機構資源代表共用相同資源集區和通用政策的管理單位或業務功能。Google Distributed Cloud (GDC) 實體隔離方案提供機構之間的實體隔離,並使用硬體層級的多租戶功能。每個機構也都有自己的服務控制層元件,不會與其他機構共用。所有資源 (例如專案、叢集和服務) 都屬於機構,而非建立者。因此,如果建立資源的使用者離開機構,資源不會遭到刪除。而是所有資源類型都會遵循機構的生命週期。詳情請參閱 GDC 資源階層。
外部網路連線
機構必須連至外部網路,才能發揮實體隔離方案的效用。這可讓平台管理員 (PA) 和應用程式營運人員 (AO) 管理機構及其資源,並讓使用者使用其中部署的服務。在 GDC 中,所有外部連線都由互連網路提供。
建立機構時,系統不會自動將其連線至任何網路。身為營運商,您必須執行額外的設定步驟,才能將機構附加至現有互連網路,或佈建新的專屬互連網路。這通常包括:
- 將機構新增至
AttachmentGroup。 - 為新的實體或邏輯連線建立
Interconnect資源。 - 定義
RoutePolicy資源,向外部網路通告機構的網路路徑。
機構可提供強化網路功能,包括讓具有專屬互連的機構使用重疊的外部 IP 位址,簡化 IP 管理作業。
如需詳細概念和設定程序,請參閱互連網路總覽。
互連網路連線模式
GDC Interconnect 支援兩種主要設定,可滿足不同的安全性和 IP 管理需求。
共用外部網路連線
這個模型允許多個機構透過共用的外部網路連線至 GDC 區域。在這種設定中,基礎架構營運商 (IO) 通常會管理實體連線和 BGP 對等互連。其中一項重要規定是,各機構使用的外部 IP 位址在共用網路中不得重複。如果環境具有共同信任網域,這個模型就更容易管理。
專用外部網路連線
這個模型適用於需要高度隔離,並連線至不同外部網路的機構。透過專屬連線,PA 可以管理 BGP 對等互連,提供更多控制權。
這個模型的一大優點是機構可以使用重疊的外部 IP 位址。這項功能可免除在 GDC 宇宙中所有租戶之間解除 IP 範圍衝突的需要,進而簡化 IP 位址管理作業。
如需詳細概念和設定程序,請參閱互連網路總覽。
機構架構
GDC 為機構提供兩種架構:
- GDC 實體隔離機構組織 v1 架構 (機構組織 v1)
- GDC 實體隔離 Org v2 架構 (v2 組織)
從表面來看,無論採用哪種架構,機構的佈建、使用和運作方式都類似。但每個機構類型的基礎叢集、網路和儲存空間架構都不同。
GDC 實體隔離方案 Org v1 架構
第 1 版機構包含兩個叢集:
- 機構管理員叢集:為機構執行受管理和 Marketplace 服務的控制層元件。並代管部分核心基礎架構服務。
- 系統叢集:為機構執行虛擬機器 (VM) 工作負載,以及部分受管理服務資料層工作負載。工作站節點數量取決於叢集的使用率。
PA 和 AO 有時需要存取這些叢集類型,才能部署工作負載及管理系統。
虛擬叢集的儲存空間是由叢集內的供應商專屬 CSI 驅動程式處理。
GDC 實體隔離 Org v2 架構
第 2 版機構包含一個稱為機構基礎架構叢集的叢集,該叢集會執行機構的控制層和資料層元件。這個叢集也會代管管理 API 伺服器,所有非容器工作負載和服務都會部署到這裡。管理 API 伺服器提供一層,讓 PA 和 AO 部署工作負載,但不會直接與機構基礎架構叢集互動。
虛擬叢集的儲存空間是由 Proxy CSI 驅動程式處理,可讓機構基礎架構叢集 CSI 驅動程式處理作業。
網路元件 (包括 IP 位址管理、傳入和傳出重新路由,以及 VRF 結構) 改善了 v1 機構架構,提升系統的安全性和可用性。
第 2 版機構的最新消息
與 v1 機構架構相比,v2 機構架構在多個元件中導入了變更。
API 和叢集架構
與先前的架構不同,v2 機構架構只為機構提供單一叢集。減少叢集數量可更彈性地使用硬體資源。
此外,控制層和資料層的網路也已分離,這項功能不適用於第 1 版機構。管理 API 伺服器或控制層現在可透過與資料層不同的客戶網路公開。這種分離方式可在雲端資源佈建和資源耗用之間,提供額外的隔離層。管理員和開發人員應連線至外部網路。
儲存空間
新版 v2 機構架構會部署 KubeVirt CSI 驅動程式,取代舊版架構中的 NetApp Trident CSI 驅動程式,從使用者叢集中移除 NetApp 儲存空間憑證。這項 CSI 驅動程式更新進一步減少了直接儲存陣列權限。
網路
第 2 版機構可使用下列網路改善功能:
節點對節點加密
第 2 版機構架構會在機構的裸機節點之間提供加密功能,因此所有客戶網路流量在離開實體節點時都會加密,防止網路交換器查看未加密的流量。
專用叢集,用於處理網路流量
周邊叢集是可擴充的虛擬叢集,可處理機構的所有輸入和輸出 (南北向) 流量。這個叢集也能讓 GDC 宇宙在未來改用更具擴充性的虛擬入侵偵測與防禦系統 (IDPS) 選項。
簡化 VM 網路
在第 2 版機構架構中,每個 VM 的介面數量從先前的兩個減少為一個。VM 會移至預設虛擬私有雲 (VPC) 網路模型,也就是說,VM 會在第 3 層 (L3) 級別連線至網路。
客戶也可以定義自己的子網路,但 v1 機構不支援這項功能。
有效率地使用及管理 IP 位址
第 2 版機構架構允許機構使用重疊的外部 IP 位址。有了重疊的外部 IP 位址,機構就能直接連線至客戶網路,不必在 GDC 宇宙中為所有機構對齊單一大型外部 IP 位址空間。
IP 位址也是以機構為單位提供,而非錨定至單一區域範圍的父項子網路。這項功能可讓管理員指定自己的 IP 位址,不必由您 (運算子) 指定。這項功能不會共用上層超級網路,因此可為需要強大網路隔離的機構提供更完善的彈性和隔離功能。
對於第 1 版機構,每個專案、每個使用者叢集和每個機構都需要一個輸出 NAT IP 位址。對於第 2 版機構,這項規定大幅改善,現在每個專案和機構各需要一個。這項異動可提高客戶提供 IP 位址的使用效率。
第 1 版和第 2 版機構之間的差異
第 2 版機構與第 1 版機構的功能完全相同。v2 機構僅不支援下列功能:
- Vertex AI
- Database Service CLI
多區域機構會使用哪種架構?
在多區域 GDC 宇宙中,如果將現有機構擴展到新區域,新區域中的機構必須使用與現有區域相同的架構。因此,系統不支援在每個區域使用不同的機構架構。
如何佈建第 2 版機構
佈建機構時,系統預設會為不受認證程序約束的客戶建立第 2 版機構。
不過,第 2 版機構的架構有重大變更。對於須通過認證的客戶部署作業,在第 2 版機構架構完成認證前,第 1 版機構架構仍為預設架構。
機構架構預設值是由您部署區域時設定的功能標記所控管。
如何強制執行機構架構
在極少數情況下,您可能需要覆寫預設的佈建行為,並在佈建程序中將 spec.compatibilityOptions.architectureOverridePolicy 欄位新增至 Organization 資源,藉此強制採用特定機構架構。詳情請參閱「建立客戶機構」頁面。
除非有充分理由強制執行特定行為,否則不建議覆寫預設機構架構。
舉例來說,如果 v2 機構發生重大問題,導致工作無法進行,您可以強制使用 v1 機構。同樣地,如果您需要認證,且需要單一 v2 機構來啟動認證程序,則可以強制使用 v2 機構。不再需要這些覆寫旗標時,請務必移除,以免日後機構佈建作業採用錯誤的架構。
現有第 1 版機構會有什麼變化?
即使 GDC 區域升級至 1.14.2 以上版本,在 GDC 氣隙 1.14.2 之前建立的現有機構仍會維持相同架構。雖然無法直接升級,將 v1 機構轉換為 v2 機構,但 v1 機構的現有功能仍會繼續支援,直到 v1 機構架構日後淘汰為止。
日後的新功能可能只會新增至 v2 機構。 因此,建議您盡快將工作負載從第 1 版機構遷移至新的第 2 版機構架構。單一 GDC 氣隙宇宙可同時包含兩種機構架構,方便您輕鬆轉換。