Bare Metal Solution 環境と連携するように Google Cloud を設定する
Bare Metal Solution 環境の準備が整うと、Google Cloud から通知が届きます。その通知には、新しいサーバーの内部 IP アドレスが含まれています。
ここでは、Bare Metal Solution 環境に接続する際に必要となる、次のタスクを実施する方法について説明します。
- Bare Metal Solution 環境に対し、冗長 VLAN アタッチメントを作成します。
- VPC ネットワークに踏み台ホスト VM インスタンスを作成します。
- SSH または RDP を使用して、踏み台ホスト VM インスタンスから Bare Metal Solution サーバーにログインします。
サーバーに接続したら、Bare Metal Solution の注文の構成を確認します。
始める前に
Bare Metal Solution 環境に接続して構成するにあたって必要なものは以下とおりです。
- 課金を有効にした Google Cloud プロジェクト。プロジェクトは、Google Cloud Console のプロジェクト セレクタ ページで作成できます。
- Virtual Private Cloud(VPC)ネットワーク。これは、Bare Metal Solution の注文時に指定した VPC ネットワークです。VPC ネットワークを作成する必要がある場合は、VPC ネットワークの使用をご覧ください。
- Bare Metal Solution の準備ができたら、Google Cloud から次の情報が提供されます。
- ベアメタル サーバーの IP アドレス。
- 各ベアメタル サーバーの仮のパスワード。
Cloud Interconnect 接続用の VLAN アタッチメントを作成する
Bare Metal Solution サーバーにアクセスするには、サーバーと同じリージョンに VLAN アタッチメントを作成して、事前に有効化する必要があります。VLAN アタッチメントを作成すると、Google Cloud と共有するペアリングキーが生成されます。Google Cloud は、これらのペアリングキーを使用して、Bare Metal Solution 環境と VPC ネットワークの間の接続を有効にします。
VLAN アタッチメント(InterconnectAttachments ともいいます)は、Partner Interconnect 接続に VLAN を割り当てます。
現在、個々の Bare Metal Solution の相互接続 VLAN アタッチメントは最大 10 Gbps の速度をサポートしています。VPC ネットワークへのスループットを高めるには、VPC ネットワークに複数のアタッチメントを構成します。BGP セッションごとに、同じ MED 値を使用して、構成したすべての相互接続アタッチメントでトラフィックが ECMP を使用できるようにする必要があります。
Console
Bare Metal Solution で使用するネットワークとリージョンに Cloud Router インスタンスがない場合は、各 VLAN アタッチメントに 1 つずつインスタンスを作成する必要があります。ルーターを作成する際は、各 Cloud Router の ASN として
16550を指定します。手順については、Cloud Router の作成をご覧ください。
Google Cloud Console で Cloud Interconnect の [VLAN アタッチメント] タブに移動します。
[VLAN アタッチメント] タブに移動Google Cloud コンソールの上部にある [VLAN アタッチメントの作成] をクリックします。
[パートナーの相互接続] を選択してパートナー VLAN アタッチメントを作成し、[続行] をクリックします。
[すでにサービス プロバイダを利用しています] を選択します。
[冗長な VLAN ペアを作成する] を選択します。どちらのアタッチメントもトラフィックを処理でき、トラフィックをルーティングして負荷を分散できます。定期メンテナンス中などで一方のアタッチメントが停止しても、もう一方のアタッチメントは引き続きトラフィックを処理します。詳細については、Partner Interconnect の概要ページの冗長性セクションをご覧ください。
[ネットワーク] フィールドと [リージョン] フィールドで、アタッチメントを接続する先の VPC ネットワークと Google Cloud リージョンを選択します。
各 VLAN アタッチメントの詳細を指定します。
- Cloud Router - このアタッチメントに関連付ける Cloud Router。
- 選択した VPC ネットワークとリージョン内にあり、ASN が
16550の Cloud Router のみ選択できます。 - アタッチメントごとに 1 つの Cloud Router を割り当てます。VLAN アタッチメントのペアには 2 つの Cloud Router が必要です。
- 選択した VPC ネットワークとリージョン内にあり、ASN が
- VLAN アタッチメント名: 各アタッチメントの名前。この名前は Google Cloud コンソールに表示され、Google Cloud CLI でこのアタッチメントを参照する際に使用されます(例:
my-attachment-1、my-attachment-2)。 - 説明 - 各 VLAN アタッチメントに関する情報。
- 最大伝送単位(MTU) - ネットワーク送信の最大パケットサイズ。デフォルトのサイズは 1,440 です。
- Cloud Router - このアタッチメントに関連付ける Cloud Router。
[作成] をクリックしてアタッチメントを作成します。作成が完了するまで数分かかります。
作成が完了した後に、ペアリングキーをコピーします。キーには、英数字コード、リージョン名、ネットワーク アベイラビリティ ゾーンの数(
/1や/2など)が含まれます。これらのキーは Google Cloud と共有します。[有効にする] を選択して、両方のアタッチメントを事前に有効にします。アタッチメントを事前に有効にすると、Google Cloud で Bare Metal Solution の構成が完了するとすぐにトラフィックが通過し始めます。
[OK] をクリックして VLAN アタッチメントのリストを表示します。
Google Cloud から Bare Metal Solution サーバーの準備が完了したという通知が届いたら、Google Cloud Console で [VLAN アタッチメント] タブに移動します。
[VLAN アタッチメント] タブに移動Status列を探します。アタッチメントの場合はUpと表示されます。アタッチメントのステータスがDownと表示されている場合は、次のようにアタッチメントを有効にします。- 最初の VLAN アタッチメントの名前をクリックして、詳細ページを表示します。
- [有効にする] をクリックします。
- [VLAN アタッチメントの詳細] をクリックして、メインの VLAN アタッチメントのタブに戻ります。
- 2 番目の VLAN アタッチメントの名前をクリックして、詳細ページを表示します。
- [有効にする] をクリックします。
gcloud
Bare Metal Solution で使用するネットワークとリージョンに Cloud Router インスタンスがない場合は、各 VLAN アタッチメントに 1 つずつインスタンスを作成します。ASN 番号には、
16550を使用します。gcloud compute routers create router-name \ --network vpc-network-name \ --asn 16550 \ --region region
詳細については、Cloud Router の作成をご覧ください。
Cloud Router の名前と VLAN アタッチメントのエッジ アベイラビリティ ドメイン(EAD)を指定して、タイプ
PARTNERのInterconnectAttachmentを作成します。また、--admin-enabledフラグを追加してアタッチメントを事前に有効にします。Google Cloud で Bare Metal Solution の構成が完了したらすぐにトラフィックを送信します。gcloud compute interconnects attachments partner create first-attachment-name \ --region region \ --router first-router-name \ --edge-availability-domain availability-domain-1 \ --admin-enabled
gcloud compute interconnects attachments partner create second-attachment-name \ --region region \ --router second-router-name \ --edge-availability-domain availability-domain-2 \ --admin-enabled
Google Cloud により、Cloud Router にインターフェースと BGP ピアが自動的に追加されます。アタッチメントでは、後で Google Cloud と共有するペアリングキーが生成されます。
次の例では、EAD
availability-domain-1と EADavailability-domain-2にそれぞれ 1 つずつ、冗長アタッチメントを作成しています。それぞれが別の Cloud Router(my-router-1とmy-router-2)に関連付けられています。どちらもus-central1リージョンにあります。gcloud compute interconnects attachments partner create my-attachment \ --region us-central1 \ --router my-router-1 \ --edge-availability-domain availability-domain-1 \ --admin-enabled
gcloud compute interconnects attachments partner create my-attachment \ --region us-central1 \ --router my-router-2 \ --edge-availability-domain availability-domain-2 \ --admin-enabled
アタッチメントに対して describe コマンドを実行し、そのペアリングキーを取得します。Bare Metal Solution 環境への接続変更リクエストを開き、Google Cloud とキーを共有します。
gcloud compute interconnects attachments describe my-attachment \ --region us-central1
adminEnabled: false edgeAvailabilityDomain: AVAILABILITY_DOMAIN_1 creationTimestamp: '2017-12-01T08:29:09.886-08:00' id: '7976913826166357434' kind: compute#interconnectAttachment labelFingerprint: 42WmSpB8rSM= name: my-attachment pairingKey: 7e51371e-72a3-40b5-b844-2e3efefaee59/us-central1/1 region: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1 router: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1/routers/my-router selfLink: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1/interconnectAttachments/my-attachment state: PENDING_PARTNER type: PARTNER
pairingKeyフィールドに含まれるペアリングキーは、コピーしてサービス プロバイダと共有する必要があります。VLAN アタッチメントが構成されるまで、ペアリングキーを機密情報として扱います。- VLAN アタッチメントの状態は、Google Cloud が VLAN アタッチメントの構成を完了するまでは
PENDING_PARTNERです。その後、アタッチメントの事前有効化を選択したかどうかに応じて、アタッチメントの状態はINACTIVEまたはACTIVEになります。
Google Cloud からの接続のリクエスト時にアタッチメントを冗長化するには、両方のアタッチメントに対して同じ大都市(シティ)を選択する必要があります。詳細については、Partner Interconnect の概要ページの冗長性セクションをご覧ください。
Google Cloud で Bare Metal Solution の注文の完了後に VLAN アタッチメントが表示されない場合は、各 VLAN アタッチメントを有効にします。
gcloud compute interconnects attachments partner update attachment-name \ --region region \ --admin-enabled
Cloud Console で、Cloud Router とアドバタイズされたルートのステータスを確認できます。詳細については、ルーターのステータスとアドバタイズされたルートの表示をご覧ください。
Bare Metal Solution と Google Cloud 間のルーティングを設定する
VLAN アタッチメントがアクティブになると、BGP セッションが確立され、Bare Metal Solution 環境からの経路情報が BGP セッションを介して受信されます。
BGP セッションにデフォルトの IP 範囲のカスタム アドバタイズを追加する
Bare Metal Solution 環境からのトラフィックのルーティングを設定するには、BGP セッションでデフォルトのルートのカスタム アドバタイズ(0.0.0.0/0 など)を Bare Metal Solution 環境に追加することをおすすめします。
既存の BGP セッションでアドバタイズを指定するには:
Console
- Google Cloud コンソールの [Cloud Router] ページに移動します。
Cloud Router リスト - 更新する BGP セッションを含む Cloud Router を選択します。
- Cloud Router の詳細ページで、更新する BGP セッションを選択します。
- BGP セッションの詳細ページで、[編集] を選択します。
- [ルート] で、[カスタムルートの作成] を選択します。
- [カスタムルートの追加] を選択して、アドバタイズされたルートを追加します。
- ルート アドバタイズを構成します。
- ソース - [カスタム IP 範囲] を選択して、カスタム IP 範囲を指定します。
- IP アドレス範囲 - CIDR 表記でカスタム IP 範囲を指定します。
- 説明 - このルート アドバタイズの目的がわかるような説明を追加します。
- ルートの追加が完了したら、[保存] を選択します。
gcloud
既存のカスタム アドバタイズに追加できます。また、新しいカスタム アドバタイズを設定して、既存のカスタム アドバタイズを新しい広告に置き換えることもできます。
デフォルトの IP 範囲に新しいカスタム アドバタイズを設定するには、--set-advertisement-ranges フラグを使用します。
gcloud compute routers update-bgp-peer router-name \ --peer-name bgp-session-name \ --advertisement-mode custom \ --set-advertisement-ranges 0.0.0.0/0
デフォルトの IP 範囲を既存の IP 範囲に追加するには、--add-advertisement-ranges フラグを使用します。このフラグを設定するには、Cloud Router のアドバタイズ モードがすでに custom になっている必要があるので注意してください。次の例は、0.0.0.0/0 カスタム IP を Cloud Router のアドバタイズに追加します。
gcloud compute routers update-bgp-peer router-name \ --peer-name bgp-session-name \ --add-advertisement-ranges 0.0.0.0/0
必要に応じて、VPC ネットワークの動的ルーティング モードを global に設定する
Bare Metal Solution サーバーが 2 つの異なるリージョンにある場合、Bare Metal Solution リージョン同士が VPC ネットワークを介して互いに直接通信できるよう、VPC ネットワークでグローバル ルーティング モードを有効にすることを検討してください。
また、グローバル ルーティング モードは、1 つの Google Cloud リージョンに接続されているオンプレミス環境と、別の Google Cloud リージョン内の Bare Metal Solution 環境間の通信を可能にするうえでも必要です。
グローバル ルーティング モードを設定するには、VPC ネットワークの動的ルーティング モードの設定をご覧ください。
VPC ファイアウォールの設定
新しい VPC ネットワークにはデフォルトのアクティブなファイアウォール ルールが付属しており、VPC ネットワークのほとんどのトラフィックが制限されます。
Bare Metal Solution 環境に接続するには、次の 2 点間のネットワーク トラフィックを有効にする必要があります。
- Bare Metal Solution 環境と Google Cloud 上のネットワークの宛先。
- ローカル環境と Google Cloud 上のリソース(Bare Metal Solution 環境への接続に使用する踏み台ホスト VM インスタンスなど)。
Bare Metal Solution 環境内で、ベアメタル サーバー間、またはサーバーと Google Cloud 以外の宛先間のネットワーク トラフィックを制御する必要がある場合は、制御メカニズムをご自分で実装する必要があります。
Google Cloud の VPC ネットワークにファイアウォール ルールを作成するには、次のようにします。
Console
[ファイアウォール ルール] ページに移動します。
[ファイアウォール ルールを作成] をクリックします。
ファイアウォール ルールを定義します。
- ファイアウォール ルールに名前を付けます。
- [ネットワーク] フィールドで、VM が配置されているネットワークを選択します。
- [ターゲット] フィールドで、指定されたターゲットタグまたは指定されたサービス アカウントを指定します。
- 該当するフィールドで、ターゲット ネットワーク タグまたはサービス アカウントを指定します。
- [ソースフィルタ] フィールドに IP 範囲を指定して、Bare Metal Solution 環境からの受信トラフィックを許可します。
- [ソース IP の範囲] フィールドで、Bare Metal Solution 環境にあるサーバーまたはデバイスの IP アドレスを指定します。
- [プロトコルとポート] セクションで、環境に必要なプロトコルとポートを指定します。
- [作成] をクリックします。
gcloud
次のコマンドは、IP 範囲を使用してソースを定義し、インスタンスのネットワーク タグを使用してターゲットを定義するファイアウォール ルールを作成します。必要に応じて、環境に合わせてコマンドを変更します。
gcloud compute firewall-rules create rule-name \ --project=your-project-id \ --direction=INGRESS \ --priority=1000 \ --network=your-network-name \ --action=ALLOW \ --rules=protocol:port \ --source-ranges=ip-range \ --target-tags=instance-network-tag
ファイアウォール ルールの作成の詳細については、ファイアウォール ルールの作成をご覧ください。
ベアメタル サーバーへの接続
Bare Metal Solution 環境のサーバーには外部 IP アドレスがプロビジョニングされません。
Bare Metal Solution 環境から VPC ネットワークへのトラフィックを許可するファイアウォール ルールを作成した後は、踏み台ホスト VM インスタンスを使用してサーバーに接続できます。
Google Cloud で踏み台ホスト VM インスタンスを作成する
ベアメタル サーバーにすばやく接続するには、踏み台ホストとして使用する Compute Engine 仮想マシン(VM)を作成します。Bare Metal Solution 環境と同じ Google Cloud リージョンに VM を作成します。
より安全な接続方法が必要な場合は、踏み台インスタンスを使用して接続するをご覧ください。
踏み台ホスト VM インスタンスを作成するには、Bare Metal Solution 環境で使用しているオペレーティング システムに基づいて以下の手順を選択します。
Compute Engine VM インスタンスの作成について詳しくは、VM インスタンスの作成と起動をご覧ください。
Linux
仮想マシン インスタンスを作成する
Google Cloud コンソールで、[VM インスタンス] ページに移動します。
[インスタンスを作成] をクリックします。
[名前] フィールドで、VM インスタンスの名前を指定します。
[リージョン] で、Bare Metal Solution 環境のリージョンを選択します。
[ブートディスク] セクションで、[変更] をクリックします。
- [オペレーティング システム] フィールドで、目的の OS を選択します。
- [バージョン] フィールドで OS のバージョンを選択します。
[管理、セキュリティ、ディスク、ネットワーキング、単一テナンシー] をクリックして、セクションを展開します。
[ネットワーキング] をクリックしてネットワーキング オプションを表示します。
- 必要に応じて、[ネットワーク タグ] でインスタンスのネットワーク タグを 1 つ以上定義します。
- [ネットワーク インターフェース] で、適切な VPC ネットワークが表示されていることを確認します。
[作成] をクリックします。
インスタンスが起動するまで、しばらくお待ちください。インスタンスの準備が整うと、[VM インスタンス] ページに緑色のステータス アイコン付きで表示されます。
踏み台ホスト VM インスタンスに接続する
踏み台ホスト VM インスタンスへのアクセスを許可するファイアウォール ルールを作成する必要がある場合は、ファイアウォールの設定をご覧ください。
Google Cloud コンソールで、[VM インスタンス] ページに移動します。
VM インスタンスのリストで、踏み台ホストを含む行の [SSH] をクリックします。
![[VM インスタンス] ページにある踏み台ホストの行の SSH ボタンがハイライト表示されている](https://cloud.google.com/static/bare-metal/docs/images/bms-jump-server-ssh.png?authuser=3&hl=ja)
これで、踏み台ホスト VM インスタンスのあるターミナル ウィンドウが表示され、SSH を使用してベアメタル サーバーに接続できます。
Bare Metal Solution サーバーに初めてログインする
Linux
踏み台ホスト VM インスタンスで、コマンドライン ターミナルを開き、Bare Metal Solution サーバーに接続できることを確認します。
ping bare-metal-ip
ping が失敗する場合は、次の点を確認してください。
- VLAN アタッチメントは、
UpのStatusでアクティブになっている。Cloud Interconnect 接続用の VLAN アタッチメントを作成するをご覧ください。 - VLAN アタッチメントに
0.0.0.0/0のカスタムルート アドバタイズが含まれている。BGP セッションにデフォルトの IP 範囲のカスタム アドバタイズを追加するをご覧ください。 - VPC に、Google Cloud 環境との通信で Bare Metal Solution 環境で使用している IP アドレス範囲からのアクセスを許可するファイアウォール ルールが含まれている。VPC ファイアウォールの設定をご覧ください。
- VLAN アタッチメントは、
踏み台インスタンス VM インスタンスから、
customeradminユーザー ID とサーバーの IP アドレスを使用して、Bare Metal Solution サーバーに SSH 接続します。ssh customeradmin@bare-metal-ip
プロンプトが表示されたら、Google Cloud から提供されたパスワードを入力します。
最初のログイン時に、Bare Metal Solution サーバーのパスワードを変更する必要があります。
新しいパスワードを設定して、安全な場所に保管してください。パスワードの再設定後、サーバーは自動的にログアウトします。
customeradminユーザー ID と新しいパスワードを使用して、Bare Metal Solution サーバーに再度ログインします。ssh customeradmin@bare-metal-ip
root ユーザーのパスワードも変更することをおすすめします。まず、root ユーザーとしてログインします。
sudo su -
root のパスワードを変更するには、
passwdコマンドを実行して、プロンプトの指示に従います。passwd
customeradminユーザー プロンプトに戻るには、root ユーザー プロンプトを終了します。exit
リカバリ プロセスで使用するため、パスワードを安全な場所に保管してください。
サーバーの構成が注文と一致していることを確認します。次の点を確認してください。
- サーバー構成(CPU の数と種類、ソケット、メモリなど)。
- オペレーティング システムまたはハイパーバイザ ソフトウェア(ベンダーとバージョンなど)。
- ストレージ(種類と容量など)。
公共のインターネットへのアクセスを設定する
Bare Metal Solution にはインターネットは付属していません。ビジネス要件や既存のインフラストラクチャなど、さまざまな要因に応じてアクセス権を設定するには、次の方法を使用できます。
- Compute Engine VM をプロキシ VM サーバーとして使用してインターネットにアクセスする。
プロキシ サーバーとして機能する Compute Engine VM 経由でのトラフィックのルーティング。
次の方法で、Compute Engine VM を使用してトラフィックをルーティングできます。
Cloud VPN または Dedicated Interconnect 経由でのオンプレミス ゲートウェイからインターネットへのトラフィックのルーティング。
Compute Engine VM と Cloud NAT を使用してインターネットにアクセスする
次の手順により、Compute Engine VM に NAT ゲートウェイを設定して、Bare Metal Solution 環境のサーバーをインターネットに接続し、ソフトウェア アップデートの受信などを行います。
この手順では、VPC ネットワークのデフォルト インターネット ゲートウェイを使用してインターネットにアクセスします。
次の手順で示す Linux コマンドは、Debian オペレーティング システム用です。別のオペレーティング システムを使用している場合は、必要なコマンドも異なる可能性があります。
Bare Metal Solution 環境で使用している VPC ネットワークで、次の手順を実行します。
Cloud Shell を開きます。
NAT ゲートウェイとして機能する Compute Engine VM を作成して構成します。
VM を作成します。
gcloud compute instances create instance-name \ --machine-type=machine-type-name \ --network vpc-network-name \ --subnet=subnet-name \ --can-ip-forward \ --zone=your-zone \ --image-family=os-image-family-name \ --image-project=os-image-project \ --tags=natgw-network-tag \ --service-account=optional-service-account-email
後の手順で、この手順で定義したネットワーク タグを使用して、この VM にトラフィックをルーティングします。
サービス アカウントを指定しない場合は、
--service-account=フラグを削除します。Compute Engine では、プロジェクトのデフォルトのサービス アカウントが使用されます。NAT ゲートウェイ VM に SSH で接続し、iptables を構成します。
$ sudo sysctl -w net.ipv4.ip_forward=1$ sudo iptables -t nat -A POSTROUTING \ -o $(/bin/ip -o -4 route show to default | awk '{print $5}') -j MASQUERADE最初の sudo コマンドでは、IP 転送を許可するカーネルを指定します。2 番目の sudo コマンドでは、内部インスタンスから受信したパケットを、NAT ゲートウェイ インスタンスから送信されたパケットであるかのようにマスカレードします。
iptables を確認します。
$ sudo iptables -v -L -t nat再起動後も NAT ゲートウェイの設定を保持するには、NAT ゲートウェイ VM で次のコマンドを実行します。
$ sudo -i$ echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/70-natgw.conf$ apt-get install iptables-persistent$ exit
Cloud Shell で、デフォルトのインターネット ゲートウェイをネクストホップとして、
0.0.0.0/0へのルートを作成します。--tags引数で、前の手順で定義したネットワーク タグを指定します。ルートには、他のデフォルト ルートよりも高い優先度を割り当てます。gcloud compute routes create default-internet-gateway-route-name \ --destination-range=0.0.0.0/0 \ --network=network-name \ --priority=800 \ --tags=natgw-network-tag \ --next-hop-gateway=default-internet-gateway
インターネットへのアクセスが必要な VPC ネットワーク内の既存の VM 対して、ここで作成したネットワーク タグを追加します。これにより、Bare Metal Solution サーバーも使用できる新しいデフォルト ルートを作成した後でも、これらの既存の VM は引き続きインターネットにアクセスできるようになります。
省略可: 前のステップで作成したルートよりも前から存在するインターネットへのルート(デフォルトで作成されたルートなど)を削除します。
ネットワーク内の既存の VM と NAT ゲートウェイ VM がインターネットにアクセスできることを確認するには、各 VM から外部 IP アドレス(例: 8.8.8.8、Google DNS)に ping を実行します。
NAT ゲートウェイ VM をネクストホップとして、
0.0.0.0/0へのデフォルト ルートを作成します。最初に作成したルートに対して指定した優先度よりも低い優先度をルートに設定します。gcloud compute routes create natgw-route-name \ --destination-range=0.0.0.0/0 \ --network=network-name \ --priority=900 \ --next-hop-instance=natgw-vm-name \ --next-hop-instance-zone=natgw-vm-zone
Bare Metal Solution サーバーにログインし、外部 IP アドレスに ping を実行して、インターネットにアクセスできることを確認します。
ping が失敗する場合は、Bare Metal Solution 環境から VPC ネットワークへのアクセスを許可するファイアウォール ルールが作成済みであることを確認してください。
冗長な Compute Engine VM、Cloud NAT、内部パススルー ネットワーク ロードバランサ、ポリシーベース ルーティングを使用してインターネットにアクセスする
このセクションでは、Compute Engine VM と Cloud NAT をバックエンドとして構成した内部パススルー ネットワーク ロードバランサを設定する方法について説明します。ポリシーベース ルーティングにより、インターネット トラフィックが内部パススルー ネットワーク ロードバランサのフロントエンドに転送されます。
次の図にこの構成を示します。
Bare Metal Solution 環境の VPC ネットワークで、次の手順を実行します。
NAT ゲートウェイとして機能する Compute Engine VM を作成して構成します。 方法 1: 単一の Compute Engine VM と Cloud NAT を使用するの手順を完了します。
軽量の http サーバーを使用して、内部パススルー ネットワーク ロードバランサのヘルスチェックを実行できます。
# Installing http server sudo yum install httpd sudo systemctl restart httpd # Testing curl http://127.0.0.1:80インスタンス グループを作成する。
gcloud compute instance-groups unmanaged create INSTANCE_GROUP_NAME --project=PROJECT_ID --zone=ZONE次のように置き換えます。
- INSTANCE_GROUP_NAME: インスタンス グループの名前。
- PROJECT_ID: プロジェクトの ID
- ZONE: インスタンス グループを作成するゾーン。
VM をインスタンス グループに追加します。
gcloud compute instance-groups unmanaged add-instances INSTANCE_GROUP_NAME --project=PROJECT_ID --zone=ZONE --instances=VM_NAME次のように置き換えます。
- INSTANCE_GROUP_NAME: インスタンス グループの名前。
- PROJECT_ID: プロジェクトの ID
- ZONE: インスタンス グループを作成するゾーン。
- VM_NAME: VM の名前
内部パススルー ネットワーク ロードバランサを作成する
構成を開始する
Google Cloud コンソールで、[ロード バランシング] ページに移動します。
- [ロードバランサを作成] をクリックします。
- [ロードバランサの種類] で [ネットワーク ロードバランサ(TCP / UDP / SSL)] を選択し、[次へ] をクリックします。
- [プロキシまたはパススルー] で、[パススルー ロードバランサ] を選択し、[次へ] をクリックします。
- [インターネット接続または内部] で [内部] を選択し、[次へ] をクリックします。
- [構成] をクリックします。
基本構成
- [ロードバランサの名前] を設定します。
- リージョンを選択します。
- ネットワークを選択します。
バックエンドとフロントエンドを構成する
[バックエンドの構成] をクリックして、次の変更を行います。
- バックエンドを追加するには、次のようにします。
- IPv4 トラフィックのみを処理する場合は、[新しいバックエンド] の [IP スタックタイプ] を [IPv4(シングルスタック)] を選択します。
- インスタンス グループを選択し、[完了] をクリックします。
ヘルスチェックを選択します。また、ヘルスチェックを作成して次の情報を入力し、[保存] をクリックすることもできます。
- 名前: ヘルスチェックの名前を入力します。
- プロトコル:
HTTP - ポート:
80 - プロキシ プロトコル:
NONE - リクエストパス:
/
- バックエンドを追加するには、次のようにします。
[フロントエンドの構成] をクリックします。[新しいフロントエンドの IP とポート] セクションで、次の変更を行います。
- ポート: [すべて] を選択して、[ポート番号] に
80,8008,8080,8088を入力します。 - [完了] をクリックします。
- ポート: [すべて] を選択して、[ポート番号] に
[確認と完了] をクリックします。
ロードバランサの構成を確認します。
[作成] をクリックします。
インターネットのポリシーベースのルートを作成します。
gcloud network-connectivity policy-based-routes create ROUTE_NAME \ --source-range=SOURCE_RANGE \ --destination-range=0.0.0.0/0 \ --ip-protocol=ALL \ --network="projects/PROJECT_ID/global/networks/NETWORK" \ --next-hop-ilb-ip=NEXT_HOP \ --description="DESCRIPTION" \ --priority=PRIORITY \ --interconnect-attachment-region=REGION次のように置き換えます。
- ROUTE_NAME: ポリシーベースのルートの名前
- SOURCE_RANGE: 送信元 IP の CIDR 範囲。 この場合、これは Bare Metal Solution の IP アドレスです。
- PROJECT_ID: プロジェクトの ID
- NETWORK: ポリシーベースのルートが適用されるネットワーク
- NEXT_HOP: ルートのネクストホップの IPv4 アドレス。この場合、これが内部パススルー ネットワーク ロードバランサのフロントエンドの IP アドレスになります。
- DESCRIPTION: ルートの説明
- PRIORITY: 他のポリシーベースのルートと比較したポリシーベースのルートの優先度
- REGION: VLAN アタッチメントのリージョン
オンプレミス サブネットとローカル サブネットのインターネット ポリシーベースのルートをスキップするポリシーベースのルートを作成します。
gcloud network-connectivity policy-based-routes create ROUTE_NAME \ --source-range=SOURCE_RANGE/32 \ --destination-range=DESTINATION_RANGE \ --ip-protocol=ALL \ --network="projects/PROJECT_ID/global/networks/VPC_NAME" \ --next-hop-other-routes="DEFAULT_ROUTING" \ --description="DESCRIPTION" \ --priority=PRIORITY \ --interconnect-attachment-region=REGION次のように置き換えます。
- ROUTE_NAME: ポリシーベースのルートの名前
- SOURCE_RANGE: 送信元 IP の CIDR 範囲。 この場合、これは Bare Metal Solution の IP アドレスです。
- DESTINATION_RANGE: 宛先 IP の CIDR 範囲。この場合、これはオンプレミス サブネットまたはローカル サブネットです。
- PROJECT_ID: プロジェクトの ID
- VPC_NAME: VPC ネットワークの名前。
- DESCRIPTION: ルートの説明
- PRIORITY: 他のポリシーベースのルートと比較したポリシーベースのルートの優先度。 このポリシーベースのルートの優先度は、インターネットのポリシーベース ルート以下にする必要があります。
- REGION: VLAN アタッチメントのリージョン
VM で HTTP ポート 80 を許可するようにファイアウォールを更新します。
ファイアウォールを更新しないと、ヘルスチェックが失敗する場合があります。
冗長な Compute Engine VM、Cloud NAT、内部パススルー ネットワーク ロードバランサ、ポリシーベース ルーティングを使用して、別の VPC でインターネットにアクセスする
ローカル サブネットにポリシーベースのルートを追加しない場合は、この方法でインターネットにアクセスできます。ただし、この方法を使用するには、VLAN アタッチメントと VPC を作成して Bare Metal Solution を接続する必要があります。
次の図にこの構成を示します。
以下の手順に沿って登録してください。
インターネット用の VPC ネットワークを作成する
gcloud compute networks create NETWORK --project=PROJECT_ID --subnet-mode=custom --mtu=MTU --bgp-routing-mode=regional次のように置き換えます。
- NETWORK: VPC ネットワークの名前。
- PROJECT_ID: プロジェクトの ID
- MTU: ネットワークの最大パケットサイズである最大伝送単位(MTU)
サブネットを作成します。
gcloud compute networks subnets create SUBNET_NAME --project=PROJECT_ID --range=RANGE --stack-type=IPV4_ONLY --network=NETWORK --region=REGION次のように置き換えます。
- SUBNET_NAME: サブネットの名前
- PROJECT_ID: プロジェクトの ID
- RANGE: このサブネットに割り当てられる IP 空間(CIDR 形式)
- NETWORK: サブネットが属する VPC ネットワーク
- REGION: サブネットのリージョン
冗長性とアドバタイズ用に 2 つの Cloud Router を作成します。
gcloud compute routers create ROUTER_NAME --project=PROJECT_ID --region=REGION --network=NETWORK --advertisement-mode=custom --set-advertisement-ranges=0.0.0.0/0次のように置き換えます。
- ROUTER_NAME: ルーターの名前
- PROJECT_ID: プロジェクトの ID
- REGION: ルーターのリージョン
- NETWORK: このルーターの VPC ネットワーク
4 つの VLAN アタッチメント(Cloud Router ごとに 2 つ)を作成します。
手順については、VLAN アタッチメントの作成をご覧ください。
VLAN アタッチメントがアクティブになったら、方法 2: 冗長な Compute Engine VM、Cloud NAT、内部パススルー ネットワーク ロードバランサ、ポリシーベース ルーティングの使用の手順に沿ってインターネット インフラストラクチャを構成します。ただし、この設定では、ローカル トラフィックにポリシーベースのルートを構成しないでください。インターネット用のポリシーベースのルートは、VPC ネットワークのルーティング テーブル内にのみ作成します。
Google Cloud APIs とサービスへのアクセスを設定する
Bare Metal Solution には Google Cloud サービスへのアクセスは付属していません。ビジネス要件や既存のインフラストラクチャなど、さまざまな要因に応じてアクセスを実装する方法を選択できます。
Google Cloud APIs とサービスには、Bare Metal Solution 環境から限定公開でアクセスできます。
オンプレミス環境の場合と同様に、Bare Metal Solution 環境から Google Cloud APIs とサービスへのプライベート アクセスを設定します。
オンプレミス ホスト用の限定公開の Google アクセスの構成の手順に沿って進めます。
ここで説明する手順の概要は次のとおりです。
- Google API トラフィックのルートを構成します。
*.googleapis.comをCNAMEとしてrestricted.googleapis.comに解決されるように Bare Metal Solution DNS を構成します。
次のステップ
Bare Metal Solution 環境を設定したら、ワークロードをインストールできます。
Bare Metal Solution 環境内のサーバーで Oracle データベースを実行する予定がある場合は、オープンソースの Bare Metal Solution 用ツールキットで Oracle ソフトウェアをインストールできます。