다. 자세한 내용은 보안 권장사항을 참고하세요.
Symcloud Storage 통합
일부 Distributed Cloud 연결 구성에서는 각 Distributed Cloud 연결 노드에서 로컬 스토리지 추상화 레이어 역할을 하며 다른 노드에서 실행되는 워크로드에 로컬 스토리지를 제공하는 Rakuten Symcloud Storage를 사용하도록 Distributed Cloud를 구성할 수 있습니다. 자세한 내용은 Symcloud Storage용 Distributed Cloud Connected 구성을 참고하세요.
네트워킹
이 섹션에서는 Distributed Cloud Connected의 네트워크 연결 요구사항과 기능을 설명합니다.
Google은 Distributed Cloud connected 하드웨어를 배송하기 전에 설치를 위해 일부 가상 네트워킹 구성요소를 사전 구성합니다. 하드웨어가 배송된 후에는 사전 구성된 설정을 수정할 수 없습니다.
그림 3은 연결된 분산 클라우드 배포의 가상 네트워크 토폴로지를 보여줍니다.
Distributed Cloud Connected 배포의 가상 네트워크 구성요소는 다음과 같습니다.
네트워크: 분산 클라우드 연결 영역에 있는 비공개 주소 공간이 있는 가상 네트워크입니다. 네트워크는 영역 내 다른 가상 네트워크에서 레이어 2로 격리되며 하나 이상의 서브네트워크를 포함할 수 있습니다. 가상 네트워크는 Distributed Cloud 연결 서버 배포의 모든 물리적 머신에 걸쳐 있습니다. 이 기본 네트워크는 Distributed Cloud 연결 서버 클러스터가 인스턴스화될 때 자동으로 생성됩니다.
서브네트워크. Distributed Cloud 네트워크 내의 레이어 2 VLAN 서브넷입니다. 서브네트워크에는 자체 브로드캐스트 도메인과 선택한 하나 이상의 IPv4 주소 범위가 있습니다. 동일한 네트워크 내의 서브네트워크는 레이어 2로 격리됩니다. 동일한 네트워크 내의 서로 다른 서브네트워크에 있는 노드는 IP 주소를 사용하여 서로 통신할 수 있습니다. Distributed Cloud 연결 서버는 VLAN ID를 사용한 서브넷 관리만 지원합니다.
분산 클라우드 연결 네트워킹 구성요소는 다음과 같은 차이점을 제외하고 Google Cloud 해당 구성요소와 유사합니다.
분산 클라우드 연결 네트워킹 구성요소는 인스턴스화된 분산 클라우드 연결 영역에 로컬입니다.
Distributed Cloud 네트워크는 VPC 네트워크에 직접 연결되지 않습니다.
기본적으로 Distributed Cloud 네트워크는 서로 다른 Distributed Cloud(연결형) 영역 간에 서로 연결되지 않습니다. 영역 간 네트워킹을 명시적으로 구성할 수 있습니다.
네트워크 관리자가 Distributed Cloud 연결 네트워킹 구성요소를 구성합니다. 네트워크 관리자에게 타겟 Google Cloud 프로젝트에 대한 Edge 네트워크 관리자 역할(roles/edgenetwork.admin)이 있어야 하며, Distributed Cloud Connected에 워크로드를 배포하는 애플리케이션 개발자에게 타겟 Google Cloud 프로젝트에 대한 Edge 네트워크 뷰어 역할(roles/edgenetwork.viewer)이 있어야 합니다.
로컬 네트워크 연결
로컬 네트워크의 리소스로 향하는 아웃바운드 트래픽의 경우 연결된 분산 클라우드 클러스터의 포드는 피어링 에지 라우터에서 공지한 기본 경로를 사용합니다. Distributed Cloud connected는 내장 NAT를 사용하여 포드를 이러한 리소스에 연결합니다.
로컬 네트워크의 리소스에서 들어오는 인바운드 트래픽의 경우 네트워크 관리자는 비즈니스 요구사항에 맞는 라우팅 정책을 구성하여 Distributed Cloud에 연결된 각 클러스터의 포드에 대한 액세스를 제어해야 합니다. 즉, 최소한 방화벽 구성의 단계를 완료하고 워크로드에 필요한 추가 정책을 구성해야 합니다. 예를 들어 Distributed Cloud Connected의 내장 부하 분산기에서 노출하는 개별 노드 서브네트워크 또는 가상 IP 주소에 대해 '허용' 또는 '거부' 정책을 설정할 수 있습니다. Distributed Cloud 연결 Pod 및 Distributed Cloud 연결 서비스 CIDR 블록에는 직접 액세스할 수 없습니다.
인터넷 연결
인터넷의 리소스로 향하는 아웃바운드 트래픽의 경우 Distributed Cloud 연결 클러스터의 포드는 라우터가 Distributed Cloud 연결 ToR 스위치에 공지하는 기본 경로를 사용합니다. 즉, 최소한 방화벽 구성의 단계를 완료하고 워크로드에 필요한 추가 정책을 구성해야 합니다. Distributed Cloud connected는 기본 제공 NAT를 사용하여 포드를 이러한 리소스에 연결합니다. 선택적으로 Distributed Cloud Connected의 기본 제공 레이어 위에 자체 NAT 레이어를 구성할 수 있습니다.
인바운드 트래픽의 경우 비즈니스 요구사항에 따라 WAN 라우터를 구성해야 합니다. 이러한 요구사항은 분산 클라우드 연결 클러스터의 포드에 공용 인터넷에서 제공해야 하는 액세스 수준을 나타냅니다. Distributed Cloud connected는 포드 CIDR 블록 및 서비스 관리 CIDR 블록에 내장된 NAT를 사용하므로 인터넷에서 이러한 CIDR 블록에 액세스할 수 없습니다.
네트워크 보안
비즈니스 요구사항과 조직의 네트워크 보안 정책에 따라 Distributed Cloud 연결 설치로 들어오고 나가는 네트워크 트래픽을 보호하는 데 필요한 단계가 결정됩니다. 자세한 내용은 보안 권장사항을 참고하세요.
부하 분산
Distributed Cloud connected는 MetalLB 기반 레이어 2 부하 분산을 지원합니다. 자세한 내용은 부하 분산을 참고하세요.
고성능 네트워킹 지원
Distributed Cloud connected는 최상의 네트워킹 성능이 필요한 워크로드의 실행을 지원합니다. 이를 위해 Distributed Cloud connected는 특수 네트워크 기능 연산자와 고성능 워크로드 실행에 필요한 기능을 구현하는 Kubernetes 커스텀 리소스 정의 (CRD) 세트와 함께 제공됩니다.
가상 머신 워크로드 지원
Distributed Cloud(연결형)는 컨테이너 외에도 가상 머신에서 워크로드를 실행할 수 있습니다. 자세한 내용은 가상 머신 관리를 참고하세요.
가상 머신이 Google Distributed Cloud 연결 플랫폼의 필수 구성요소로 작동하는 방식을 알아보려면 GKE Enterprise를 확장하여 온프레미스 에지 VM 관리를 참고하세요.
GPU 워크로드 지원
일부 하드웨어 구성에서 Distributed Cloud Connected는 NVIDIA L4 GPU에서 GPU 기반 워크로드를 실행할 수 있습니다. 분산 클라우드 연결 하드웨어를 주문할 때 이 요구사항을 지정해야 합니다. 자세한 내용은 GPU 워크로드 관리를 참고하세요.