设置 Google Cloud 以与您的 Bare Metal 解决方案环境搭配使用
当裸金属解决方案环境准备就绪后,Google Cloud 会通知您。该通知包含新服务器的内部 IP 地址。
以下说明介绍如何执行以下任务,这些任务需要连接到裸金属解决方案环境:
- 为裸金属解决方案环境创建冗余 VLAN 连接。
- 在您的 VPC 网络中创建一个跳转主机虚拟机实例。
- 使用 SSH 或 RDP 从该跳转主机虚拟机实例登录您的裸金属解决方案服务器。
连接到服务器后,验证裸金属解决方案订单的配置。
准备工作
要连接到和配置裸金属解决方案环境,您需要:
- 启用了结算功能的 Google Cloud 项目。您可以创建一个 项目选择器页面上的项目 Google Cloud 控制台中。
- Virtual Private Cloud (VPC) 网络。这是您订购裸金属解决方案时命名的 VPC 网络。如果您需要创建 VPC 网络,请参阅使用 VPC 网络。
- 裸金属解决方案准备就绪后 Google Cloud 提供的以下信息:
- Bare Metal 服务器的 IP 地址。
- 每台 Bare Metal 服务器的临时密码。
为 Cloud Interconnect 连接创建 VLAN 连接
要访问裸金属解决方案服务器,您需要创建并设置
同一地址中的 VLAN 连接(也称为 InterconnectAttachments)
作为您的服务器VLAN 连接是以下项目中的一个逻辑对象:
用于连接裸金属解决方案的 Cloud Interconnect
Google Cloud
我们建议以冗余对创建 VLAN 连接,以实现高可用性。 一对的主要 VLAN 连接和次要 VLAN 连接分别是 在单独的 EAD(边缘可用性网域)中预配 位于单独的硬件和物理机架中这样可以确保会话期间的 例如维护等
单个 VLAN 连接支持的最大速度为 10 Gbps。一对 VLAN 连接(即主要 VLAN 连接和次要 VLAN 连接)可以 支持最大速度为 20 Gbps。要实现更高的吞吐量 裸金属解决方案环境和 VPC 网络,您可以 多个 VLAN 连接对。
如需使某个 VLAN 连接优于其他连接,您可以 更新 Cloud Router 路由器的基准路由优先级。
创建 VLAN 连接后,您需要预先激活并添加它们 添加到您的裸金属解决方案 VRF 中。 如需创建和设置 VLAN 连接,请按以下步骤操作:
控制台
如果您还没有 Cloud Router 在裸金属解决方案网络和区域中,创建一个 Cloud Router 路由器 将裸金属解决方案环境与您的 VPC 网络。
您可以使用一个 Cloud Router 路由器来同时处理 VLAN 连接或 为每个 VLAN 连接配置单独的 Cloud Router 路由器。
对于与裸金属解决方案的对等互连,请使用 Google 公共 ASN (
16550) 创建路由器时有关说明,请参阅创建 Cloud Router 路由器。
在 Google Cloud 控制台中,转到 Cloud Interconnect VLAN 连接页面。
点击创建 VLAN 连接。
选择合作伙伴互连,然后点击继续。
选择我已经有服务提供方。
选择创建具备冗余性的一对 VLAN 连接。
两个 VLAN 连接都可以处理流量,您可以将流量路由到它们之间的负载均衡。如果一个连接发生故障(例如, 则另一个连接会继续 处理流量如需了解详情,请参阅冗余和 SLA。
在网络字段中,选择您的 VPC 网络。
在区域字段中,选择 Google Cloud 区域。
为这两个 VLAN 连接指定以下详细信息。
- Cloud Router - 要关联的 Cloud Router 路由器
该 VLAN 连接。你只能选择
ASN 为
16550,位于您的 VPC 网络中 区域。 - VLAN 连接名称 - 每个连接的名称。对于
例如
my-attachment-1和my-attachment-2。 - 说明 - 有关每个 VLAN 连接的信息。
- 最大传输单元 (MTU) - 网络传输的数据包大小上限。默认大小为 1440。
在以下情况下,您可以选择
创建 VLAN 连接。
- 1440
- 1460
- 1500
- 8896
- Cloud Router - 要关联的 Cloud Router 路由器
该 VLAN 连接。你只能选择
ASN 为
点击 OK(确定)。
在 VLAN 连接页面上,会显示 VLAN 连接状态
waiting for service provider.继续下一步。当 Google Cloud 通知您裸金属解决方案 服务器准备就绪,请按以下方式将新 VLAN 连接添加到 VRF 具体步骤:
- 如需将 VLAN 连接添加到现有 VRF,请按照说明操作 添加 VLAN 连接部分。
- 如需将 VLAN 连接添加到新的 VRF,请按照 创建 VRF。
gcloud
如果您在用于裸金属解决方案的网络和区域中没有 Cloud Router 实例,则为每个 VLAN 连接创建一个。使用
16550作为 ASN 编号:gcloud compute routers create router-name \ --network vpc-network-name \ --asn 16550 \ --region region
如需了解详情,请参阅创建 Cloud Router。
创建一个
PARTNER类型的InterconnectAttachment,指定 您的 Cloud Router 路由器的名称以及边缘可用性 域名 (EAD) VLAN 连接的物理位置。此外,添加--admin-enabled标志以预先激活 并在 Google Cloud 之后立即发送流量 会完成裸金属解决方案配置。gcloud compute interconnects attachments partner create first-attachment-name \ --region region \ --router first-router-name \ --edge-availability-domain availability-domain-1 \ --admin-enabled
gcloud compute interconnects attachments partner create second-attachment-name \ --region region \ --router second-router-name \ --edge-availability-domain availability-domain-2 \ --admin-enabled
Google Cloud 会自动添加 和 Cloud Router 路由器上的 BGP 对等端。
以下示例会创建冗余连接,一个位于 EAD
availability-domain-1中,另一个位于 EADavailability-domain-2中。每个连接都与单独的 Cloud Router(分别为my-router-1和my-router-2)相关联。这两者都在us-central1地区中。gcloud compute interconnects attachments partner create my-attachment \ --region us-central1 \ --router my-router-1 \ --edge-availability-domain availability-domain-1 \ --admin-enabled
gcloud compute interconnects attachments partner create my-attachment \ --region us-central1 \ --router my-router-2 \ --edge-availability-domain availability-domain-2 \ --admin-enabled
运行
gcloud compute interconnects attachments describe命令以 查看 VLAN 连接的详细信息。gcloud compute interconnects attachments describe my-attachment \ --region us-central1
adminEnabled: false edgeAvailabilityDomain: AVAILABILITY_DOMAIN_1 creationTimestamp: '2017-12-01T08:29:09.886-08:00' id: '7976913826166357434' kind: compute#interconnectAttachment labelFingerprint: 42WmSpB8rSM= name: my-attachment region: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1 router: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1/routers/my-router selfLink: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1/interconnectAttachments/my-attachment state: PENDING_PARTNER type: PARTNER
- 在 Google Cloud 完成 VLAN 连接配置之前,VLAN 连接的状态为
PENDING_PARTNER。之后连接状态将为INACTIVE或ACTIVE,具体取决于您是否预先激活连接。
当从 Google Cloud 请求连接时,您必须为两个连接选择相同的都市圈(城市),这样才能实现冗余。如需了解详情,请参阅合作伙伴互连概览页面中的“冗余”部分。
- 在 Google Cloud 完成 VLAN 连接配置之前,VLAN 连接的状态为
如果 Google Cloud 完成裸金属解决方案订单后 VLAN 连接没有启动,请激活每个 VLAN 连接:
gcloud compute interconnects attachments partner update attachment-name \ --region region \ --admin-enabled
您可以在 Cloud 控制台中查看 Cloud Router 和通告路由的状态。如需了解详情,请参阅查看路由器状态和通告路由。
设置裸金属解决方案和 Google Cloud 之间的路由
您的 VLAN 连接激活后,您的 BGP 会话就会启动,Bare Metal Solution 环境的路由会通过 BGP 会话接收。
将默认 IP 范围的自定义通告路由添加到您的 BGP 会话
要为来自裸金属解决方案环境的流量设置路由,
建议添加默认路由的自定义通告路由
(例如 0.0.0.0/0)
环境
如需在现有 BGP 会话中指定通告,请执行以下操作:
控制台
- 转到 Google Cloud 控制台中的“Cloud Router 路由器”页面。
Cloud Router 路由器列表 - 选择待更新 BGP 会话所属的 Cloud Router 路由器。
- 在 Cloud Router 路由器的详情页面中,选择要更新的 BGP 会话。
- 在 BGP 会话详情页面中,选择修改。
- 对于路由,选择创建自定义路由。
- 选择添加自定义路由以添加通告路由。
- 配置路由通告。
- 来源 - 选择自定义 IP 范围以指定自定义 IP 指定地址范围
- IP 地址范围 - 通过以下方式指定自定义 IP 地址范围 使用 CIDR 表示法。
- 说明 - 添加说明以帮助您识别 该自定义通告路由的用途。
- 添加完路由后,选择保存。
gcloud
您可以添加到现有的自定义通告路由,也可以设置新的自定义 通告的路由,这会将所有现有的自定义通告路由替换为 新问题。
如需为默认 IP 范围设置新的自定义通告路由,请使用
--set-advertisement-ranges 标志:
gcloud compute routers update-bgp-peer router-name \ --peer-name bgp-session-name \ --advertisement-mode custom \ --set-advertisement-ranges 0.0.0.0/0
如需将默认 IP 范围附加到现有 IP 范围,请使用 --add-advertisement-ranges 标志。请注意,您必须将 Cloud Router 路由器的通告模式设置为 custom 才能使用此标志。以下示例展示了如何将 0.0.0.0/0 自定义 IP 添加到 Cloud Router 路由器的通告中:
gcloud compute routers update-bgp-peer router-name \ --peer-name bgp-session-name \ --add-advertisement-ranges 0.0.0.0/0
(可选)将 VPC 网络动态路由模式设置为 global
如果您在两个不同区域中存在裸金属解决方案服务器,请考虑在 VPC 网络上启用全局路由模式,以使您的裸金属解决方案区域直接通过 VPC 网络相互通信。
还需要全局路由模式,以在连接到一个 Google Cloud 区域的本地环境和另一个 Google Cloud 区域的裸金属解决方案环境之间进行通信。
如需设置全局路由模式,请参阅设置 VPC 网络动态路由模式。
VPC 防火墙设置
新的 VPC 网络具有活跃的默认防火墙规则,用于限制 VPC 网络中的大多数流量。
要连接到裸金属解决方案环境,必须在以下各项之间启用网络流量:
- 裸金属解决方案环境和 Google Cloud 上的网络目标。
- 您的本地环境和 Google Cloud 上的资源,例如可用于连接到裸金属解决方案环境的任何跳转主机虚拟机实例。
在裸金属解决方案环境中,如果您需要控制 Bare Metal 服务器之间或 Google Cloud 上的服务器和目的地之间的网络流量,则需要自行实现控制机制。
如需在 Google Cloud 的 VPC 网络中创建防火墙规则,请执行以下操作:
控制台
转到防火墙规则页面:
点击创建防火墙规则。
定义防火墙规则。
- 为防火墙规则命名。
- 在网络字段中,选择您的虚拟机所在的网络。
- 在目标字段中,指定指定的目标标记或指定的服务账号。
- 在相应字段中指定目标网络标记或服务账号。
- 在来源过滤条件字段中,指定 IP 地址范围以允许裸金属解决方案环境传入的流量。
- 在来源 IP 地址范围字段中,指定裸金属解决方案环境中服务器或设备的 IP 地址。
- 在协议和端口部分中,指定您的环境所需的协议和端口。
- 点击创建。
gcloud
以下命令将创建使用 IP 地址范围定义来源并使用实例的网络标记定义目标的防火墙规则。根据需要为环境修改命令。
gcloud compute firewall-rules create rule-name \ --project=your-project-id \ --direction=INGRESS \ --priority=1000 \ --network=your-network-name \ --action=ALLOW \ --rules=protocol:port \ --source-ranges=ip-range \ --target-tags=instance-network-tag
如需详细了解如何创建防火墙规则,请参阅创建防火墙规则。
连接到 Bare Metal 服务器
裸金属解决方案环境中的服务器不会预配外部 IP 地址。
在创建防火墙规则以允许流量从裸金属解决方案环境进入您的 VPC 网络后,您可以使用跳转主机虚拟机实例连接到服务器。
在 Google Cloud 上创建跳转主机虚拟机实例
如需快速连接到您的 Bare Metal 服务器,请创建一个 Compute Engine 虚拟机 (VM) 作为 Jump 主机。在与裸金属解决方案环境相同的 Google Cloud 区域中创建虚拟机。
如果您需要更安全的连接方法,请参阅使用堡垒主机进行连接。
如需创建跳转主机虚拟机实例,请根据您在裸金属解决方案环境中使用的操作系统选择以下说明。
如需详细了解如何创建 Compute Engine 虚拟机实例,请参阅创建和启动虚拟机实例。
Linux
创建虚拟机实例
在 Google Cloud 控制台中,转到虚拟机实例页面:
点击创建实例。
在名称字段中,指定虚拟机实例的名称。
在地区下,选择裸金属解决方案环境的地区。
在启动磁盘部分,点击更改。
- 在操作系统字段中,选择所需的操作系统。
- 在版本字段中,选择操作系统版本。
点击管理、安全、磁盘、网络、单独租用以展开该部分。
点击网络以显示网络选项。
- (可选)在网络标记下,为实例定义一个或多个网络标记。
- 在网络接口下,确认显示了正确的 VPC 网络。
点击创建。
实例启动会需要一些时间,请稍等片刻。准备就绪后,实例会列在虚拟机实例页面上,并带有绿色状态图标。
连接到跳转主机虚拟机实例
如果您需要创建防火墙规则以允许访问跳转主机虚拟机实例,请参阅防火墙设置。
在 Google Cloud 控制台中,转到虚拟机实例页面:
在虚拟机实例列表中,点击跳转主机所在行中的 SSH。
您现在具有一个含跳转主机虚拟机实例的终端窗口,您可以在该窗口中使用 SSH 连接到 Bare Metal 服务器。
首次登录裸金属解决方案服务器
Linux
在跳转主机虚拟机实例上,打开命令行终端并确认您可以访问裸金属解决方案服务器:
ping bare-metal-ip
如果 ping 失败,请检查并更正以下内容:
VLAN 连接处于活跃状态,
Status为Up。参见为 Cloud Interconnect 连接创建 VLAN 连接。您的 VLAN 连接包含
0.0.0.0/0的自定义通告路由。 请参阅将默认 IP 范围的自定义通告路由添加到您的 BGP 会话。您的 VPC 包含防火墙规则,该规则允许从您在裸金属解决方案环境中使用的 IP 范围内进行访问,以便与 Google Cloud 环境进行通信。请参阅 VPC 防火墙设置。
从跳转主机虚拟机实例,使用
customeradmin用户 ID 和服务器的 IP 地址,通过 SSH 连接到裸金属解决方案服务器:ssh customeradmin@bare-metal-ip
出现提示时,输入 Google Cloud 向您提供的密码。
首次登录时,您需要更改裸金属解决方案服务器的密码。
设置新密码并将其存储在安全的位置。重置密码后,服务器会自动退出您的登录。
使用
customeradmin用户 ID 和新密码重新登录裸金属解决方案服务器:ssh customeradmin@bare-metal-ip
我们建议您同时更改根用户密码。首先以根用户身份登录:
sudo su -
如需更改根密码,请发出
passwd命令并按照提示进行操作:passwd
如需返回
customeradmin用户提示,请退出根用户提示:exit
请务必将密码存储在安全的位置,以供恢复使用。
确认您的服务器配置与订单相匹配。需要检查的事项包括:
- 服务器配置,包括 CPU 的数量和类型、插口和内存。
- 操作系统或 Hypervisor 软件,包括供应商和版本。
- 存储空间,包括类型和数量。
设置对公共互联网的访问权限
裸金属解决方案无法访问互联网。您可以选择 使用以下方法根据各种因素设置访问权限 包括您的业务要求和现有基础架构:
<ph type="x-smartling-placeholder">- </ph>
- 使用 Compute Engine 虚拟机作为代理虚拟机服务器访问互联网。
通过充当代理服务器的 Compute Engine 虚拟机路由流量。
您可以通过以下方式使用 Compute Engine 虚拟机来路由流量:
通过 Cloud VPN 或专用互连将流量路由到本地网关,再到互联网。
使用 Compute Engine 虚拟机和 Cloud NAT 访问互联网
以下说明介绍了如何在 Compute Engine 虚拟机上设置 NAT 网关,以将裸金属解决方案环境中的服务器连接到互联网,用于接收软件更新。
这些说明使用 VPC 网络的默认互联网网关访问互联网。
以下说明中显示的 Linux 命令适用于 Debian 操作系统。如果您使用不同的操作系统,则需要使用的命令也可能不同。
在裸金属解决方案环境使用的 VPC 网络中,执行以下步骤:
打开 Cloud Shell:
创建并配置 Compute Engine 虚拟机以充当 NAT 网关。
创建一个虚拟机:
gcloud compute instances create instance-name \ --machine-type=machine-type-name \ --network vpc-network-name \ --subnet=subnet-name \ --can-ip-forward \ --zone=your-zone \ --image-family=os-image-family-name \ --image-project=os-image-project \ --tags=natgw-network-tag \ --service-account=optional-service-account-email
在后续步骤中,您将使用在此步骤中定义的网络标记来将流量路由到此虚拟机。
如果您未指定服务账号,请移除
--service-account=标志。Compute Engine 使用项目的默认服务账号。创建用于访问虚拟机互联网的 Cloud NAT
为虚拟机创建 Cloud NAT 的说明 - 点击此处
通过 SSH 连接到 NAT 网关虚拟机并配置 iptables:
$ sudo sysctl -w net.ipv4.ip_forward=1$ sudo iptables -t nat -A POSTROUTING \ -o $(/bin/ip -o -4 route show to default | awk '{print $5}') -j MASQUERADE第一条 sudo 命令告诉内核,您希望允许 IP 转发。第二条 sudo 命令伪装从内部实例接收到的数据包,就像这些数据包是从 NAT 网关实例发送的一样。
检查 iptables:
$ sudo iptables -v -L -t nat要在重新启动后保留 NAT 网关设置,请在 NAT 网关虚拟机上执行以下命令:
$ sudo -i$ echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/70-natgw.conf$ apt-get install iptables-persistent$ exit
在 Cloud Shell 中,创建通往
0.0.0.0/0的路由,其中使用默认互联网网关作为下一个跃点。指定您在上一步的--tags参数中定义的网络标记。为路由分配高于任何其他默认路由的优先级。gcloud compute routes create default-internet-gateway-route-name \ --destination-range=0.0.0.0/0 \ --network=network-name \ --priority=800 \ --tags=natgw-network-tag \ --next-hop-gateway=default-internet-gateway
将刚创建的网络标记添加到 VPC 网络中需要访问互联网的任何现有虚拟机,以便在创建裸金属解决方案机器也可以使用的新默认路由后,它们可以继续访问互联网。
可选:移除您在上一步中创建的路由之前存在的互联网路由,包括默认情况下创建的路由。
确认您的网络中的所有现有虚拟机和 NAT 网关虚拟机 通过 ping 通外部 IP 地址(如 8.8.8.8)、 Google DNS。
创建通往
0.0.0.0/0的默认路由,其中将 NAT 网关虚拟机用作下一个跃点。将该路由的优先级设置为低于为创建的第一个路由指定的优先级。gcloud compute routes create natgw-route-name \ --destination-range=0.0.0.0/0 \ --network=network-name \ --priority=900 \ --next-hop-instance=natgw-vm-name \ --next-hop-instance-zone=natgw-vm-zone
登录裸金属解决方案服务器并 ping 通外部 IP 地址 确认能否访问互联网
如果 ping 失败,请确保您已创建允许从裸金属解决方案环境访问您的 VPC 网络的防火墙规则。
使用冗余 Compute Engine 虚拟机、Cloud NAT、内部直通式网络负载平衡器和基于政策的路由访问互联网
本部分介绍如何使用 Compute Engine 虚拟机设置内部直通式网络负载平衡器 并将 Cloud NAT 配置为后端基于政策的路由转发 将互联网流量传输到内部直通式网络负载平衡器的前端。
下图展示了此设置。
在裸金属解决方案环境的 VPC 网络中, 请执行以下步骤:
创建并配置 Compute Engine 虚拟机和 Cloud NAT,以充当 NAT 网关。 完成 方法 1:使用单个 Compute Engine 虚拟机和 Cloud NAT。
轻量级 http 服务器可用于对 内部直通式网络负载平衡器
# Installing http server sudo yum install httpd sudo systemctl restart httpd # Testing curl http://127.0.0.1:80创建实例组。
gcloud compute instance-groups unmanaged create INSTANCE_GROUP_NAME --project=PROJECT_ID --zone=ZONE替换以下内容:
- INSTANCE_GROUP_NAME:实例的名称 群组
- PROJECT_ID:项目的 ID
- ZONE:要在其中创建 实例组
将虚拟机添加到实例组。
gcloud compute instance-groups unmanaged add-instances INSTANCE_GROUP_NAME --project=PROJECT_ID --zone=ZONE --instances=VM_NAME替换以下内容:
- INSTANCE_GROUP_NAME:实例的名称 群组
- PROJECT_ID:项目的 ID
- ZONE:要在其中创建 实例组
- VM_NAME:虚拟机的名称
创建内部直通式网络负载平衡器:
开始配置
在 Google Cloud 控制台中,转到负载均衡页面。
- 点击创建负载均衡器。
- 对于负载均衡器的类型,选择网络负载均衡器 (TCP/UDP/SSL),然后点击下一步。
- 对于代理或直通,选择直通式负载均衡器,然后点击下一步。
- 在公共或内部字段中,选择内部,然后点击下一步。
- 点击配置。
基本配置
- 设置负载平衡器名称。
- 选择区域。
- 选择网络。
配置后端和前端
点击后端配置 并进行以下更改:
- 如需添加后端,请执行以下操作:
<ph type="x-smartling-placeholder">
- </ph>
- 在新后端下,如果只想处理 IPv4 流量,请执行以下操作: 选择 IP 栈类型为 IPv4(单栈)。
- 选择您的实例组,然后点击完成。
选择一项健康检查。您还可以创建健康检查, 输入以下信息,然后点击 Save(保存):
- 名称:输入健康检查的名称。
- 协议:
HTTP - 端口:
80 - 代理协议:
NONE - 请求路径:
/
- 如需添加后端,请执行以下操作:
<ph type="x-smartling-placeholder">
点击前端配置。在新建前端 IP 和端口部分,进行以下更改:
- 端口:选择全部,然后输入
80,8008,8080,8088作为 端口号。 - 点击完成。
- 端口:选择全部,然后输入
点击检查并最终确定。
查看负载均衡器配置设置。
点击创建。
为互联网创建基于政策的路由。
gcloud network-connectivity policy-based-routes create ROUTE_NAME \ --source-range=SOURCE_RANGE \ --destination-range=0.0.0.0/0 \ --ip-protocol=ALL \ --network="projects/PROJECT_ID/global/networks/NETWORK" \ --next-hop-ilb-ip=NEXT_HOP \ --description="DESCRIPTION" \ --priority=PRIORITY \ --interconnect-attachment-region=REGION替换以下内容:
- ROUTE_NAME:基于政策的路由的名称
- SOURCE_RANGE:来源 IP CIDR 范围。在本课中, 也就是裸金属解决方案的 IP 地址。
- PROJECT_ID:项目的 ID
- NETWORK:接收 已应用基于政策的路由
- NEXT_HOP:该路由的下一个 IP 地址的 IPv4 地址 跳跃。在此例中,这是 内部直通式网络负载平衡器
- DESCRIPTION:对 路线
- PRIORITY:基于政策的路由的优先级 与其他基于政策的路由相比
- REGION:VLAN 连接所在的区域
创建基于政策的路由,以便为 跳过基于互联网政策的路由 本地子网和本地子网
gcloud network-connectivity policy-based-routes create ROUTE_NAME \ --source-range=SOURCE_RANGE/32 \ --destination-range=DESTINATION_RANGE \ --ip-protocol=ALL \ --network="projects/PROJECT_ID/global/networks/VPC_NAME" \ --next-hop-other-routes="DEFAULT_ROUTING" \ --description="DESCRIPTION" \ --priority=PRIORITY \ --interconnect-attachment-region=REGION替换以下内容:
- ROUTE_NAME:基于政策的路由的名称
- SOURCE_RANGE:来源 IP CIDR 范围。在本课中, 也就是裸金属解决方案的 IP 地址。
- DESTINATION_RANGE:目标 IP CIDR 范围。在本例中,该子网为本地子网。
- PROJECT_ID:项目的 ID
- VPC_NAME:VPC 的名称 网络
- DESCRIPTION:对 路线
- PRIORITY:基于政策的路由的优先级 (与其他基于政策的路由相比)基于政策的优先级 路由必须小于或等于互联网的基于政策的路由。
- REGION:VLAN 连接所在的区域
更新防火墙以允许在虚拟机上使用 HTTP 端口 80。
如果不更新防火墙,健康检查可能会失败。
使用冗余 Compute Engine 虚拟机、Cloud NAT、内部直通式网络负载平衡器,以及在单独的 VPC 中使用基于政策的路由访问互联网
如果您不想为本地子网添加基于政策的路由,可以使用 此方法访问互联网。不过,要使用此方法,您需要 创建 VLAN 连接和 VPC, 裸金属解决方案。
下图展示了此设置。
请按照以下步骤操作:
为互联网创建 VPC 网络。
gcloud compute networks create NETWORK --project=PROJECT_ID --subnet-mode=custom --mtu=MTU --bgp-routing-mode=regional替换以下内容:
- NETWORK:VPC 的名称 。
- PROJECT_ID:项目的 ID
- MTU:最大传输单元 (MTU), 是网络中最大的数据包大小
创建子网。
gcloud compute networks subnets create SUBNET_NAME --project=PROJECT_ID --range=RANGE --stack-type=IPV4_ONLY --network=NETWORK --region=REGION替换以下内容:
- SUBNET_NAME:子网的名称
- PROJECT_ID:项目的 ID
- RANGE:分配给此实例的 IP 空间 子网(CIDR 格式)
- NETWORK:要连接到的 VPC 网络 该子网属于
- REGION:子网的区域
创建两个 Cloud Router 路由器,以实现冗余和通告。
gcloud compute routers create ROUTER_NAME --project=PROJECT_ID --region=REGION --network=NETWORK --advertisement-mode=custom --set-advertisement-ranges=0.0.0.0/0替换以下内容:
- ROUTER_NAME:路由器的名称
- PROJECT_ID:项目的 ID
- REGION:路由器所在的区域
- NETWORK:此 VPC 网络 路由器
创建四个 VLAN 连接,每个 Cloud Router 路由器两个。
有关说明,请参阅创建 VLAN 连接。
VLAN 连接激活后,请按照 方法 2:使用冗余 Compute Engine 虚拟机、Cloud NAT、内部直通式网络负载平衡器和基于政策的路由来配置 基础架构不过,对于此设置,请勿配置 基于政策的路由仅为以下服务创建基于政策的路由: 在 VPC 网络的路由表中访问互联网。
设置对 Google Cloud API 和服务的访问权限
裸金属解决方案无权访问 Google Cloud 服务。您可以根据各种因素选择如何实现访问权限 包括您的业务要求和现有基础架构。
您可以从裸金属解决方案环境以私密方式访问 Google Cloud API 和服务。
您可以从 裸金属解决方案环境,就像用于本地环境一样。
按照为本地主机配置专用 Google 访问通道中针对本地环境的说明执行操作。
这些说明将指导您完成以下简要步骤:
- 为 Google API 流量配置路由。
- 配置裸金属解决方案 DNS,以将作为
CNAME的*.googleapis.com解析为restricted.googleapis.com。
后续步骤
设置 Bare Metal 解决方案环境后,您可以安装工作负载。
如果您计划在裸金属解决方案中的服务器上运行 Oracle 数据库 环境中,您可以使用开源 Bare Metal 解决方案工具包 来安装 Oracle 软件。