Este documento explica a hierarquia de implantação do Google Distributed Cloud (GDC) com isolamento físico, que inclui universos, regiões e zonas. Para oferecer alta disponibilidade aos recursos e à infraestrutura isolados, é preciso entender os locais que hospedam seu ambiente e os limites estratégicos que impõem configurações disponíveis para seus aplicativos.
Este documento é destinado aos seguintes grupos de público-alvo:
- Operadores de infraestrutura responsáveis por implantar e gerenciar zonas do GDC e infraestrutura global.
- Administradores de plataforma, como administradores de rede e de TI, responsáveis por configurar serviços multizona.
- Operadores de aplicativos responsáveis por desenvolver e gerenciar aplicativos em um universo do GDC.
Para mais informações, consulte Públicos-alvo da documentação do GDC com isolamento físico.
Visão geral da hierarquia de implantação
Uma implantação do GDC com isolamento físico segue uma estrutura hierárquica que consiste em universos, regiões e zonas.
Um universo é um agrupamento de alto nível de zonas interconectadas que compartilham conectividade de rede e um plano de controle. Embora as zonas possam estar geograficamente distantes, um limite regional é estabelecido quando zonas distintas estão fisicamente próximas o suficiente para ter comunicação de baixa latência.
Uma zona é o bloco de construção da implantação air-gapped do GDC. Cada zona é uma implementação independente que não exige conectividade com Google Cloud em nenhum momento. Uma zona gerencia a própria infraestrutura, serviços, APIs e ferramentas por um plano de controle local.
Por exemplo, o diagrama a seguir ilustra um universo multizona do GDC:
Este diagrama tem duas regiões, cada uma em um único universo. A região 1 está destacada para mostrar três zonas que operam vários serviços zonais, como máquinas virtuais (VMs) e aplicativos de contêiner. Há também serviços globais que abrangem todas as zonas e regiões do universo, como o Identity and Access Management (IAM) e o balanceamento de carga.
Por exemplo, você pode ter um universo do GDC que abrange regiões geográficas amplas. Considere a região 1 na Virgínia, EUA, com três zonas:
- Zona A, como
us-virginia1-a - Zona B, como
us-virginia1-b - Zona C, como
us-virginia1-c
Da mesma forma, você pode ter a região 2 na Holanda e incluir zonas em Amsterdã:
- Zona A, como
eu-ams1-a - Zona B, como
eu-ams1-b - Zona C, como
eu-ams1-c
As zonas em uma região precisam estar geograficamente próximas umas das outras, mas as regiões podem abranger grandes distâncias. Por exemplo, uma zona pode ter um limite máximo de distância de fibra de 50 km para outra zona na mesma região, mas a região pode abranger centenas de quilômetros de outra região. Entre em contato com seu grupo de operadores de infraestrutura para mais informações sobre requisitos específicos de latência.
Sobre as zonas
Uma zona contém quatro camadas que podem operar isoladamente sem exigir conectividade com Google Cloud ou a Internet pública:
- Hardware: o equipamento fundamental totalmente integrado aos racks do seu data center. Essa camada fornece a capacidade de computação, armazenamento, rede e GPU para seu sistema e cargas de trabalho integradas.
- Infraestrutura: o sistema de gerenciamento de hardware subjacente. Essa camada fornece interfaces que permitem que o software seja executado sem precisar de configurações específicas de hardware.
- Plataforma de serviços: a estrutura para criar serviços no GDC. Essa camada oferece consistência entre os serviços gerenciados e os serviços do marketplace.
- Serviços gerenciados e do Marketplace: os serviços de nuvem voltados ao cliente executados no GDC. Essa camada oferece uma implementação consistente do plano de dados para cargas de trabalho e serviços.
Esses componentes oferecem a flexibilidade de ajustar a configuração zonal para atender aos seus requisitos exclusivos de disponibilidade e capacidade de recuperação. Entender essa estrutura é fundamental para compreender as configurações comuns de zonas isoladas.
Configurações de implantação
As seções a seguir descrevem configurações de implantação comuns que podem ser usadas para o GDC isolado por air-gap.
Configuração de zona única
Uma configuração de zona única permite implantar um universo em que uma zona atua como a única região. Essa configuração é possível porque cada zona opera de forma independente. Normalmente, essa configuração é usada para implantações iniciais ou para cargas de trabalho que não exigem alta disponibilidade ou recuperação de desastres robusta.
A principal limitação de um universo de uma única zona é que ele cria um único ponto de falha, tornando seu sistema vulnerável a interrupções. Um ponto único de falha acontece quando você implanta recursos exclusivamente em uma única zona. Recursos zonais são afetados como um grupo quando ocorre uma interrupção ou falha de serviço nessa zona específica.
Configuração multizonal
Com uma configuração multizonal, é possível distribuir estrategicamente seus aplicativos e serviços em várias zonas. Essa configuração melhora a resiliência e a tolerância a falhas do sistema, fornecendo recursos distribuídos geograficamente.
Essa configuração também oferece alta disponibilidade, que permite que seu aplicativo ou serviço permaneça acessível e operacional mesmo que uma zona sofra uma interrupção. Você consegue alta disponibilidade por redundância ao implantar e gerenciar recursos em várias zonas de um universo. O GDC oferece um subconjunto de serviços que oferecem recursos globais para que o recurso seja gerenciado em várias zonas em um universo por padrão, sem replicação manual. Os recursos globais abrangem várias zonas por padrão, o que os torna disponíveis mesmo durante uma interrupção zonal.
Um dos principais benefícios de uma configuração de várias zonas é que cada uma pode funcionar como um domínio de desastre distinto. Um domínio de desastre é um grupo de recursos suscetíveis a falhas simultâneas devido à localização física ou dependência compartilhada. Ao posicionar estrategicamente as zonas a uma distância suficiente, seu sistema se torna mais resiliente contra falhas generalizadas.
A assimetria zonal permite que as configurações de organização e hardware sejam diferentes em todas as zonas de um universo do GDC. A assimetria zonal é um recurso de pré-lançamento a partir da versão 1.14.4.
Principais recursos de uma configuração de várias zonas
As configurações multizonais permitem estabelecer uma arquitetura resiliente porque cada zona pode funcionar como um domínio de desastre distinto. A distribuição de recursos entre esses domínios independentes permite aprimorar os sistemas isolados com as principais funcionalidades descritas nas seções a seguir.
Alta disponibilidade
É possível criar aplicativos altamente disponíveis para oferecer serviços duráveis que podem resistir a interrupções. Estratégias de alta disponibilidade, como balanceamento de carga e replicação de dados, transformam aplicativos zonais frágeis em serviços globais resilientes e confiáveis. Para mais informações, consulte Alta disponibilidade para seus apps.
Proteção de dados
É possível usar uma configuração multizonal para manter seus dados seguros e acessíveis mesmo em caso de interrupção, usando estratégias de proteção de dados que permitem configurar a replicação de dados para criar backups geograficamente separados. Para mais informações, consulte Proteção de dados com armazenamento multizonal.
Gerenciamento de tráfego de rede
Criar uma rede durável é essencial para criar um sistema do GDC altamente disponível. É possível configurar estratégias de rede em várias zonas para planejar procedimentos de failover durante uma possível interrupção zonal. O balanceamento do tráfego de rede entre zonas também pode afetar positivamente o desempenho do aplicativo. Para mais informações, consulte Gerenciamento de tráfego de rede para várias zonas.
Controle de permissões
É possível implementar papéis entre zonas para aplicar estratégias de controle de acesso em uma escala global, o que remove o gerenciamento de permissões específicas da zona, que pode ser tedioso e difícil de gerenciar. Da mesma forma, é possível gerenciar a autenticação em todas as zonas para seus usuários humanos e serviços com contas de acesso global. Para mais informações, consulte Controle de permissões para um universo multizona.
Limitações
Os universos isolados do GDC têm as seguintes limitações:
- Um universo com duas zonas não pode fornecer uma estratégia de recuperação automatizada, independente da configuração da região, e precisa ser recuperado manualmente. Universos com três ou mais zonas podem acionar etapas de recuperação automaticamente.
- O GDC oferece regiões apenas como um conceito de agrupamento e não fornece serviços regionais. As regiões em um universo do GDC são fornecidas para se alinhar de perto com a arquitetura Google Cloudpública e para desenvolvimento e planejamento futuros.
A seguir
- Saiba mais sobre os tipos recurso zonal e zonais disponíveis em um universo do GDC.
- Confira o guia de alta disponibilidade para garantir que seu aplicativo seja resiliente a falhas de zona local.
- Leia o documento Hierarquia de recursos para mais informações sobre como os recursos são gerenciados hierarquicamente em uma zona.