Componentes de VMware para la nube privada

Una nube privada es un entorno de pila de VMware aislado (hosts ESXi, vCenter, vSAN y NSX) administrado por un servidor de vCenter en un dominio de administración. Google Cloud VMware Engine implementa nubes privadas con los siguientes componentes de pila de VMware:

  • VMware ESXi: Hipervisor en nodos dedicados
  • VMware vCenter: Administración centralizada del entorno de vSphere de nube privada
  • VMware vSAN: Plataforma de almacenamiento definida por software hiperconvergente
  • Centro de datos de VMware NSX: Virtualización de red y software de seguridad
  • VMware HCX: Migración de aplicaciones y rebalanceo de cargas de trabajo en centros de datos y nubes

Puedes recuperar las credenciales de acceso generadas de los componentes de pila de VMware desde la página de detalles de la nube privada.

Versiones de componentes de VMware

Una pila de VMware para la nube privada tiene las siguientes versiones de software.

Componente Versión Versión con licencia
ESXi 7.0 actualización 3o vSphere Enterprise Plus
vCenter 7.0 (actualización 3p) vCenter Standard
vSAN 7.0 actualización 3o Características avanzadas y seleccionadas de vSAN Enterprise
NSX Data Center 3.2.3.1.hp Selecciona las funciones disponibles. Consulta la sección NSX Data Center para obtener más detalles.
HCX 4.6.2 Enterprise
1VMware Engine implementa una versión de HCX que Google pone a disposición de Google Cloud. Actualiza HCX después de la creación de una nube privada a fin de recuperar la versión más reciente de HCX para el entorno.

ESXi

Cuando creas una nube privada, VMware ESXi se instala en nodos aprovisionados de Google Cloud Engine. ESXi proporciona el hipervisor para implementar máquinas virtuales (VM) de carga de trabajo. Los nodos proporcionan una infraestructura hiperconvergente (procesamiento y almacenamiento) y forman parte del clúster de vSphere en tu nube privada.

Cada nodo tiene cuatro interfaces de redes físicas conectadas a la red subyacente. VMware Engine crea un interruptor distribuido de vSphere (VDS) en vCenter mediante estas interfaces de red físicas como enlaces de subida. Las interfaces de red se configuran en modo activo para alta disponibilidad.

Dispositivo de vCenter Server

El dispositivo de vCenter Server (VCSA) proporciona las funciones de autenticación, administración y organización para VMware Engine. Cuando creas y, luego, implementas tu nube privada, VMware Engine implementa un VCSA con Platform Services Controller (PSC) incorporado en el clúster de vSphere. Cada nube privada tiene su propio VCSA. Cuando se agregan nodos a la nube privada, se agregan nodos al VCSA.

Inicio de sesión único de vCenter

El Platform Services Controller incorporado en el VCSA está asociado con un inicio de sesión único de vCenter. El nombre de dominio es gve.local. Si quieres acceder a vCenter, usa el usuario predeterminado, CloudOwner@gve.local, que se crea para que puedas acceder. Puedes agregar tus fuentes de identidad para vCenter locales y de Active Directory.

Almacenamiento vSAN

Los clústeres de las nubes privadas tienen almacenamiento vSAN todo flash completamente configurado. Los SSD locales proporcionan el almacenamiento todo en flash. Se requieren al menos tres nodos del mismo SKU para crear un clúster de vSphere con un almacén de datos vSAN. Cada nodo del clúster de vSphere tiene dos grupos de discos. Cada grupo de discos contiene un disco de caché y tres discos de capacidad.

Puedes habilitar la anulación de duplicación y la compresión en el almacén de datos de vSAN en VMware Engine. Este servicio habilita la anulación de duplicación y la compresión de vSAN de forma predeterminada cuando se crea un clúster nuevo. Cada clúster de tu nube privada contiene un almacén de datos de vSAN. Si los datos de la máquina virtual almacenados no son adecuados para la eficiencia del espacio de vSAN mediante la anulación de duplicación y la compresión, o solo por la compresión, puedes cambiar la eficiencia del espacio de vSAN a la configuración elegida en el almacén de datos individual de vSAN.

Además de las características de vSAN Advanced, VMware Engine también proporciona acceso a la encriptación de datos de vSAN Enterprise para datos en reposo y en tránsito.

Políticas de almacenamiento de vSAN

Una política de almacenamiento vSAN define los errores que se toleran (FTT) y el método de tolerancia a errores. Puedes crear políticas de almacenamiento nuevas y aplicarlas a las VM. Para conservar el SLA, debes mantener una capacidad libre del 20% en el almacén de datos de vSAN.

En cada clúster de vSphere, hay una política de almacenamiento vSAN predeterminada que se aplica al almacén de datos vSAN. La política de almacenamiento determina cómo aprovisionar y asignar objetos de almacenamiento de VM dentro del almacén de datos para garantizar un nivel de servicio.

En la siguiente tabla, se muestran los parámetros predeterminados de la política de almacenamiento de vSAN.

FTT Método de tolerancia a errores Cantidad de nodos en el clúster de vSphere
1 RAID 1 (duplicación)
Crea 2 copias
3 y 4 nodos
2 RAID 1 (duplicación)
Crea 3 copias
Entre 5 y 32 nodos

Políticas de almacenamiento de vSAN compatibles

En la siguiente tabla, se muestran las políticas de almacenamiento vSAN admitidas y la cantidad mínima de nodos necesarios para habilitar la política:

FTT Método de tolerancia a errores Cantidad mínima de nodos que se requieren en el clúster de vSphere
1 RAID 1 (duplicación) 3
1 RAID 5 (codificación de borrado) 4
2 RAID 1 (duplicación) 5
2 RAID 6 (codificación de borrado) 6
3 RAID 1 (duplicación) 7

NSX Data Center

NSX Data Center proporciona capacidades de seguridad de red, virtualización de red y microsegmentación en tu nube privada. Puedes configurar los servicios compatibles con NSX Data Center en la nube privada mediante NSX.

Funciones disponibles

En la siguiente lista, se describen las características de NSX-T compatibles con VMware Engine, organizadas por categoría:

  • Cambio, DNS, DHCP e IPAM (DDI):
    • Aprendizaje ARP y supresión de transmisión optimizados
    • Replicación de unidifusión
    • Replicación de headend
    • SpoofGuard
    • Administración de direcciones IP
    • Bloques de IP
    • Subredes de IP
    • Grupos de IP
    • Servidor DHCP IPv4
    • Retransmisión de DHCP IPv4
    • Direcciones estáticas o vinculaciones estáticas DHCP IPv4
    • Proxy DNS/Retransmisión de DNS IPv4
  • Enrutamiento:
    • Rutas nulas
    • Enrutamiento estático
    • Enrutamiento del dispositivo
    • Controles de ruta de BGP mediante mapas de ruta y listas de prefijos
  • NAT:
    • NAT en routers lógicos norte-sur y este-oeste
    • NAT de origen
    • NAT de destino
    • NAT N:N
  • Firewall:
    • Firewall perimetral
    • Firewall distribuido
    • Interfaz de usuario común de firewall
    • Secciones de firewall
    • Registros de firewall
    • Reglas de firewall con estado de capa 2 y capa 3
    • Reglas basadas en etiquetas
    • IPFIX distribuido basado en firewall
  • Políticas, etiquetas y grupos de firewall:
    • Etiquetado de objetos/etiquetas de seguridad
    • Agrupación centrada en la red
    • Agrupación centrada en la carga de trabajo
    • Agrupación basada en IP
    • Agrupación basada en MAC
  • VPN
    • VPN de capa 2
    • VPN de capa 3 (IPv4)
  • Integraciones:
    • Solo herramientas de redes y seguridad para contenedores mediante Tanzu Kubernetes Grid (TKG)
    • Servicio de VMware Cloud Director
    • VMware Aria Automation
    • Operaciones de VMware Aria para registros
  • Autenticación y autorización
    • Integración directa de Active Directory mediante LDAP
    • Autenticación con OpenLDAP
    • Control de acceso según la función (RBAC)
  • Automatización:
    • API de REST
    • SDK de Java
    • Python SDK
    • Proveedor de Terraform
    • Módulos de Ansible
    • Especificaciones de OpenAPI/Swagger y documentación de API generada de forma automática para la API de REST
  • Inspección:
    • Duplicación de puertos
    • Traceflow
    • IPFIX basado en interruptores

Limitaciones de las funciones

Algunas funciones de NSX Data Center tienen casos de uso de herramientas de redes y de seguridad muy específicos. Los clientes que crearon su cuenta de Google Cloud el 30 de agosto de 2022 o antes de esa fecha pueden solicitar acceso a las funciones de esos casos de uso comunicándose con la Atención al cliente de Cloud.

En la siguiente tabla, se describen esas funciones, sus casos de uso correspondientes y posibles alternativas:

Función Caso de uso Alternativa recomendada Clientes de Google Cloud desde el 30 de agosto de 2022 o antes Clientes de Google Cloud después del 30 de agosto de 2022
Multidifusión de capa 3 Enrutamiento de multidifusión de capa 3 con salto múltiple La multidifusión de capa 2 es compatible con una subred de NSX-T. Esto permite que todo el tráfico de multidifusión se entregue a cargas de trabajo en la misma subred de NSX-T. Admitido No compatible
Calidad de servicio (QoS) Aplicación sensible a la latencia y VoIP en la que se produce un exceso de suscripciones de red No es necesario, ya que VMware Engine entrega una arquitectura de red no sin exceso de suscripciones. Además, las etiquetas de QoS que salen de una nube privada se quitan cuando ingresan a la VPC a través de una conexión de intercambio de tráfico. Admitido No compatible
Captura de protocolo simple de administración de redes (SNMP) Protocolo de alertas heredado para notificar a los usuarios sobre los eventos Los eventos y las alarmas se pueden configurar en NSX-T mediante protocolos modernos. Admitido No compatible
Funciones de NAT como NAT sin estado, registro de NAT y NAT64 Se usa para NAT de nivel de proveedor en implementaciones de telecomunicaciones grandes NSX-T admite NAT de origen y destino y NAT N:N en routers lógicos norte-sur y este-oeste. Admitido No compatible
Políticas de seguridad y de redes basadas en intents Se usan junto con VMware Aria para crear políticas de firewall basadas en empresas dentro de NSX-T. Las funciones de firewall distribuido y de puerta de enlace de NSX-T se pueden usar para crear y aplicar políticas de seguridad. Admitido No compatible
Grupos basados en la identidad con Active Directory Implementaciones de VDI en las que el usuario que accedió a un invitado de VDI específico puede detectarse y recibir un conjunto personalizado de reglas de firewall de NSX-T. A los usuarios se les pueden asignar estaciones de trabajo específicas mediante el grupo de asignación dedicado. Luego, usa etiquetas de NSX-T para aplicar reglas de firewall específicas por grupo. Admitido No compatible
Reglas de atributo de capa 7 (ID de aplicación) Se usan en reglas de firewall de NSX-T Usa Grupos de servicios de NSX-T para definir un conjunto de puertos y servicios como referencia cuando crees una o más reglas de firewall. Admitido No compatible
Reglas de firewall sin estado de capa 2 y capa 3 Se usan para firewalls de alta velocidad de nivel de proveedor en implementaciones de telecomunicaciones grandes NSX-T admite reglas con estado de capa 2 y capa 3 de alto rendimiento. Admitido No compatible
Inserción de servicios de NSX-T Se usa para automatizar la implementación de norte-sur o este-oeste de servicios de red de terceros mediante NSX-T a fin de inspeccionar y proteger el tráfico Para las implementaciones de proveedores de seguridad externos, VMware Engine recomienda un modelo enrutado en lugar de la inserción de servicios para garantizar que las actualizaciones de servicios de rutina no afecten la disponibilidad de la red. Comunícate con Atención al cliente de Cloud No compatible

Cómo usar licencias

Google Cloud es un socio de VMware Cloud. Puedes elegir un tipo de descuento por uso comprometido (CUD) que incluya licencias como parte del servicio administrado de VMware Engine, o bien puedes usar tus propias licencias.

Actualizaciones

En esta sección, se describen las consideraciones de actualización y las responsabilidades de administración del ciclo de vida de los componentes de software.

HCX

VMware Engine se encarga de la instalación inicial, la configuración y la supervisión de HCX en nubes privadas. Después de eso, eres responsable de la administración del ciclo de vida de HCX Cloud y los dispositivos de servicio como HCX-IX Interconnect.

VMware proporciona actualizaciones para HCX Cloud a través de su servicio HCX. Puedes actualizar HCX Manager y, luego, implementar dispositivos de servicio de HCX desde la interfaz de HCX Cloud. Para conocer la fecha de finalización de la asistencia de un lanzamiento de producto, consulta VMware Product Lifecycle Matrix.

Otro software de VMware

Google es responsable de administrar el ciclo de vida del software de VMware (ESXi, vCenter, PCC y NSX) en la nube privada.

Las actualizaciones de software incluyen lo siguiente:

  • Parches: Parches de seguridad o correcciones de errores que lanzó VMware
  • Mejoras: Cambios de versión secundarios de un componente de pila de VMware
  • Actualizaciones: Cambios de versión importantes de un componente de pila de VMware

Google prueba un parche de seguridad crítico apenas comienza a estar disponible para VMware. Según el ANS, Google lanza el parche de seguridad para los entornos de nube privada en una semana.

Google proporciona actualizaciones de mantenimiento trimestrales para los componentes de software de VMware. En el caso de una nueva versión principal de software de VMware, Google trabaja con los clientes a fin de coordinar un período de mantenimiento adecuado para realizar la actualización.

Clúster de vSphere

Para garantizar una alta disponibilidad de la nube privada, los hosts ESXi se configuran como un clúster. Cuando creas una nube privada, VMware Engine implementa los componentes de administración de vSphere en el primer clúster. VMware Engine crea un grupo de recursos para los componentes de administración y, luego, implementa todas las VM de administración en este grupo de recursos.

No se puede borrar el primer clúster para reducir la nube privada. El clúster de vSphere usa vSphere HA a fin de proporcionar alta disponibilidad para las VM. El número de los errores que se toleran (FTT) se basa en la cantidad de nodos disponibles en el clúster. La fórmula Number of nodes = 2N+1, en la que N es el FTT, describe la relación entre los nodos disponibles en un clúster y FTT.

Para las cargas de trabajo de producción, usa una nube privada que contenga al menos 3 nodos.

Nubes privadas de nodo único

Para las pruebas y pruebas de concepto con VMware Engine, puedes crear una nube privada que contenga solo un nodo y un clúster. VMware Engine borra las nubes privadas que contienen solo 1 nodo después de 60 días, junto con todas las VM y datos de cargas de trabajo asociados.

Puedes cambiar el tamaño de una nube privada de un solo nodo para que contenga 3 nodos o más. Cuando lo haces, VMware Engine inicia la replicación de datos vSAN y ya no intenta borrar la nube privada. Una nube privada debe contener al menos 3 nodos y replicación de datos vSAN completa para ser apto para la cobertura en función del ANS.

Las funciones o las operaciones que requieren más de 1 nodo no funcionarán con una nube privada de un solo nodo. Por ejemplo, no podrás usar vSphere Distributed Resource Scheduler (DRS) ni la alta disponibilidad (HA).

Límites del clúster de vSphere

En la siguiente tabla, se describen los límites del clúster de vSphere en las nubes privadas que cumplen con los requisitos del ANS:

Recurso Límite
Cantidad mínima de nodos para crear una nube privada (primer clúster) 3
Cantidad mínima de nodos para crear un clúster 3
Cantidad máxima de nodos por clúster 32
Cantidad máxima de nodos por nube privada 96
Cantidad máxima de clústeres por nube privada 21

Asistencia para el sistema operativo invitado

Puedes instalar una VM con cualquier sistema operativo invitado compatible con VMware para la versión ESXi en tu nube privada. Si deseas obtener una lista de los sistemas operativos invitados compatibles, consulta la Guía de compatibilidad con VMware para el SO invitado.

Mantenimiento de la infraestructura de VMware

En ocasiones, es necesario realizar cambios en la configuración de la infraestructura de VMware. Estos intervalos pueden producirse cada 1 o 2 meses, pero se espera que la frecuencia disminuya con el tiempo. Por lo general, este tipo de mantenimiento puede realizarse sin interrumpir el uso normal de los servicios.

Durante un intervalo de mantenimiento de VMware, los siguientes servicios continúan funcionando sin ningún efecto:

  • Plano de administración de VMware y aplicaciones
  • Acceso a vCenter
  • Todas las Herramientas de redes y el almacenamiento
  • Todo el tráfico de la nube

Almacenamiento externo

Puedes expandir la capacidad de almacenamiento de un clúster de Google Cloud VMware Engine agregando más nodos. Como alternativa, puedes usar el almacenamiento externo si solo deseas escalar el almacenamiento. El escalamiento del almacenamiento aumenta la capacidad de almacenamiento sin aumentar la capacidad de procesamiento del clúster, lo que te permite escalar tus recursos de forma independiente.

Comunícate con el equipo de Atención al cliente de Google o con tu representante de ventas para obtener más información sobre el uso del almacenamiento externo.

¿Qué sigue?