Componenti VMware per un cloud privato
Un cloud privato è un ambiente stack VMware isolato (host ESXi, vCenter, vSAN e NSX) gestito da un vCenter Server in un dominio di gestione. Google Cloud VMware Engine esegue il deployment di cloud privati con i seguenti componenti stack VMware:
- VMware ESXi: hypervisor su nodi dedicati
- VMware vCenter: gestione centralizzata dell'ambiente vSphere del cloud privato
- VMware vSAN: piattaforma di archiviazione software-defined iperconvergente
- VMware NSX Data Center: software di sicurezza e virtualizzazione di rete
- VMware HCX: migrazione delle applicazioni e ribilanciamento dei carichi di lavoro tra data center e cloud
Puoi recuperare le credenziali di accesso generate per i componenti dello stack VMware dalla pagina dei dettagli del cloud privato.
Versioni componenti VMware
Uno stack VMware per il cloud privato ha le seguenti versioni software:
| Componente | Versione | Versione con licenza |
|---|---|---|
| ESXi | 7.0 Aggiornamento 2c | vSphere Enterprise Plus |
| vCenter | 7.0 Aggiornamento 2d | vCenter Standard |
| vSAN | 7.0 Aggiornamento 2c | Avanzate + funzionalità vSAN Enterprise selezionate |
| Data center NSX | 3.1.2 | Seleziona le funzionalità disponibili. Per maggiori dettagli, consulta la sezione Data Center NSX. |
| HCX | 4,5 | Enterprise |
ESXi
Quando crei un cloud privato, VMware ESXi viene installato sui nodi Google Cloud VMware Engine di cui è stato eseguito il provisioning. ESXi fornisce l'hypervisor per il deployment delle macchine virtuali (VM) dei carichi di lavoro. I nodi forniscono un'infrastruttura iperconvergente (computing e archiviazione) e fanno parte del cluster vSphere sul tuo cloud privato.
Ogni nodo ha quattro interfacce di rete fisiche connesse alla rete sottostante. VMware Engine crea uno switch vSphere distribuito (VDS) su vCenter utilizzando queste interfacce di rete fisiche come uplink. Le interfacce di rete sono configurate in modalità attiva per l'alta disponibilità.
Appliance vCenter Server
vCenter Server Appliance (VCSA) fornisce le funzioni di autenticazione, gestione e orchestrazione per VMware Engine. Quando crei ed esegui il deployment del tuo cloud privato, VMware Engine esegue il deployment di una VCSA con un Platform Services Controller (PSC) incorporato nel cluster vSphere. Ogni cloud privato ha una propria VCSA. L'aggiunta di nodi a un cloud privato aggiunge nodi alla VCSA.
Single Sign-On vCenter
Il controller dei servizi della piattaforma incorporato su VCSA è associato a un Single Sign-On vCenter. Il nome di dominio è gve.local. Per accedere a vCenter, utilizza l'utente predefinito, CloudOwner@gve.local, creato per consentirti di accedere a vCenter. Puoi aggiungere le tue origini identità on-premise/Active Directory per vCenter.
Archiviazione vSAN
I cluster nei cloud privati dispongono di spazio di archiviazione vSAN all-Flash completamente configurato. Lo spazio di archiviazione all-Flash è fornito da SSD locali. Per creare un cluster vSphere con un datastore vSAN, sono necessari almeno tre nodi dello stesso SKU. Ogni nodo del cluster vSphere ha due gruppi di dischi. Ogni gruppo di dischi contiene un disco cache e tre dischi di capacità.
Puoi attivare la [deduplicazione e la compressione]la compressione di deduplicazione VMware sul datastore vSAN in VMware Engine.Questo servizio abilita la compressione vSAN per impostazione predefinita quando viene creato un nuovo cluster. Ogni cluster sul tuo cloud privato contiene un datastore vSAN. Se i dati della macchina virtuale archiviata non sono adatti per l'efficienza dello spazio vSAN tramite deduplicazione e compressione o solo per compressione, puoi modificare l'efficienza dello spazio vSAN con la configurazione scelta sul singolo datastore vSAN.
Oltre alle funzionalità di vSAN Advanced, VMware Engine fornisce anche l'accesso alla crittografia dei dati vSAN Enterprise per i dati at-rest e in transito.
Criteri di archiviazione vSAN
Un criterio di archiviazione vSAN definisce il valore Failures to tolerate (FTT) e il metodo di tolleranza degli errori. Puoi creare nuovi criteri di archiviazione e applicarli alle VM. Per mantenere lo SLA (accordo sul livello del servizio), devi mantenere una capacità di riserva del 20% sul datastore vSAN.
Su ogni cluster vSphere, è presente un criterio di archiviazione vSAN predefinito che si applica al datastore vSAN. Il criterio di archiviazione determina come eseguire il provisioning e l'allocazione di oggetti di archiviazione delle VM all'interno del datastore per garantire un livello di servizio.
La tabella seguente mostra i parametri dei criteri di archiviazione vSAN predefiniti:
| FTT | Metodo di tolleranza agli errori | Numero di nodi nel cluster vSphere |
|---|---|---|
| 1 | RAID 1 (Mirroring) Crea 2 copie |
3 e 4 nodi |
| 2 | RAID 1 (Mirroring) Crea 3 copie |
da 5 a 32 nodi |
Criteri di archiviazione vSAN supportati
La tabella seguente mostra i criteri di archiviazione vSAN supportati e il numero minimo di nodi richiesti per abilitare il criterio:
| FTT | Metodo di tolleranza agli errori | Numero minimo di nodi richiesto nel cluster vSphere |
|---|---|---|
| 1 | RAID 1 (Mirroring) | 3 |
| 1 | RAID 5 (codifica della cancellazione) | 4 |
| 2 | RAID 1 (Mirroring) | 5 |
| 2 | RAID 6 (codifica della cancellazione) | 6 |
| 3 | RAID 1 (Mirroring) | 7 |
Data center NSX
NSX Data Center offre funzionalità di virtualizzazione di rete, micro segmentazione e sicurezza di rete sul tuo cloud privato. Puoi configurare i servizi supportati da NSX Data Center sul tuo cloud privato utilizzando NSX.
Funzionalità disponibili
Il seguente elenco descrive le funzionalità NSX-T supportate da VMware Engine, organizzate per categoria:
- Passaggio, DNS, DHCP e IPAM (DDI):
- Apprendimento ARP ottimizzato ed eliminazione delle trasmissioni
- Replica Unicast
- Replica head-end
- SpoofGuard
- Gestione degli indirizzi IP
- Blocchi IP
- Subnet IP
- Pool IP
- Server DHCP IPv4
- Inoltro DHCP IPv4
- Associazioni statiche DHCP IPv4/indirizzi fissi
- Relay DNS/proxy DNS IPv4
- Routing:
- Route null
- Routing statico
- Routing del dispositivo
- Controlli delle route BGP utilizzando mappe di route ed elenchi di prefissi
- NAT:
- NAT su router logici nord/sud e est/ovest
- NAT di origine
- NAT di destinazione
- N:N NAT
- Firewall:
- Firewall perimetrale
- Firewall distribuito
- Interfaccia utente del firewall comune
- Sezioni firewall
- Logging dei firewall
- Regole firewall di livello 2 e 3 stateful
- Regole basate su tag
- IPFIX distribuito basato su firewall
- Criteri, tag e gruppi firewall:
- Tagging degli oggetti/tag di sicurezza
- Raggruppamento incentrato sulla rete
- Raggruppamento incentrato sul carico di lavoro
- Raggruppamento basato su IP
- Raggruppamento basato su MAC
- VPN:
- VPN di livello 2
- VPN di livello 3 (IPv4)
- Integrazioni:
- Networking e sicurezza dei container con Tanzu Kubernetes Grid (TKG)
- Servizio VMware Cloud Director
- Automazione VMware Aria
- VMware Aria Operations per registri
- Autenticazione e autorizzazione:
- Integrazione diretta di Active Directory tramite LDAP
- Autenticazione tramite OpenLDAP
- Controllo degli accessi basato sui ruoli (RBAC)
- Automation:
- API REST
- SDK Java
- SDK Python
- Provider Terraform
- Moduli Ansible
- Specifiche OpenAPI/Swagger e documentazione API generata automaticamente per l'API REST
- Ispezione:
- Mirroring delle porte
- Traceflow
- IPFIX basato su switch
Limitazioni delle funzionalità
Alcune funzionalità dei data center di NSX hanno casi d'uso molto specifici in termini di networking e sicurezza. I clienti che hanno creato il proprio account Google Cloud entro il 30 agosto 2022 possono richiedere l'accesso alle funzionalità per questi casi d'uso contattando l'assistenza clienti Google Cloud.
La seguente tabella descrive queste funzionalità, i relativi casi d'uso e potenziali alternative:
| Selezione delle | Caso d'uso | Alternativa consigliata | Clienti Google Cloud entro il 30 agosto 2022 | Clienti di Google Cloud dopo il 30 agosto 2022 |
|---|---|---|---|---|
| Multicast livello 3 | Routing multi-hop di livello 3 | Il multicast di livello 2 è supportato all'interno di una subnet NSX-T. Ciò consente di consegnare tutto il traffico multicast ai carichi di lavoro sulla stessa subnet NSX-T. | Supportato | Non supportato |
| Qualità del servizio | Applicazione VoIP e sensibile alla latenza in cui si verifica un abbonamento di rete in eccesso | Non è richiesto alcun intervento, poiché VMware Engine offre un'architettura di rete senza abbonamenti in eccesso. Inoltre, tutti i tag QoS che escono da un cloud privato vengono rimossi quando entri nel VPC tramite una connessione in peering. | Supportato | Non supportato |
| I trap SNMP (Simple Network Management Protocol) | Protocollo di avviso precedente per la notifica degli eventi agli utenti | Eventi e allarmi possono essere configurati all'interno di NSX-T utilizzando protocolli moderni. | Supportato | Non supportato |
| Funzionalità NAT come NAT stateless, logging NAT e NAT64 | Utilizzato per NAT di livello operatore in distribuzioni di grandi dimensioni di telecomunicazioni | NSX-T supporta NAT di origine/destinazione e N:N NAT sui router logici Nord/Sud e Est/Ovest. | Supportato | Non supportato |
| Criteri di sicurezza e di networking basati sull'intent | Utilizzato insieme a VMware Aria per creare criteri firewall basati su business all'interno di NSX-T | Le funzionalità gateway NSX-T e firewall distribuiti possono essere utilizzate per creare e applicare i criteri di sicurezza. | Supportato | Non supportato |
| Gruppi basati sull'identità che utilizzano Active Directory | Deployment VDI in cui l'utente che ha eseguito l'accesso a uno specifico guest VDI può essere rilevato e può ricevere un set personalizzato di regole firewall NSX-T | Agli utenti possono essere assegnate workstation specifiche utilizzando il pool di assegnazioni dedicato. Utilizza i tag NSX-T per applicare regole firewall specifiche in base al pool. | Supportato | Non supportato |
| Regole dell'attributo livello 7 (ID app) | Utilizzato nelle regole firewall NSX-T | Utilizza i gruppi di servizi NSX-T per definire un insieme di porte e servizi di facile riferimento durante la creazione di una o più regole firewall. | Supportato | Non supportato |
| Regole firewall di livello 2 e 3 stateless | Utilizzato per firewall ad alta velocità di livello operatore in implementazioni di telecomunicazioni di grandi dimensioni | NSX-T supporta regole stateful di livello 2 e 3 ad alte prestazioni. | Supportato | Non supportato |
| Inserimento servizio NSX-T | Utilizzata per automatizzare il deployment nord/sud o est/ovest di servizi di rete di terze parti utilizzando NSX-T per proteggere e ispezionare il traffico | Per i deployment di fornitori di sicurezza di terze parti, VMware Engine consiglia un modello con routing rispetto all'inserimento dei servizi per garantire che gli upgrade di routine dei servizi non influiscano sulla disponibilità della rete. | Contatta l'assistenza clienti Google Cloud | Non supportato |
Aggiornamenti e upgrade
Questa sezione descrive le considerazioni relative ad aggiornamenti e upgrade e le responsabilità di gestione del ciclo di vita dei componenti software.
HCX
VMware Engine gestisce l'installazione, la configurazione e il monitoraggio iniziali di HCX nei cloud privati. Successivamente, sarai responsabile della gestione del ciclo di vita di HCX Cloud e delle appliance di servizi come HCX-IX Interconnect.
VMware fornisce aggiornamenti per HCX Cloud tramite il proprio servizio HCX. Puoi eseguire l'upgrade di HCX Manager e delle appliance di servizio HCX di cui è stato eseguito il deployment dall'interfaccia di HCX Cloud. Per trovare la data di fine del supporto per la release di un prodotto, consulta la matrice del ciclo di vita del prodotto VMware.
Altro software VMware
Google è responsabile della gestione del ciclo di vita del software VMware (ESXi, vCenter, PSC e NSX) nel cloud privato.
Gli aggiornamenti software includono:
- Patch: patch di sicurezza o correzioni di bug rilasciate da VMware
- Aggiornamenti: modifica di versione minore di un componente dello stack VMware
- Upgrade: modifica principale della versione di un componente stack VMware
Google testa una patch di sicurezza critica non appena diventa disponibile da VMware. In base allo SLA (accordo sul livello del servizio), Google implementa la patch di sicurezza negli ambienti cloud privato entro una settimana.
Google fornisce aggiornamenti di manutenzione trimestrali per i componenti software VMware. Per una nuova versione principale del software VMware, Google collabora con i clienti per coordinare un periodo di manutenzione adeguato per l'upgrade.
Cluster vSphere
Per garantire l'alta disponibilità del cloud privato, gli host ESXi sono configurati come cluster. Quando crei un cloud privato, VMware Engine esegue il deployment dei componenti di gestione di vSphere sul primo cluster. VMware Engine crea un pool di risorse per i componenti di gestione ed esegue il deployment di tutte le VM di gestione in questo pool di risorse.
Impossibile eliminare il primo cluster per ridurre il cloud privato. Il cluster vSphere utilizza l'alta disponibilità di vSphere per fornire alta disponibilità alle VM. Gli errori di tolleranza (FTT) si basano sul numero di nodi disponibili nel cluster. La formula Number of nodes = 2N+1, dove N è il FTT, descrive la relazione tra i nodi disponibili in un cluster e FTT.
Per i carichi di lavoro di produzione, utilizza un cloud privato che contenga almeno 3 nodi.
Cloud privati a nodo singolo
Per test e proof of concept con VMware Engine, puoi creare un cloud privato che contiene un solo nodo e cluster. VMware Engine elimina i cloud privati che contengono solo un nodo dopo 60 giorni, insieme a eventuali VM e dati dei carichi di lavoro associati.
Puoi ridimensionare un cloud privato a singolo nodo in modo che contenga 3 o più nodi. Quando lo fai, VMware Engine avvia la replica dei dati vSAN e non tenta più di eliminare il cloud privato. Un cloud privato deve contenere almeno 3 nodi e completare la replica dei dati vSAN per essere idoneo alla copertura in base allo SLA.
Le funzionalità o le operazioni che richiedono più di un nodo non funzioneranno con un cloud privato con nodo singolo. Ad esempio, non potrai utilizzare vSphere Distributed Resource Scheduler (DRS) o l'alta disponibilità (HA).
Limiti del cluster vSphere
La seguente tabella descrive i limiti dei cluster vSphere nei cloud privati che soddisfano i requisiti dello SLA:
| Risorsa | Limite |
|---|---|
| Numero minimo di nodi per creare un cloud privato (primo cluster) | 3 |
| Numero minimo di nodi per creare un cluster | 3 |
| Numero massimo di nodi per cluster | 32 |
| Numero massimo di nodi per cloud privato | 96 |
| Numero massimo di cluster per cloud privato | 21 |
Supporto del sistema operativo guest
Puoi installare una VM con qualsiasi sistema operativo guest supportato da VMware per la versione ESXi nel tuo cloud privato. Per un elenco dei sistemi operativi guest supportati, consulta la Guida alla compatibilità VMware per i sistemi operativi guest.
Manutenzione dell'infrastruttura VMware
Occasionalmente è necessario apportare modifiche alla configurazione dell'infrastruttura VMware. Attualmente, questi intervalli possono verificarsi ogni 1-2 mesi, ma si prevede che la frequenza diminuisca nel tempo. In genere, questo tipo di manutenzione può essere eseguito senza interrompere il normale utilizzo dei servizi.
Durante un intervallo di manutenzione VMware, i seguenti servizi continuano a funzionare senza alcun effetto:
- Applicazioni e piano di gestione VMware
- Accesso a vCenter
- Tutto il networking e lo spazio di archiviazione
- Tutto il traffico cloud
Spazio di archiviazione esterno
Puoi espandere la capacità di archiviazione di un cluster Google Cloud VMware Engine aggiungendo altri nodi. In alternativa, puoi utilizzare un'unità di archiviazione esterna se vuoi scalare l'archiviazione. La scalabilità dell'archiviazione aumenta la capacità di archiviazione senza aumentare quella del cluster, consentendoti di scalare le risorse in modo indipendente.
Contatta l'Assistenza Google o il tuo rappresentante di vendita per ulteriori informazioni sull'utilizzo dell'unità di archiviazione esterna.
Passaggi successivi
- Scopri di più su manutenzione e aggiornamenti del cloud privato