Dokumen ini menjelaskan hierarki resource air-gapped Google Distributed Cloud (GDC) dan cara resource dikelola dalam instance air-gapped. Untuk konsep tentang mengelola resource di beberapa zona, lihat Ringkasan multi-zona.
Tujuan hierarki resource GDC adalah dua hal:
- Menyediakan hierarki kepemilikan, yang mengikat siklus proses resource ke induk langsungnya dalam hierarki.
- Menyediakan titik lampiran dan pewarisan untuk kontrol akses dan kebijakan organisasi.
Hierarki resource GDC menyerupai sistem file yang ditemukan dalam sistem operasi sebagai cara untuk mengatur dan mengelola entity secara hierarkis. Umumnya, setiap resource memiliki tepat satu induk. Organisasi resource hierarkis ini memungkinkan Anda menetapkan kebijakan kontrol akses, seperti Identity and Access Management (IAM), yang diwariskan oleh resource turunan.
Untuk mengetahui informasi selengkapnya tentang praktik terbaik dalam mengatur batas akses Anda, lihat Mendesain batas akses antar-resource.
Struktur resource secara mendetail
Entitas berikut adalah jenis resource yang dikenali dalam hierarki resource GDC:
Resource GDC diatur secara hierarkis. Sebagian besar resource dalam hierarki resource memiliki tepat satu induk. Pengecualian hanya berlaku untuk resource tertinggi. Di tingkat terendah, resource layanan adalah komponen dasar yang membentuk semua layanan GDC.
Organisasi adalah puncak hierarki resource GDC, dan semua resource yang menjadi milik organisasi dikelompokkan dalam resource organisasi. Hal ini memberikan visibilitas dan kontrol terpusat atas setiap resource yang menjadi milik organisasi.
Project dan cluster memiliki cakupan organisasi. Resource ini dapat dilampirkan satu sama lain untuk mengatur resource layanan. Namun, project dan cluster berfungsi secara independen satu sama lain. Fleksibilitas ini memberikan banyak opsi berbeda tentang cara mengatur layanan dan beban kerja. Misalnya, Anda dapat memiliki cluster yang dikhususkan untuk satu project. Demikian pula, cluster dapat mencakup beberapa project.
Resource layanan adalah entity yang harus dimiliki oleh project atau cluster, dan tidak dapat dibagikan di seluruh project atau cluster. Contoh resource layanan mencakup virtual machine (VM), database, bucket penyimpanan, dan cadangan. Sebagian besar resource level bawah ini memiliki resource project sebagai induknya.
Diagram berikut menunjukkan contoh hierarki resource GDC:
Untuk mengetahui informasi selengkapnya tentang praktik terbaik dalam mengatur hierarki resource Anda untuk pengelolaan workload yang optimal, lihat Mendesain pemisahan workload pengguna.
Organisasi
Resource organisasi mewakili unit administratif atau fungsi bisnis, seperti perusahaan, dan merupakan resource tingkat teratas dalam hierarki resource GDC. Organisasi menentukan batas keamanan yang mencakup resource infrastruktur yang akan dikelola bersama sehingga pengguna dapat men-deploy workload aplikasi. Organisasi bersifat global dan mencakup semua zona di semesta. Dalam organisasi, resource layanan seperti VM dan volume penyimpanan dikelompokkan secara logis berdasarkan project.
Semua project, cluster, dan resource layanan menjadi milik organisasi Anda, bukan milik pembuatnya. Artinya, semua jenis resource untuk organisasi tidak akan dihapus jika pengguna yang membuatnya keluar dari organisasi. Sebagai gantinya, semua jenis resource mengikuti siklus proses organisasi di GDC.
Kebijakan kontrol akses IAM yang diterapkan ke resource organisasi berlaku di seluruh hierarki pada semua resource dalam organisasi. Untuk mengetahui informasi selengkapnya tentang pemberian kebijakan dan izin di seluruh organisasi, lihat bagian Kebijakan organisasi dan IAM.
Project
Project adalah unit tenancy yang harus diintegrasikan oleh setiap layanan. Project menyediakan pengelompokan logis resource layanan. Project bersifat global dan mencakup semua zona di semesta.
Project memungkinkan segmentasi resource layanan dalam organisasi dan menyediakan batas kebijakan dan siklus proses untuk mengelola resource. Resource layanan di dalam project tidak akan pernah lebih lama dari project itu sendiri atau berpindah antarproject, sehingga memastikan bahwa kontrol tersedia selama masa aktif resource. Oleh karena itu, Anda harus men-deploy resource jenis apa pun dalam namespace project.
Project dianggap sebagai namespace Kubernetes yang tepat yang mencakup beberapa cluster dalam organisasi. Kesamaan namespace menganggap semua namespace dengan nama yang sama sebagai namespace yang sama untuk semua cluster dalam organisasi yang sama. Namespace tunggal memiliki pemilik yang konsisten di seluruh kumpulan cluster. Penyedia layanan membuat layanan yang tercakup dalam project dengan membuat komponen bidang kontrol dan bidang data di namespace.
Namespace untuk project menghosting hal berikut:
- API layanan cakupan project.
- Konfigurasi kebijakan tingkat project, seperti peran dan binding peran.
Anda hanya dapat melampirkan project ke subset cluster dalam organisasi. Anda dapat men-deploy workload yang di-container di cluster ini dalam namespace project. Konsep kesamaan namespace berlaku untuk namespace project di cluster ini. Kebijakan yang tercakup dalam namespace, seperti kebijakan akses berbasis peran (RBAC), berlaku untuk semua namespace tersebut.
Untuk mengetahui informasi selengkapnya tentang project, lihat Ringkasan project.
Cluster Kubernetes
Cluster Kubernetes adalah sekumpulan node yang menjalankan workload dalam container sebagai bagian dari GKE di GDC. Anda dapat menyediakan cluster Kubernetes untuk mendukung persyaratan komputasi aplikasi Anda. Cluster memiliki cakupan organisasi, dan harus dilampirkan ke satu atau beberapa project.
Cluster membagi resource infrastruktur menjadi kumpulan terisolasi untuk digunakan oleh project dalam organisasi. Cluster juga dipisahkan secara logis satu sama lain untuk menyediakan jaminan isolasi dan domain kegagalan yang berbeda. Penerapan kebijakan per organisasi memastikan cluster dapat dibagikan di seluruh tim dan pengguna sekaligus mempertahankan jaminan performa dan resource. Selain itu, kebijakan organisasi memungkinkan workload VM berjalan bersama workload container tanpa menimbulkan kerumitan operasional.
Cluster bermanfaat untuk instance tempat Anda harus men-deploy workload dalam container. Namun, dengan opsi untuk men-deploy workload berbasis VM, keberadaan cluster Kubernetes tidak diperlukan di GDC.
Cluster hanya berupa resource zona dan tidak dapat mencakup beberapa zona. Untuk mengoperasikan cluster dalam deployment multi-zona, Anda harus men-deploy cluster secara manual di setiap zona.
Untuk mengetahui informasi selengkapnya tentang cluster Kubernetes, lihat bagian Mengelola cluster Kubernetes.
Resource layanan
Resource layanan mencakup banyak entitas, seperti:
- VM
- Database
- Bucket penyimpanan
- Workload dalam container
- Cadangan
Resource layanan harus menjadi bagian dari project, atau secara opsional cluster untuk beban kerja yang di-container, dan tidak dapat dibagikan di seluruh project. Artinya, resource layanan di dalam project tidak akan pernah lebih lama dari project itu sendiri, sehingga memastikan bahwa kontrol tersedia selama masa aktif resource.
Resource layanan dapat di-deploy secara global atau per zona, bergantung pada jenisnya. Lihat dokumentasi layanan tertentu untuk mengetahui informasi tentang opsi deployment multi-zona. Resource layanan diaktifkan secara default dan dapat dinonaktifkan menggunakan kebijakan organisasi.