Halaman ini diterjemahkan oleh Cloud Translation API.

Ringkasan organisasi

Resource organisasi mewakili unit administratif atau fungsi bisnis yang berbagi kumpulan resource dan kebijakan umum yang sama. Google Distributed Cloud (GDC) dengan air gap menyediakan isolasi fisik antar-organisasi menggunakan fitur multi-tenancy tingkat hardware. Setiap organisasi juga memiliki komponen bidang kontrol sendiri untuk layanannya, yang tidak digunakan bersama dengan organisasi lain. Semua resource, seperti project, cluster, dan layanan, menjadi milik organisasi, bukan milik pembuatnya. Oleh karena itu, resource tidak akan dihapus jika pengguna yang membuatnya keluar dari organisasi. Sebagai gantinya, semua jenis resource mengikuti siklus proses organisasi. Untuk mengetahui informasi selengkapnya, lihat hierarki resource GDC.

Konektivitas jaringan eksternal

Agar bermanfaat, organisasi memerlukan konektivitas ke jaringan eksternal. Hal ini memungkinkan Administrator Platform (PA) dan Operator Aplikasi (AO) mengelola organisasi dan sumber dayanya, serta memungkinkan pengguna akhir menggunakan layanan yang di-deploy di dalamnya. Di GDC, semua konektivitas eksternal disediakan oleh Interconnect.

Saat organisasi dibuat, organisasi tersebut tidak otomatis terhubung ke jaringan mana pun. Sebagai operator, Anda harus melakukan langkah-langkah konfigurasi tambahan untuk melampirkan organisasi ke Interconnect yang ada atau menyediakan Interconnect baru yang khusus. Hal ini biasanya melibatkan:

Menambahkan organisasi ke AttachmentGroup.
Membuat resource Interconnect untuk koneksi fisik atau logis baru.
Menentukan resource RoutePolicy untuk mengiklankan rute jaringan organisasi ke jaringan eksternal.

Organisasi menawarkan kemampuan jaringan yang ditingkatkan, termasuk kemampuan bagi organisasi dengan interkoneksi khusus untuk menggunakan alamat IP eksternal yang tumpang-tindih, yang menyederhanakan pengelolaan IP.

Untuk mengetahui konsep dan prosedur konfigurasi yang mendetail, lihat Ringkasan Interconnect.

Model konektivitas Interconnect

Interkoneksi GDC mendukung dua konfigurasi utama yang sesuai dengan persyaratan keamanan dan pengelolaan IP yang berbeda.

Konektivitas Jaringan Eksternal Bersama

Model ini memungkinkan beberapa organisasi terhubung ke zona GDC melalui jaringan eksternal umum. Dalam konfigurasi ini, Operator Infrastruktur (IO) biasanya mengelola koneksi fisik dan peering BGP. Persyaratan utamanya adalah alamat IP eksternal yang digunakan oleh setiap organisasi harus unik di seluruh jaringan bersama. Model ini lebih mudah dikelola untuk lingkungan dengan domain tepercaya umum.

Konektivitas Jaringan Eksternal Khusus

Model ini ditujukan untuk organisasi yang memerlukan tingkat isolasi yang lebih tinggi, dengan terhubung ke jaringan eksternal yang berbeda. Dengan konektivitas khusus, PA dapat mengelola peering BGP, sehingga memberikan kontrol yang lebih besar.

Keunggulan signifikan dari model ini adalah kemampuan organisasi untuk menggunakan alamat IP eksternal yang tumpang-tindih. Kemampuan ini menyederhanakan pengelolaan alamat IP dengan menghilangkan kebutuhan untuk menyelesaikan konflik rentang IP di semua tenant dalam semesta GDC.

Untuk mengetahui konsep dan prosedur konfigurasi yang mendetail, lihat Ringkasan Interconnect.

Arsitektur organisasi

GDC menyediakan dua arsitektur untuk organisasi:

Arsitektur Org v1 GDC dengan air gap (organisasi v1)
Arsitektur Org v2 GDC dengan air gap (organisasi v2)

Pada dasarnya, organisasi dengan arsitektur apa pun disediakan, digunakan, dan dioperasikan dengan cara yang serupa. Namun, arsitektur cluster, jaringan, dan penyimpanan yang mendasarinya berbeda dalam setiap jenis organisasi.

Arsitektur Org v1 GDC dengan air gap

Organisasi v1 terdiri dari dua cluster:

Cluster admin org: Menjalankan komponen control plane layanan terkelola dan Marketplace untuk organisasi. Google Cloud juga menghosting beberapa layanan infrastruktur inti.
Cluster sistem: Menjalankan workload virtual machine (VM) dan beberapa workload data plane layanan terkelola untuk organisasi. Jumlah node pekerja bergantung pada penggunaan cluster.

PA dan AO terkadang diperlukan untuk mengakses jenis cluster ini guna men-deploy beban kerja dan mengelola sistem.

Organisasi v1 menjalankan berbagai node bidang kontrol dan worker node di berbagai jenis cluster.

Penyimpanan untuk cluster virtual ditangani oleh driver CSI khusus vendor di dalam cluster.

Arsitektur Org v2 GDC dengan air gap

Organisasi v2 terdiri dari cluster yang disebut cluster infrastruktur org, yang menjalankan komponen bidang kontrol dan bidang data organisasi. Cluster ini juga menghosting server Management API tempat semua beban kerja dan layanan non-container di-deploy. Server Management API menyediakan lapisan tempat PA dan AO dapat men-deploy beban kerja, tetapi tidak berinteraksi langsung dengan cluster infrastruktur organisasi.

Organisasi v2 menjalankan berbagai node bidang kontrol dan bidang data di cluster infrastruktur org-nya.

Penyimpanan untuk cluster virtual ditangani oleh driver CSI proxy yang memungkinkan driver CSI cluster infrastruktur organisasi menangani operasi.

Komponen jaringan, termasuk pengelolaan alamat IP, pengalihan masuk dan keluar, serta struktur VRF, memberikan peningkatan dibandingkan arsitektur organisasi v1 untuk keamanan dan kegunaan sistem.

Apa yang baru untuk organisasi v2?

Arsitektur organisasi v2 memperkenalkan perubahan di beberapa komponen dibandingkan dengan arsitektur organisasi v1.

Arsitektur API dan cluster

Arsitektur organisasi v2 hanya menyediakan satu cluster untuk organisasi, bukan dua cluster seperti pada arsitektur sebelumnya. Pengurangan jumlah cluster memungkinkan penggunaan resource hardware yang lebih elastis.

Ada juga pemisahan jaringan bidang kontrol dan bidang data yang tidak tersedia untuk organisasi v1. Server Management API, atau bidang kontrol, kini dapat diekspos di jaringan pelanggan yang berbeda dengan jaringan pelanggan tempat bidang data diekspos. Pemisahan ini menawarkan lapisan isolasi tambahan opsional antara penyediaan resource cloud dan penggunaan resource. Administrator dan developer Anda diharapkan memiliki koneksi ke kedua jaringan eksternal.

Penyimpanan

Arsitektur organisasi v2 yang baru menghapus kredensial penyimpanan NetApp dari cluster pengguna dengan men-deploy driver CSI KubeVirt, bukan driver CSI NetApp Trident yang ada di arsitektur sebelumnya. Update driver CSI ini semakin mengurangi hak istimewa array penyimpanan langsung.

Jaringan

Peningkatan jaringan berikut tersedia untuk organisasi v2:

Enkripsi node-ke-node
Cluster khusus untuk menangani traffic jaringan
Networking VM yang disederhanakan
Penggunaan dan pengelolaan alamat IP yang lebih efisien

Enkripsi node-ke-node

Arsitektur organisasi v2 menyediakan enkripsi antara node bare metal organisasi sehingga semua traffic jaringan pelanggan dienkripsi saat keluar dari node fisik untuk mencegah switch jaringan memiliki visibilitas ke traffic yang tidak dienkripsi.

Cluster khusus untuk menangani traffic jaringan

Cluster perimeter adalah cluster virtual yang dapat diskalakan yang menangani semua traffic masuk dan keluar (Utara/Selatan) untuk organisasi. Cluster ini juga memungkinkan semesta GDC Anda beralih ke opsi sistem pencegahan dan deteksi intrusi virtual (IDPS) yang lebih skalabel pada masa mendatang.

Networking VM yang disederhanakan

Arsitektur organisasi v2 menggabungkan dua antarmuka per VM dari arsitektur sebelumnya menjadi satu antarmuka. VM dipindahkan ke model jaringan virtual private cloud (VPC) default, yang berarti VM terhubung ke jaringan di tingkat Layer 3 (L3).

Pelanggan juga dapat menentukan subnet mereka sendiri, yang tidak didukung untuk organisasi v1.

Penggunaan dan pengelolaan alamat IP yang efisien

Arsitektur organisasi v2 mengizinkan alamat IP eksternal yang tumpang-tindih untuk organisasi. Alamat IP eksternal yang tumpang-tindih memungkinkan organisasi terhubung langsung ke jaringan pelanggan, sehingga tidak memerlukan ruang alamat IP eksternal besar tunggal yang selaras di semua organisasi dalam semesta GDC.

Alamat IP juga disediakan per organisasi, bukan ditambatkan ke satu subnet induk cakupan zona. Dengan kemampuan ini, administrator dapat menentukan alamat IP mereka sendiri, alih-alih mengharuskan Anda sebagai operator untuk menentukannya. Fitur ini memberikan elastisitas dan isolasi yang lebih baik bagi organisasi yang menginginkan isolasi jaringan yang kuat dengan tidak membagikan supernet induk.

Untuk organisasi v1, alamat IP Egress NAT diperlukan satu per project, per cluster pengguna, per organisasi. Untuk organisasi v2, persyaratan ini ditingkatkan secara signifikan menjadi satu per project, per organisasi. Perubahan ini memberikan efisiensi yang lebih besar dalam penggunaan alamat IP yang disediakan pelanggan.

Perbedaan fungsional antara organisasi v1 dan v2

Organisasi v2 menyediakan semua kemampuan yang sama seperti organisasi v1. Satu-satunya fitur yang tidak tersedia di organisasi v2 adalah sebagai berikut:

Vertex AI
CLI Database Service

Arsitektur apa yang akan digunakan organisasi multi-zona?

Di semesta GDC multi-zona, jika memperluas organisasi yang ada ke zona baru, organisasi di zona baru harus menggunakan arsitektur yang sama dengan zona yang ada. Oleh karena itu, penggunaan arsitektur organisasi yang berbeda per zona tidak didukung.

Cara menyediakan organisasi v2

Saat menyediakan organisasi, organisasi v2 dibuat secara default untuk pelanggan yang tidak tunduk pada proses akreditasi.

Namun, organisasi v2 memberikan perubahan arsitektur yang signifikan. Untuk deployment pelanggan yang tunduk pada akreditasi, arsitektur organisasi v1 tetap menjadi default hingga arsitektur organisasi v2 menyelesaikan akreditasi.

Default arsitektur organisasi dikontrol oleh tombol fitur yang dikonfigurasi saat Anda men-deploy zona.

Cara menerapkan arsitektur organisasi

Dalam kasus yang jarang terjadi, Anda mungkin ingin mengganti perilaku penyediaan default, dan memilih untuk memaksakan arsitektur organisasi tertentu dengan menambahkan kolom spec.compatibilityOptions.architectureOverridePolicy ke resource Organization selama proses penyediaan. Untuk mengetahui informasi selengkapnya, lihat halaman Membuat organisasi pelanggan.

Sebaiknya jangan mengganti arsitektur organisasi default Anda kecuali jika Anda memiliki alasan kuat untuk memaksakan perilaku tertentu.

Misalnya, Anda dapat memaksakan organisasi v1 jika Anda mengalami masalah signifikan dengan organisasi v2 yang menghalangi tugas. Demikian pula, Anda dapat memaksa organisasi v2 jika Anda memerlukan akreditasi dan memerlukan satu organisasi v2 untuk memulai proses akreditasi. Flag penggantian ini harus dihapus jika tidak lagi diperlukan untuk menghindari penyediaan organisasi di masa mendatang dengan arsitektur yang salah.

Apa yang terjadi pada organisasi v1 yang sudah ada?

Organisasi yang sudah ada yang dibuat sebelum GDC air-gapped 1.14.2 tetap menggunakan arsitektur yang sama meskipun zona GDC diupgrade ke versi 1.14.2 atau yang lebih baru. Meskipun upgrade di tempat tidak tersedia untuk mengonversi organisasi v1 ke organisasi v2, fitur yang ada di organisasi v1 akan terus didukung hingga penghentian penggunaan arsitektur organisasi v1 pada masa mendatang.

Setiap fitur baru pada masa mendatang mungkin hanya ditambahkan ke organisasi v2. Oleh karena itu, sebaiknya pindahkan beban kerja Anda dari organisasi v1 ke arsitektur organisasi v2 baru sesegera mungkin. Semesta air-gapped GDC tunggal dapat berisi arsitektur organisasi secara bersamaan, yang memberikan transisi yang lebih mudah.