Componenti VMware per un cloud privato
Un cloud privato è un ambiente VMware stack (host ESXi, vCenter, vSAN e NSX) isolato gestito da un vCenter Server in un dominio di gestione. Google Cloud VMware Engine esegue il deployment di cloud privati con i seguenti componenti dello stack VMware:
- VMware ESXi:hypervisor su nodi dedicati
- VMware vCenter: gestione centralizzata dell'ambiente vSphere del cloud privato
- VMware vSAN:piattaforma di archiviazione iperconvergente definita dal software
- VMware NSX Data Center: software di virtualizzazione e sicurezza della rete
- VMware HCX: migrazione delle applicazioni e ribilanciamento dei carichi di lavoro tra data center e cloud
Puoi recuperare le credenziali di accesso generate per i componenti dello stack VMware dalla pagina dei dettagli del cloud privato.
Versioni dei componenti VMware
Uno stack VMware per un cloud privato ha le seguenti versioni software:
| Componente | Versione | Versione con licenza |
|---|---|---|
| ESXi | 8.0 Update 3f | VMware Cloud Foundation |
| vCenter | Aggiornamento 8.0 3e | VMware Cloud Foundation |
| vSAN | Aggiornamento 3 di 8.0 | VMware Cloud Foundation |
| NSX Data Center | 4.2.2.1 | VMware Cloud Foundation |
| HCX | 4.10.3 | VMware Cloud Foundation |
| Aria | 8.16 | VMware Cloud Foundation |
1VMware Engine esegue il deployment di una versione di HCX resa disponibile a Google Cloud da VMware. Aggiorna HCX dopo la creazione del cloud privato per recuperare l'ultima versione di HCX per il tuo ambiente.
ESXi
Quando crei un cloud privato, VMware ESXi viene installato sui nodi Google Cloud VMware Engine di cui è stato eseguito il provisioning. ESXi fornisce l'hypervisor per il deployment delle macchine virtuali (VM) dei carichi di lavoro. I nodi forniscono un'infrastruttura iperconvergente (computing e spazio di archiviazione) e fanno parte del cluster vSphere sul tuo cloud privato.
Ogni nodo ha quattro interfacce di rete fisiche connesse alla rete sottostante. VMware Engine crea un vSphere Distributed Switch (VDS) su vCenter utilizzando queste interfacce di rete fisiche come uplink. Le interfacce di rete sono configurate in modalità attiva per l'alta disponibilità.
vCenter Server Appliance
vCenter Server Appliance (VCSA) fornisce le funzioni di autenticazione, gestione e orchestrazione per VMware Engine. Quando crei e implementi il tuo cloud privato, VMware Engine implementa un VCSA con un Platform Services Controller (PSC) incorporato nel cluster vSphere. Ogni cloud privato ha il proprio VCSA. L'aggiunta di nodi a un cloud privato aggiunge nodi a VCSA.
vCenter Single Sign-On
Il controller dei servizi della piattaforma incorporato su VCSA è associato a vCenter
Single Sign-On. Il nome di dominio è gve.local. Per accedere a vCenter, utilizza l'utente predefinito CloudOwner@gve.local, creato per consentirti di accedere a vCenter. Puoi aggiungere le tue origini identità on-premise/Active Directory per
vCenter.
Archiviazione vSAN
I cluster nei cloud privati dispongono di spazio di archiviazione vSAN all-flash completamente configurato. L'archiviazione all-flash è fornita da SSD locali. Per creare un cluster vSphere con un datastore vSAN sono necessari almeno tre nodi con lo stesso SKU. Ogni nodo del cluster vSphere ha due gruppi di dischi. Ogni gruppo di dischi contiene un disco cache e tre dischi di capacità.
Puoi abilitare la deduplicazione e la compressione sul datastore vSAN in VMware Engine. Questo servizio attiva la deduplicazione e la compressione di vSAN per impostazione predefinita quando viene creato un nuovo cluster. Ogni cluster sul tuo cloud privato contiene un datastore vSAN. Se i dati della macchina virtuale archiviati non sono adatti all'efficienza dello spazio vSAN mediante deduplicazione e compressione o solo mediante compressione, puoi modificare l'efficienza dello spazio vSAN nella configurazione scelta nell'archivio dati vSAN individuale.
Oltre alle funzionalità avanzate di vSAN, VMware Engine fornisce anche l'accesso alla crittografia dei dati vSAN Enterprise per i dati at-rest e in transito.
Policy di archiviazione vSAN
Un criterio di archiviazione vSAN definisce il valore Failures to Tolerate (errori da tollerare) e il metodo di tolleranza agli errori. Puoi creare nuove policy di archiviazione e applicarle alle VM. Per mantenere l'SLA, devi mantenere una capacità di riserva del 20% nel datastore vSAN.
In ogni cluster vSphere è presente una policy di archiviazione vSAN predefinita che si applica al datastore vSAN. Il criterio di archiviazione determina come eseguire il provisioning e l'allocazione di oggetti di archiviazione delle VM all'interno del datastore per garantire un livello di servizio.
La tabella seguente mostra i parametri predefiniti della policy di archiviazione vSAN:
| FTT | Metodo di tolleranza degli errori | Numero di nodi nel cluster vSphere |
|---|---|---|
| 1 | RAID 1 (mirroring) Crea 2 copie |
3 e 4 nodi |
| 2 | RAID 1 (mirroring) Crea 3 copie |
Da 5 a 32 nodi |
Policy di archiviazione vSAN supportate
La tabella seguente mostra le policy di archiviazione vSAN supportate e il numero minimo di nodi richiesti per abilitare la policy:
| FTT | Metodo di tolleranza degli errori | Numero minimo di nodi richiesto nel cluster vSphere |
|---|---|---|
| 1 | RAID 1 (mirroring) | 3 |
| 1 | RAID 5 (codifica di cancellazione) | 4 |
| 2 | RAID 1 (mirroring) | 5 |
| 2 | RAID 6 (codifica di cancellazione) | 6 |
| 3 | RAID 1 (mirroring) | 7 |
NSX Data Center
NSX Data Center fornisce funzionalità di virtualizzazione della rete, microsegmentazione e sicurezza di rete sul tuo cloud privato. Puoi configurare i servizi supportati da NSX Data Center sul tuo cloud privato utilizzando NSX.
Funzionalità disponibili
Il seguente elenco descrive le funzionalità NSX supportate da VMware Engine, organizzate per categoria:
- Switching, DNS, DHCP e IPAM (DDI):
- Apprendimento ARP e soppressione della trasmissione ottimizzati
- Replica unicast
- Replica della testa di serie
- SpoofGuard
- Gestione degli indirizzi IP
- Blocchi IP
- Subnet IP
- Pool di IP
- Server DHCP IPv4
- Relay DHCP IPv4
- Binding statici/indirizzi fissi DHCP IPv4
- Relay DNS/proxy DNS IPv4
- Routing:
- Percorsi nulli
- Routing statico
- Routing dei dispositivi
- Controlli delle route BGP utilizzando le mappe delle route e le liste dei prefissi
- NAT:
- NAT sui router logici nord/sud ed est/ovest
- NAT di origine
- NAT di destinazione
- NAT N:N
- Firewall:
- Firewall perimetrale
- Firewall distribuito
- Interfaccia utente firewall comune
- Sezioni del firewall
- Logging dei firewall
- Regole firewall stateful di livello 2 e livello 3
- Regole basate su tag
- IPFIX basato su firewall distribuito
- Policy firewall, tag e gruppi:
- Tagging degli oggetti/tag di sicurezza
- Raggruppamento incentrato sulla rete
- Raggruppamento incentrato sul workload
- Raggruppamento basato su IP
- Raggruppamento basato su MAC
- VPN:
- VPN di livello 2
- VPN di livello 3 (IPv4)
- Integrazioni:
- Networking e sicurezza dei container utilizzando solo Tanzu Kubernetes Grid (TKG)
- Servizio VMware Cloud Director
- VMware Aria Automation
- VMware Aria Operations for Logs
- Autenticazione e autorizzazione:
- Integrazione diretta di Active Directory tramite LDAP
- Autenticazione tramite OpenLDAP
- Controllo degli accessi basato su ruoli (RBAC)
- Automation:
- API REST
- SDK Java
- SDK Python
- Provider Terraform
- Moduli Ansible
- Specifiche OpenAPI/Swagger e documentazione API generata automaticamente per l'API REST
- Ispezione:
- Mirroring delle porte
- Traceflow
- IPFIX basato su switch
Limitazioni delle funzionalità
Alcune funzionalità di NSX Data Center hanno casi d'uso di rete e sicurezza molto specifici. I clienti che hanno creato il proprio Google Cloud account entro il 30 agosto 2022 possono richiedere l'accesso alle funzionalità per questi casi d'uso contattando l'assistenza clienti Google Cloud.
La seguente tabella descrive queste funzionalità, i relativi casi d'uso e le potenziali alternative:
| Funzionalità | Caso d'uso | Alternativa consigliata | Google Cloud clienti entro il 30 agosto 2022 | ClientiGoogle Cloud dopo il 30 agosto 2022 |
|---|---|---|---|---|
| Multicast di livello 3 | Routing multicast multi-hop di livello 3 | Il multicast di livello 2 è supportato all'interno di una subnet NSX. Ciò consente di distribuire tutto il traffico multicast ai workload nella stessa subnet NSX. | Supportato | Non supportato |
| Qualità del servizio (QoS) | Applicazione VoIP e sensibile alla latenza in cui si verifica la sovrascrizione della rete | Nessuno richiesto, poiché VMware Engine offre un'architettura di rete non sovrascritta. Inoltre, tutti i tag QoS che escono da un cloud privato vengono rimossi quando entrano nel VPC tramite una connessione in peering. | Supportato | Non supportato |
| Trappole Simple Network Management Protocol (SNMP) | Protocollo di avviso legacy per notificare agli utenti gli eventi | Eventi e allarmi possono essere configurati in NSX utilizzando protocolli moderni. | Supportato | Non supportato |
| Funzionalità NAT come NAT stateless, logging NAT e NAT64 | Utilizzato per NAT di livello operatore in implementazioni di telecomunicazioni di grandi dimensioni | NSX supporta NAT di origine/destinazione e NAT N:N sui router logici nord/sud ed est/ovest. | Supportato | Non supportato |
| Norme di sicurezza e networking basate sull'intent | Utilizzato in combinazione con VMware Aria per creare policy firewall basate sull'attività all'interno di NSX | Le funzionalità di NSX Gateway e Distributed Firewall possono essere utilizzate per creare e applicare criteri di sicurezza. | Supportato | Non supportato |
| Gruppi basati sull'identità che utilizzano Active Directory | Implementazioni VDI in cui l'utente ha eseguito l'accesso a un guest VDI specifico possono essere rilevate e ricevere un insieme personalizzato di regole firewall NSX | Agli utenti possono essere assegnate workstation specifiche utilizzando il pool dedicated-assignment. Utilizza i tag NSX per applicare regole firewall specifiche per pool. | Supportato | Non supportato |
| Regole dell'attributo Livello 7 (ID app) | Utilizzato nelle regole firewall NSX | Utilizza NSX Service Groups per definire un insieme di porte e servizi a cui fare riferimento durante la creazione di una o più regole firewall. | Supportato | Non supportato |
| Regole firewall stateless di livello 2 e livello 3 | Utilizzato per firewall ad alta velocità di livello operatore in grandi implementazioni di telecomunicazioni | NSX supporta regole stateful di livello 2 e livello 3 ad alte prestazioni. | Supportato | Non supportato |
| Inserimento del servizio NSX | Utilizzato per automatizzare il deployment nord/sud o est/ovest di servizi di rete di terze parti utilizzando NSX per proteggere e ispezionare il traffico | Per le implementazioni di fornitori di sicurezza di terze parti, VMware Engine consiglia un modello basato sul routing anziché l'inserimento di servizi per garantire che gli aggiornamenti di routine dei servizi non influiscano sulla disponibilità della rete. | Contattare l'assistenza clienti Google Cloud | Non supportato |
Utilizzare le licenze
Google Cloud è un partner VMware Cloud. Puoi scegliere un tipo di sconto per utilizzo garantito (CUD) che includa le licenze come parte del servizio VMware Engine gestito oppure puoi scegliere di portare le tue licenze.
Aggiornamenti e upgrade
Questa sezione descrive le considerazioni relative all'aggiornamento e all'upgrade e le responsabilità di gestione del ciclo di vita dei componenti software.
HCX
VMware Engine gestisce l'installazione, la configurazione e il monitoraggio iniziali di HCX nei cloud privati. Dopodiché, sei responsabile della gestione del ciclo di vita di HCX Cloud e delle appliance di servizio come HCX-IX Interconnect.
VMware fornisce aggiornamenti per HCX Cloud tramite il servizio HCX. Puoi eseguire l'upgrade di HCX Manager e delle appliance di servizio HCX di cui è stato eseguito il deployment dall'interfaccia HCX Cloud. Per trovare la data di fine del supporto per una release del prodotto, consulta la matrice del ciclo di vita dei prodotti VMware.
Altro software VMware
Google è responsabile della gestione del ciclo di vita del software VMware (ESXi, vCenter, PSC e NSX) nel cloud privato.
Gli aggiornamenti software includono:
- Patch:patch di sicurezza o correzioni di bug rilasciate da VMware
- Aggiornamenti:modifica della versione secondaria di un componente dello stack VMware
- Upgrade:modifica della versione principale di un componente dello stack VMware
Google testa una patch di sicurezza critica non appena diventa disponibile da VMware. In base al contratto di servizio, Google implementa la patch di sicurezza negli ambienti cloud privato entro una settimana.
Google fornisce aggiornamenti di manutenzione trimestrali ai componenti software VMware. Per una nuova versione principale del software VMware, Google collabora con i clienti per coordinare una periodo di manutenzionene adatta per l'upgrade.
Cluster vSphere
Per garantire l'alta disponibilità del cloud privato, gli host ESXi sono configurati come cluster. Quando crei un cloud privato, VMware Engine esegue il deployment dei componenti di gestione di vSphere sul primo cluster. VMware Engine crea un pool di risorse per i componenti di gestione e distribuisce tutte le VM di gestione in questo pool di risorse.
Il primo cluster non può essere eliminato per ridurre il cloud privato. Il cluster vSphere
utilizza vSphere HA per fornire alta disponibilità per le VM. Gli errori da
tollerare (FTT) si basano sul numero di nodi disponibili nel cluster. La
formula Number of nodes = 2N+1, dove N è l'FTT, descrive la
relazione tra i nodi disponibili in un cluster e l'FTT.
Per i workload di produzione, utilizza un cloud privato che contenga almeno 3 nodi.
Cloud privati a nodo singolo
Per i test e le prove concettuali con VMware Engine, puoi creare un cloud privato che contenga un solo nodo e un solo cluster. VMware Engine elimina i cloud privati che contengono un solo nodo dopo 60 giorni, insieme a tutte le VM e i dati dei carichi di lavoro associati.
Puoi ridimensionare un cloud privato a nodo singolo in modo che contenga 3 o più nodi. Quando lo fai, VMware Engine avvia la replica dei dati vSAN e non tenta più di eliminare il cloud privato. Un cloud privato deve contenere almeno 3 nodi e completare la replica dei dati vSAN per essere idoneo alla copertura in base all'SLA.
Le funzionalità o le operazioni che richiedono più di un nodo non funzioneranno con un cloud privato a un solo nodo. Ad esempio, non potrai utilizzare vSphere Distributed Resource Scheduler (DRS) o High Availability (HA).
Limiti del cluster vSphere
La seguente tabella descrive i limiti dei cluster vSphere nei cloud privati che soddisfano i requisiti dello SLA:
| Risorsa | Limite |
|---|---|
| Numero minimo di nodi per creare un cloud privato (primo cluster) | 3 |
| Numero minimo di nodi per creare un cluster | 3 |
| Numero massimo di nodi per cluster | 32 |
| Numero massimo di nodi per cloud privato | 96 |
| Numero massimo di cluster per cloud privato | 21 |
Supporto del sistema operativo guest
Puoi installare una VM con qualsiasi sistema operativo guest supportato da VMware per la versione ESXi nel tuo cloud privato. Per un elenco dei sistemi operativi guest supportati, consulta la Guida alla compatibilità VMware per i sistemi operativi guest.
Manutenzione dell'infrastruttura VMware
Di tanto in tanto è necessario apportare modifiche alla configurazione dell'infrastruttura VMware. Questi intervalli possono verificarsi ogni 1-2 mesi, ma la frequenza dovrebbe diminuire nel tempo. Questo tipo di manutenzione può in genere essere eseguito senza interrompere il normale utilizzo dei servizi.
Durante un intervallo di manutenzione VMware, i seguenti servizi continuano a funzionare senza alcun effetto:
- Applicazioni e control plane VMware
- Accesso a vCenter
- Tutto il networking e lo spazio di archiviazione
- Tutto il traffico cloud
Spazio di archiviazione esterno
Puoi espandere la capacità di archiviazione di un cluster Google Cloud VMware Engine aggiungendo altri nodi. In alternativa, puoi utilizzare l'archiviazione esterna se vuoi solo scalare l'archiviazione. Lo scaling dello spazio di archiviazione aumenta la capacità di archiviazione senza aumentare la capacità di calcolo del cluster, consentendoti di scalare la risorsa in modo indipendente.
Contatta l'Assistenza Google o il tuo rappresentante di vendita per saperne di più sull'utilizzo di spazio di archiviazione esterno.
Passaggi successivi
- Scopri di più su manutenzione e aggiornamenti del cloud privato.