Compartir grupos de nodos de único cliente

Los grupos de nodos de único cliente compartidos son similares a los grupos de nodos de único cliente locales. Por ejemplo, los grupos de nodos compartidos cuestan lo mismo, consumen la misma cuota y se encuentran en un proyecto principal de la jerarquía de recursos.

La diferencia entre los grupos de nodos compartidos y los grupos de nodos locales es que otros proyectos de tu organización pueden aprovisionar instancias de máquina virtual en los grupos de nodos compartidos.

Compartir un grupo de nodos entre varios proyectos o una organización puede ayudarte a hacer lo siguiente:

• Consolida los grupos de nodos que gestionas en un solo proyecto y, a continuación, comparte esos nodos con otros proyectos o con toda la organización.

• Reducir los costes eliminando nodos después de consolidar las VMs de varios proyectos en grupos de nodos infrautilizados

• Gestionar nodos de único cliente con un solo equipo

• Compartir nodos de un solo inquilino con proyectos más pequeños y mantener los límites de seguridad y control de acceso entre esos proyectos

• Realizar una migración en directo entre grupos de nodos del mismo proyecto

• Mejorar la utilización de los grupos de nodos y reducir el número de nodos de mantenimiento reservados al usar la política de mantenimiento Migrar dentro del grupo de nodos

En el siguiente diagrama se muestra un grupo de nodos que se comparte con otros proyectos para que otros departamentos que gestionan VMs en esos proyectos puedan aprovisionar VMs en un grupo de nodos compartido.

Ventajas de utilización de los grupos de nodos compartidos

En la siguiente tabla se comparan los proyectos que usan grupos de nodos locales con los que usan grupos de nodos compartidos. Ten en cuenta que la infrautilización de las vCPUs disminuye en los proyectos que usan grupos de nodos compartidos.

Configuración para compartir grupos de nodos

Compute Engine usa los siguientes ajustes para compartir grupos de nodos y aprovisionar VMs en los grupos de nodos compartidos:

• Un ajuste para compartir que se configura al crear o actualizar el grupo de nodos de un solo inquilino. Para especificar si quieres compartir el grupo de nodos con otros proyectos o con toda la organización, usa los ajustes de la CLI de gcloud (--share-setting y --share-with) o los ajustes de la API REST (shareSetting y shareWith).

• Una etiqueta de afinidad de nodos compute.googleapis.com/project predeterminada que se usa al aprovisionar una VM en un grupo de nodos compartido mediante etiquetas de afinidad de nodos. Para obtener información sobre otras etiquetas de afinidad de nodo predeterminadas, consulta Etiquetas de afinidad predeterminadas.

Consideraciones sobre la política de mantenimiento

Cuando un grupo de nodos usa la política de mantenimiento Migrar dentro del grupo de nodos, Compute Engine reserva al menos un nodo para los eventos de migración en directo, por lo que el grupo de nodos debe tener al menos dos nodos. No puedes programar VMs en el nodo reservado, por lo que los grupos de nodos con esta política de mantenimiento suelen tener una utilización general más baja. Por este motivo, las cargas de trabajo que requieren la política de mantenimiento Migrar dentro del grupo de nodos son buenas candidatas para compartir grupos de nodos, ya que suelen ser las que más se benefician de la mejora de la utilización.

Funciones y permisos de IAM

Ten en cuenta la siguiente información sobre los roles y permisos de gestión de identidades y accesos cuando compartas un grupo de nodos:

• Si un grupo de nodos se comparte con un proyecto, cualquier usuario que pueda crear máquinas virtuales en los proyectos de la lista o en la organización podrá aprovisionar máquinas virtuales de esos proyectos en el grupo de nodos compartido sin tener que cambiar los roles ni los permisos de gestión de identidades y accesos.

• El rol de compute.soleTenantViewer de gestión de identidades y accesos te permite enumerar y ver grupos de nodos (interfaz de línea de comandos de gcloud / REST). No puedes modificar grupos de nodos con este rol. Cualquier usuario con este rol o con permisos para enumerar grupos de nodos, independientemente de los permisos de gestión de identidades y accesos de la VM, puede ver el ID del proyecto, el nombre, el tipo de máquina y la información sobre los SSD locales y las GPUs de todas las VMs del grupo de nodos.

Limitaciones

• Limitaciones del régimen de cumplimiento:

  • Independientemente de los permisos de gestión de identidades y accesos de la VM, cualquier usuario con permisos para enumerar grupos de nodos puede ver el ID de proyecto, el nombre y el tipo de máquina de todas las VMs del grupo de nodos. Por lo tanto, debido al riesgo de divulgación de información entre proyectos, los proyectos que tengan máquinas virtuales aprovisionadas en grupos de nodos compartidos deben estar sujetos al mismo régimen de cumplimiento.

• Limitaciones de la consolaGoogle Cloud :

  • Si no tienes permiso para ver las VMs del grupo de nodos de un solo inquilino compartido, esas VMs no aparecerán en la lista de VMs de la página Nodos de un solo inquilino de la consolaGoogle Cloud .
  • Después de modificar la configuración para compartir en la página Grupos de nodos de un solo inquilino, el ajuste Compartido con no se actualiza en la interfaz de usuario. Para ver la configuración actualizada de Compartido con, vaya a la página Nodos de un solo inquilino.
  • Después de compartir un grupo de nodos con todos los proyectos de una organización o con proyectos concretos de una organización, solo podrás ver el grupo de nodos compartido desde el proyecto al que pertenece. No podrás verlo desde los proyectos con los que se ha compartido. Para aprovisionar una VM en el grupo de nodos compartido, ve a la página Instancias de VM del proyecto con el que se comparte el grupo de nodos y, a continuación, modifica las etiquetas de afinidad de nodo de arrendamiento único.

• Limitaciones para compartir:

  • Debes actualizar la configuración de uso compartido del proyecto propietario del grupo de nodos.
  • Puedes especificar un máximo de 100 proyectos cuando uses el ajuste projects compartir.
  • No puedes compartir grupos de nodos entre organizaciones. Por ejemplo, si migras un proyecto que contiene un grupo de nodos compartido de una organización a otra, también debes migrar todos los proyectos que tengan máquinas virtuales en ejecución en ese grupo de nodos compartido.
  • No puedes realizar migraciones en directo entre proyectos mientras usas grupos de nodos de un solo propietario compartidos. Para obtener más información, consulta Migrar manualmente máquinas virtuales en tiempo real.

Precios

Las VMs de los grupos de nodos compartidos no generan cargos adicionales, y tampoco se aplican cargos adicionales por compartir grupos de nodos. Para obtener más información sobre los precios de los nodos de único propietario, consulta la página Precios de los nodos de único propietario.

Antes de empezar

• Antes de crear un grupo de nodos de único propietario, crea una plantilla de nodo de único propietario.
• Antes de aprovisionar VMs en un nodo de único cliente, consulta tu cuota. En función del número y el tamaño de los nodos que reserves, es posible que tengas que solicitar cuota adicional.
• Si aún no lo has hecho, configura la autenticación. La autenticación verifica tu identidad para acceder a Google Cloud servicios y APIs. Para ejecutar código o ejemplos desde un entorno de desarrollo local, puedes autenticarte en Compute Engine seleccionando una de las siguientes opciones:

  Select the tab for how you plan to use the samples on this page:

  Console

  When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

  gcloud

  1. Instala Google Cloud CLI. Después de la instalación, inicializa la CLI de Google Cloud ejecutando el siguiente comando:

     gcloud init

     Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.

  2. Set a default region and zone.

  REST

  Para usar las muestras de la API REST de esta página en un entorno de desarrollo local, debes usar las credenciales que proporciones a la CLI de gcloud.

  Instala Google Cloud CLI. Después de la instalación, inicializa la CLI de Google Cloud ejecutando el siguiente comando:

  gcloud init

  Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.

  Para obtener más información, consulta el artículo Autenticarse para usar REST de la documentación sobre autenticación de Google Cloud .

Crear un grupo de nodos y compartirlo

Para crear un grupo de nodos y compartirlo con otros proyectos o con toda la organización, usa la consola, la interfaz de línea de comandos de gcloud o REST. Google Cloud

gcloud compute sole-tenancy node-groups create NODE_GROUP \
    --zone=ZONE \
    --node-template=NODE_TEMPLATE \
    --target-size=SIZE \
    --share-setting=SHARE_SETTING \
    --share-with=PROJECTS

POST https://compute.googleapis.com/compute/v1/projects/PROJECT/zones/ZONE/nodeGroups

{
  ...
  "name": NODE_GROUP,
  "nodeTemplate": NODE_TEMPLATE,
  "size": SIZE,
  "shareSettings": {
    "shareType": SHARE_TYPE,
    "projectMap": {
      string: {
        "projectId": PROJECTS
      },
    }
  }
  ...
}

Aprovisionar una máquina virtual de único cliente en un grupo de nodos compartido

Para aprovisionar una VM de único cliente en un grupo de nodos compartido, usa laGoogle Cloud consola, la CLI de gcloud o la API REST.

gcloud compute instances create VM_NAME \
    --machine-type=MACHINE_TYPE \
    --node-group=NODE_GROUP \
    --node-project=NODE_PROJECT

gcloud compute instances create VM_NAME \
    --machine-type=MACHINE_TYPE \
    --node-affinity-file=NODE_AFFINITY_FILE

POST https://compute.googleapis.com/compute/v1/projects/PROJECT/zones/ZONE/instances

{
  ...
  "name": VM_NAME,
  "machineType": MACHINE_TYPE,
  "scheduling": {
    ...
    "nodeAffinities": [
      {
        "key": KEY,
        "operator": OPERATOR,
        "values": [
          VALUE
        ]
      }
    ],
    ...
  },
  ...
}

Ver la configuración para compartir de un grupo de nodos

Para ver la configuración de uso compartido de un grupo de nodos, usa la Google Cloud consola, la CLI de gcloud o REST.

gcloud compute sole-tenancy node-groups describe NODE_GROUP

GET https://compute.googleapis.com/compute/v1/projects/PROJECT/zones/ZONE/nodeGroups

Compartir un grupo de nodos

Para compartir un grupo de nodos con otros proyectos o con toda la organización, usa la Google Cloud consola, la CLI de gcloud o la API REST.

gcloud compute sole-tenancy node-groups update NODE_GROUP \
    --zone=ZONE \
    --share-setting=SHARE_SETTING \
    --share-with=PROJECTS

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT/zones/ZONE/nodeGroups/NODE_GROUP

{
  "shareSettings": {
    "shareType": SHARE_TYPE,
    "projectMap": {
      string: {
        "projectId": PROJECTS
      },
    }
  }
}

Dejar de compartir un grupo de nodos

Para dejar de compartir un grupo de nodos con otros proyectos o con toda la organización, usa la CLI de gcloud o REST.

gcloud compute sole-tenancy node-groups update NODE_GROUP \
    --zone=ZONE \
    --share-setting=local

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT/zones/ZONE/nodeGroups/NODE_GROUP

{
  "shareSettings": {
    "shareType": LOCAL
  }
}

Eliminar un grupo de nodos compartido del proyecto propietario

Para eliminar un grupo de nodos compartido del proyecto propietario, usa laGoogle Cloud consola, gcloud CLI o REST. Antes de eliminar un grupo de nodos, detén todas las VMs que se estén ejecutando en él.

gcloud compute sole-tenancy node-groups delete NODE_GROUP

DELETE https://compute.googleapis.com/compute/v1/projects/PROJECT/zones/ZONE/nodeGroups/NODE_GROUP