网闸隔离的 GDC 中的可用区

本文档介绍了 Google Distributed Cloud (GDC) air-gapped 的部署层次结构,包括宇宙、区域和可用区。为了确保气隙资源和基础架构的高可用性,您必须了解托管环境的位置以及强制执行应用可用配置的战略边界。

本文档面向以下受众群体:

  • 基础架构运维者群组中的运维者,负责部署和管理 GDC 网闸隔离区和全球基础架构。
  • 平台管理员群组中的网络管理员和 IT 管理员,负责配置多可用区服务。
  • 应用运算符组中的应用开发者,负责在 GDC 环境中开发和管理应用。

如需了解详情,请参阅 GDC 气隙环境文档的受众群体

部署层次结构概览

GDC 气隙部署遵循由宇宙、区域和可用区组成的分层结构。

宇宙是相互连接的可用区的高级分组,这些可用区共享网络连接和控制平面。尽管可用区在地理位置上可能相距遥远,但当不同的可用区在物理位置上足够接近,可以实现低延迟通信时,就会建立区域边界

可用区是 GDC 网闸隔离部署的构建块。每个区域都是一个独立的空隙实现,无需随时连接到 Google Cloud ,这意味着它可以通过本地控制平面管理自己的基础架构、服务、API 和工具。

例如,以下示例展示了一个 GDC 气隙多区域宇宙:

一个宇宙由跨多个区域分组的可用区组成。

此图显示了两个区域,每个区域都位于一个宇宙中。突出显示的区域 1 显示了三个可用区,每个可用区都运行各种可用区服务,例如虚拟机 (VM) 和容器应用。还有一些全球服务,涵盖整个宇宙中的所有可用区和区域,例如 Identity and Access Management (IAM) 和负载均衡。

例如,您可以拥有一个跨越广阔地理区域的 GDC 全球。假设美国弗吉尼亚州存在区域 1,其中包含三个可用区:

  • 可用区 A,例如 us-virginia1-a
  • 可用区 B,例如 us-virginia1-b
  • 可用区 C,例如 us-virginia1-c

同样,您可以将区域 2 设在荷兰,并在阿姆斯特丹添加可用区:

  • 可用区 A,例如 eu-ams1-a
  • 可用区 B,例如 eu-ams1-b
  • 可用区 C,例如 eu-ams1-c

一个区域内的可用区必须在地理位置上彼此靠近,但区域可以跨越很远的距离。例如,一个可用区与同一区域内的另一个可用区之间的光纤距离可能存在 50 公里的最大限制,但一个区域与另一个区域之间的距离可能长达数百公里。如需详细了解您的具体延迟时间要求,请与您的基础设施运营商群组联系。

了解可用区

区域包含四个可独立运行的层,无需连接到 Google Cloud 或公共互联网:

  • 硬件:完全集成到数据中心机架中的基础设备。此层为您的系统和集成的工作负载提供计算、存储、网络和 GPU 容量。
  • 基础架构:底层硬件管理系统。此层提供了一些接口,使软件无需特定的硬件配置即可运行。
  • 服务平台:在 GDC 上构建服务的框架。此层可确保受管理的服务和 Marketplace 服务之间的一致性。
  • 托管式服务和 Marketplace 服务:在 GDC 上运行的面向客户的云服务。这样可为工作负载和服务提供一致的数据平面实现。

借助这些组件,您可以灵活地调整可用区配置,以满足独特的可用性和弹性要求。了解此结构有助于理解常见的气隙区域配置。

部署配置

以下各部分介绍了可用于 GDC 气隙环境的常见部署配置。

单可用区配置

借助单可用区配置,您可以部署一个宇宙,其中一个可用区充当唯一区域。之所以可以实现此配置,是因为每个可用区都是独立运行的。您通常会将此设置用于初始部署或不需要高可用性或可靠灾难恢复的工作负载。

单可用区宇宙的主要限制在于,它会造成单点故障,使您的系统容易受到中断的影响。如果您仅将资源部署到单个可用区,则会发生单点故障。当特定可用区发生中断或服务中断时,可用区级资源会受到影响。

多可用区配置

借助多可用区配置,您可以有策略地将应用和服务分布到多个可用区。此设置通过提供地理位置分散的资源来提高系统的弹性和容错能力。

此配置还提供高可用性,即使某个可用区发生中断,您的应用或服务也能保持持续可访问和正常运行。您可以通过在多可用区中部署和管理资源来实现高可用性。 GDC 提供部分服务,这些服务提供全球功能,因此资源默认情况下在整个环境中的多个可用区中进行管理,无需手动复制。全球性资源默认跨多个可用区,因此即使在可用区中断期间也可使用。

多可用区配置的一个主要优势在于,每个可用区都可以充当一个独立的灾难网域。灾难网域是指一组容易因共享物理位置或依赖关系而同时发生故障的资源。通过战略性地将可用区布置在足够远的距离,您的系统可以更有效地应对大范围故障。

可用区不对称是指组织和硬件配置在 GDC 宇宙中的不同可用区之间存在差异。从 1.14.4 版开始,区域不对称是一项预览版功能。

多地区配置的主要功能

借助多可用区配置,您可以建立弹性架构,因为每个可用区都可以充当不同的灾难网域。通过在这些独立的灾难域中分布资源,您可以利用以下各部分中概述的关键功能来增强气隙系统。

高可用性

您可以创建高可用性应用,以提供能够应对中断的持久服务。负载均衡和数据复制等高可用性策略可将脆弱的可用区级应用转变为弹性可靠的全球服务。如需了解详情,请参阅应用的高可用性

数据保护

您可以采用多区域配置,即使在发生服务中断的情况下,也能通过数据保护策略(可让您设置数据复制以创建地理位置上分离的备份)确保数据安全且可访问。如需了解详情,请参阅使用多区域存储保护数据

网络流量管理

构建持久的网络对于创建高可用性 GDC 系统至关重要。您可以跨多个可用区配置网络策略,以便在可能出现可用区中断时规划故障切换程序。在各个地区之间平衡网络流量也可以对应用性能产生积极影响。如需了解详情,请参阅多区域网络流量管理

权限控制

您可以实现跨可用区角色,以在全球范围内应用访问权限控制策略,从而无需进行繁琐且难以管理的可用区专属权限管理。同样,您也可以使用具有全局访问权限的账号,无缝管理用户和服务的跨地区身份验证。如需了解详情,请参阅多区域宇宙的权限控制

限制

GDC 隔网宇宙具有以下限制:

  • 一个媒体覆盖面最多可以有 6 个区域。
  • 一个世界可以有一个或两个运营中心。
  • 无论区域配置如何,具有两个可用区的 Universe 都无法提供自动恢复策略,必须手动恢复。 具有三个或更多可用区的 Universe 可以自动触发恢复步骤。
  • GDC 仅将区域作为一种分组概念提供,而不提供区域性服务。GDC 宇宙中的区域与公共 Google Cloud架构紧密相关,可用于未来的开发和规划。

后续步骤