组织资源表示共享同一资源池和通用政策的管理单元或业务职能。Google Distributed Cloud (GDC) 网闸隔离配置通过硬件级多租户功能在组织之间提供物理隔离。每个组织还拥有自己的服务控制平面组件,这些组件不会与其他组织共享。所有资源(例如项目、集群和服务)都属于组织,而非其创建者。因此,如果创建资源的用户离开组织,资源不会被删除。而是所有资源类型都遵循组织的生命周期。如需了解详情,请参阅 GDC 资源层次结构。
外部网络连接
为了发挥作用,组织需要连接到外部网络。这样一来,平台管理员 (PA) 和应用运维人员 (AO) 就可以管理组织及其资源,最终用户也可以使用其中部署的服务。在 GDC 中,所有外部连接均由互连提供。
创建组织后,系统不会自动将其连接到任何网络。作为运营商,您必须执行额外的配置步骤,才能将组织附加到现有互连或配置新的专用互连。这通常包括:
- 将组织添加到
AttachmentGroup。 - 为新的物理或逻辑连接创建
Interconnect资源。 - 定义
RoutePolicy资源,以向外部网络通告组织的网络路由。
组织提供增强的网络功能,包括允许具有专用互联的组织使用重叠的外部 IP 地址,从而简化 IP 管理。
如需了解详细的概念和配置程序,请参阅互连概览。
互连连接模型
GDC 互联支持两种主要配置,可满足不同的安全和 IP 管理要求。
共享外部网络连接
此模型允许多个组织通过通用外部网络连接到 GDC 区域。在此配置中,基础设施运营商 (IO) 通常会管理物理连接和 BGP 对等互连。一个关键要求是,每个组织使用的外部 IP 地址在共享网络中必须是唯一的。对于具有共同信任网域的环境,此模型更易于管理。
专用外部网络连接
此模型适用于需要更高程度隔离的组织,这些组织会连接到不同的外部网络。借助专用连接,PA 可以管理 BGP 对等互连,从而提供更多控制。
此模型的一大优势是组织能够使用重叠的外部 IP 地址。此功能无需在整个 GDC 范围内对所有租户的 IP 地址范围进行冲突消解,从而简化了 IP 地址管理。
如需了解详细的概念和配置程序,请参阅互连概览。
组织架构
GDC 为组织提供了两种架构:
- GDC 网闸隔离组织 v1 架构(v1 组织)
- GDC 网闸隔离组织 v2 架构(v2 组织)
从表面上看,采用任一架构的组织在配置、使用和运营方面都类似。但每种组织类型的基础集群、网络和存储架构各不相同。
GDC 网闸隔离组织 v1 架构
第 1 版组织由两个集群组成:
- 组织管理员集群:运行组织中受管服务和 Marketplace 服务的控制平面组件。它还托管了一些核心基础架构服务。
- 系统集群:运行组织中的虚拟机 (VM) 工作负载和一些代管式服务数据平面工作负载。工作器节点的数量取决于集群的利用率。
PA 和 AO 有时需要访问这些类型的集群,以部署工作负载和管理系统。
虚拟集群的存储由集群内特定于供应商的 CSI 驱动程序处理。
GDC 网闸隔离组织 v2 架构
第 2 版组织由一个称为组织基础架构集群的集群组成,该集群运行组织的控制平面和数据平面组件。此集群还托管管理 API 服务器,所有非容器工作负载和服务都部署在该服务器上。管理 API 服务器提供了一个层,PA 和 AO 可在该层中部署工作负载,但不能直接与组织基础架构集群互动。
虚拟集群的存储由代理 CSI 驱动程序处理,该驱动程序可让组织基础架构集群 CSI 驱动程序处理操作。
与 v1 组织架构相比,网络组件(包括 IP 地址管理、入站和出站重新路由以及 VRF 结构)在系统安全性和易用性方面有所改进。
第 2 版组织的新变化
与 v1 组织架构相比,v2 组织架构在多个组件中引入了更改。
API 和集群架构
v2 组织架构仅为组织提供单个集群,而不是之前架构中提供的两个集群。集群数量的减少使得硬件资源的使用更加灵活。
此外,控制平面和数据平面之间还实现了网络分离,而这对于第 1 版组织来说是不可能的。管理 API 服务器(即控制平面)现在可以公开在与数据平面公开到的客户网络不同的客户网络上。这种分离可在云资源预配和资源消耗之间提供一个可选的额外隔离层。您的管理员和开发者应同时连接到这两个外部网络。
存储
新的 v2 组织架构通过部署 KubeVirt CSI 驱动程序(而非之前架构中的 NetApp Trident CSI 驱动程序)从用户集群中移除 NetApp 存储凭据。此 CSI 驱动程序更新进一步减少了直接存储阵列权限。
网络
v2 组织可使用以下网络改进:
节点到节点加密
v2 组织架构可在组织的裸机节点之间提供加密功能,以便在所有客户网络流量离开物理节点时对其进行加密,从而防止网络交换机看到未加密的流量。
用于处理网络流量的专用集群
边界集群是一个可伸缩的虚拟集群,用于处理组织的所有入站和出站(南北向)流量。借助此集群,您的 GDC 宇宙未来可以迁移到更具可伸缩性的虚拟入侵检测和防御系统 (IDPS) 选项。
简化虚拟机联网
v2 组织架构将之前架构中每个虚拟机的两个接口整合为一个接口。虚拟机将迁移到默认虚拟私有云 (VPC) 网络模型,这意味着虚拟机在第 3 层 (L3) 级别连接到网络。
客户还可以定义自己的子网,而 v1 组织不支持此功能。
高效的 IP 地址使用和管理
第 2 版组织架构允许组织使用重叠的外部 IP 地址。借助重叠的外部 IP 地址,组织可以直接连接到客户网络,而无需在整个 GDC 范围内保持一致的单个大型外部 IP 地址空间。
IP 地址也是按组织提供的,而不是锚定到单个区域级父子网。借助此功能,管理员可以指定自己的 IP 地址,而无需您(作为操作员)指定 IP 地址。此功能可为希望通过不共享父级超网来实现强网络隔离的组织提供更好的弹性和隔离性。
对于 v1 组织,每个项目、每个用户集群、每个组织都需要一个出站 NAT IP 地址。对于 v2 组织,此要求已大幅改进,现在每个项目、每个组织只需一个。此变更可更高效地使用客户提供的 IP 地址。
v1 和 v2 组织之间的功能差异
v2 组织提供的功能与 v1 组织完全相同。 v2 组织中唯一不可用的功能如下:
- Vertex AI
- 数据库服务 CLI
多可用区组织将使用哪种架构?
在多地区 GDC 环境中,如果将现有组织扩展到新地区,则新地区中的组织必须使用与现有地区相同的架构。因此,不支持按可用区使用不同的组织架构。
如何配置 v2 组织
预配组织时,系统会默认为不受认证流程约束的客户创建 v2 组织。
不过,v2 组织在架构方面做出了重大更改。对于需要获得认证的客户部署,在 v2 组织架构完成认证之前,v1 组织架构仍为默认架构。
组织架构默认设置由部署地区时配置的功能标志控制。
如何强制执行组织架构
在极少数情况下,您可能需要替换默认的配置行为,并在配置过程中通过向 Organization 资源添加 spec.compatibilityOptions.architectureOverridePolicy 字段来强制采用特定的组织架构。如需了解详情,请参阅创建客户组织页面。
除非您有充分的理由强制执行特定行为,否则不建议替换默认的组织架构。
例如,如果您遇到 v2 组织存在严重问题而导致任务无法完成,则可以强制使用 v1 组织。同样,如果您需要认证,并且需要单个 v2 组织来启动认证流程,则可以强制使用 v2 组织。当不再严格需要这些替换标志时,必须将其移除,以避免将来组织配置的架构错误。
现有 v1 组织会怎么样?
在 GDC 空气隔离 1.14.2 之前创建的现有组织即使在 GDC 区域升级到版本 1.14.2 或更高版本后,仍会保留在同一架构上。虽然无法通过就地升级将 v1 组织转换为 v2 组织,但 v1 组织中的现有功能将继续受到支持,直到 v1 组织架构在未来被弃用为止。
未来推出的任何新功能可能只会添加到 v2 组织中。 因此,我们建议您尽快将工作负载从 v1 组织迁移到新的 v2 组织架构。单个 GDC 气隙环境可以同时包含这两种组织架构,从而实现更轻松的过渡。