Partilhe grupos de nós de inquilino único

Os grupos de nós de inquilino único partilhados são semelhantes aos grupos de nós de inquilino único locais. Por exemplo, os grupos de nós partilhados têm o mesmo custo, consomem a mesma quota e residem num projeto principal na hierarquia de recursos.

A diferença entre os grupos de nós partilhados e os grupos de nós locais é que outros projetos na sua organização podem aprovisionar instâncias de máquinas virtuais (VMs) nos grupos de nós partilhados.

A partilha de um grupo de nós em vários projetos ou numa organização pode ajudar a fazer o seguinte:

• Consolide os grupos de nós que gere num único projeto e, em seguida, partilhe esses nós com outros projetos ou com toda a organização

• Diminua os custos eliminando nós após consolidar VMs de vários projetos em grupos de nós subutilizados

• Faça a gestão de nós de inquilino único com uma única equipa

• Partilhe nós de inquilino único com projetos mais pequenos e mantenha os limites de segurança e controlo de acesso entre esses projetos

• Realize uma migração em direto entre grupos de nós no mesmo projeto

• Melhore a utilização dos seus grupos de nós e reduza o número de nós de manutenção reservados quando usar a política de manutenção Migrar no grupo de nós

O diagrama seguinte mostra um grupo de nós partilhado com outros projetos para que outros departamentos que gerem VMs nesses projetos possam aprovisionar VMs num grupo de nós partilhado.

Vantagens de utilização dos grupos de nós partilhados

A tabela seguinte compara projetos que usam grupos de nós locais com projetos que usam grupos de nós partilhados. Tenha em atenção que a subutilização da vCPU diminui nos projetos que usam grupos de nós partilhados.

Definições para partilhar grupos de nós

O Compute Engine usa as seguintes definições para partilhar grupos de nós e aprovisionar VMs nos grupos de nós partilhados:

• Uma definição de partilha que configura quando cria ou atualiza o grupo de nós de inquilino único. Para especificar se o grupo de nós deve ser partilhado com outros projetos ou com toda a organização, use as definições da CLI gcloud (--share-setting, --share-with) ou as definições REST (shareSetting, shareWith).

• Uma etiqueta de afinidade de nós compute.googleapis.com/projectpredefinida que usa quando aprovisiona uma VM num grupo de nós partilhado através de etiquetas de afinidade de nós. Para obter informações sobre as outras etiquetas de afinidade de nós predefinidas, consulte o artigo Etiquetas de afinidade predefinidas.

Considerações sobre a política de manutenção

Quando um grupo de nós usa a política de manutenção Migrar no grupo de nós, o Compute Engine reserva, pelo menos, 1 nó para eventos de migração em direto. Por isso, o grupo de nós tem de ter, pelo menos, 2 nós. Não pode agendar VMs no nó reservado, pelo que os grupos de nós com esta política de manutenção têm frequentemente uma utilização geral inferior. Isto torna as cargas de trabalho que requerem a política de manutenção Migrate within node group bons candidatos para a partilha de grupos de nós, uma vez que, muitas vezes, obtêm o maior benefício da utilização melhorada.

Funções e autorizações do IAM

Tenha em atenção as seguintes informações sobre as funções e as autorizações da IAM quando partilha um grupo de nós:

• Se um grupo de nós for partilhado com um projeto, qualquer utilizador que possa criar VMs nos projetos indicados ou na organização pode aprovisionar VMs a partir desses projetos no grupo de nós partilhado sem alterações às funções ou autorizações de IAM.

• A função do IAM compute.soleTenantViewer permite-lhe listar e ver grupos de nós (CLI gcloud / REST). Não pode modificar grupos de nós com esta função. Qualquer utilizador com esta função ou com autorizações para indicar grupos de nós, independentemente das autorizações de IAM na VM, pode ver o ID do projeto, o nome, o tipo de máquina e as informações sobre SSDs locais e GPUs para todas as VMs no grupo de nós.

Limitações

• Limitações do regime de conformidade:

  • Independentemente das autorizações de IAM na VM, qualquer utilizador com autorizações para indicar grupos de nós pode ver o ID do projeto, o nome e o tipo de máquina para todas as VMs no grupo de nós. Assim, devido ao risco de divulgação de informações entre projetos, os projetos que tenham VMs aprovisionadas em grupos de nós partilhados devem estar ao abrigo do mesmo regime de conformidade.

• Trusted Cloud Limitações da consola:

  • Se não tiver autorização para ver VMs no grupo de nós partilhado, essas VMs não aparecem na lista de VMs na página Nós de inquilino único na Trusted Cloud consola.
  • Depois de modificar as definições de partilha na página Grupos de nós de inquilino único, a definição Partilhado com não é atualizada na IU. Para ver a definição Partilhado com atualizada, aceda à página Nós de inquilino único.
  • Depois de partilhar um grupo de nós com todos os projetos numa organização ou com projetos selecionados numa organização, só pode ver o grupo de nós partilhado a partir do respetivo projeto proprietário. Não pode ver o grupo de nós partilhado a partir dos projetos com os quais foi partilhado. Para aprovisionar uma VM no grupo de nós partilhado, a partir do projeto com o qual o grupo de nós é partilhado, aceda à página Instâncias de VM e, de seguida, modifique as etiquetas de afinidade de nós de arrendamento exclusivo.

• Limitações de partilha:

  • Tem de atualizar as definições de partilha a partir do projeto proprietário do grupo de nós.
  • Pode especificar um máximo de 100 projetos quando usa a definição de partilha projects.
  • Não pode partilhar grupos de nós entre organizações. Por exemplo, se migrar um projeto que contenha um grupo de nós partilhado de uma organização para outra, também tem de migrar todos os projetos que tenham VMs em execução nesse grupo de nós partilhado.
  • Não pode fazer a migração em direto entre projetos quando usa grupos de nós de inquilino único partilhados. Para mais informações, consulte o artigo Migre VMs manualmente em direto.

Antes de começar

• Antes de criar um grupo de nós de inquilino único, crie um modelo de nó de inquilino único.
• Antes de aprovisionar VMs num nó de inquilino único, verifique a sua quota. Consoante o número e o tamanho dos nós que reservar, pode ter de pedir quota adicional.
• Se ainda não o tiver feito, configure a autenticação. A autenticação valida a sua identidade para aceder a Trusted Cloud by S3NS serviços e APIs. Para executar código ou exemplos a partir de um ambiente de desenvolvimento local, pode autenticar-se no Compute Engine selecionando uma das seguintes opções:

  Select the tab for how you plan to use the samples on this page:

  Console

  When you use the Trusted Cloud console to access Trusted Cloud by S3NS services and APIs, you don't need to set up authentication.

  gcloud

  1. Instale a CLI Google Cloud e, em seguida, inicie sessão na CLI gcloud com a sua identidade federada. Depois de iniciar sessão, inicialize a CLI gcloud executando o seguinte comando:

     gcloud init

  2. Set a default region and zone.

  REST

  Para usar os exemplos da API REST nesta página num ambiente de desenvolvimento local, usa as credenciais que fornece à CLI gcloud.

  Instale a CLI Google Cloud e, em seguida, inicie sessão na CLI gcloud com a sua identidade federada. Depois de iniciar sessão, inicialize a CLI gcloud executando o seguinte comando:

  gcloud init

  Para mais informações, consulte o artigo Autenticar para usar REST na Trusted Cloud documentação de autenticação.

Crie um novo grupo de nós e partilhe-o

Para criar um novo grupo de nós e partilhá-lo com outros projetos ou com toda a organização, use a consola, a CLI gcloud ou a API REST. Trusted Cloud

gcloud compute sole-tenancy node-groups create NODE_GROUP \
    --zone=ZONE \
    --node-template=NODE_TEMPLATE \
    --target-size=SIZE \
    --share-setting=SHARE_SETTING \
    --share-with=PROJECTS

POST https://compute.googleapis.com/compute/v1/projects/PROJECT/zones/ZONE/nodeGroups

{
  ...
  "name": NODE_GROUP,
  "nodeTemplate": NODE_TEMPLATE,
  "size": SIZE,
  "shareSettings": {
    "shareType": SHARE_TYPE,
    "projectMap": {
      string: {
        "projectId": PROJECTS
      },
    }
  }
  ...
}

Aprovisione uma VM de inquilino único num grupo de nós partilhado

Para aprovisionar uma VM de inquilino único num grupo de nós partilhado, use a Trusted Cloud consola, a CLI gcloud ou REST.

gcloud compute instances create VM_NAME \
    --machine-type=MACHINE_TYPE \
    --node-group=NODE_GROUP \
    --node-project=NODE_PROJECT

gcloud compute instances create VM_NAME \
    --machine-type=MACHINE_TYPE \
    --node-affinity-file=NODE_AFFINITY_FILE

POST https://compute.googleapis.com/compute/v1/projects/PROJECT/zones/ZONE/instances

{
  ...
  "name": VM_NAME,
  "machineType": MACHINE_TYPE,
  "scheduling": {
    ...
    "nodeAffinities": [
      {
        "key": KEY,
        "operator": OPERATOR,
        "values": [
          VALUE
        ]
      }
    ],
    ...
  },
  ...
}

Veja as definições de partilha de um grupo de nós

Para ver as definições de partilha de um grupo de nós, use a Trusted Cloud consola, a CLI gcloud ou o REST.

gcloud compute sole-tenancy node-groups describe NODE_GROUP

GET https://compute.googleapis.com/compute/v1/projects/PROJECT/zones/ZONE/nodeGroups

Partilhe um grupo de nós existente

Para partilhar um grupo de nós existente com outros projetos ou com toda a organização, use a Trusted Cloud consola, a CLI gcloud ou REST.

gcloud compute sole-tenancy node-groups update NODE_GROUP \
    --zone=ZONE \
    --share-setting=SHARE_SETTING \
    --share-with=PROJECTS

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT/zones/ZONE/nodeGroups/NODE_GROUP

{
  "shareSettings": {
    "shareType": SHARE_TYPE,
    "projectMap": {
      string: {
        "projectId": PROJECTS
      },
    }
  }
}

Pare de partilhar um grupo de nós

Para parar de partilhar um grupo de nós com outros projetos ou com toda a organização, use a CLI gcloud ou o REST.

gcloud compute sole-tenancy node-groups update NODE_GROUP \
    --zone=ZONE \
    --share-setting=local

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT/zones/ZONE/nodeGroups/NODE_GROUP

{
  "shareSettings": {
    "shareType": LOCAL
  }
}

Elimine um grupo de nós partilhado do projeto proprietário

Para eliminar um grupo de nós partilhado do projeto proprietário, use a Trusted Cloud consola, a CLI gcloud ou REST. Antes de eliminar um grupo de nós, pare todas as VMs que estão a ser executadas no grupo de nós.

gcloud compute sole-tenancy node-groups delete NODE_GROUP

DELETE https://compute.googleapis.com/compute/v1/projects/PROJECT/zones/ZONE/nodeGroups/NODE_GROUP