Migrar a una plataforma de VMware Engine de Google Cloud

Last reviewed 2024-09-17 UTC

Muchas empresas quieren migrar sus clústeres de VMware a la nube para aprovechar la escalabilidad, la resiliencia y la elasticidad de la nube, así como servicios de nivel superior como Vertex AI Studio y BigQuery. Las empresas también quieren pasar de un modelo de hardware que requiere una gran inversión de capital a un modelo de gastos operativos más flexible. Para ayudar a las empresas a crear rápidamente un entorno operativo que siga las Google Cloud prácticas recomendadas, hemos creado el plan técnico empresarial de VMware Engine de Google Cloud. Este plano técnico te ofrece una guía completa para desplegar un entorno de VMware listo para empresas, de forma que puedas migrar tus cargas de trabajo de máquinas virtuales a la nube.

VMware Engine es un servicio totalmente gestionado que te permite ejecutar la plataforma VMware en Google Cloud. Tus cargas de trabajo de VMware se ejecutan en Google Cloud hardware Google Clouddedicado, totalmente integrado con los servicios. Google se encarga de la infraestructura, las redes y la gestión. El plano técnico te permite desplegar un Google Cloud proyecto que contiene una nube privada de VMware Engine, una red de VMware Engine gestionada por Google y las conexiones de emparejamiento de redes de VPC que permiten que el tráfico fluya de extremo a extremo.

El plano técnico de VMware Engine Enterprise incluye lo siguiente:

  • Repositorios de GitHub que contienen el código de Terraform y las secuencias de comandos auxiliares necesarias para desplegar la plataforma VMware Engine
  • Una guía sobre la arquitectura, las redes y los controles de seguridad que se utilizan para implementar los repositorios de GitHub (este documento)

El plan se ha diseñado para ejecutarse sobre una base de servicios básicos, como las redes VPC. Puedes usar el blueprint de la base de la empresa o Fabric FAST para crear la base de este blueprint.

Este documento está dirigido a arquitectos de la nube, administradores de plataformas en la nube, administradores de VMware Engine e ingenieros de VMware Engine que pueden usar el plano para crear y desplegar clústeres de VMware enGoogle Cloud. El plan se centra en el diseño y la implementación de una nueva nube privada de VMware Engine y presupone que conoces VMware y el servicio gestionado de VMware Engine.

Información general del blueprint empresarial de VMware Engine

El plan técnico empresarial de VMware Engine se basa en un enfoque por capas para habilitar la plataforma VMware Engine. En el siguiente diagrama se muestra la interacción de varios componentes de este plano con otros planos y servicios.

Capas y componentes de planos.

Este diagrama incluye lo siguiente:

  • La Google Cloud infraestructura te ofrece funciones de seguridad, como el cifrado en reposo y el cifrado en tránsito, así como componentes básicos, como la computación y el almacenamiento.
  • La base de la empresa te proporciona una base de recursos, como redes, identidades, políticas, monitorización y registro. Estos recursos te permiten adoptar rápidamente Google Cloud y, al mismo tiempo, cumplir los requisitos de arquitectura de tu organización.

  • El plano técnico de VMware Engine para empresas te ofrece lo siguiente:

  • La automatización de los despliegues mediante un flujo de procesamiento de CI/CD te proporciona las herramientas necesarias para automatizar el aprovisionamiento, la configuración y la gestión de la infraestructura. La automatización te ayuda a asegurar que los despliegues sean coherentes, fiables y auditables, a minimizar los errores manuales y a acelerar el ciclo de desarrollo en general.

Arquitectura

En el siguiente diagrama se muestra la arquitectura que implementa el plano técnico de empresa de VMware Engine.

Arquitectura del plano.

El plan de implementación despliega lo siguiente:

  • Un Google Cloud proyecto llamado proyecto de VMware Engine independiente que contiene una nube privada de VMware Engine
  • Un proyecto gestionado por Google para la red de VMware Engine
  • Las conexiones de emparejamiento de redes de VPC para que el tráfico pueda fluir desde las aplicaciones de VMware Engine a los clientes

La nube privada de VMware Engine consta de los siguientes componentes:

  • Herramientas de gestión: VLAN y subred para la red de gestión de hosts ESXi, servidor DNS y vCenter Server
  • Copia de seguridad: infraestructura de copia de seguridad para máquinas virtuales de cargas de trabajo
  • Máquinas virtuales: VMs de cargas de trabajo
  • Servidor vCenter: gestión centralizada del entorno de vSphere de la nube privada
  • NSX Manager: proporciona una única interfaz para configurar, monitorizar y gestionar los servicios de redes y seguridad de NSX-T.
  • Hosts de ESXi: hipervisor en nodos dedicados
  • Almacenamiento vSAN: plataforma de almacenamiento hiperconvergente definida por software
  • Red de superposición NSX-T: software de virtualización y seguridad de redes
  • VMware HCX: migración de aplicaciones y reequilibrio de cargas de trabajo entre centros de datos y nubes

Información general sobre las redes de VMware Engine

La red de VMware Engine es una red dedicada que conecta la nube privada de VMware Engine, las redes de VPC y los entornos on-premise. La red de VMware Engine tiene las siguientes funciones:

  • Conectividad de la nube privada: cada nube privada de VMware Engine está conectada a una red de VMware Engine, lo que permite la comunicación entre las cargas de trabajo de la nube privada.
  • Conectividad de red de VMware Engine: puede usar el emparejamiento entre redes de VPC para establecer la conectividad entre las redes de VMware Engine y una VPC de Google. Esta conectividad permite la comunicación entre las cargas de trabajo que se ejecutan en VMware Engine y las que se ejecutan en otros servicios de Google Cloud.
  • Conectividad on‐premise: para crear una solución de nube híbrida, puedes extender las redes de VMware Engine a centros de datos on‐premise mediante Cloud VPN o Cloud Interconnect.
  • Servicios de red: las redes de VMware Engine usan varios servicios de red, entre los que se incluyen los siguientes:
    • Cloud DNS para la resolución de nombres de recursos internos y externos
    • Cloud NAT para que las cargas de trabajo de la nube privada accedan a Internet
    • Emparejamiento entre redes de VPC para la conectividad de red con otras VPCs y otras redes de VMware Engine
    • Conectividad privada con las APIs y los servicios de Google Cloud

Con VMware Engine, eres responsable de crear y gestionar las VMs de carga de trabajo mediante la superficie de gestión de aplicaciones de VMware.Google Cloud se encarga de aplicar parches y actualizar los componentes de la infraestructura, así como de corregir los componentes que fallen.

Decisiones arquitectónicas clave

Área de decisión Decisión Motivo de la decisión
Fundación Puedes implementar el blueprint de empresa de VMware Engine en el blueprint de aspectos básicos de seguridad para empresas, en Fabric FAST o en una base que cumpla los requisitos definidos. Tanto el plan técnico de aspectos básicos de seguridad para empresas como Fabric FAST proporcionan las funciones básicas que ayudan a las empresas a adoptar Google Cloud.
Computación Puedes desplegar un solo clúster privado en una región concreta o dos clústeres privados en dos regiones. La configuración de un solo clúster privado permite simplificar la gestión y optimizar los costes.
El modelo despliega un nodo de repuesto. Un solo nodo de repuesto te permite tener capacidad para gestionar fallos, eventos de mantenimiento y fluctuaciones de carga de trabajo, al tiempo que minimizas los costes.
Las copias de seguridad y la recuperación tras fallos se gestionan mediante el servicio de copia de seguridad y recuperación tras fallos. Con Backup and DR, puedes usar un servicio gestionado y reducir la cantidad de administración que se requiere para una implementación de VMware Engine.
Redes El plano técnico permite la conectividad híbrida. La conectividad híbrida te permite conectar tu entorno local con tu entorno de Google Cloud .
La nube privada usa un espacio de IP privado, enrutable y contiguo. El espacio de IP contiguo facilita la gestión de las direcciones IP. Cuando el espacio de IP se puede enrutar, la nube privada puede comunicarse con tus recursos locales.
El acceso a Internet se proporciona a través de Cloud Load Balancing y está protegido por Cloud Armor. Cloud Armor mejora la postura de seguridad de las cargas de trabajo, mientras que Cloud Load Balancing ayuda a habilitar la escalabilidad y la alta disponibilidad de las cargas de trabajo.
El blueprint habilita Cloud DNS. Cloud DNS resuelve nombres internos y externos.

Perfiles ficticios de la plataforma

El blueprint usa dos grupos de usuarios: un grupo de ingeniería de plataformas en la nube y un grupo de ingeniería de plataformas de VMware. Estos grupos tienen las siguientes responsabilidades:

  • El grupo de ingeniería de la plataforma en la nube se encarga de desplegar la base del plano técnico de VMware Engine y el plano técnico.
  • El grupo de ingeniería de la plataforma VMware se encarga de la configuración y el funcionamiento de los componentes de VMware que forman parte de la nube privada.

Si vas a implementar el blueprint en el blueprint de la base de la empresa o en Fabric FAST, el grupo de ingeniería de la plataforma en la nube se crea como parte del proceso de implementación inicial. El grupo de ingeniería de la plataforma VMware se implementa como parte de este plano.

Estructura de la organización

El plano de aspectos básicos de la empresa de VMware Engine se basa en la estructura organizativa del plano de aspectos básicos de la empresa y de Fabric FAST. Añade un proyecto de VMware Engine independiente en los entornos de producción, no producción y desarrollo. En el siguiente diagrama se muestra la estructura del plano.

Jerarquía de la organización del plano.

Redes

El plano técnico empresarial de VMware Engine te ofrece las siguientes opciones de red:

  • Una sola red de VPC compartida para una nube privada de VMware Engine
  • Dos instancias de VPC compartida para una nube privada

Ambas opciones se implementan en una sola región y te permiten gestionar el tráfico de tu entorno local.

En el siguiente diagrama se muestra una sola red de VPC compartida de una sola región.

Redes con una sola red de VPC compartida.

Las instancias de VPC compartida independientes te permiten agrupar los costes y el tráfico de red en unidades de negocio distintas, al tiempo que mantienes la separación lógica en la nube privada de VMware Engine. En el siguiente diagrama se muestran varias redes de VPC compartida en una sola región.

Redes con varias redes de VPC compartidas.

Red de nube privada

En la nube privada, la red se basa en NSX-T, que proporciona una capa de red definida por software con funciones avanzadas como la microsegmentación, el enrutamiento y el balanceo de carga. El blueprint de VMware Engine crea una red para tu servicio de VMware Engine. Esta red es un único espacio de direcciones de capa 3. El enrutamiento está habilitado de forma predeterminada, lo que permite que todas las nubes privadas y subredes de la región se comuniquen sin necesidad de configuración adicional. Como se muestra en el siguiente diagrama, cuando se crea una nube privada, se crean varias subredes que constan de subredes de gestión, de servicio, de carga de trabajo y de servicio perimetral.

Red de nube privada de este plano.

Cuando configures tu nube privada, debes seleccionar un intervalo CIDR que no se solape con otras redes de tu nube privada, tu red local, tu red de gestión de la nube privada o los intervalos de direcciones IP de subred de tu red de VPC. Después de seleccionar un intervalo de CIDR, VMware Engine asignará automáticamente direcciones IP a varias subredes. En el siguiente ejemplo, se usa el intervalo CIDR 10.0.0.0/24. La tabla muestra los intervalos de direcciones IP del blueprint para sus subredes de gestión.

Subred Descripción Intervalo de direcciones IP
Gestión del sistema VLAN y subred de la red de gestión de los hosts ESXi, el servidor DNS y vCenter Server 10.0.0.0/26
VMotion VLAN y subred de la red de vMotion para hosts ESXi 10.0.0.64/28
Enlace ascendente HCX Enlace ascendente para que los dispositivos HCX IX (movilidad) y NE (extensión) puedan comunicarse con sus iguales y permitir la creación de la malla de servicios de HCX 10.0.0.216/29

Las máquinas virtuales de la carga de trabajo se encuentran en la subred de NSX-T. Los enlaces ascendentes de borde de NST-T proporcionan conectividad externa. El tamaño del intervalo CIDR de tu instancia de Private Cloud define el número de nodos ESXi que se pueden admitir en la subred de NSX-T. Los nodos ESXi usan la subred de VSAN para el transporte de almacenamiento.

En la siguiente tabla se muestran los intervalos de direcciones IP de la subred de transporte del host de NSX-T, las subredes de enlace ascendente de NSX-T Edge y las subredes de vSAN, en función del intervalo CIDR 10.0.0.0/24.

Subred Descripción Intervalo de direcciones IP
VSAN La subred de VSAN se encarga del tráfico de almacenamiento entre los hosts ESXi y los clústeres de almacenamiento de VSAN. 10.0.0.80/28
Transporte de host de NSX-T La VLAN y la subred de la zona del host ESXi responsable de la conectividad de red, que permite el uso de cortafuegos, el enrutamiento, el balanceo de carga y otros servicios de red. 10.0.0.128/27
Uplink de NSX-T edge-N [N=1-4] El enlace ascendente de perímetro de NSX-T permite que los sistemas externos accedan a los servicios y las aplicaciones que se ejecutan en la red de NSX-T.
  • 10.0.0.160/29
  • 10.0.0.168/29
  • 10.0.0.176/29
  • 10.0.0.184/29

En el caso de las subredes de servicio y la subred de servicio perimetral, VMware Engine no asigna un intervalo ni un prefijo CIDR. Por lo tanto, debes especificar un intervalo y un prefijo CIDR que no se solapen. En la siguiente tabla se muestran los bloques de CIDR del blueprint para las subredes de servicio y la subred de servicio perimetral.

Subred Descripción Intervalo de direcciones IP
Service-N [N=1-5] Las subredes de servicio permiten que las máquinas virtuales omitan el transporte de NSX y se comuniquen directamente con la Google Cloud red para habilitar comunicaciones de alta velocidad.
  • 10.0.2.0/24
  • 10.0.3.0/24
  • 10.0.4.0/24
  • 10.0.5.0/24
Servicio perimetral Obligatorio si se habilitan servicios perimetrales opcionales, como la VPN de punto a sitio, el acceso a Internet y la dirección IP externa. Se determinan los intervalos de cada región. 10.0.1.0/26

Enrutamiento

A excepción de las redes que se extienden desde tu red local u otras nubes privadas de VMware Engine, todas las comunicaciones dentro de VMware Engine y a direcciones IP externas se enrutan (a través de la capa 3) de forma predeterminada. El blueprint configura un Cloud Router asociado a la conexión híbrida local (mediante Cloud VPN o Cloud Interconnect) con rutas anunciadas personalizadas de resumen para los intervalos de direcciones IP de VMware Engine. Las rutas de segmento de NSX se resumen a nivel de nivel 0. El plano técnico habilita los servicios DHCP a través de NSX-T DHCP Relay para los servicios DHCP que se configuran en la nube privada de VMware Engine.

Configuración de DNS

VMware Engine te permite usar una zona de Cloud DNS en tu proyecto como un único endpoint de resolución de DNS para todos los dispositivos de gestión conectados en una red de VPC emparejada. Puedes hacerlo aunque tus nubes privadas estén desplegadas en diferentes regiones.

Cuando configures la resolución de direcciones para varias nubes privadas o una sola, puedes configurar la resolución de direcciones global con Cloud DNS.

De forma predeterminada, puedes resolver la zona de gestión desde cualquiera de tus redes de VPC que tenga habilitado Cloud DNS.

Cuando el plano crea una nube privada vinculada a una red estándar de VMware Engine, se crea una zona DNS de gestión asociada y se rellena automáticamente con las entradas de los dispositivos de gestión.

Si la red estándar de VMware Engine es una red de VPC emparejada con otra red de VPC u otra red de VMware Engine, el blueprint crea automáticamente un enlace de zona DNS de gestión. Esta vinculación de zona asegura la resolución de los dispositivos de gestión de tus máquinas virtuales Google Cloud en esa red. En el siguiente diagrama se muestra la topología de Cloud DNS.

La configuración de DNS del plano.

Tráfico saliente de VMware Engine a Internet

El plano técnico te ofrece las tres opciones siguientes para el tráfico saliente de VMware Engine a Internet:

  1. Saliente a través del entorno local del cliente
  2. Saliente a través de la pasarela de Internet de VMware Engine
  3. Saliente a través de la VPC conectada del cliente mediante una dirección IP externa

En el siguiente diagrama se muestran estas opciones.

Opciones de tráfico saliente de VMware Engine.

Tráfico entrante de Internet a VMware Engine

El blueprint te ofrece las tres opciones siguientes para el tráfico que llega a VMware Engine desde Internet:

  1. Entrante a través del entorno local del cliente
  2. Entrante a través de una VPC de cliente con Cloud Load Balancing y, posiblemente, Cloud Armor
  3. Entrante a través de VMware Engine mediante una dirección IP externa

En el siguiente diagrama se muestran estas opciones.

Opciones de tráfico entrante para VMware Engine.

Almacenamiento de registros

El blueprint te permite enviar las acciones administrativas de VMware Engine a Registros de auditoría de Cloud mediante un receptor de registro. Al analizar los registros de auditoría de VMware Engine, los administradores pueden identificar comportamientos sospechosos, investigar incidentes y demostrar el cumplimiento de los requisitos normativos.

Las exportaciones de registros también pueden servir como fuentes de ingesta para sistemas de gestión de información y eventos de seguridad (SIEM). Google admite las siguientes fuentes de ingestión que sirven a VMware Engine:

  • La organización de alojamiento Google Cloud , que incluye la estructura de la nube y la telemetría de los recursos
  • Componentes de servicio de VMware
  • Cargas de trabajo que se ejecutan en VMware Engine

Google SecOps incluye un flujo de procesamiento de ingestión de registros automatizado integrado para ingerir datos de la organización y proporciona sistemas de reenvío para enviar telemetría de streaming desde VMware Engine y cargas de trabajo al flujo de procesamiento de ingestión de Google SecOps. Google SecOps enriquece la telemetría con contenido contextual y permite hacer búsquedas en ella. Puedes usar Google SecOps para encontrar y monitorizar problemas de seguridad a medida que se producen.

Supervisión

El plano instala un agente independiente para Cloud Monitoring para reenviar métricas de tu nube privada a Cloud Monitoring. El blueprint configura paneles de control predefinidos que ofrecen una vista general de tus recursos de VMware Engine y del uso de recursos. En VMware vCenter Server, VMware proporciona herramientas para ayudarte a monitorizar tu entorno y localizar el origen de los problemas. Puedes usar estas herramientas como parte de tus operaciones habituales y como complemento de otras opciones de monitorización.

Como se muestra en el siguiente diagrama, el blueprint automatiza la implementación del agente independiente mediante un grupo de instancias gestionadas que se implementa en la VPC del cliente. El agente recoge métricas y registros syslog de VMware vCenter y los reenvía a Cloud Monitoring y Cloud Logging.

Monitorización del modelo.

Copias de seguridad

El plan usa Backup and DR para proporcionar servicios de protección de datos a tus cargas de trabajo de VMware. El servicio usa un dispositivo gestionado que se implementa en la VPC del cliente. El dispositivo está conectado al plano de control de Google a través del acceso privado de Google y websockets. Las copias de seguridad se almacenan en Cloud Storage y el servicio ofrece opciones de recuperación detalladas, lo que te permite restaurar archivos concretos o máquinas virtuales completas en un momento específico.

Prácticas recomendadas operativas

En esta sección se describen algunas de las prácticas recomendadas que puedes implementar, en función de tu entorno y tus requisitos, después de implementar el blueprint.

Añadir más nodos de repuesto

Los clústeres de VMware Engine se dimensionan automáticamente para que tengan al menos un nodo de repuesto para aumentar la resiliencia. Un nodo de reserva es un comportamiento inherente de vSphere HA, lo que significa que este nodo está disponible en el clúster y se factura en consecuencia.

Puedes añadir más nodos de repuesto al clúster para garantizar la capacidad durante las ventanas de mantenimiento. Esta decisión puede conllevar costes de consumo adicionales y tu organización gestiona directamente estos nodos.

Los nodos de repuesto que añadas aparecerán como nodos adicionales en tu clúster de vSphere. También puedes programar cargas de trabajo en los nodos de repuesto.

Tener en cuenta los límites de recursos de las nubes privadas

Las nubes privadas de VMware Engine tienen límites de recursos en los componentes de computación, almacenamiento y redes. Ten en cuenta estos límites durante la implementación de tu nube privada para que tu entorno pueda escalarse según las demandas de tu carga de trabajo.

Implementar opciones de gestión de costes

Puedes implementar una o varias de las siguientes opciones para gestionar tus costes:

  • Descuentos por compromiso de uso (CUDs)
  • Autoescalado
  • Límites de recuento de núcleos
  • Sobresuscripción de capacidad de computación

Usar descuentos por compromiso de uso

Los descuentos por uso confirmado ofrecen precios rebajados a cambio de tu compromiso de usar un nivel mínimo de recursos durante un periodo determinado. Los CUDs de VMware Engine se aplican al uso agregado de nodos de VMware Engine en una región, lo que te permite disfrutar de costes bajos y predecibles sin tener que hacer ningún cambio ni actualización manual. Los descuentos se aplican al uso de nodos de VMware Engine en las regiones en las que el servicio está disponible y en las que has comprado los DUCs.

Usar el autoescalado

VMware Engine te permite añadir o quitar nodos automáticamente en un clúster en función de umbrales y marcas de agua predefinidos. Estas políticas se activan si se mantiene una condición especificada durante al menos 30 minutos. Cuando apliques o actualices una política de escalado automático en un clúster de vSphere (estándar o extendido), ten en cuenta lo siguiente:

  • De forma predeterminada, el autoescalado está inhabilitado. Debes habilitarlo explícitamente en cada clúster.
  • En un clúster extendido, el número de nodos que especifiques en la política se añade o se elimina por zona, lo que afecta a la facturación.
  • Como el uso de recursos de computación, memoria y almacenamiento suele ser independiente, las políticas de escalado automático que monitorizan varias métricas usan la lógica OR para añadir nodos y la lógica AND para eliminarlos.
  • Los máximos de autoescalado se determinan en función de las cuotas disponibles en tuGoogle Cloud proyecto y en tu nube privada de VMware Engine.
  • Habilitar el autoescalado y añadir o quitar un nodo manualmente no son acciones mutuamente excluyentes. Por ejemplo, con la política de optimización de la capacidad de almacenamiento, puedes quitar un nodo manualmente si consigues reducir el espacio en disco de la VM lo suficiente como para alojar todas las VMs del clúster. Aunque es posible eliminar nodos manualmente, no es una práctica recomendada cuando se usa el escalado automático.

Limitar el número de núcleos

VMware Engine permite a los administradores reducir el número de núcleos de CPU efectivos que se exponen al sistema operativo invitado (es decir, la máquina virtual que se ejecuta en VMware Engine). Algunos acuerdos de licencia de software requieren que reduzcas los núcleos que se exponen.

Sobreasignar capacidad de computación de VMware Engine

La sobreasignación de capacidad de computación de VMware Engine es una práctica habitual y, a diferencia de los nodos de un solo inquilino de Compute Engine, no conlleva costes adicionales. Una relación de sobreasignación más alta puede ayudarte a reducir el número de nodos facturables efectivos de tu entorno, pero puede afectar al rendimiento de las aplicaciones. Cuando dimensionas cargas de trabajo empresariales, te recomendamos que empieces con una proporción de 4:1 y que luego la modifiques en función de los factores que se apliquen a tu caso de uso.

Desplegar el plano

Puedes desplegar el blueprint en el blueprint de la base de la empresa o en Fabric FAST.

Para implementar el plano en el plano de aspectos básicos de la empresa, haz lo siguiente:

Para desplegar el blueprint en Fabric FAST, consulta el repositorio de Fabric FAST. La fase de VMware Engine de Google Cloud implementa el plan técnico empresarial de VMware Engine.

Implementar el plano sin el plano de aspectos básicos de la empresa ni Fabric FAST

Para implementar el blueprint sin implementar primero el blueprint de la base de la empresa o Fabric FAST, comprueba que los siguientes recursos estén en tu entorno:

  • Una jerarquía de organización con carpetas development, nonproduction y production
  • Una red de VPC compartida para cada carpeta
  • Un esquema de direcciones IP que tenga en cuenta los intervalos de direcciones IP necesarios para tus nubes privadas de VMware Engine
  • Un mecanismo de DNS para tus nubes privadas de VMware Engine
  • Políticas de cortafuegos que se ajusten a tu postura de seguridad
  • Un mecanismo para acceder a las APIs de Google Cloud a través de direcciones IP internas
  • Un mecanismo de conectividad con tu entorno local
  • Registro centralizado para seguridad y auditoría
  • Políticas de la organización que se ajusten a tu postura de seguridad
  • Una canalización que puedes usar para desplegar VMware Engine

Siguientes pasos