Compartilhar grupos de nós de locatário individual,Compartilhar grupos de nós de locatário individual

Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Os grupos de nós de locatário individual compartilhados são semelhantes aos grupos de nós de locatário individual locais . Por exemplo, os grupos de nós compartilhados custam o mesmo, consomem a mesma cota e residem em um projeto pai na hierarquia de recursos .

A diferença entre grupos de nós compartilhados e grupos de nós locais é que outros projetos na sua organização podem provisionar instâncias de máquinas virtuais (VM) nos grupos de nós compartilhados.

Compartilhar um grupo de nós entre vários projetos ou uma organização pode ajudá-lo a fazer o seguinte:

• Consolide grupos de nós gerenciados em um único projeto e compartilhe esses nós com outros projetos ou com toda a organização

• Diminua os custos excluindo nós após consolidar VMs de vários projetos em grupos de nós subutilizados

• Gerencie nós de locatário individual com uma única equipe

• Compartilhe nós de locatário individual com projetos menores e mantenha os limites de segurança e controle de acesso entre esses projetos

• Execute uma migração em tempo real entre grupos de nós no mesmo projeto

• Melhore a utilização de seus grupos de nós e reduza o número de nós de manutenção reservados ao usar a política de manutenção Migrar dentro do grupo de nós

O diagrama a seguir mostra um grupo de nós que é compartilhado com outros projetos para que outros departamentos que gerenciam VMs nesses projetos possam provisionar VMs em um grupo de nós compartilhados.

Benefícios de utilização de grupos de nós compartilhados

A tabela a seguir compara projetos que usam grupos de nós locais com projetos que usam grupos de nós compartilhados. Observe que a subutilização de vCPU diminui em projetos que usam grupos de nós compartilhados.

Configurações para compartilhar grupos de nós

O Compute Engine usa as seguintes configurações para compartilhar grupos de nós e provisionar VMs nos grupos de nós compartilhados:

• Uma configuração de compartilhamento que você define ao criar ou atualizar o grupo de nós de locatário individual. Para especificar se deseja compartilhar o grupo de nós com outros projetos ou com toda a organização, use as configurações da CLI gcloud ( --share-setting , --share-with ) ou configurações REST ( shareSetting , shareWith ).

• Um rótulo de afinidade de nó compute.googleapis.com/project padrão que você usa ao provisionar uma VM em um grupo de nós compartilhados usando rótulos de afinidade de nó. Para obter informações sobre os outros rótulos de afinidade de nó padrão, consulte Rótulos de afinidade padrão .

Considerações sobre política de manutenção

Quando um grupo de nós usa a política de manutenção Migrar dentro do grupo de nós , o Compute Engine reserva pelo menos um nó para eventos de migração em tempo real. Portanto, o grupo de nós deve ter pelo menos dois nós. Não é possível agendar VMs no nó reservado, por isso os grupos de nós com esta política de manutenção têm frequentemente uma utilização global mais baixa. Isso faz com que as cargas de trabalho que exigem a política de migração dentro do grupo de nós sejam boas candidatas para o compartilhamento do grupo de nós, pois geralmente obtêm o maior benefício da utilização aprimorada.

Funções e permissões do IAM

Lembre-se das seguintes informações sobre funções e permissões do IAM ao compartilhar um grupo de nós:

• Se um grupo de nós for compartilhado com um projeto, qualquer usuário que possa criar VMs nos projetos listados ou na organização poderá provisionar VMs desses projetos no grupo de nós compartilhados sem quaisquer alterações nas funções ou permissões do IAM.

• A função do IAM compute.soleTenantViewer permite listar e visualizar grupos de nós ( gcloud CLI / REST ). Você não pode modificar grupos de nós com esta função. Qualquer usuário com essa função ou com permissões para listar grupos de nós, independentemente das permissões do IAM na VM, pode visualizar o ID do projeto, o nome, o tipo de máquina e as informações sobre SSDs e GPUs locais para todas as VMs no grupo de nós.

Limitações

• Limitações do regime de conformidade:

  • Independentemente das permissões do IAM na VM, qualquer usuário com permissões para listar grupos de nós pode visualizar o ID do projeto, o nome e o tipo de máquina de todas as VMs no grupo de nós. Assim, devido ao risco de divulgação de informações entre projetos, os projetos que possuem VMs provisionadas em grupos de nós compartilhados devem estar sob o mesmo regime de conformidade .

• Limitações do console do Google Cloud:

  • Se você não tiver permissão para visualizar VMs no grupo de nós compartilhados, essas VMs não aparecerão na lista de VMs na página Nós de locatário individual no console do Google Cloud.
  • Depois de modificar as configurações de compartilhamento na página Grupos de nós de locatário individual , a configuração Compartilhado com não é atualizada na UI. Para ver a configuração Compartilhada com atualizada, acesse a página Nós de locatário individual .
  • Depois de compartilhar um grupo de nós com todos os projetos de uma organização ou com projetos selecionados dentro de uma organização, você só poderá ver o grupo de nós compartilhados de seu projeto proprietário; você não pode ver o grupo de nós compartilhados dos projetos com os quais ele foi compartilhado. Para provisionar uma VM no grupo de nós compartilhados, no projeto com o qual o grupo de nós é compartilhado, acesse a página Instâncias de VM e, em seguida, modifique os rótulos de afinidade do nó de locação única.

• Limitações de compartilhamento:

  • Você deve atualizar as configurações de compartilhamento do projeto que possui o grupo de nós.
  • Você pode especificar no máximo 100 projetos ao usar a configuração de compartilhamento projects .
  • Você não pode compartilhar grupos de nós entre organizações. Por exemplo, se você migrar um projeto que contém um grupo de nós compartilhados de uma organização para outra, também deverá migrar todos os projetos que possuem VMs em execução nesse grupo de nós compartilhados.
  • Não é possível executar a migração em tempo real entre projetos ao usar grupos de nós de locatário individual compartilhados. Para obter mais informações, consulte Migrar VMs manualmente em tempo real .

Preços

As VMs em grupos de nós compartilhados não incorrem em cobranças adicionais e não há cobranças adicionais para compartilhar grupos de nós. Para obter mais informações sobre preços de nós de locatário individual, consulte Preços de nós de locatário individual .

Antes de começar

• Antes de criar um grupo de nós de locatário individual, crie um modelo de nó de locatário individual .
• Antes de provisionar VMs em um nó de locatário individual, verifique sua cota . Dependendo do número e do tamanho dos nós reservados, talvez seja necessário solicitar uma cota adicional .
• Se ainda não o fez, configure a autenticação. Autenticação é o processo pelo qual sua identidade é verificada para acesso a Google Cloud serviços e APIs. Para executar códigos ou amostras em um ambiente de desenvolvimento local, você pode se autenticar no Compute Engine selecionando uma das seguintes opções:
  

  Select the tab for how you plan to use the samples on this page:

  Console

  When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

  gcloud

  1. After installing the Google Cloud CLI, initialize it by running the following command:

     gcloud init

     If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

  2. Set a default region and zone.

  REST

  Para usar as amostras da API REST nesta página em um ambiente de desenvolvimento local, use as credenciais fornecidas para gcloud CLI.

  After installing the Google Cloud CLI, initialize it by running the following command:

  gcloud init

  If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

  Para mais informações, consulte Autenticar para usar REST na documentação de autenticação do Google Cloud.

Crie um novo grupo de nós e compartilhe-o

Para criar um novo grupo de nós e compartilhá-lo com outros projetos ou com toda a organização, use o console do Google Cloud, a CLI gcloud ou REST.

gcloud compute sole-tenancy node-groups create NODE_GROUP \
    --zone=ZONE \
    --node-template=NODE_TEMPLATE \
    --target-size=SIZE \
    --share-setting=SHARE_SETTING \
    --share-with=PROJECTS

POST https://compute.googleapis.com/compute/v1/projects/PROJECT/zones/ZONE/nodeGroups

{
  ...
  "name": NODE_GROUP,
  "nodeTemplate": NODE_TEMPLATE,
  "size": SIZE,
  "shareSettings": {
    "shareType": SHARE_TYPE,
    "projectMap": {
      string: {
        "projectId": PROJECTS
      },
    }
  }
  ...
}

Provisionar uma VM de locatário individual em um grupo de nós compartilhados

Para provisionar uma VM de locatário individual em um grupo de nós compartilhados, use o console do Google Cloud, a CLI gcloud ou REST.

gcloud compute instances create VM_NAME \
    --machine-type=MACHINE_TYPE \
    --node-group=NODE_GROUP \
    --node-project=NODE_PROJECT

gcloud compute instances create VM_NAME \
    --machine-type=MACHINE_TYPE \
    --node-affinity-file=NODE_AFFINITY_FILE

POST https://compute.googleapis.com/compute/v1/projects/PROJECT/zones/ZONE/instances

{
  ...
  "name": VM_NAME,
  "machineType": MACHINE_TYPE,
  "scheduling": {
    ...
    "nodeAffinities": [
      {
        "key": KEY,
        "operator": OPERATOR,
        "values": [
          VALUE
        ]
      }
    ],
    ...
  },
  ...
}

Exibir as configurações de compartilhamento de um grupo de nós

Para visualizar as configurações de compartilhamento de um grupo de nós, use o console do Google Cloud, a CLI gcloud ou REST.

gcloud compute sole-tenancy node-groups describe NODE_GROUP

GET https://compute.googleapis.com/compute/v1/projects/PROJECT/zones/ZONE/nodeGroups

Compartilhar um grupo de nós existente

Para compartilhar um grupo de nós existente com outros projetos ou com toda a organização, use o console do Google Cloud, a CLI gcloud ou REST.

gcloud compute sole-tenancy node-groups update NODE_GROUP \
    --zone=ZONE \
    --share-setting=SHARE_SETTING \
    --share-with=PROJECTS

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT/zones/ZONE/nodeGroups/NODE_GROUP

{
  "shareSettings": {
    "shareType": SHARE_TYPE,
    "projectMap": {
      string: {
        "projectId": PROJECTS
      },
    }
  }
}

Pare de compartilhar um grupo de nós

Para parar de compartilhar um grupo de nós com outros projetos ou com toda a organização, use a CLI gcloud ou REST.

gcloud compute sole-tenancy node-groups update NODE_GROUP \
    --zone=ZONE \
    --share-setting=local

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT/zones/ZONE/nodeGroups/NODE_GROUP

{
  "shareSettings": {
    "shareType": LOCAL
  }
}

Excluir um grupo de nós compartilhados do projeto proprietário

Para excluir um grupo de nós compartilhados do projeto proprietário, use o console do Google Cloud, a CLI gcloud ou REST. Antes de excluir um grupo de nós, pare todas as VMs em execução no grupo de nós.

gcloud compute sole-tenancy node-groups delete NODE_GROUP

DELETE https://compute.googleapis.com/compute/v1/projects/PROJECT/zones/ZONE/nodeGroups/NODE_GROUP

Os grupos de nós de locatário individual compartilhados são semelhantes aos grupos de nós de locatário individual locais . Por exemplo, os grupos de nós compartilhados custam o mesmo, consomem a mesma cota e residem em um projeto pai na hierarquia de recursos .

A diferença entre grupos de nós compartilhados e grupos de nós locais é que outros projetos na sua organização podem provisionar instâncias de máquinas virtuais (VM) nos grupos de nós compartilhados.

Compartilhar um grupo de nós entre vários projetos ou uma organização pode ajudá-lo a fazer o seguinte:

• Consolide grupos de nós gerenciados em um único projeto e compartilhe esses nós com outros projetos ou com toda a organização

• Diminua os custos excluindo nós após consolidar VMs de vários projetos em grupos de nós subutilizados

• Gerencie nós de locatário individual com uma única equipe

• Compartilhe nós de locatário individual com projetos menores e mantenha os limites de segurança e controle de acesso entre esses projetos

• Execute uma migração em tempo real entre grupos de nós no mesmo projeto

• Melhore a utilização de seus grupos de nós e reduza o número de nós de manutenção reservados ao usar a política de manutenção Migrar dentro do grupo de nós

O diagrama a seguir mostra um grupo de nós que é compartilhado com outros projetos para que outros departamentos que gerenciam VMs nesses projetos possam provisionar VMs em um grupo de nós compartilhados.

Benefícios de utilização de grupos de nós compartilhados

A tabela a seguir compara projetos que usam grupos de nós locais com projetos que usam grupos de nós compartilhados. Observe que a subutilização de vCPU diminui em projetos que usam grupos de nós compartilhados.

Configurações para compartilhar grupos de nós

O Compute Engine usa as seguintes configurações para compartilhar grupos de nós e provisionar VMs nos grupos de nós compartilhados:

• Uma configuração de compartilhamento que você define ao criar ou atualizar o grupo de nós de locatário individual. Para especificar se deseja compartilhar o grupo de nós com outros projetos ou com toda a organização, use as configurações da CLI gcloud ( --share-setting , --share-with ) ou configurações REST ( shareSetting , shareWith ).

• Um rótulo de afinidade de nó compute.googleapis.com/project padrão que você usa ao provisionar uma VM em um grupo de nós compartilhados usando rótulos de afinidade de nó. Para obter informações sobre os outros rótulos de afinidade de nó padrão, consulte Rótulos de afinidade padrão .

Considerações sobre política de manutenção

Quando um grupo de nós usa a política de manutenção Migrar dentro do grupo de nós , o Compute Engine reserva pelo menos um nó para eventos de migração em tempo real. Portanto, o grupo de nós deve ter pelo menos dois nós. Não é possível agendar VMs no nó reservado, por isso os grupos de nós com esta política de manutenção têm frequentemente uma utilização global mais baixa. Isso faz com que as cargas de trabalho que exigem a política de migração dentro do grupo de nós sejam boas candidatas para o compartilhamento do grupo de nós, pois geralmente obtêm o maior benefício da utilização aprimorada.

Funções e permissões do IAM

Lembre-se das seguintes informações sobre funções e permissões do IAM ao compartilhar um grupo de nós:

• Se um grupo de nós for compartilhado com um projeto, qualquer usuário que possa criar VMs nos projetos listados ou na organização poderá provisionar VMs desses projetos no grupo de nós compartilhados sem quaisquer alterações nas funções ou permissões do IAM.

• A função do IAM compute.soleTenantViewer permite listar e visualizar grupos de nós ( gcloud CLI / REST ). Você não pode modificar grupos de nós com esta função. Qualquer usuário com essa função ou com permissões para listar grupos de nós, independentemente das permissões do IAM na VM, pode visualizar o ID do projeto, o nome, o tipo de máquina e as informações sobre SSDs e GPUs locais para todas as VMs no grupo de nós.

Limitações

• Limitações do regime de conformidade:

  • Independentemente das permissões do IAM na VM, qualquer usuário com permissões para listar grupos de nós pode visualizar o ID do projeto, o nome e o tipo de máquina de todas as VMs no grupo de nós. Assim, devido ao risco de divulgação de informações entre projetos, os projetos que possuem VMs provisionadas em grupos de nós compartilhados devem estar sob o mesmo regime de conformidade .

• Limitações do console do Google Cloud:

  • Se você não tiver permissão para visualizar VMs no grupo de nós compartilhados, essas VMs não aparecerão na lista de VMs na página Nós de locatário individual no console do Google Cloud.
  • Depois de modificar as configurações de compartilhamento na página Grupos de nós de locatário individual , a configuração Compartilhado com não é atualizada na UI. Para ver a configuração Compartilhada com atualizada, acesse a página Nós de locatário individual .
  • Depois de compartilhar um grupo de nós com todos os projetos de uma organização ou com projetos selecionados dentro de uma organização, você só poderá ver o grupo de nós compartilhados de seu projeto proprietário; você não pode ver o grupo de nós compartilhados dos projetos com os quais ele foi compartilhado. Para provisionar uma VM no grupo de nós compartilhados, no projeto com o qual o grupo de nós é compartilhado, acesse a página Instâncias de VM e, em seguida, modifique os rótulos de afinidade do nó de locação única.

• Limitações de compartilhamento:

  • Você deve atualizar as configurações de compartilhamento do projeto que possui o grupo de nós.
  • Você pode especificar no máximo 100 projetos ao usar a configuração de compartilhamento projects .
  • Você não pode compartilhar grupos de nós entre organizações. Por exemplo, se você migrar um projeto que contém um grupo de nós compartilhados de uma organização para outra, também deverá migrar todos os projetos que possuem VMs em execução nesse grupo de nós compartilhados.
  • Não é possível executar a migração em tempo real entre projetos ao usar grupos de nós de locatário individual compartilhados. Para obter mais informações, consulte Migrar VMs manualmente em tempo real .

Preços

As VMs em grupos de nós compartilhados não incorrem em cobranças adicionais e não há cobranças adicionais para compartilhar grupos de nós. Para obter mais informações sobre preços de nós de locatário individual, consulte Preços de nós de locatário individual .

Antes de começar

• Antes de criar um grupo de nós de locatário individual, crie um modelo de nó de locatário individual .
• Antes de provisionar VMs em um nó de locatário individual, verifique sua cota . Dependendo do número e do tamanho dos nós reservados, talvez seja necessário solicitar uma cota adicional .
• Se ainda não o fez, configure a autenticação. Autenticação é o processo pelo qual sua identidade é verificada para acesso a Google Cloud serviços e APIs. Para executar códigos ou amostras em um ambiente de desenvolvimento local, você pode se autenticar no Compute Engine selecionando uma das seguintes opções:
  

  Select the tab for how you plan to use the samples on this page:

  Console

  When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

  gcloud

  1. After installing the Google Cloud CLI, initialize it by running the following command:

     gcloud init

     If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

  2. Set a default region and zone.

  REST

  Para usar as amostras da API REST nesta página em um ambiente de desenvolvimento local, use as credenciais fornecidas para gcloud CLI.

  After installing the Google Cloud CLI, initialize it by running the following command:

  gcloud init

  If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

  Para mais informações, consulte Autenticar para usar REST na documentação de autenticação do Google Cloud.

Crie um novo grupo de nós e compartilhe-o

Para criar um novo grupo de nós e compartilhá-lo com outros projetos ou com toda a organização, use o console do Google Cloud, a CLI gcloud ou REST.

gcloud compute sole-tenancy node-groups create NODE_GROUP \
    --zone=ZONE \
    --node-template=NODE_TEMPLATE \
    --target-size=SIZE \
    --share-setting=SHARE_SETTING \
    --share-with=PROJECTS

POST https://compute.googleapis.com/compute/v1/projects/PROJECT/zones/ZONE/nodeGroups

{
  ...
  "name": NODE_GROUP,
  "nodeTemplate": NODE_TEMPLATE,
  "size": SIZE,
  "shareSettings": {
    "shareType": SHARE_TYPE,
    "projectMap": {
      string: {
        "projectId": PROJECTS
      },
    }
  }
  ...
}

Provisionar uma VM de locatário individual em um grupo de nós compartilhados

Para provisionar uma VM de locatário individual em um grupo de nós compartilhados, use o console do Google Cloud, a CLI gcloud ou REST.

gcloud compute instances create VM_NAME \
    --machine-type=MACHINE_TYPE \
    --node-group=NODE_GROUP \
    --node-project=NODE_PROJECT

gcloud compute instances create VM_NAME \
    --machine-type=MACHINE_TYPE \
    --node-affinity-file=NODE_AFFINITY_FILE

POST https://compute.googleapis.com/compute/v1/projects/PROJECT/zones/ZONE/instances

{
  ...
  "name": VM_NAME,
  "machineType": MACHINE_TYPE,
  "scheduling": {
    ...
    "nodeAffinities": [
      {
        "key": KEY,
        "operator": OPERATOR,
        "values": [
          VALUE
        ]
      }
    ],
    ...
  },
  ...
}

Exibir as configurações de compartilhamento de um grupo de nós

Para visualizar as configurações de compartilhamento de um grupo de nós, use o console do Google Cloud, a CLI gcloud ou REST.

gcloud compute sole-tenancy node-groups describe NODE_GROUP

GET https://compute.googleapis.com/compute/v1/projects/PROJECT/zones/ZONE/nodeGroups

Compartilhar um grupo de nós existente

Para compartilhar um grupo de nós existente com outros projetos ou com toda a organização, use o console do Google Cloud, a CLI gcloud ou REST.

gcloud compute sole-tenancy node-groups update NODE_GROUP \
    --zone=ZONE \
    --share-setting=SHARE_SETTING \
    --share-with=PROJECTS

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT/zones/ZONE/nodeGroups/NODE_GROUP

{
  "shareSettings": {
    "shareType": SHARE_TYPE,
    "projectMap": {
      string: {
        "projectId": PROJECTS
      },
    }
  }
}

Pare de compartilhar um grupo de nós

Para parar de compartilhar um grupo de nós com outros projetos ou com toda a organização, use a CLI gcloud ou REST.

gcloud compute sole-tenancy node-groups update NODE_GROUP \
    --zone=ZONE \
    --share-setting=local

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT/zones/ZONE/nodeGroups/NODE_GROUP

{
  "shareSettings": {
    "shareType": LOCAL
  }
}

Excluir um grupo de nós compartilhados do projeto proprietário

Para excluir um grupo de nós compartilhados do projeto proprietário, use o console do Google Cloud, a CLI gcloud ou REST. Antes de excluir um grupo de nós, pare todas as VMs em execução no grupo de nós.

gcloud compute sole-tenancy node-groups delete NODE_GROUP

DELETE https://compute.googleapis.com/compute/v1/projects/PROJECT/zones/ZONE/nodeGroups/NODE_GROUP