Requisitos e práticas recomendadas do ambiente

Neste guia, você encontra práticas recomendadas, considerações práticas e recomendações para implementar ambientes na sua organização.

Antes de ler este guia, você precisa estar familiarizado com os conceitos de Introdução aos ambientes. Recomendamos que você leia este guia antes de conferir nossos exemplos.

Requisitos de componentes

Há algumas limitações a serem consideradas ao implementar ambientes com base nos componentes do Anthos e do Google Cloud que o ambiente quer usar. Por exemplo, alguns componentes talvez ainda não sejam compatíveis com o trabalho com clusters que não estão no projeto de host do ambiente.

A tabela a seguir mostra os requisitos e as limitações atuais de cada componente.

Componente
Tipos de cluster
Requisitos do projeto
Requisitos de VPC
Anthos Config Management Todos os clusters compatíveis com Anthos e GKE Nenhum Nenhum
Config Sync GKE nos clusters do Google Cloud Nenhum Nenhum
Anthos Service Mesh
no Google Cloud

Clusters do Anthos no Google Cloud

Observação: atualmente, apenas as malhas de cluster único são compatíveis. A funcionalidade de malha em vários clusters estará disponível em breve.

Nenhum N/A
Anthos Service Mesh
no local

Clusters do Anthos em clusters do VMware

Observação: atualmente, apenas as malhas de cluster único são compatíveis. A funcionalidade de malha em vários clusters estará disponível em breve.

O cluster precisa ser registrado em um ambiente. N/A
Entrada em vários clusters Clusters do Anthos em execução no Google Cloud Os recursos de entrada, os clusters do GKE e o ambiente precisam compartilhar o mesmo projeto. Os recursos de entrada e os clusters do GKE precisam estar na mesma rede VPC.
Pools de identidade da carga de trabalho Otimizados para Anthos, GKE no Google Cloud e clusters do Anthos no VMware. Com o Anthos, outros clusters do Kubernetes são compatíveis, mas exigem trabalho de configuração manual. Nenhum Nenhum

Como organizar projetos e redes VPC para ambientes

Para projetar um ambiente, é preciso considerar dois recursos fundamentais: projetos do Google Cloud e redes de nuvem privada virtual (VPC).

Conforme observado em Introdução a ambientes, cada ambiente é criado em um único projeto. No entanto, com as limitações observadas na tabela anterior, os ambientes precisam trabalhar com recursos com reconhecimento de ambiente do projeto host do ambiente, outro projeto do Google Cloud, outros provedores de nuvem ou locais.

Embora não seja explicitamente bloqueado, também recomendamos que os recursos com reconhecimento de ambiente no mesmo projeto sejam adicionados ao mesmo ambiente. Eles não podem ser divididos entre diferentes ambientes. A divisão de recursos no mesmo projeto em ambientes é considerada um antipadrão porque o limite do projeto proporciona proteções mais fortes para fins de política e governança.

Ao decidir como colocar recursos com reconhecimento de ambiente em vários projetos, garantimos que muitas organizações terão requisitos de locação diferentes. Considere estes dois extremos:

  • Algumas organizações podem colocar todos os recursos no ambiente em alguns projetos de controle central, alocando namespaces para equipes.
  • Outras organizações podem optar por oferecer às equipes os próprios clusters dedicados ou recursos de máquina virtual (VM, na sigla em inglês) nos próprios projetos.

No primeiro extremo, é mais fácil manter a governança centralizada sobre os recursos, mas pode exigir trabalho adicional para conseguir o isolamento desejado. No segundo extremo, essas compensações são invertidas. Em alguns casos complexos, sua organização pode ter uma combinação de recursos de infraestrutura compartilhada e de recursos dedicados, isolados em projetos separados. Seja qual for seu caso, conforme discutimos em nossa seção Alta confiança, é importante manter o controle mútuo sobre os recursos registrados em um ambiente para manter a integridade do ambiente.

A organização de rede está intimamente relacionada à organização do projeto. Vários componentes de ambiente, conforme observado na tabela de requisitos de componentes, exigem conectividade específica entre recursos registrados no ambiente. Com o tempo, alguns desses requisitos podem ser flexibilizados No entanto, por exemplo, atualmente o Ingress de vários clusters requer que os pods estejam na mesma rede VPC, com os próprios clusters no mesmo projeto que o ambiente.

Quando os componentes podem acomodar esses requisitos iniciais de projeto e rede VPC, prevemos que a adoção de um modelo de VPC compartilhada se torne uma prática recomendada sempre que você precisar de vários projetos. Nesse modelo, o ambiente pode ser instanciado no projeto host da rede VPC com recursos registrados nos respectivos projetos de serviço. Se você precisar de vários ambientes com uma VPC compartilhada, será possível nomear projetos como o projeto host do ambiente.

Como adicionar/remover recursos do ambiente (clusters)

É possível adicionar recursos com reconhecimento de ambiente a um ambiente. No entanto, é preciso tomar cuidado especial para que os serviços não sejam interrompidos como resultado da adição. Especificamente, é importante garantir que a mesma igualdade e propriedades confiáveis sejam consideradas antes de adicionar o recurso ao ambiente. O administrador de ambiente precisa prestar atenção especial ao modo como os componentes de ambiente ativos usam a mesma igualdade. Isso pode exigir a migração para práticas de nomenclatura consistentes, estabelecendo a governança do recurso ou possivelmente executando outras ações antes de adicionar o recurso ao ambiente.

A remoção de recursos de um ambiente também requer atenção adicional. Por exemplo, recursos que fazem parte de uma malha de serviço ou são segmentados como parte de um balanceador de carga de vários clusters serão afetados. Para se preparar para a remoção do recurso, recomendamos revisar cada componente que você ativou no seu ambiente e tomar as medidas necessárias para diminuir o tráfego ativo da malha de serviço ou tráfego externo.

À medida que os ambientes evoluem, forneceremos mais orientação na banda ao adicionar e remover recursos de ambiente.

Como ativar ou reconfigurar componentes de ambiente

Ativar ou reconfigurar os componentes do Google Cloud ou Anthos que usam ambientes também requer cuidados especiais. Ao permitir novos componentes, preste atenção aos possíveis efeitos colaterais para ativá-lo em todos os clusters. Por exemplo, antes de ativar o Anthos Service Mesh, entenda quais endpoints de serviço estão mesclados em recursos e verifique se este é o resultado desejado.

Disponibilizaremos mais orientações em banda quando configurarmos componentes compatíveis com o ambiente, à medida que evoluímos o conceito.

A seguir

  • Para alguns cenários hipotéticos que ilustram as considerações descritas neste guia, consulte Exemplos de Environ.