Bare Metal Solution 環境と連携するように Google Cloud を設定する

Bare Metal Solution 環境の準備が整うと、Google Cloud から通知が届きます。その通知には、新しいサーバーの内部 IP アドレスが含まれています。

ここでは、Bare Metal Solution 環境に接続する際に必要となる、次のタスクを実施する方法について説明します。

  • Bare Metal Solution 環境に対し、冗長 VLAN アタッチメントを作成します。
  • VPC ネットワークに踏み台ホスト VM インスタンスを作成します。
  • SSH または RDP を使用して、踏み台ホスト VM インスタンスから Bare Metal Solution サーバーにログインします。

サーバーに接続したら、Bare Metal Solution の注文の構成を確認します。

始める前に

Bare Metal Solution 環境に接続して構成するにあたって必要なものは以下とおりです。

  • 課金を有効にした Google Cloud プロジェクト。プロジェクトは、Google Cloud コンソールのプロジェクト セレクタ ページで作成できます。
  • Virtual Private Cloud(VPC)ネットワーク。これは、Bare Metal Solution の注文時に指定した VPC ネットワークです。VPC ネットワークを作成する必要がある場合は、VPC ネットワークの使用をご覧ください。
  • Bare Metal Solution の準備ができたら、Google Cloud から次の情報が提供されます。
    • ベアメタル サーバーの IP アドレス。
    • 各ベアメタル サーバーの仮のパスワード。

Cloud Interconnect 接続用の VLAN アタッチメントを作成する

Bare Metal Solution サーバーにアクセスするには、サーバーと同じリージョンに VLAN アタッチメント(InterconnectAttachments とも呼ばれます)を作成して設定する必要があります。VLAN アタッチメントは、Bare Metal Solution 環境を Google Cloud に接続するために使用される Cloud Interconnect の論理オブジェクトです。

高可用性を実現するために、VLAN アタッチメントを冗長ペアで作成することをおすすめします。ペアのプライマリ VLAN アタッチメントとセカンダリ VLAN アタッチメントは、それぞれ個別のハードウェアと物理ラックの個別の EAD(エッジ アベイラビリティ ドメイン)にプロビジョニングされます。これにより、メンテナンスなどのイベント中に高可用性が確保されます。

Bare Metal Solution のエッジ アベイラビリティ ドメイン。

単一の VLAN アタッチメントは最大 10 Gbps の速度をサポートしています。1 組の VLAN アタッチメント(プライマリ VLAN アタッチメントとセカンダリ VLAN アタッチメント)は、最大 20 Gbps の速度をサポートできます。Bare Metal Solution 環境と VPC ネットワーク間のスループットを高めるために、複数の VLAN アタッチメント ペアを構成できます。

1 つの VLAN アタッチメントを他のアタッチメントよりも優先するには、Cloud Router で基本ルート優先度を更新します。

VLAN アタッチメントを作成したら、事前に有効にして Bare Metal Solution の VRF に追加する必要があります。VLAN アタッチメントを作成して設定する手順は次のとおりです。

コンソール

  1. Bare Metal Solution のネットワークとリージョンに Cloud Router がまだない場合は、Cloud Router を作成して Bare Metal Solution 環境を VPC ネットワークに接続します。

    両方の VLAN アタッチメントに 1 つの Cloud Router を使用するか、VLAN アタッチメントごとに個別の Cloud Router を使用できます。

    Bare Metal Solution とのピアリングの場合は、ルーターを作成するときに Google のパブリック ASN(16550)を使用します。

    手順については、Cloud Router を作成するをご覧ください。

  2. Google Cloud コンソールで、Cloud Interconnect の [VLAN アタッチメント] ページに移動します。

    [VLAN アタッチメント] に移動

  3. [VLAN アタッチメントを作成] をクリックします。

  4. [Partner Interconnect] を選択し、[続行] をクリックします。

  5. [すでにサービス プロバイダを利用しています] を選択します。

  6. [冗長な VLAN アタッチメント ペアを作成する] を選択します。

    どちらの VLAN アタッチメントもトラフィックを処理でき、トラフィックをルーティングして負荷を分散できます。(定期メンテナンス中などに)一方のアタッチメントが停止しても、もう一方のアタッチメントは引き続きトラフィックを処理します。詳細については、冗長性と SLA をご覧ください。

  7. [ネットワーク] フィールドで、VPC ネットワークを選択します。

  8. [リージョン] フィールドで、Google Cloud リージョンを選択します。

  9. 両方の VLAN アタッチメントに次の詳細を指定します。

    • Cloud Router - この VLAN アタッチメントに関連付ける Cloud Router。選択できるのは、ASN が 16550 であり、VPC ネットワークとリージョン内にある Cloud Router のみです。
    • VLAN アタッチメント名: 各アタッチメントの名前。たとえば my-attachment-1my-attachment-2 として指定します。
    • 説明 - 各 VLAN アタッチメントに関する情報。
    • 最大伝送単位(MTU) - ネットワーク送信の最大パケットサイズ。デフォルトのサイズは 1,440 です。 VLAN アタッチメントを作成するときに、次の MTU から選択できます。
      • 1440
      • 1460
      • 1500
      • 8896
  10. [OK] をクリックします。

    [VLAN アタッチメント] ページで、VLAN アタッチメントのステータスが waiting for service provider になります。次のステップに進みます。

  11. Google Cloud から Bare Metal Solution サーバーの準備が整ったという通知が届いたら、次の手順で新しい VLAN アタッチメントを VRF に追加します。

    1. 既存の VRF に VLAN アタッチメントを追加するには、VLAN アタッチメントを追加するの手順に沿って操作します。
    2. 新しい VRF に VLAN アタッチメントを追加するには、VRF を作成するの手順に沿って操作します。

gcloud

  1. Bare Metal Solution で使用するネットワークとリージョンに Cloud Router インスタンスがない場合は、各 VLAN アタッチメントに 1 つずつインスタンスを作成します。ASN 番号には、16550 を使用します。

    gcloud compute routers create router-name \
    --network vpc-network-name \
    --asn 16550 \
    --region region

    詳細については、Cloud Router の作成をご覧ください。

  2. Cloud Router の名前と VLAN アタッチメントのエッジ アベイラビリティ ドメイン(EAD)を指定して、タイプ PARTNERInterconnectAttachment を作成します。また、--admin-enabled フラグを追加してアタッチメントを事前に有効にします。Google Cloud で Bare Metal Solution の構成が完了したらすぐにトラフィックを送信します。

    gcloud compute interconnects attachments partner create first-attachment-name \
      --region region \
      --router first-router-name \
      --edge-availability-domain availability-domain-1 \
      --admin-enabled
    gcloud compute interconnects attachments partner create second-attachment-name \
      --region region \
      --router second-router-name \
      --edge-availability-domain availability-domain-2 \
      --admin-enabled

    Google Cloud により、Cloud Router にインターフェースと BGP ピアが自動的に追加されます。

    次の例では、EAD availability-domain-1 と EAD availability-domain-2 にそれぞれ 1 つずつ、冗長アタッチメントを作成しています。それぞれが別の Cloud Router(my-router-1my-router-2)に関連付けられています。どちらも us-central1 リージョンにあります。

    gcloud compute interconnects attachments partner create my-attachment \
     --region us-central1 \
     --router my-router-1 \
     --edge-availability-domain availability-domain-1 \
     --admin-enabled
    gcloud compute interconnects attachments partner create my-attachment \
     --region us-central1 \
     --router my-router-2 \
     --edge-availability-domain availability-domain-2 \
      --admin-enabled
  3. gcloud compute interconnects attachments describe コマンドを実行して、VLAN アタッチメントの詳細を表示します。

    gcloud compute interconnects attachments describe my-attachment \
      --region us-central1
    adminEnabled: false
    edgeAvailabilityDomain: AVAILABILITY_DOMAIN_1
    creationTimestamp: '2017-12-01T08:29:09.886-08:00'
    id: '7976913826166357434'
    kind: compute#interconnectAttachment
    labelFingerprint: 42WmSpB8rSM=
    name: my-attachment
    region: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1
    router: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1/routers/my-router
    selfLink: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1/interconnectAttachments/my-attachment
    state: PENDING_PARTNER
    type: PARTNER
    • VLAN アタッチメントの状態は、Google Cloud が VLAN アタッチメントの構成を完了するまでは PENDING_PARTNER です。その後、アタッチメントの事前有効化を選択したかどうかに応じて、アタッチメントの状態は INACTIVE または ACTIVE になります。

    Google Cloud からの接続のリクエスト時にアタッチメントを冗長化するには、両方のアタッチメントに対して同じ大都市(シティ)を選択する必要があります。詳細については、Partner Interconnect の概要ページの冗長性セクションをご覧ください。

  4. Google Cloud で Bare Metal Solution の注文の完了後に VLAN アタッチメントが表示されない場合は、各 VLAN アタッチメントを有効にします。

    gcloud compute interconnects attachments partner update attachment-name \
    --region region \
    --admin-enabled

Cloud Console で、Cloud Router とアドバタイズされたルートのステータスを確認できます。詳細については、ルーターのステータスとアドバタイズされたルートの表示をご覧ください。

Bare Metal Solution と Google Cloud 間のルーティングを設定する

VLAN アタッチメントがアクティブになると、BGP セッションが確立され、Bare Metal Solution 環境からの経路情報が BGP セッションを介して受信されます。

BGP セッションにデフォルト IP 範囲のカスタム アドバタイズ ルートを追加する

Bare Metal Solution 環境からのトラフィックのルーティングを設定するには、BGP セッションでデフォルト ルートのカスタム アドバタイズ ルート(0.0.0.0/0 など)を Bare Metal Solution 環境に追加することをおすすめします。

既存の BGP セッションでアドバタイズを指定するには:

Console

  1. Google Cloud Console の [クラウド ルーター] ページに移動します。
    Cloud Router リスト
  2. 更新する BGP セッションを含む Cloud Router を選択します。
  3. Cloud Router の詳細ページで、更新する BGP セッションを選択します。
  4. BGP セッションの詳細ページで、[編集] を選択します。
  5. [ルート] で、[カスタムルートの作成] を選択します。
  6. [カスタムルートの追加] を選択して、アドバタイズされたルートを追加します。
  7. ルート アドバタイズを構成します。
    • ソース - [カスタム IP 範囲] を選択して、カスタム IP アドレス範囲を指定します。
    • IP アドレス範囲 - CIDR 表記でカスタム IP アドレス範囲を指定します。
    • 説明 - このカスタム アドバタイズ ルートの目的がわかるような説明を追加します。
  8. ルートの追加が完了したら、[保存] を選択します。

gcloud

既存のカスタム アドバタイズ ルートに追加できます。また、新しいカスタム アドバタイズ ルートを設定して、既存のカスタム アドバタイズ ルートを新しいカスタム アドバタイズ ルートに置き換えることもできます。

デフォルトの IP 範囲に新しいカスタム アドバタイズ ルートを設定するには、--set-advertisement-ranges フラグを使用します。

gcloud compute routers update-bgp-peer router-name \
   --peer-name bgp-session-name \
   --advertisement-mode custom \
   --set-advertisement-ranges 0.0.0.0/0

デフォルトの IP 範囲を既存の IP 範囲に追加するには、--add-advertisement-ranges フラグを使用します。このフラグを設定するには、Cloud Router のアドバタイズ モードがすでに custom になっている必要があるので注意してください。次の例は、0.0.0.0/0 カスタム IP を Cloud Router のアドバタイズに追加します。

gcloud compute routers update-bgp-peer router-name \
   --peer-name bgp-session-name \
   --add-advertisement-ranges 0.0.0.0/0

必要に応じて、VPC ネットワークの動的ルーティング モードを global に設定する

Bare Metal Solution サーバーが 2 つの異なるリージョンにある場合、Bare Metal Solution リージョン同士が VPC ネットワークを介して互いに直接通信できるよう、VPC ネットワークでグローバル ルーティング モードを有効にすることを検討してください。

また、グローバル ルーティング モードは、1 つの Google Cloud リージョンに接続されているオンプレミス環境と、別の Google Cloud リージョン内の Bare Metal Solution 環境間の通信を可能にするうえでも必要です。

グローバル ルーティング モードを設定するには、VPC ネットワークの動的ルーティング モードの設定をご覧ください。

VPC ファイアウォールの設定

新しい VPC ネットワークにはデフォルトのアクティブなファイアウォール ルールが付属しており、VPC ネットワークのほとんどのトラフィックが制限されます。

Bare Metal Solution 環境に接続するには、次の 2 点間のネットワーク トラフィックを有効にする必要があります。

  • Bare Metal Solution 環境と Google Cloud 上のネットワークの宛先。
  • ローカル環境と Google Cloud 上のリソース(Bare Metal Solution 環境への接続に使用する踏み台ホスト VM インスタンスなど)。

Bare Metal Solution 環境内で、ベアメタル サーバー間、またはサーバーと Google Cloud 以外の宛先間のネットワーク トラフィックを制御する必要がある場合は、制御メカニズムをご自分で実装する必要があります。

Google Cloud の VPC ネットワークにファイアウォール ルールを作成するには、次のようにします。

Console

  1. [ファイアウォール ルール] ページに移動します。

    [ファイアウォール ルール] に移動

  2. [ファイアウォール ルールを作成] をクリックします。

  3. ファイアウォール ルールを定義します。

    1. ファイアウォール ルールに名前を付けます。
    2. [ネットワーク] フィールドで、VM が配置されているネットワークを選択します。
    3. [ターゲット] フィールドで、指定されたターゲットタグまたは指定されたサービス アカウントを指定します。
    4. 該当するフィールドで、ターゲット ネットワーク タグまたはサービス アカウントを指定します。
    5. [ソースフィルタ] フィールドに IP 範囲を指定して、Bare Metal Solution 環境からの受信トラフィックを許可します。
    6. [ソース IP の範囲] フィールドで、Bare Metal Solution 環境にあるサーバーまたはデバイスの IP アドレスを指定します。
    7. [プロトコルとポート] セクションで、環境に必要なプロトコルとポートを指定します。
    8. [作成] をクリックします。

gcloud

次のコマンドは、IP 範囲を使用してソースを定義し、インスタンスのネットワーク タグを使用してターゲットを定義するファイアウォール ルールを作成します。必要に応じて、環境に合わせてコマンドを変更します。

gcloud compute firewall-rules create rule-name \
    --project=your-project-id \
    --direction=INGRESS \
    --priority=1000 \
    --network=your-network-name \
    --action=ALLOW \
    --rules=protocol:port \
    --source-ranges=ip-range \
    --target-tags=instance-network-tag

ファイアウォール ルールの作成の詳細については、ファイアウォール ルールの作成をご覧ください。

ベアメタル サーバーへの接続

Bare Metal Solution 環境のサーバーには外部 IP アドレスがプロビジョニングされません。

Bare Metal Solution 環境から VPC ネットワークへのトラフィックを許可するファイアウォール ルールを作成した後は、踏み台ホスト VM インスタンスを使用してサーバーに接続できます。

Google Cloud で踏み台ホスト VM インスタンスを作成する

ベアメタル サーバーにすばやく接続するには、踏み台ホストとして使用する Compute Engine 仮想マシン(VM)を作成します。Bare Metal Solution 環境と同じ Google Cloud リージョンに VM を作成します。

より安全な接続方法が必要な場合は、踏み台インスタンスを使用して接続するをご覧ください。

踏み台ホスト VM インスタンスを作成するには、Bare Metal Solution 環境で使用しているオペレーティング システムに基づいて以下の手順を選択します。

Compute Engine VM インスタンスの作成について詳しくは、VM インスタンスの作成と起動をご覧ください。

Linux

仮想マシン インスタンスを作成する

  1. Google Cloud コンソールで、[VM インスタンス] ページに移動します。

    [VM インスタンス] ページに移動

  2. [インスタンスを作成] をクリックします。

  3. [名前] フィールドで、VM インスタンスの名前を指定します。

  4. [リージョン] で、Bare Metal Solution 環境のリージョンを選択します。

  5. [ブートディスク] セクションで、[変更] をクリックします。

    1. [オペレーティング システム] フィールドで、目的の OS を選択します。
    2. [バージョン] フィールドで OS のバージョンを選択します。
  6. [管理、セキュリティ、ディスク、ネットワーキング、単一テナンシー] をクリックして、セクションを展開します。

  7. [ネットワーキング] をクリックしてネットワーキング オプションを表示します。

    • 必要に応じて、[ネットワーク タグ] でインスタンスのネットワーク タグを 1 つ以上定義します。
    • [ネットワーク インターフェース] で、適切な VPC ネットワークが表示されていることを確認します。
  8. [作成] をクリックします。

インスタンスが起動するまで、しばらくお待ちください。インスタンスの準備が整うと、[VM インスタンス] ページに緑色のステータス アイコン付きで表示されます。

踏み台ホスト VM インスタンスに接続する

  1. 踏み台ホスト VM インスタンスへのアクセスを許可するファイアウォール ルールを作成する必要がある場合は、ファイアウォールの設定をご覧ください。

  2. Google Cloud コンソールで、[VM インスタンス] ページに移動します。

    [VM インスタンス] ページに移動

  3. VM インスタンスのリストで、踏み台ホストを含む行の [SSH] をクリックします。

    [VM インスタンス] ページにある踏み台ホストの行の SSH ボタンがハイライト表示されている

これで、踏み台ホスト VM インスタンスのあるターミナル ウィンドウが表示され、SSH を使用してベアメタル サーバーに接続できます。

Bare Metal Solution サーバーに初めてログインする

Linux

  1. 踏み台ホスト VM インスタンスに接続します

  2. 踏み台ホスト VM インスタンスで、コマンドライン ターミナルを開き、Bare Metal Solution サーバーに接続できることを確認します。

    ping bare-metal-ip

    ping が失敗する場合は、次の点を確認してください。

  3. 踏み台インスタンス VM インスタンスから、customeradmin ユーザー ID とサーバーの IP アドレスを使用して、Bare Metal Solution サーバーに SSH 接続します。

    ssh customeradmin@bare-metal-ip
  4. プロンプトが表示されたら、Google Cloud から提供されたパスワードを入力します。

  5. 最初のログイン時に、Bare Metal Solution サーバーのパスワードを変更する必要があります。

  6. 新しいパスワードを設定して、安全な場所に保管してください。パスワードの再設定後、サーバーは自動的にログアウトします。

  7. customeradmin ユーザー ID と新しいパスワードを使用して、Bare Metal Solution サーバーに再度ログインします。

    ssh customeradmin@bare-metal-ip
  8. root ユーザーのパスワードも変更することをおすすめします。まず、root ユーザーとしてログインします。

    sudo su -
  9. root のパスワードを変更するには、passwd コマンドを実行して、プロンプトの指示に従います。

    passwd
  10. customeradmin ユーザー プロンプトに戻るには、root ユーザー プロンプトを終了します。

    exit
  11. リカバリ プロセスで使用するため、パスワードを安全な場所に保管してください。

  12. サーバーの構成が注文と一致していることを確認します。次の点を確認してください。

    • サーバー構成(CPU の数と種類、ソケット、メモリなど)。
    • オペレーティング システムまたはハイパーバイザ ソフトウェア(ベンダーとバージョンなど)。
    • ストレージ(種類と容量など)。

公共のインターネットへのアクセスを設定する

Bare Metal Solution にはインターネット接続は付属していません。ビジネス要件や既存のインフラストラクチャなどのさまざまな要因に応じて、次の方法からアクセスを設定できます。

Compute Engine VM と Cloud NAT を使用してインターネットにアクセスする

次の手順により、Compute Engine VM に NAT ゲートウェイを設定して、Bare Metal Solution 環境のサーバーをインターネットに接続し、ソフトウェア アップデートの受信などを行います。

この手順では、VPC ネットワークのデフォルト インターネット ゲートウェイを使用してインターネットにアクセスします。

次の手順で示す Linux コマンドは、Debian オペレーティング システム用です。別のオペレーティング システムを使用している場合は、必要なコマンドも異なる可能性があります。

Bare Metal Solution 環境で使用している VPC ネットワークで、次の手順を実行します。

  1. Cloud Shell を開きます。

    Cloud Shell に移動

  2. NAT ゲートウェイとして機能する Compute Engine VM を作成して構成します。

    1. VM を作成します。

      gcloud compute instances create instance-name \
        --machine-type=machine-type-name \
        --network vpc-network-name \
        --subnet=subnet-name \
        --can-ip-forward \
        --zone=your-zone \
        --image-family=os-image-family-name \
        --image-project=os-image-project \
        --tags=natgw-network-tag \
        --service-account=optional-service-account-email
      

      後の手順で、この手順で定義したネットワーク タグを使用して、この VM にトラフィックをルーティングします。

      サービス アカウントを指定しない場合は、--service-account= フラグを削除します。Compute Engine では、プロジェクトのデフォルトのサービス アカウントが使用されます。

    2. VM のインターネット アクセス用の Cloud NAT を作成する

      VM の Cloud NAT を作成する手順 - こちら

    3. NAT ゲートウェイ VM に SSH で接続し、iptables を構成します。

      $ sudo sysctl -w net.ipv4.ip_forward=1
      $ sudo iptables -t nat -A POSTROUTING \
         -o $(/bin/ip -o -4 route show to default | awk '{print $5}') -j MASQUERADE
      

      最初の sudo コマンドでは、IP 転送を許可するカーネルを指定します。2 番目の sudo コマンドでは、内部インスタンスから受信したパケットを、NAT ゲートウェイ インスタンスから送信されたパケットであるかのようにマスカレードします。

    4. iptables を確認します。

      $ sudo iptables -v -L -t nat
    5. 再起動後も NAT ゲートウェイの設定を保持するには、NAT ゲートウェイ VM で次のコマンドを実行します。

      $ sudo -i
      
      $ echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/70-natgw.conf
      
      $ apt-get install iptables-persistent
      
      $ exit
      
  3. Cloud Shell で、デフォルトのインターネット ゲートウェイをネクストホップとして、0.0.0.0/0 へのルートを作成します。--tags 引数で、前の手順で定義したネットワーク タグを指定します。ルートには、他のデフォルト ルートよりも高い優先度を割り当てます。

    gcloud compute routes create default-internet-gateway-route-name \
        --destination-range=0.0.0.0/0 \
        --network=network-name \
        --priority=default-igw-route-priority \
        --tags=natgw-network-tag,default-igw-tags \
        --next-hop-gateway=default-internet-gateway
    

    natgw-network-tag は、ステップ 2 で natgw-vm にタグ付けされたタグと同じである必要があります。ステップ 2 で作成した natvm は、デフォルトのインターネット ゲートウェイを使用してインターネットにアクセスします。

  4. インターネットへのアクセスが必要な VPC ネットワーク内の既存の VM 対して、ここで作成したネットワーク タグ(default-igw-tags)を追加します。これにより、Bare Metal Solution サーバーも使用できる新しいデフォルト ルートを作成した後でも、これらの既存の VM は引き続きインターネットにアクセスできるようになります。

  5. 省略可: 前のステップで作成したルートよりも前から存在するインターネットへのルート(デフォルトで作成されたルートなど)を削除します。

  6. ネットワーク内の既存の VM と NAT ゲートウェイ VM がインターネットにアクセスできることを確認するには、各 VM から外部 IP アドレス(例: 8.8.8.8、Google DNS)に ping を実行します。

  7. NAT ゲートウェイ VM をネクストホップとして、0.0.0.0/0 へのデフォルト ルートを作成します。最初に作成したルートに対して指定した優先度よりも低い優先度をルートに設定します。

    gcloud compute routes create natgw-route-name \
        --destination-range=0.0.0.0/0 \
        --network=network-name \
        --priority=natgw-route-priority \
        --next-hop-instance=natgw-vm-name \
        --next-hop-instance-zone=natgw-vm-zone
    
  8. Bare Metal Solution サーバーにログインし、外部 IP アドレスに ping を実行して、インターネットにアクセスできることを確認します。

    ping が失敗する場合は、Bare Metal Solution 環境から VPC ネットワークへのアクセスを許可するファイアウォール ルールが作成済みであることを確認してください。

冗長な Compute Engine VM、Cloud NAT、内部パススルー ネットワーク ロードバランサ、ポリシーベース ルーティングを使用してインターネットにアクセスする

このセクションでは、Compute Engine VM と Cloud NAT をバックエンドとして構成して、内部パススルー ネットワーク ロードバランサを設定する方法について説明します。ポリシーベース ルーティングにより、インターネット トラフィックが内部パススルー ネットワーク ロードバランサのフロントエンドに転送されます。

次の図にこの構成を示します。

冗長な Compute Engine VM、Cloud NAT、内部パススルー ネットワーク ロードバランサ、ポリシーベース ルーティングを使用してインターネットにアクセスするための設定。

Bare Metal Solution 環境の VPC ネットワークで、次の手順を実行します。

  1. NAT ゲートウェイとして機能する Compute Engine VM と Cloud NAT を作成して構成します。方法 1: 単一の Compute Engine VM と Cloud NAT を使用するで説明されている手順を完了します。

    軽量の HTTP サーバーを使用して、内部パススルー ネットワーク ロードバランサのヘルスチェックを実行できます。

    
    # Installing http server
    
    sudo yum install httpd
    sudo systemctl restart httpd
    
    # Testing
    
    curl http://127.0.0.1:80
    
    
    
  2. インスタンス グループを作成する。

    gcloud compute instance-groups unmanaged create INSTANCE_GROUP_NAME --project=PROJECT_ID --zone=ZONE
    

    次のように置き換えます。

    • INSTANCE_GROUP_NAME: インスタンス グループの名前。
    • PROJECT_ID: プロジェクトの ID
    • ZONE: インスタンス グループを作成するゾーン。
  3. VM をインスタンス グループに追加します。

    gcloud compute instance-groups unmanaged add-instances INSTANCE_GROUP_NAME --project=PROJECT_ID --zone=ZONE --instances=VM_NAME
    

    次のように置き換えます。

    • INSTANCE_GROUP_NAME: インスタンス グループの名前。
    • PROJECT_ID: プロジェクトの ID
    • ZONE: インスタンス グループを作成するゾーン。
    • VM_NAME: VM の名前
  4. 内部パススルー ネットワーク ロードバランサを作成する

    構成を開始する

    1. Google Cloud コンソールで、[ロード バランシング] ページに移動します。

      [ロード バランシング] に移動

    2. [ロードバランサを作成] をクリックします。
    3. [ロードバランサの種類] で [ネットワーク ロードバランサ(TCP / UDP / SSL)] を選択し、[次へ] をクリックします。
    4. [プロキシまたはパススルー] で [パススルー ロードバランサ] を選択し、[次へ] をクリックします。
    5. [インターネット接続または内部] で [内部] を選択し、[次へ] をクリックします。
    6. [構成] をクリックします。

    基本的な構成

    1. [ロードバランサの名前] を設定します。
    2. リージョンを選択します。
    3. ネットワークを選択します。

    バックエンドとフロントエンドを構成する

    1. [バックエンドの構成] をクリックして、次の変更を行います。

      1. バックエンドを追加するには、次のようにします。
        1. IPv4 トラフィックのみを処理する場合は、[新しいバックエンド] の [IP スタックタイプ] を [IPv4(シングルスタック)] を選択します。
        2. インスタンス グループを選択し、[完了] をクリックします。
      2. ヘルスチェックを選択します。ヘルスチェックを作成して、次の情報を入力し、[保存] をクリックすることもできます。

        • 名前: ヘルスチェックの名前を入力します。
        • プロトコル: HTTP
        • ポート: 80
        • プロキシ プロトコル: NONE
        • リクエストパス: /
    2. [フロントエンドの構成] をクリックします。[新しいフロントエンドの IP とポート] セクションで、次の変更を行います。

      1. ポート: [すべて] を選択して、[ポート番号] に 80,8008,8080,8088 を入力します。
      2. [完了] をクリックします。
    3. [確認と完了] をクリックします。

    4. ロードバランサの構成を確認します。

    5. [作成] をクリックします。

  5. インターネット用のポリシーベースのルートを作成します。

    gcloud network-connectivity policy-based-routes create ROUTE_NAME \
     --source-range=SOURCE_RANGE \
     --destination-range=0.0.0.0/0 \
     --ip-protocol=ALL \
     --network="projects/PROJECT_ID/global/networks/NETWORK" \
     --next-hop-ilb-ip=NEXT_HOP \
     --description="DESCRIPTION" \
     --priority=PRIORITY \
     --interconnect-attachment-region=REGION
    

    次のように置き換えます。

    • ROUTE_NAME: ポリシーベースのルートの名前
    • SOURCE_RANGE: 送信元 IP の CIDR 範囲。この場合は、Bare Metal Solution の IP アドレスです。
    • PROJECT_ID: プロジェクトの ID
    • NETWORK: ポリシーベースのルートが適用されるネットワーク
    • NEXT_HOP: ルートのネクストホップの IPv4 アドレス。この場合、これが内部パススルー ネットワーク ロードバランサのフロントエンドの IP アドレスになります。
    • DESCRIPTION: ルートの説明
    • PRIORITY: 他のポリシーベースのルートと比較したポリシーベースのルートの優先度
    • REGION: VLAN アタッチメントのリージョン
  6. オンプレミス サブネットとローカル サブネットのインターネット ポリシーベースのルートをスキップするポリシーベースのルートを作成します。

     gcloud network-connectivity policy-based-routes create ROUTE_NAME \
     --source-range=SOURCE_RANGE/32 \
     --destination-range=DESTINATION_RANGE \
     --ip-protocol=ALL \
     --network="projects/PROJECT_ID/global/networks/VPC_NAME" \
     --next-hop-other-routes="DEFAULT_ROUTING" \
     --description="DESCRIPTION" \
     --priority=PRIORITY \
     --interconnect-attachment-region=REGION
    

    次のように置き換えます。

    • ROUTE_NAME: ポリシーベースのルートの名前
    • SOURCE_RANGE: 送信元 IP の CIDR 範囲。この場合は、Bare Metal Solution の IP アドレスです。
    • DESTINATION_RANGE: 宛先 IP の CIDR 範囲。この場合、これはオンプレミス サブネットまたはローカル サブネットです。
    • PROJECT_ID: プロジェクトの ID
    • VPC_NAME: VPC ネットワークの名前。
    • DESCRIPTION: ルートの説明
    • PRIORITY: 他のポリシーベースのルートと比較したポリシーベースのルートの優先度。このポリシーベースのルートの優先度は、インターネットのポリシーベースのルート以下にする必要があります。
    • REGION: VLAN アタッチメントのリージョン
  7. VM の HTTP ポート 80 を許可するようにファイアウォールを更新します。

    ファイアウォールを更新しないと、ヘルスチェックが失敗する可能性があります。

冗長な Compute Engine VM、Cloud NAT、内部パススルー ネットワーク ロードバランサ、ポリシーベース ルーティングを使用して、別の VPC でインターネットにアクセスする

ローカル サブネットにポリシーベースのルートを追加しない場合は、この方法でインターネットにアクセスできます。ただし、この方法を使用するには、Bare Metal Solution を接続する VLAN アタッチメントと VPC を作成する必要があります。

次の図にこの構成を示します。

冗長な Compute Engine VM、Cloud NAT、内部パススルー ネットワーク ロードバランサ、ポリシーベース ルーティングを個別の VPC で使用するための設定を行います。

以下の手順に沿って登録してください。

  1. インターネット用の VPC ネットワークを作成する

    gcloud compute networks create NETWORK --project=PROJECT_ID --subnet-mode=custom --mtu=MTU --bgp-routing-mode=regional
    

    次のように置き換えます。

    • NETWORK: VPC ネットワークの名前。
    • PROJECT_ID: プロジェクトの ID
    • MTU: ネットワークの最大パケットサイズである最大伝送単位(MTU)
  2. サブネットを作成します。

    gcloud compute networks subnets create SUBNET_NAME --project=PROJECT_ID --range=RANGE --stack-type=IPV4_ONLY --network=NETWORK --region=REGION
    

    次のように置き換えます。

    • SUBNET_NAME: サブネットの名前
    • PROJECT_ID: プロジェクトの ID
    • RANGE: このサブネットに割り当てられる IP 空間(CIDR 形式)
    • NETWORK: サブネットが属する VPC ネットワーク
    • REGION: サブネットのリージョン
  3. 冗長性とアドバタイズ用に 2 つの Cloud Router を作成します。

    gcloud compute routers create ROUTER_NAME --project=PROJECT_ID --region=REGION --network=NETWORK --advertisement-mode=custom --set-advertisement-ranges=0.0.0.0/0
    

    次のように置き換えます。

    • ROUTER_NAME: ルーターの名称
    • PROJECT_ID: プロジェクトの ID
    • REGION: ルーターのリージョン
    • NETWORK: このルーターの VPC ネットワーク
  4. 4 つの VLAN アタッチメント(Cloud Router ごとに 2 つ)を作成します。

    手順については、VLAN アタッチメントを作成するをご覧ください。

  5. VLAN アタッチメントがアクティブになったら、方法 2: 冗長な Compute Engine VM、Cloud NAT、内部パススルー ネットワーク ロードバランサ、ポリシーベース ルーティングの使用の手順に沿ってインターネット インフラストラクチャを構成します。ただし、この設定では、ローカル トラフィックにポリシーベースのルートを構成しないでください。VPC ネットワークのルーティング テーブルに、インターネットのポリシーベースのルートのみを作成します。

Google Cloud APIs とサービスへのアクセスを設定する

Bare Metal Solution には、Google Cloud サービスへのアクセス権は付属していません。アクセス権の実装方法は、ビジネス要件や既存のインフラストラクチャなどのさまざまな要因に応じて選択できます。

Google Cloud APIs とサービスには、Bare Metal Solution 環境から限定公開でアクセスできます。

オンプレミス環境の場合と同様に、Bare Metal Solution 環境から Google Cloud APIs とサービスへのプライベート アクセスを設定します。

オンプレミス ホスト用の限定公開の Google アクセスの構成の手順に沿って進めます。

ここで説明する手順の概要は次のとおりです。

  1. Google API トラフィックのルートを構成します。
  2. *.googleapis.comCNAME として restricted.googleapis.com に解決されるように Bare Metal Solution DNS を構成します。

次のステップ

Bare Metal Solution 環境を設定したら、ワークロードをインストールできます。

Bare Metal Solution 環境内のサーバーで Oracle データベースを実行する予定がある場合は、オープンソースの Bare Metal Solution 用ツールキットで Oracle ソフトウェアをインストールできます。