私有雲 VMware 元件
私有雲是指由管理網域中的 vCenter Server 管理的獨立 VMware 堆疊 (ESXi 主機、vCenter、vSAN 和 NSX) 環境。Google Cloud VMware Engine 會使用下列 VMware 堆疊元件部署私有雲:
- VMware ESXi:專用節點上的管理程序
- VMware vCenter:私有雲 vSphere 環境的集中式管理
- VMware vSAN:超級融合式軟體定義儲存平台
- VMware NSX Data Center:網路虛擬化和安全軟體
- VMware HCX:跨資料中心和雲端的應用程式遷移和工作負載重新平衡
您可以從私有雲詳細資料頁面擷取產生的 VMware 堆疊元件登入憑證。
VMware 元件版本
私有雲 VMware 堆疊具有下列軟體版本:
| 元件 | 版本 | 授權版本 |
|---|---|---|
| ESXi | 8.0 更新 3e | VMware Cloud Foundation |
| vCenter | 8.0 更新 3e | VMware Cloud Foundation |
| vSAN | 8.0 更新 3 | VMware Cloud Foundation |
| NSX Data Center | 4.2.1.2 | VMware Cloud Foundation |
| HCX | 4.10.3 | VMware Cloud Foundation |
| Aria | 8.16 | VMware Cloud Foundation |
1VMware Engine 部署的 HCX 版本是由 VMware 提供 Google Cloud 。建立私有雲後,請更新 HCX,為您的環境擷取最新版本的 HCX。
ESXi
建立私有雲時,系統會在已佈建的 Google Cloud VMware Engine 節點上安裝 VMware ESXi。ESXi 提供管理程序,用於部署工作負載虛擬機器 (VM)。節點可提供超融合基礎架構 (運算和儲存空間),也是私有雲 vSphere 叢集的一部分。
每個節點都有四個實體網路介面,可連線至底層網路。VMware Engine 會使用這些實體網路介面做為上行鏈路,在 vCenter 上建立 vSphere 分散式交換器 (VDS)。網路介面會以主動模式設定,以便提供高可用性。
vCenter Server Appliance
vCenter Server Appliance (VCSA) 可為 VMware Engine 提供驗證、管理和調度功能。建立及部署私有雲時,VMware Engine 會在 vSphere 叢集中部署 VCSA,並內嵌 Platform Services Controller (PSC)。每個私有雲都有自己的 VCSA。在私有雲中新增節點會將節點新增至 VCSA。
vCenter 單一登入
VCSA 上的嵌入式平台服務控制器會與 vCenter 單一登入服務建立關聯。網域名稱為 gve.local。如要存取 vCenter,請使用預設使用者 [email protected],這個使用者是為了讓您存取 vCenter 而建立。您可以新增vCenter 的內部/Active Directory 識別資訊來源。
vSAN 儲存空間
私有雲中的叢集已完成全快閃 vSAN 儲存空間設定。本機 SSD 提供全快閃儲存空間。至少需要三個相同 SKU 的節點,才能建立含有 vSAN 資料儲存庫的 vSphere 叢集。vSphere 叢集的每個節點都有兩個磁碟群組。每個磁碟群組都包含一個快取磁碟和三個容量磁碟。
您可以在 VMware Engine 的 vSAN 資料儲存庫中啟用重複資料刪除和壓縮功能。建立新叢集時,這項服務預設會啟用 vSAN 重複資料刪除和壓縮功能。私有雲端中的每個叢集都包含 vSAN 資料儲存庫。如果儲存的虛擬機器資料不適合透過簡化和壓縮,或僅透過壓縮來提高 vSAN 空間效率,您可以將 vSAN 空間效率變更為個別 vSAN 資料儲存庫上所選的設定。
除了 vSAN Advanced 功能外,VMware Engine 也提供 vSAN Enterprise 資料加密功能,可用於靜態資料和傳輸中的資料。
vSAN 儲存空間政策
vSAN 儲存空間政策會定義容錯數量 (FTT) 和容錯方法。您可以建立新的儲存空間政策,並套用至 VM。為維持SLA,您必須在 vSAN 資料儲存庫中保留 20% 的備用容量。
每個 vSphere 叢集都有一個預設的 vSAN 儲存空間政策,可套用至 vSAN 資料儲存庫。儲存空間政策會決定如何在資料儲存庫中佈建及分配 VM 儲存空間物件,以確保服務水準。
下表列出預設的 vSAN 儲存空間政策參數:
| FTT | 容錯方法 | vSphere 叢集中的節點數 |
|---|---|---|
| 1 | RAID 1 (鏡像) 建立 2 個副本 |
3 和 4 個節點 |
| 2 | RAID 1 (鏡像) 建立 3 個副本 |
5 至 32 個節點 |
支援的 vSAN 儲存空間政策
下表列出支援的 vSAN 儲存空間政策,以及啟用政策所需的節點數量下限:
| FTT | 容錯方法 | vSphere 叢集中所需的節點數量下限 |
|---|---|---|
| 1 | RAID 1 (鏡像) | 3 |
| 1 | RAID 5 (消除編碼) | 4 |
| 2 | RAID 1 (鏡像) | 5 |
| 2 | RAID 6 (消除編碼) | 6 |
| 3 | RAID 1 (鏡像) | 7 |
NSX Data Center
NSX Data Center 可在私有雲中提供網路虛擬化、微型區隔和網路安全功能。您可以使用 NSX 在私有雲中設定 NSX Data Center 支援的服務。
可用功能
下表依類別列出 VMware Engine 支援的 NSX-T 功能:
- 切換、DNS、DHCP 和 IPAM (DDI):
- 最佳化 ARP 學習和廣播封鎖
- 單播複製作業
- 前端複製
- SpoofGuard
- IP 位址管理
- IP 區塊
- IP 子網路
- IP 集區
- IPv4 DHCP 伺服器
- IPv4 DHCP 轉送
- IPv4 DHCP 靜態繫結/固定位址
- IPv4 DNS 中繼/DNS Proxy
- 路由:
- 空值路徑
- 靜態轉送
- 裝置路由
- 使用路徑圖和前置字串清單的 BGP 路由控制項
- NAT:
- 在北/南和東/西邏輯路由器上使用 NAT
- 來源 NAT
- 目的地 NAT
- N:N NAT
- 防火牆:
- Edge 防火牆
- 分散式防火牆
- 常見的防火牆使用者介面
- 防火牆區段
- 防火牆記錄
- 具有狀態的第 2 層和第 3 層防火牆規則
- 以代碼為基礎的規則
- 分散式防火牆 IPFIX
- 防火牆政策、標記和群組:
- 物件標記/安全性標記
- 以網路為主題的分組
- 以工作負載為主題的分組
- 依 IP 分組
- 以 MAC 為基礎的分組
- VPN:
- Layer 2 VPN
- 第 3 層 VPN (IPv4)
- 整合:
- 僅使用 Tanzu Kubernetes Grid (TKG) 的容器網路與安全性
- VMware Cloud Director 服務
- VMware Aria Automation
- 記錄檔的 VMware Aria 作業
- 驗證和授權:
- 使用 LDAP 進行直接的 Active Directory 整合
- 使用 OpenLDAP 進行驗證
- 依不同的角色授予存取權控制 (RBAC)
- 自動化:
- REST API
- Java SDK
- Python SDK
- Terraform 供應工具
- Ansible 模組
- OpenAPI/Swagger 規格和 REST API 的自動產生 API 說明文件
- 檢查:
- 連接埠鏡像
- Traceflow
- 以交換器為基礎的 IPFIX
功能限制
部分 NSX Data Center 功能有非常特定的網路和安全性用途。如果客戶是在 2022 年 8 月 30 日當天或之前建立帳戶, Google Cloud 可以透過 Cloud 客戶服務團隊申請存取這些用途的功能。
下表說明這些功能、對應的用途,以及可能的替代方案:
| 功能 | 用途 | 建議的替代方案 | Google Cloud 2022 年 8 月 30 日當天或之前的客戶 | Google Cloud 2022 年 8 月 30 日後的客戶 |
|---|---|---|---|---|
| 第 3 層多點傳送 | 多跳第 3 層多播選路 | NSX-T 子網路支援第 2 層多點傳送。這樣一來,所有多播流量就能傳送至相同 NSX-T 子網路上的各項工作負載。 | 支援 | 不支援 |
| 服務品質 (QoS) | 發生網路超訂閱的 VoIP 和延遲敏感應用程式 | 無須設定,因為 VMware Engine 會提供未超額訂閱的網路架構。此外,當 QoS 標記透過對等互連連線進入 VPC 時,會移除任何離開私有雲的 QoS 標記。 | 支援 | 不支援 |
| 簡單網路管理協定 (SNMP) 陷阱 | 用於通知使用者事件的舊版警示通訊協定 | 您可以使用最新的通訊協定,在 NSX-T 中設定事件和警報。 | 支援 | 不支援 |
| NAT 功能,例如無狀態 NAT、NAT 記錄和 NAT64 | 用於大型電信部署作業中的電信業者級 NAT | NSX-T 支援來源/目的地 NAT 和 N:N NAT,適用於北/南和東/西邏輯路由器。 | 支援 | 不支援 |
| 意圖為主的網路與安全性政策 | 可與 VMware Aria 搭配使用,在 NSX-T 中建立以業務為準的防火牆政策 | 您可以使用 NSX-T Gateway 和分散式防火牆功能來建立及強制執行安全性政策。 | 支援 | 不支援 |
| 使用 Active Directory 的 ID 群組 | 可偵測使用者登入特定 VDI 訪客的 VDI 部署作業,並接收一組自訂的 NSX-T 防火牆規則 | 您可以使用專屬指派資源池,為使用者指派特定工作站。接著使用 NSX-T 標記,依集區套用特定防火牆規則。 | 支援 | 不支援 |
| 層級 7 屬性 (應用程式 ID) 規則 | 用於 NSX-T 防火牆規則 | 使用 NSX-T 服務群組定義一組連接埠和服務,以便在建立一或多個防火牆規則時做為參考。 | 支援 | 不支援 |
| 無狀態第 2 層和第 3 層防火牆規則 | 用於大型電信部署作業中的電信級高速防火牆 | NSX-T 支援具狀態的高效能第 2 層和第 3 層規則。 | 支援 | 不支援 |
| NSX-T 服務插入 | 用於使用 NSX-T 保護及檢查流量,自動執行第三方網路服務的南北向或東西向部署作業 | 針對第三方安全性供應商部署作業,VMware Engine 建議使用路由模式,而非服務插入模式,以確保例行服務升級不會影響網路可用性。 | 與 Cloud Customer Care 聯絡 | 不支援 |
使用授權
Google Cloud 是 VMware Cloud 合作夥伴。您可以選擇承諾使用折扣 (CUD) 類型,在 VMware Engine 服務中納入授權,也可以選擇自備授權。
更新和升級
本節說明更新和升級注意事項,以及軟體元件的生命週期管理責任。
HCX
VMware Engine 會處理私有雲中 HCX 的初始安裝、設定和監控作業。之後,您必須負責 HCX Cloud 和 HCX-IX Interconnect 等服務機器的生命週期管理。
VMware 會透過 HCX 服務提供 HCX Cloud 更新。您可以透過 HCX Cloud 介面升級 HCX Manager 和已部署的 HCX 服務設備。如要查看產品版本的支援終止日期,請參閱 VMware 產品生命週期矩陣。
其他 VMware 軟體
Google 負責私有雲中 VMware 軟體 (ESXi、vCenter、PSC 和 NSX) 的生命週期管理。
軟體更新內容包括:
- 修補程式:VMware 發布的安全性修補程式或錯誤修正程式
- 更新:VMware 堆疊元件的次要版本變更
- 升級:VMware 堆疊元件的重大版本變更
只要 VMware 提供重大安全性修補程式,Google 就會立即測試。根據服務水準協議,Google 會在 1 週內為私有雲端環境推出安全性修補程式。
Google 會每季為 VMware 軟體元件提供維護更新。對於新的 VMware 軟體主要版本,Google 會與客戶合作,協調適當的維護時段來進行升級。
vSphere 叢集
為確保私有雲的高可用性,ESXi 主機會設為叢集。建立私有雲時,VMware Engine 會在第一個叢集上部署 vSphere 的管理元件。VMware Engine 會為管理元件建立資源集區,並在這個資源集區中部署所有管理 VM。
無法刪除第一個叢集來縮小私有雲。vSphere 叢集會使用 vSphere HA,為 VM 提供高可用性。容許的失敗次數 (FTT) 取決於叢集中可用的節點數量。公式 Number of nodes = 2N+1 (其中 N 是 FTT) 會說明叢集中可用節點與 FTT 之間的關係。
如果是正式工作負載,請使用至少含有 3 個節點的私有雲。
單一節點私有雲
如要使用 VMware Engine 進行測試和概念驗證,您可以建立只包含單一節點和叢集的私有雲。VMware Engine 會在 60 天後刪除僅含 1 個節點的私有雲,以及任何相關聯的工作負載 VM 和資料。
您可以調整單一節點私有雲的大小,讓私有雲包含 3 個以上的節點。這樣做之後,VMware Engine 會啟動 vSAN 資料複製作業,並且不再嘗試刪除私有雲。私有雲必須包含至少 3 個節點,並完成 vSAN 資料複製作業,才能符合SLA的涵蓋範圍。
需要超過 1 個節點的功能或作業無法在單一節點私有雲中運作。舉例來說,您將無法使用 vSphere Distributed Resource Scheduler (DRS) 或高可用性 (HA)。
vSphere 叢集限制
下表說明符合 SLA 規定的私有雲中 vSphere 叢集限制:
| 資源 | 限制 |
|---|---|
| 建立私有雲 (第一個叢集) 的節點數量下限 | 3 |
| 建立叢集的節點數量下限 | 3 |
| 每個叢集的節點數量上限 | 32 |
| 每個私有雲的節點數量上限 | 96 |
| 每個私有雲的叢集數量上限 | 21 |
支援的訪客作業系統
您可以使用 VMware 支援的任何訪客作業系統,在私有雲中安裝 ESXi 版本的 VM。如需支援的來賓作業系統清單,請參閱VMware 來賓作業系統相容性指南。
VMware 基礎架構維護
有時需要變更 VMware 基礎架構的設定。這些間隔可能每 1 至 2 個月發生一次,但頻率預計會隨時間下降。這類維護作業通常不會中斷服務的正常使用情形。
在 VMware 維護期間,下列服務會繼續運作,不會受到任何影響:
- VMware 管理層和應用程式
- vCenter 存取權
- 所有網路和儲存空間
- 所有雲端流量
外部儲存空間
您可以新增更多節點,擴充 Google Cloud VMware Engine 叢集的儲存空間容量。或者,如果您只想擴充儲存空間,也可以使用外部儲存空間。擴充儲存空間可增加儲存空間,且不會增加叢集的運算容量,讓您能獨立擴充資源。
如要進一步瞭解如何使用外部儲存空間,請與 Google 支援團隊或業務代表聯絡。
後續步驟
- 瞭解私有雲維護和更新。