Componenti VMware per un cloud privato

Un cloud privato è un ambiente VMware isolato (host ESXi, vCenter, vSAN e NSX) gestito da un server vCenter in un dominio di gestione. Google Cloud VMware Engine esegue il deployment di cloud privati con i seguenti componenti di stack VMware:

  • VMware ESXi: hypervisor su nodi dedicati
  • VMware vCenter: gestione centralizzata dell'ambiente vSphere cloud privato
  • VMware vSAN: piattaforma di archiviazione definita sul software e iperconvergente
  • VMware NSX Data Center: software di virtualizzazione e sicurezza per la rete
  • VMware HCX: migrazione delle applicazioni e ribilanciamento dei carichi di lavoro tra data center e cloud

Puoi recuperare le credenziali di accesso generate per i componenti dello stack VMware dalla pagina dei dettagli del cloud privato.

Versioni del componente VMware

Uno stack VMware privato nel cloud ha le seguenti versioni software:

Componente Versione Versione con licenza
ESX 7.0 Aggiorna 2c vSphere Enterprise Plus
vCenter 7.0 Aggiorna 2d Standard vCenter
VSAN 7.0 Aggiorna 2c Funzionalità avanzate + selezioni di vSAN Enterprise
Data center NSX 3.1.2 Seleziona le funzionalità disponibili. Per ulteriori dettagli, consulta la sezione Data center NSX.
HCX 4.2.1 Enterprise
1VMware Engine esegue il deployment di una versione di HCX resa disponibile in Google Cloud da VMware. Aggiorna HCX dopo la creazione del cloud privato per recuperare l'ultima versione di HCX per il tuo ambiente.

ESX

Quando crei un cloud privato, VMware ESXi viene installato su nodi Google Cloud VMware Engine di cui è stato eseguito il provisioning. ESXi fornisce l'hypervisor per il deployment di macchine virtuali (VM) dei carichi di lavoro. I nodi forniscono l'infrastruttura iperconvergente (compute and storage) e fanno parte del cluster vSphere nel cloud privato.

Ogni nodo ha quattro interfacce di rete fisica collegate alla rete sottostante. VMware Engine crea uno switch distribuito vSphere (VDS) su vCenter utilizzando queste interfacce di rete fisica come uplink. Le interfacce di rete sono configurate in modalità attiva per l'alta disponibilità.

Appliance server vCenter

vCenter Server Appliance (VCSA) fornisce le funzioni di autenticazione, gestione e orchestrazione per VMware Engine. Quando crei ed esegui il deployment del tuo cloud privato, VMware Engine esegue il deployment di una VCSA con un controller Platform Services (PSC) incorporato nel cluster vSphere. Ogni cloud privato ha la propria VCSA. L'aggiunta di nodi a un cloud privato aggiunge nodi alla VCSA.

Single Sign-On vCenter

Il controller dei servizi della piattaforma incorporata su VCSA è associato a un Single Sign-On vCenter. Il nome di dominio è gve.local. Per accedere a vCenter, utilizza l'utente predefinito, CloudOwner@gve.local, che è stato creato per te per accedere a vCenter. Puoi aggiungere le tue origini identità on-premise/Active Directory per vCenter.

spazio di archiviazione vSAN

I cloud privati hanno uno spazio di archiviazione vSAN completamente flash configurato in locale nel cluster. Per creare un cluster vSphere con un datastore vSAN sono necessari almeno tre nodi dello stesso SKU. Ogni nodo del cluster vSphere ha due gruppi di dischi. Ogni gruppo di dischi contiene un disco cache e tre dischi di capacità.

VMware Engine abilita la deduplicazione e la compressione per impostazione predefinita nel datastore vSAN. Ogni cluster nel tuo cloud privato contiene un datastore vSAN. Se i dati della macchina virtuale archiviata non sono adatti all'efficienza dello spazio vSAN tramite deduplicazione e compressione o solo tramite compressione, puoi modificare l'efficienza dello spazio vSAN nella configurazione desiderata sul singolo datastore vSAN.

Oltre alle funzionalità vSAN avanzate, VMware Engine fornisce anche l'accesso alla crittografia dei dati vSAN Enterprise per i dati inattivi e in transito.

Criteri di archiviazione vSAN

Un criterio di archiviazione vSAN definisce i errori di tolleranza (FTT) e il metodo di tolleranza di errore. Puoi creare nuovi criteri di archiviazione e applicarli alle VM. Per mantenere lo SLA, devi mantenere una capacità di riserva del 25% sul datastore vSAN.

In ogni cluster vSphere è presente un criterio di archiviazione vSAN predefinito applicabile al datastore vSAN. Il criterio di archiviazione determina come eseguire il provisioning e l'allocazione degli oggetti di archiviazione VM nel datastore per garantire un livello di servizio.

La tabella seguente mostra i parametri dei criteri di archiviazione vSAN predefiniti:

ISD Metodo di tolleranza di errore Numero di nodi nel cluster vSphere
1 RAID 1 (Mirroring)
Crea 2 copie
3 e 4 nodi
2 RAID 1 (Mirroring)
Crea 3 copie
Da 5 a 32 nodi

Criteri di archiviazione vSAN supportati

La tabella seguente mostra i criteri di archiviazione vSAN supportati e il numero minimo di nodi necessari per abilitare il criterio:

ISD Metodo di tolleranza di errore Numero minimo di nodi richiesto nel cluster vSphere
1 RAID 1 (con mirroring) 3
1 RAID 5 (codifica cancellata) 4
2 RAID 1 (con mirroring) 5
2 RAID 6 (codifica cancellata) 6
3 RAID 1 (con mirroring) 7

Data center NSX

Il data center NSX offre funzionalità di virtualizzazione della rete, microsegmentazione e sicurezza della rete nel tuo cloud privato. Puoi configurare i servizi supportati da NSX Data Center sul tuo cloud privato utilizzando NSX.

Funzionalità disponibili

L'elenco seguente descrive le funzionalità NSX-T supportate da VMware Engine, organizzate in base alla categoria:

  • Cambio, DNS, DHCP e IPAM (DDI):
    • Apprendimento ARP ottimizzato e soppressione trasmissioni
    • Replica Unicast
    • Replica front-end
    • SpoofGuard
    • Gestione degli indirizzi IP
    • Blocchi IP
    • Subnet IP
    • Pool IP
    • Server IPv4 DHCP
    • Inoltro DHCP IPv4
    • Indirizzi statici/IP fissi DHCP IPv4
    • Inoltro DNS IPv4/proxy DNS
  • Routing:
    • Route null
    • Routing statico
    • Routing del dispositivo
    • Controlli di route BGP utilizzando mappe di route ed elenchi di prefissi
  • NAT:
    • NAT su router logici nord/sud e est/ovest
    • NAT di origine
    • NAT di destinazione
    • NAT: N:N
  • Firewall:
    • Firewall perimetrale
    • Firewall distribuito
    • Interfaccia utente del firewall comune
    • Sezioni firewall
    • Logging firewall
    • Regole firewall di stateful livello 2 e livello 3
    • Regole basate su tag
    • IPFIX distribuito basato su firewall
  • Criteri, tag e gruppi firewall:
    • Tag di oggetti e sicurezza
    • Raggruppamento incentrato sulla rete
    • Raggruppamento incentrato sul carico di lavoro
    • Raggruppamento basato su IP
    • Raggruppamento basato su MAC
  • VPN:
    • VPN di livello 2
    • VPN di livello 3 (IPv4)
  • Integrazioni:
    • Networking e sicurezza dei container utilizzando solo TKG (Tanzu Kubernetes Grid)
    • Servizio VMware Cloud Director
    • vRealize Automation
    • Insight su vRealize Log
  • Autenticazione e autorizzazione:
    • Integrazione diretta di Active Directory tramite LDAP
    • Autenticazione con OpenLDAP
    • Controllo degli accessi basato sui ruoli (RBAC)
  • Automazione:
    • API REST
    • SDK Java
    • SDK Python
    • Provider Terraform
    • Moduli Ansible
    • Specifiche OpenAPI/Swagger e documentazione API generata automaticamente per l'API REST
  • Controllo:
    • Mirroring della porta
    • Flusso di traccia
    • IPFIX basato su switch

Limitazioni delle funzionalità

Alcune funzionalità del data center NSX presentano casi d'uso di networking e sicurezza molto specifici. I clienti che hanno creato il proprio account Google Cloud entro il 30 agosto 2022 possono richiedere l'accesso alle funzionalità per tali casi d'uso contattando l'assistenza clienti Google Cloud.

La tabella seguente descrive queste funzionalità, i casi d'uso corrispondenti e le potenziali alternative:

Funzionalità Caso d'uso Alternativa consigliata Clienti Google Cloud entro il 30 agosto 2022 Clienti Google Cloud dopo il 30 agosto 2022
Multicast di livello 3 Routing multicast di multi-hop di livello 3 Il multicast di livello 2 è supportato all'interno di una subnet NSX-T. Ciò consente il recapito di tutto il traffico multicast sui carichi di lavoro sulla stessa subnet NSX-T. Supportato Non supportato
Qualità del servizio (QoS) Applicazione sensibile al VoIP e alla latenza in cui si verifica l'abbonamento in rete Nessuno richiesto, poiché VMware Engine offre un'architettura di rete con sottoscrizione eccessiva. Inoltre, tutti i tag QoS che escono da un cloud privato vengono rimossi quando entrano nel VPC tramite una connessione in peering. Supportato Non supportato
Trap SNMP (Simple Network Management Protocol) Protocollo di avviso precedente per l'invio di notifiche agli eventi Gli eventi e le sveglie possono essere configurati all'interno di NSX-T utilizzando protocolli moderni. Supportato Non supportato
Funzionalità di NAT come NAT stateless, logging e NAT64 Utilizzato per il NAT di livello telefonico dell'operatore in deployment di telecomunicazione di grandi dimensioni NSX-T supporta NAT e destinazioni NAT e N:N su router nord/sud ed logici orientali/ovest. Supportato Non supportato
Criteri di networking e sicurezza basati su intent Utilizzato in combinazione con VMware vRealize per creare criteri firewall basati sull'azienda in NSX-T Le funzionalità NSX-T Gateway e Distributed Firewall possono essere utilizzate per creare e applicare criteri di sicurezza. Supportato Non supportato
Gruppi basati sull'identità che utilizzano Active Directory I deployment VDI in cui l'utente ha eseguito l'accesso a un guest guest specifico possono essere rilevati e ricevere un set personalizzato di regole firewall NSX-T Agli utenti possono essere assegnate workstation specifiche utilizzando il pool di assegnazione dedicato. Usa i tag NSX-T per applicare regole firewall specifiche in base al pool. Supportato Non supportato
Regole per l'attributo livello 7 (ID app) Utilizzato nelle regole firewall NSX-T Usa i gruppi di servizi NSX-T per definire un insieme di porte e servizi per semplificare la creazione di una o più regole firewall. Supportato Non supportato
Regole firewall stateless di livello 2 e 3 Utilizzata per i firewall ad alta velocità di livello operatore negli ampi deployment di telecomunicazione NSX-T supporta le regole stateful di livello 2 e 3 di livello elevato. Supportato Non supportato
Inserimento di servizi NSX-T Utilizzati per automatizzare il deployment Nord/Sud o Est/Ovest di servizi di rete di terze parti utilizzando NSX-T per proteggere e ispezionare il traffico. Per i deployment dei fornitori di servizi di sicurezza di terze parti, VMware Engine consiglia un modello con routing sull'inserimento del servizio per garantire che gli upgrade dei servizi di routine non influiscano sulla disponibilità della rete. Contatta l'assistenza clienti Google Cloud Non supportato

HCX

VMware Engine gestisce l'installazione iniziale, la configurazione e il monitoraggio di HCX nei cloud privati. Sei responsabile della gestione del ciclo di vita di HCX Cloud e delle appliance di servizio come HCX-IX Interconnect.

VMware fornisce aggiornamenti per HCX Cloud attraverso il suo servizio HCX. Puoi eseguire l'upgrade del gestore HCX e del deployment delle appliance di servizio HCX dall'interfaccia di HCX Cloud. Per trovare la data di fine del supporto per una release di prodotto, consulta la matrice del ciclo di vita delle VMware.

Cluster vSphere

Per garantire l'alta disponibilità del cloud privato, gli host ESXi sono configurati come cluster. Quando crei un cloud privato, VMware Engine esegue il deployment dei componenti di gestione di vSphere sul primo cluster. VMware Engine crea un pool di risorse per i componenti di gestione ed esegue il deployment di tutte le VM di gestione in questo pool di risorse.

Non è possibile eliminare il primo cluster per comprimere il cloud privato. Il cluster vSphere utilizza vSphere HA per fornire l'alta disponibilità per le VM. Gli errori di tolleranza (FTT) si basano sul numero di nodi disponibili nel cluster. La formula Number of nodes = 2N+1, dove N è FTT, descrive la relazione tra i nodi disponibili in un cluster e FTT.

Per i carichi di lavoro di produzione, utilizza un cloud privato che contiene almeno 3 nodi.

Cloud privati a nodo singolo

Per i test e le proof of concept con VMware Engine puoi creare un cloud privato che contiene un solo nodo e cluster. VMware Engine elimina i cloud privati che contengono solo 1 nodo dopo 60 giorni, insieme ai dati e alle VM dei carichi di lavoro associati.

Puoi ridimensionare un singolo cloud privato per contenere tre o più nodi. In questo modo, VMware Engine avvia la replica dei dati vSAN e non tenta più di eliminare il cloud privato. Un cloud privato deve contenere almeno tre nodi e una replica dei dati vSAN completa per essere idoneo alla copertura in base allo SLA.

Le funzionalità o le operazioni che richiedono più di un nodo non funzionano con un singolo cloud privato. Ad esempio, non potrai utilizzare vSphere Distributed Resource Scheduler (DRS) o High Availability (HA).

Limiti del cluster vSphere

La seguente tabella descrive i limiti dei cluster vSphere nei cloud privati che soddisfano i requisiti SLA:

Risorsa Limite
Numero minimo di nodi per creare un cloud privato (primo cluster) 3
Numero minimo di nodi per creare un cluster 3
Numero massimo di nodi per cluster 32
Numero massimo di nodi per cloud privato 64
Numero massimo di cluster per cloud privato 21

Supporto del sistema operativo guest

Puoi installare una VM con qualsiasi sistema operativo guest supportato da VMware per la versione ESXi nel tuo cloud privato. Per un elenco dei sistemi operativi guest supportati, consulta la Guida alla compatibilità VMware per sistema operativo guest.

Manutenzione dell'infrastruttura VMware

A volte è necessario apportare modifiche alla configurazione dell'infrastruttura VMware. Attualmente, questi intervalli possono verificarsi ogni 1-2 mesi, ma è probabile che la frequenza diminuisca nel tempo. Questo tipo di manutenzione viene di solito eseguita senza interrompere il normale utilizzo dei servizi.

Durante un intervallo di manutenzione VMware, i seguenti servizi continuano a funzionare senza alcun effetto:

  • Piano di gestione VMware e applicazioni
  • Accesso a vCenter
  • Tutto il networking e lo spazio di archiviazione
  • Tutto il traffico cloud

Aggiornamenti e upgrade

Google è responsabile della gestione del ciclo di vita del software VMware (ESXi, vCenter, PSC e NSX) nel cloud privato.

Gli aggiornamenti software includono:

  • Patch: patch di sicurezza o correzioni di bug rilasciate da VMware
  • Aggiornamenti: la modifica secondaria della versione di un componente dello stack VMware
  • Upgrade: modifica della versione principale di un componente dello stack VMware

Google verifica una patch di sicurezza critica non appena diventa disponibile da VMware. In base allo SLA, Google implementa la patch di sicurezza per gli ambienti cloud privati entro una settimana.

Google fornisce aggiornamenti di manutenzione trimestrali ai componenti software VMware. Per una nuova versione principale della versione software di VMware, Google collabora con i clienti per coordinare un periodo di manutenzione adeguato per l'upgrade.

Passaggi successivi