私有云 VMware 组件
私有云是由管理网域中的 vCenter 服务器管理的独立 VMware 堆栈(ESXi 主机、vCenter Server、vSAN 和 NSX)环境。Google Cloud VMware Engine 使用以下 VMware 堆栈组件部署私有云:
- VMware ESXi:专用节点上的 Hypervisor
- VMware vCenter:用于集中管理私有云 vSphere 环境的设备。
- VMware vSAN:超融合软件定义存储平台
- VMware NSX 数据中心:网络虚拟化和安全软件
- VMware HCX:跨数据中心和云端的应用迁移和工作负载再平衡
您可以从私有云详细信息页面检索为 VMware 栈组件生成的登录凭据。
VMware 组件版本
私有云 VMware 堆栈具有以下软件版本:
| 组件 | 版本 | 许可版本 |
|---|---|---|
| ESXi | 7.0 Update 2c | vSphere 企业 Plus 版 |
| vCenter | 7.0 Update 2d | vCenter 标准版 |
| vSAN | 7.0 Update 2c | 高级 + 部分 vSAN 企业版功能 |
| NSX 数据中心 | 3.1.2 | 选择可用的功能。如需了解详情,请参阅 NSX 数据中心部分。 |
| HCX | 4.2.1 | 企业版 |
ESXi
在您创建私有云时,系统会将 VMware ESXi 预配置在 Google Cloud VMware Engine 节点上。ESXi 提供用于部署工作负载虚拟机(VM)的管理程序。节点提供超融合基础架构(计算和存储),并且是您的私有云上的 vSphere 集群的一部分。
每个节点都有四个物理网络接口连接到底层网络。VMware Engine 使用这些物理网络接口作为上行链路,在 vCenter 上创建一个 vSphere 分布式交换机 (VDS)。网络接口配置为活动模式,以实现高可用性。
vCenter Server Appliance
vCenter Server Appliance (VCSA) 提供 VMware Engine 的身份验证、管理和编排函数。创建和部署私有云时,VMware Engine 会在 vSphere 集群上部署一个带有嵌入式平台服务控制器 (PSC) 的 VCSA。每个私有云都有自己的 VCSA。向私有云添加节点会向 VCSA 添加节点。
vCenter 单点登录
VCSA 上的嵌入式平台服务控制器与 vCenter 单点登录相关联。域名是 gve.local。如需访问 vCenter,请使用为您创建以便访问 vCenter 的默认用户 CloudOwner@gve.local。您可以添加本地/Active Directory vCenter 身份源。
vSAN 存储
私有云已全面配置集群本地的全闪存 vSAN 存储。全闪存存储由 Google Cloud 的 Persistent Disk 服务提供的本地 SSD 提供。如需创建具有 vSAN 数据存储区的 vSphere 集群,至少需要同一 SKU 的三个节点。vSphere 集群的每个节点都有两个磁盘组。每个磁盘组包含一个缓存磁盘和三个容量磁盘。
默认情况下,VMware Engine 会在 vSAN 数据存储区上启用重复信息删除和压缩。私有云上的每个集群都包含一个 vSAN 数据存储区。如果存储的虚拟机数据不适合用于重复信息删除和压缩,或者仅适用于压缩,则您可以将 vSAN 空间效率更改为单个 vSAN 数据存储区上所需的配置。
除了 vSAN 高级版功能之外,VMware Engine 还为静态数据和传输中的数据提供了 vSAN 企业版数据加密的访问权限。
vSAN 存储政策
vSAN 存储政策定义了故障容忍度 (FTT) 和故障容忍方法。您可以创建新的存储政策并将其应用于虚拟机。要维持 SLA,您必须在 vSAN 数据存储区上维护 25% 的备用容量。
每个 vSphere 集群都有一个应用于 vSAN 数据存储区的默认 vSAN 存储政策。该存储政策决定了如何在数据存储区中预配和分配虚拟机存储对象,以确保服务等级。
下表显示了默认的 vSAN 存储政策参数:
| FTT | 故障容错方法 | vSphere 集群中的节点数 |
|---|---|---|
| 1 | RAID 1(镜像) 创建 2 个副本 |
3 和 4 个节点 |
| 2 | RAID 1(镜像) 创建 3 个副本 |
5-32 个节点 |
支持的 vSAN 存储政策
下表显示了支持的 vSAN 存储政策以及启用该政策所需的节点数下限:
| FTT | 故障容错方法 | vSphere 集群中所需的节点数下限 |
|---|---|---|
| 1 | RAID 1(镜像) | 3 |
| 1 | RAID 5(擦除编码) | 4 |
| 2 | RAID 1(镜像) | 5 |
| 2 | RAID 6(清除编码) | 6 |
| 3 | RAID 1(镜像) | 7 |
NSX 数据中心
NSX 数据中心可在您的私有云上提供网络虚拟化、微细分和网络安全功能。您可以在私有云上使用 NSX 配置 NSX 数据中心支持的服务。
可用的功能
以下列表描述了 VMware Engine 支持的 NSX-T 功能,按类别整理:
- 交换、DNS、DHCP 和 IPAM (DDI):
- 优化的 ARP 学习和广播抑制
- 单播复制
- 头端复制
- SpoofGuard
- IP 地址管理
- IP 块
- IP 子网
- IP 池
- IPv4 DHCP 服务器
- IPv4 DHCP 中继
- IPv4 DHCP 静态绑定/固定地址
- IPv4 DNS 中继/DNS 代理
- 路由:
- Null 路由
- 静态路由
- 设备路由
- 使用路由映射和前缀列表的 BGP 路由控制
- NAT:
- 北/南和东/西逻辑路由器上的 NAT
- 来源 NAT
- 目标 NAT
- N:N NAT
- 防火墙:
- 边缘防火墙
- 分布式防火墙
- 通用防火墙界面
- 防火墙区域 (section)
- 防火墙日志记录
- 有状态的第 2 层和第 3 层防火墙规则
- 基于标记的规则
- 基于分布式防火墙的 IPFIX
- 防火墙政策、标记和组:
- 对象标记/安全标记
- 以网络为中心的分组
- 以工作负载为中心的分组
- 基于 IP 的分组
- 基于 MAC 的分组
- VPN:
- 第 2 层 VPN
- 第 3 层 VPN (IPv4)
- 集成:
- 仅使用 Tazu Kubernetes Grid (TKG) 的容器网络和安全
- VMware Cloud Director 服务
- vRealize 自动化
- vRealize 日志数据分析
- 身份验证和授权:
- 使用 LDAP 直接集成 Active Directory
- 使用 OpenLDAP 进行身份验证
- 基于角色的访问权限控制 (RBAC)
- 自动化:
- REST API
- Java SDK
- Python SDK
- Terraform 提供程序
- Ansible 模块
- 适用于 REST API 的 OpenAPI/Swagger 规范和自动生成的 API 文档
- 检查:
- 端口镜像
- Traceflow
- 基于交换机的 IPFIX
功能限制
某些 NSX 数据中心功能具有非常具体的网络和安全用例。如果客户在 2022 年 8 月 30 日及之前创建 Google Cloud 帐号,请与 Cloud Customer Care 团队联系,以申请使用这些用例的功能。
下表介绍了这些功能、它们的相应用例以及可能的替代方案:
| 功能 | 用例 | 推荐的替代方案 | 2022 年 8 月 30 日或之前的 Google Cloud 客户 | 2022 年 8 月 30 日之后的 Google Cloud 客户 |
|---|---|---|---|---|
| 第 3 层多播 | 多跳第 3 层多播路由 | NSX-T 子网中支持第 2 层多播。这允许将所有多播流量传送到同一 NSX-T 子网上的工作负载。 | 支持 | 不支持 |
| 服务质量 (QoS) | VoIP 和延迟敏感型应用(会发生网络超额订阅) | 不需要,因为 VMware Engine 提供非超额订阅的网络架构。此外,通过对等互连连接进入 VPC 时,离开私有云的任何 QoS 标记都会被删除。 | 支持 | 不支持 |
| 简单网络管理协议 (SNMP) 陷阱 | 用于向用户通知事件的旧版提醒协议 | 可以使用现代协议在 NSX-T 中配置事件和警报。 | 支持 | 不支持 |
| NAT 功能,例如无状态 NAT、NAT 日志记录和 NAT64 | 用于大型电信部署中的运营商级 NAT | NSX-T 支持北/南和东/西逻辑路由器上的源/目标 NAT 和 N:N NAT。 | 支持 | 不支持 |
| 基于意图的网络和安全政策 | 与 VMware vRealize 结合使用,在 NSX-T 中创建基于业务的防火墙政策 | NSX-T 网关和分布式防火墙功能可用于创建和实施安全政策。 | 支持 | 不支持 |
| 使用 Active Directory 的基于身份的群组 | VDI 部署,可检测登录特定 VDI 客机的客户并接收一组自定义 NSX-T 防火墙规则 | 您可以使用专用分配池为用户分配特定的工作站。然后,使用 NSX-T 标记按池应用特定防火墙规则。 | 支持 | 不支持 |
| 第 7 层属性(应用 ID)规则 | 在 NSX-T 防火墙规则中使用 | 使用 NSX-T 服务组定义一组端口和服务,以便在创建一个或多个防火墙规则时轻松参考。 | 支持 | 不支持 |
| 无状态的第 2 层和第 3 层防火墙规则 | 用于大型电信部署中的运营商级高速防火墙 | NSX-T 支持有状态的高性能第 2 层和第 3 层规则。 | 支持 | 不支持 |
| NSX-T 服务插入 | 用于通过使用 NSX-T 来自动执行第三方网络服务的北/南或东/西部署,以保护和检查流量 | 对于第三方安全供应商部署,VMware Engine 建议使用路由模型而不是服务插入,以确保例行服务升级不会影响网络可用性。 | 与 Cloud Customer Care 团队联系 | 不支持 |
HCX
VMware Engine 负责处理私有云中的 HCX 的初始安装、配置和监控。您则负责 HCX Cloud 及 HCX-IX Interconnect 等服务设备的生命周期管理。
VMware 通过 HCX 服务提供 HCX Cloud 更新。您可以通过 HCX Cloud 界面升级 HCX Manager 和已部署的 HCX 服务设备。如需了解产品版本的支持终止日期,请参阅 VMware 产品生命周期矩阵。
vSphere 集群
为确保私有云的高可用性,将 ESXi 主机配置为集群。创建私有云时,VMware Engine 会在第一个集群上部署 vSphere 的管理组件。VMware Engine 为管理组件创建资源池,并在此资源池中部署所有管理虚拟机。
无法删除第一个集群以缩小私有云。vSphere 集群使用 vSphere HA 为虚拟机提供高可用性。故障容忍度 (FTT) 基于集群中的可用节点数量。公式 Number of nodes = 2N+1(其中 N 是 FTT)描述了集群与 FTT 中可用节点之间的关系。
对于生产工作负载,请使用至少包含 3 个节点的私有云。
单节点私有云
为了进行 VMware Engine 的测试和概念验证,您可以创建一个仅包含单个节点和集群的私有云。VMware Engine 会在 60 天后删除仅包含 1 个节点的私有云,以及所有关联的工作负载虚拟机和数据。
您可以调整单节点私有云的大小,以包含 3 个或更多节点。您这样做以后,VMware Engine 会发起 vSAN 数据复制,并且不再尝试删除私有云。私有云必须至少包含 3 个节点并完成 vSAN 数据复制,才符合基于服务等级协议 (SLA) 的覆盖范围。
需要多个节点的功能或操作不适用于单节点私有云。例如,您将无法使用 vSphere Distributed Resource Scheduler (DRS) 或高可用性 (HA)。
vSphere 集群限制
下表介绍了满足服务等级协议 (SLA) 要求的私有云中的 vSphere 集群限制:
| 资源 | 限制 |
|---|---|
| 创建私有云所需的节点数下限(第一个集群) | 3 |
| 创建集群的节点数下限 | 3 |
| 每个集群的节点数上限 | 32 |
| 每个私有云的节点数上限 | 64 |
| 每个私有云的集群数上限 | 21 |
客机操作系统支持
您可以使用私有云中 ESXi 版本的 VMware 支持的任何客机操作系统来安装虚拟机。如需查看支持的来宾操作系统列表,请参阅来宾操作系统的 VMware 兼容性指南。
VMware 基础架构维护
偶尔需要更改 VMware 基础架构的配置。目前,这些间隔可能每 1-2 个月发生一次,但频率会随着时间的推移而下降。通常无需中断服务的正常使用即可执行此类维护。
在 VMware 维护间隔期间,以下服务将继续运行,没有任何影响:
- VMware 管理层面和应用
- vCenter 访问权限
- 所有网络和存储空间
- 所有云流量
更新和升级
Google 负责私有云中的 VMware 软件(ESXi、vCenter、PSC 和 NSX)的生命周期管理。
软件更新包括:
- 补丁程序:VMware 发布的安全补丁程序或 Bug 修复
- 更新:VMware 堆栈组件的次要版本变更
- 升级:VMware 堆栈组件的主要版本变更
一旦 VMware 的关键安全补丁程序可用,谷歌就会对其进行测试。根据 SLA,Google 会在一周内向私有云环境发布安全补丁程序。
Google 会按季度向 VMware 软件组件提供维护更新。对于新的主要版本的 VMware 软件版本,Google 会与客户合作协调合适的维护期以进行升级。
后续步骤
- 了解私有云维护和更新