Google Cloud für eine Bare-Metal-Lösungsumgebung einrichten

Wenn Ihre Bare-Metal-Lösungsumgebung bereit ist, werden Sie von Google Cloud benachrichtigt. Die Benachrichtigung enthält die internen IP-Adressen Ihrer neuen Server.

In dieser Anleitung wird beschrieben, wie Sie die folgenden Aufgaben ausführen, um eine Verbindung zu Ihrer Bare-Metal-Lösung herzustellen:

  • Erstellen Sie redundante VLAN-Anhänge in der Bare-Metal-Lösungsumgebung.
  • Erstellen Sie in Ihrem VPC-Netzwerk eine Jump-Host-VM-Instanz.
  • Verwenden Sie SSH oder RDP, um sich über die Jump-Host-VM-Instanz bei Ihren Bare-Metal-Lösungsservern anzumelden.

Nachdem Sie eine Verbindung zu Ihren Servern hergestellt haben, prüfen Sie die Konfiguration Ihrer Bare-Metal-Lösungsbestellung.

Hinweise

Um Ihre Bare-Metal-Lösungsumgebung zu konfigurieren und eine Verbindung zu ihr herzustellen, benötigen Sie:

  • Google Cloud-Projekt mit aktivierter Abrechnungsfunktion. In der Google Cloud Console können Sie auf der Seite für die Projektauswahl ein Projekt erstellen.
  • Ein VPC-Netzwerk (Virtual Private Cloud). Das ist das VPC-Netzwerk, das Sie bei der Bestellung der Bare-Metal-Lösung benannt haben. Weitere Informationen zur Erstellung des VPC-Netzwerks finden Sie unter VPC-Netzwerke verwenden.
  • Die folgenden Informationen werden Ihnen von Google Cloud bereitgestellt, wenn Ihre Bare-Metal-Lösung bereit ist:
    • Die IP-Adressen der Bare-Metal-Server.
    • Die temporären Passwörter für die einzelnen Bare-Metal-Server.

VLAN-Anhänge für die Cloud Interconnect-Verbindung erstellen

Für den Zugriff auf den Server der Bare-Metal-Lösung müssen Sie VLAN-Anhänge (auch InterconnectAttachments genannt) in derselben Region wie Ihr Server erstellen und einrichten. Ein VLAN-Anhang ist ein logisches Objekt in Cloud Interconnect, das zum Verbinden Ihrer Bare-Metal-Lösungsumgebung mit Google Cloud verwendet wird.

Für Hochverfügbarkeit empfehlen wir, VLAN-Anhänge in redundanten Paaren zu erstellen. Der primäre VLAN-Anhang und der sekundäre VLAN-Anhang eines Paars werden jeweils in einer separaten EAD (Edge Availability Domain) in separaten Hardware- und physischen Racks bereitgestellt. Dies gewährleistet eine hohe Verfügbarkeit bei Ereignissen, wie z. B. bei Wartungsarbeiten.

Edge-Verfügbarkeitsdomain für die Bare-Metal-Lösung.

Ein einzelner VLAN-Anhang unterstützt eine maximale Geschwindigkeit von 10 Gbit/s. Ein Paar von VLAN-Anhängen (d. h. der primäre und der sekundäre VLAN-Anhang) kann eine maximale Geschwindigkeit von 20 Gbit/s unterstützen. Sie können mehrere VLAN-Anhangspaare konfigurieren, um einen höheren Durchsatz zwischen Ihrer Bare-Metal-Lösungsumgebung und dem VPC-Netzwerk zu erreichen.

Wenn Sie einen VLAN-Anhang gegenüber anderen vorziehen möchten, können Sie auf dem Cloud Router die Basisroutenpriorität aktualisieren.

Nachdem Sie die VLAN-Anhänge erstellt haben, müssen Sie sie vorab aktivieren und Ihrer Bare-Metal-Lösung hinzufügen. So erstellen und richten Sie VLAN-Anhänge ein:

Console

  1. Wenn in Ihrem Netzwerk und der Region Ihrer Bare-Metal-Lösung noch kein Cloud Router vorhanden ist, erstellen Sie einen Cloud Router, um Ihre Bare-Metal-Lösungsumgebung mit Ihrem VPC-Netzwerk zu verbinden.

    Sie können einen einzelnen Cloud Router für beide VLAN-Anhänge oder separate Cloud Router für jeden VLAN-Anhang verwenden.

    Verwenden Sie für das Peering mit der Bare-Metal-Lösung die öffentliche Google-ASN (16550) beim Erstellen des Routers.

    Eine Anleitung finden Sie unter Cloud Router erstellen.

  2. Rufen Sie in der Google Cloud Console die Cloud Interconnect-Seite VLAN-Anhänge auf.

    Zu den VLAN-Anhängen

  3. Klicken Sie auf VLAN-Anhänge erstellen.

  4. Wählen Sie Partner Interconnect und dann Weiter aus.

  5. Wählen Sie Ich habe bereits einen Dienstanbieter aus.

  6. Wählen Sie Ein Paar redundanter VLAN-Anhänge erstellen aus.

    Beide VLAN-Anhänge können Traffic bereitstellen und Sie können den Traffic zum Load-Balancing zwischen ihnen weiterleiten. Wenn ein Anhang ausfällt (z. B. bei einer geplanten Wartung), verarbeitet der andere Anhang weiterhin Traffic. Weitere Informationen finden Sie unter Redundanz und SLA.

  7. Wählen Sie im Feld Netzwerk Ihr VPC-Netzwerk aus.

  8. Wählen Sie im Feld Region die Google Cloud-Region aus.

  9. Geben Sie die folgenden Details für beide VLAN-Anhänge an.

    • Cloud Router: Ein Cloud Router, der mit diesem VLAN-Anhang verknüpft werden soll. Sie können nur einen Cloud Router mit der ASN 16550 auswählen, der sich in Ihrem VPC-Netzwerk und Ihrer Region befindet.
    • Name des VLAN-Anhangs: Ein Name für jeden Anhang. Beispiel: my-attachment-1 und my-attachment-2.
    • Beschreibung: Informationen zu jedem VLAN-Anhang.
    • Maximale Übertragungseinheit (MTU): Die maximale Paketgröße für die Netzwerkübertragung. Der Standardwert ist 1440. Beim Erstellen Ihrer VLAN-Anhänge können Sie zwischen den folgenden MTUs wählen.
      • 1440
      • 1460
      • 1.500
      • 8896

  10. Klicken Sie auf OK.

    Auf der Seite VLAN-Anhänge wird für den Status des VLAN-Anhang waiting for service provider angezeigt. Fahren Sie mit dem nächsten Schritt fort.

  11. Nachdem Sie von Google Cloud benachrichtigt wurden, dass die Server Ihrer Bare-Metal-Lösung bereit sind, fügen Sie Ihre neuen VLAN-Anhänge einem VRF hinzu. Gehen Sie dazu so vor:

    1. Folgen Sie der Anleitung unter VLAN-Anhang hinzufügen, um einem vorhandenen VRF VLAN-Anhänge hinzuzufügen.
    2. Folgen Sie der Anleitung unter VRF erstellen, um VLAN-Anhänge zu einem neuen VRF hinzuzufügen.

gcloud

  1. Wenn in dem Netzwerk und der Region, für die Sie die Bare-Metal-Lösung verwenden, noch keine Cloud Router-Instanzen vorhanden sind, müssen Sie für jeden VLAN-Anhang eine erstellen. Verwenden Sie 16550 als ASN-Nummer:

    gcloud compute routers create router-name \
--network vpc-network-name \
--asn 16550 \
--region region

    Weitere Informationen finden Sie unter Cloud Router erstellen.

  2. Erstellen Sie eine InterconnectAttachment vom Typ PARTNER und geben Sie den Namen Ihres Cloud Router und die Edge-Verfügbarkeitsdomain (EAD) des VLAN-Anhang an. Fügen Sie außerdem das Flag --admin-enabled hinzu, um die Anhänge vorab zu aktivieren und Traffic zu senden, sobald Google Cloud die Konfiguration der Bare-Metal-Lösung abgeschlossen hat.

    gcloud compute interconnects attachments partner create first-attachment-name \
  --region region \
  --router first-router-name \
  --edge-availability-domain availability-domain-1 \
  --admin-enabled
    gcloud compute interconnects attachments partner create second-attachment-name \
  --region region \
  --router second-router-name \
  --edge-availability-domain availability-domain-2 \
  --admin-enabled

    Google fügt dem Cloud Router automatisch eine Schnittstelle und einen BGP-Peer hinzu.

    Im folgenden Beispiel werden redundante Anhänge erstellt, einer in der EAD availability-domain-1 und ein weiterer in der EAD availability-domain-2. Jeder ist mit einem separaten Cloud Router (my-router-1 bzw. my-router-2) verknüpft. Beide befinden sich in der Region us-central1.

    gcloud compute interconnects attachments partner create my-attachment \
 --region us-central1 \
 --router my-router-1 \
 --edge-availability-domain availability-domain-1 \
 --admin-enabled
    gcloud compute interconnects attachments partner create my-attachment \
 --region us-central1 \
 --router my-router-2 \
 --edge-availability-domain availability-domain-2 \
  --admin-enabled

  3. Führen Sie den Befehl gcloud compute interconnects attachments describe aus, um die Details des VLAN-Anhang aufzurufen.

    gcloud compute interconnects attachments describe my-attachment \
  --region us-central1
    adminEnabled: false
edgeAvailabilityDomain: AVAILABILITY_DOMAIN_1
creationTimestamp: '2017-12-01T08:29:09.886-08:00'
id: '7976913826166357434'
kind: compute#interconnectAttachment
labelFingerprint: 42WmSpB8rSM=
name: my-attachment
region: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1
router: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1/routers/my-router
selfLink: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1/interconnectAttachments/my-attachment
state: PENDING_PARTNER
type: PARTNER
    • Der Status des VLAN-Anhangs lautet PENDING_PARTNER, bis Google Cloud die Konfiguration Ihres VLAN-Anhangs abgeschlossen hat. Danach hat der Anhang den Status INACTIVE oder ACTIVE, je nachdem, ob Sie Ihre Anhänge vorab aktivieren möchten oder nicht.

    Wenn Sie Verbindungen von Google Cloud anfordern, müssen Sie dieselbe Metropolregion (Stadt) für beide Anhänge auswählen, damit diese redundant sind. Weitere Informationen finden Sie im Abschnitt „Redundanz“ auf der Seite Partner Interconnect – Übersicht.

  4. Wenn die VLAN-Anhänge nicht angezeigt werden, nachdem Google Cloud die Bestellung Ihrer Bare-Metal-Lösung abgeschlossen hat, aktivieren Sie jeden VLAN-Anhang:

    gcloud compute interconnects attachments partner update attachment-name \
--region region \
--admin-enabled

Sie können den Status der Cloud Router und der beworbenen Routen in der Cloud Console prüfen. Weitere Informationen finden Sie unter Routerstatus und angebotene Routen aufrufen.

Routing zwischen der Bare-Metal-Lösung und Google Cloud einrichten

Sobald die VLAN-Anhänge aktiv sind, werden Ihre BGP-Sitzungen gestartet und die Routen aus der Bare-Metal-Lösung über die BGP-Sitzungen empfangen.

Benutzerdefinierte beworbene Route für einen Standard-IP-Bereich zu BGP-Sitzungen hinzufügen

Zum Einrichten des Routings für Traffic aus der Bare-Metal-Lösungsumgebung empfiehlt es sich, eine benutzerdefinierte beworbene Route einer Standardroute wie 0.0.0.0/0 in Ihren BGP-Sitzungen zur Umgebung der Bare-Metal-Lösung hinzuzufügen.

So geben Sie Advertising für eine vorhandene BGP-Sitzung an:

Console

  1. Rufen Sie in der Google Cloud Console die Seite „Cloud Router” auf.
    Zur Liste der Cloud Router
  2. Klicken Sie auf den Cloud Router, der die zu aktualisierende BGP-Sitzung enthält.
  3. Klicken Sie auf der Detailseite des Cloud Routers auf die zu aktualisierende BGP-Sitzung.
  4. Wählen Sie auf der Seite BGP-Sitzungsdetails Bearbeiten aus.
  5. Wählen Sie für Routen die Option Benutzerdefinierte Routen erstellen aus.
  6. Wählen Sie Benutzerdefinierte Route hinzufügen aus, um eine beworbene Route zu erstellen.
  7. Konfigurieren Sie das Routen-Advertising.
    • Quelle: Wählen Sie Benutzerdefinierter IP-Bereich aus, um einen benutzerdefinierten IP-Adressbereich anzugeben.
    • IP-Adressbereich: Geben Sie den benutzerdefinierten IP-Adressbereich mit der CIDR-Notation an.
    • Beschreibung: Fügen Sie eine Beschreibung hinzu, damit Sie den Zweck der benutzerdefinierten beworbenen Route erkennen können.
  8. Wenn Sie keine weiteren Routen hinzufügen möchten, klicken Sie auf Speichern.

gcloud

Sie können vorhandene benutzerdefinierte beworbene Routen ergänzen oder eine neue benutzerdefinierte beworbene Route festlegen, die alle vorhandenen benutzerdefinierten beworbenen Routen durch die neue ersetzt.

Verwenden Sie das Flag --set-advertisement-ranges, um eine neue benutzerdefinierte beworbene Route für einen Standard-IP-Bereich festzulegen:

gcloud compute routers update-bgp-peer router-name \
   --peer-name bgp-session-name \
   --advertisement-mode custom \
   --set-advertisement-ranges 0.0.0.0/0

Mit dem Flag --add-advertisement-ranges können Sie den Standard-IP-Bereich an vorhandene IP-Bereiche anhängen. Für dieses Flag muss der Advertising-Modus des Cloud Routers bereits auf custom eingestellt sein. Im folgenden Beispiel wird die benutzerdefinierte IP 0.0.0.0/0 dem Advertising des Cloud Routers hinzugefügt:

gcloud compute routers update-bgp-peer router-name \
   --peer-name bgp-session-name \
   --add-advertisement-ranges 0.0.0.0/0

Optional den Modus für dynamisches Routing des VPC-Netzwerks auf global festlegen

Wenn Sie Server für Bare-Metal-Lösungen in zwei verschiedenen Regionen verwenden, ist die Aktivierung des globalen Routingmodus im VPC-Netzwerk sinnvoll, damit Ihre Bare-Metal-Regionen direkt über das VPC-Netzwerk miteinander kommunizieren können.

Der globale Routing-Modus ist auch erforderlich, um die Kommunikation zwischen einer lokalen Umgebung zu ermöglichen, die mit einer Google Cloud-Region und einer Bare-Metal-Lösungsumgebung in einer anderen Google Cloud-Region verbunden ist.

Informationen zum Festlegen des globalen Routingmodus finden Sie unter Modus für dynamisches Routing des VPC-Netzwerks festlegen.

VPC-Firewall einrichten

Neue VPC-Netzwerke enthalten aktive Firewallstandardregeln, die den meisten Traffic im VPC-Netzwerk einschränken.

Wenn Sie eine Verbindung zu Ihrer Bare-Metal-Lösung herstellen möchten, muss der Netzwerkverkehr aktiviert werden zwischen:

  • Ihrer Bare-Metal-Lösungsumgebung und -Netzwerkzielen in Google Cloud.
  • Ihre lokale Umgebung und Ihre Ressourcen in Google Cloud, wie z. B. eine beliebige Jump-Host-VM-Instanz, mit der Sie eine Verbindung zu Ihrer Bare-Metal-Lösungsumgebung herstellen können.

Wenn Sie den Netzwerk-Traffic zwischen den Bare-Metal-Servern oder zwischen den Servern und Zielen in Google Cloud steuern müssen, müssen Sie in Ihrer Bare-Metal-Lösungsumgebung einen Kontrollmechanismus selbst implementieren.

So erstellen Sie eine Firewallregel in Ihrem VPC-Netzwerk in Google Cloud:

Console

  1. Zur Seite Firewallregeln:

    Zu Firewallregeln

  2. Klicken Sie auf Firewallregel erstellen.

  3. Definieren Sie die Firewallregel.

    1. Geben Sie der Firewallregel einen Namen.
    2. Wählen Sie im Feld Netzwerk das Netzwerk aus, in dem sich die VM befindet.
    3. Geben Sie im Feld Ziele entweder Angegebene Ziel-Tags oder Angegebenes Dienstkonto an.
    4. Geben Sie in den entsprechenden Feldern das Zielnetzwerk-Tag oder Dienstkonto an.
    5. Geben Sie im Feld Quellfilter IP-Bereiche an, um eingehenden Traffic aus Ihrer Bare-Metal-Lösungsumgebung zuzulassen.
    6. Geben Sie im Feld Quell-IP-Bereiche die IP-Adressen der Server oder Geräte in Ihrer Bare-Metal-Lösung an.
    7. Geben Sie im Abschnitt Protokolle und Ports die Protokolle und Ports an, die in Ihrer Umgebung erforderlich sind.
    8. Klicken Sie auf Erstellen.

gcloud

Mit dem folgenden Befehl erstellen Sie eine Firewallregel, die die Quelle mithilfe eines IP-Bereichs und des Ziels mithilfe des Netzwerk-Tags einer Instanz definiert. Passen Sie den Befehl für Ihre Umgebung nach Bedarf an.

gcloud compute firewall-rules create rule-name \
    --project=your-project-id \
    --direction=INGRESS \
    --priority=1000 \
    --network=your-network-name \
    --action=ALLOW \
    --rules=protocol:port \
    --source-ranges=ip-range \
    --target-tags=instance-network-tag

Weitere Informationen zum Erstellen von Firewallregeln finden Sie unter Firewallregeln erstellen.

Verbindung zum Bare-Metal-Server herstellen

Die Server in Ihrer Bare-Metal-Lösungsumgebung werden nicht mit externen IP-Adressen bereitgestellt.

Nachdem Sie eine Firewallregel erstellt haben, um Traffic aus der Bare-Metal-Lösung in Ihr VPC-Netzwerk zuzulassen, können Sie über eine Jump-Host-VM-Instanz eine Verbindung zu Ihrem Server herstellen.

Jump-Host-VM-Instanz in Google Cloud erstellen

Wenn Sie schnell eine Verbindung zu Ihren Bare-Metal-Servern herstellen möchten, erstellen Sie eine Compute Engine-VM, die als Jump-Host verwendet werden soll. Erstellen Sie die VM in derselben Google Cloud-Region wie Ihre Bare-Metal-Lösungsumgebung.

Wenn Sie eine sicherere Verbindungsmethode benötigen, finden Sie weitere Informationen unter Verbindung über einen Bastion Host herstellen.

Wählen Sie zum Erstellen einer Jump-Host-VM-Instanz die entsprechende Anleitung weiter unten basierend auf dem Betriebssystem aus, das Sie in Ihrer Bare-Metal-Lösungsumgebung verwenden.

Weitere Informationen zum Erstellen von Compute Engine-VM-Instanzen finden Sie unter VM-Instanzen erstellen und starten.

Linux

VM-Instanz erstellen

  1. Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.

    Die Seite VM-Instanzen aufrufen

  2. Klicken Sie auf Instanz erstellen.

  3. Geben Sie im Feld Name einen Namen für die VM-Instanz ein.

  4. Wählen Sie unter Region die Region Ihrer Bare-Metal-Lösungsumgebung aus.

  5. Klicken Sie im Abschnitt Bootlaufwerk auf Ändern.

    1. Wählen Sie im Feld Betriebssysteme das gewünschte Betriebssystem aus.
    2. Wählen Sie im Feld Version die Version des Betriebssystems aus.

  6. Klicken Sie auf Verwaltung, Sicherheit, Laufwerke, Netzwerke, einzelne Mandanten, um den Abschnitt zu maximieren.

  7. Klicken Sie auf Netzwerk, um die Netzwerkoptionen aufzurufen.

    • Definieren Sie unter Netzwerk-Tags einen oder mehrere Netzwerk-Tags für die Instanz.
    • Prüfen Sie unter Netzwerkschnittstellen, ob das richtige VPC-Netzwerk angezeigt wird.

  8. Klicken Sie auf Erstellen.

Warten Sie, bis die Instanz gestartet ist. Wenn die Instanz bereit ist, wird sie auf der Seite VM-Instanzen mit einem grünen Statussymbol angezeigt.

Verbindung zur Jump-Host-VM-Instanz herstellen

  1. Informationen zum Erstellen einer Firewallregel, um den Zugriff auf Ihre Jump-Host-VM-Instanz zu ermöglichen, finden Sie unter Firewall einrichten.

  2. Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf:

    Die Seite VM-Instanzen aufrufen

  3. Klicken Sie in der Liste der VM-Instanzen in der Zeile, die Ihren Jump-Host enthält, auf "SSH".

    Die Schaltfläche "SSH" wird für die Jump-Host-Zeile auf der Seite "VM-Instanzen" hervorgehoben.

Sie haben jetzt ein Terminalfenster mit Ihrer Jump-Host-VM-Instanz, über die Sie mithilfe von SSH eine Verbindung zu Ihrem Bare-Metal-Server herstellen können.

Erstmalige Anmeldung bei einem Bare-Metal-Lösungsserver

Linux

  1. Stellen Sie eine Verbindung zu Ihrer Jump-Host-VM-Instanz her.

  2. Öffnen Sie auf der Jump-Host-VM-Instanz ein Befehlszeilenterminal und bestätigen Sie, dass Sie den Server der Bare-Metal-Lösung erreichen können:

    ping bare-metal-ip

    Wenn der Ping-Befehl fehlschlägt, prüfen und korrigieren Sie folgendes:

  3. Stellen Sie auf der Jump-Host-VM-Instanz eine SSH-Verbindung zum Bare-Metal-Lösungsserver her. Verwenden Sie dazu die Nutzer-ID customeradmin und die IP-Adresse des Servers:

    ssh customeradmin@bare-metal-ip

  4. Geben Sie bei entsprechender Aufforderung das von Google Cloud bereitgestellte Passwort ein.

  5. Bei der ersten Anmeldung müssen Sie das Passwort für Ihren Bare-Metal-Lösungsserver ändern.

  6. Legen Sie ein neues Passwort fest und notieren Sie es an einem sicheren Ort. Nach dem Zurücksetzen des Passworts meldet Sie der Server automatisch ab.

  7. Melden Sie sich noch einmal mit der Nutzer-ID customeradmin und Ihrem neuen Passwort beim Bare-Metal-Lösungsserver an:

    ssh customeradmin@bare-metal-ip

  8. Wir empfehlen Ihnen außerdem, das Passwort für den Root-Nutzer zu ändern. Melden Sie sich als Root-Nutzer an:

    sudo su -

  9. Um das Root-Passwort zu ändern, führen Sie den Befehl passwd aus und folgen Sie den Eingabeaufforderungen:

    passwd

  10. Beenden Sie die Eingabeaufforderung für den Root-Nutzer, um zur Eingabeaufforderung customeradminzurückzukehren.

    exit

  11. Bewahren Sie Ihre Passwörter zur Wiederherstellung an einem sicheren Ort auf.

  12. Prüfen Sie, ob die Serverkonfiguration mit der Bestellung übereinstimmt. Prüfen Sie Folgendes:

    • Die Serverkonfiguration, einschließlich Anzahl und Typ der CPUs, der Sockets und des Arbeitsspeichers.
    • Betriebssystem- oder Hypervisor-Software, einschließlich Anbieter und Version.
    • Den Speicherplatz, einschließlich Typ und Menge.

Zugriff auf das öffentliche Internet einrichten

Die Bare-Metal-Lösung umfasst keinen Internetzugang. Sie können zwischen den folgenden Methoden wählen, um den Zugriff abhängig von verschiedenen Faktoren wie Ihren Geschäftsanforderungen und der vorhandenen Infrastruktur einzurichten:

Mit einer Compute Engine-VM und Cloud NAT auf das Internet zugreifen

In der folgenden Anleitung wird ein NAT-Gateway auf einer Compute Engine-VM eingerichtet, um die Server in einer Bare-Metal-Lösungsumgebung mit dem Internet zu verbinden, um so beispielsweise Softwareupdates zu erhalten.

In der Anleitung wird das Standard-Internetgateway Ihres VPC-Netzwerks für den Zugriff auf das Internet verwendet.

Die in der folgenden Anleitung gezeigten Linux-Befehle beziehen sich auf das Betriebssystem Debian-. Wenn Sie ein anderes Betriebssystem verwenden, können die verwendeten Befehle möglicherweise unterschiedlich sein.

Gehen Sie im VPC-Netzwerk, das Sie mit Ihrer Bare-Metal-Lösungsumgebung verwenden, so vor:

  1. Cloud Shell öffnen

    Zu Cloud Shell

  2. Compute Engine-VM erstellen und konfigurieren, die als NAT-Gateway dient.

    1. VM erstellen:

      gcloud compute instances create instance-name \
  --machine-type=machine-type-name \
  --network vpc-network-name \
  --subnet=subnet-name \
  --can-ip-forward \
  --zone=your-zone \
  --image-family=os-image-family-name \
  --image-project=os-image-project \
  --tags=natgw-network-tag \
  --service-account=optional-service-account-email

      In späteren Schritten verwenden Sie das in diesem Schritt definierte Netzwerk-Tag, um Traffic an diese VM weiterzuleiten.

      Wenn Sie kein Dienstkonto angeben, entfernen Sie das Flag --service-account=. Compute Engine verwendet das Standarddienstkonto des Projekts.

    2. Cloud NAT für VM-Internetzugriff erstellen

      Anleitung zum Erstellen eines Cloud NAT für die VM

    3. Stellen Sie eine SSH-Verbindung zur NAT-Gateway-VM her und konfigurieren Sie die iptables:

      $ sudo sysctl -w net.ipv4.ip_forward=1
      $ sudo iptables -t nat -A POSTROUTING \
   -o $(/bin/ip -o -4 route show to default | awk '{print $5}') -j MASQUERADE

      Der erste sudo-Befehl teilt dem Kernel mit, dass Sie die IP-Weiterleitung zulassen möchten. Der zweite sudo-Befehl maskiert Pakete, die von internen Instanzen empfangen werden, als wären sie von der NAT-Gateway-Instanz gesendet worden.

    4. Prüfen Sie die iptables:

      $ sudo iptables -v -L -t nat

    5. Führen Sie die folgenden Befehle auf der NAT-Gateway-VM aus, um Ihre NAT-Gateway-Einstellungen während eines Neustarts beizubehalten:

      $ sudo -i

      $ echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/70-natgw.conf

      $ apt-get install iptables-persistent

      $ exit

  3. Erstellen Sie in Cloud Shell eine Route zu 0.0.0.0/0 mit dem Standard-Internetgateway als nächsten Hop. Geben Sie das Netzwerk-Tag an, das Sie im vorherigen Schritt für das Argument --tags definiert haben. Weisen Sie der Route eine höhere Priorität zu als jeder anderen Standardroute.

    gcloud compute routes create default-internet-gateway-route-name \
    --destination-range=0.0.0.0/0 \
    --network=network-name \
    --priority=800 \
    --tags=natgw-network-tag \
    --next-hop-gateway=default-internet-gateway

  4. Fügen Sie das gerade erstellte Netzwerk-Tag zu allen vorhandenen VMs in Ihrem VPC-Netzwerk hinzu, die Internetzugang benötigen, damit sie auch dann noch auf das Internet zugreifen können, nachdem Sie eine neue Standardroute erstellt haben, die die Bare-Metal-Lösungsserver ebenfalls verwenden können.

  5. Optional: Entfernen Sie Routen zum Internet, die bereits vor der im vorherigen Schritt erstellten Route vorhanden waren, einschließlich der standardmäßig erstellten Routen.

  6. Prüfen Sie, ob alle vorhandenen VMs in Ihrem Netzwerk und die NAT-Gateway-VM auf das Internet zugreifen können, indem Sie von jeder VM eine externe IP-Adresse wie das Google-DNS 8.8.8.8 anpingen.

  7. Erstellen Sie eine Standardroute zu 0.0.0.0/0 mit der NAT-Gateway-VM als nächsten Hop. Weisen Sie der Route eine niedrigere Priorität zu als für die erste erstellte Route.

    gcloud compute routes create natgw-route-name \
    --destination-range=0.0.0.0/0 \
    --network=network-name \
    --priority=900 \
    --next-hop-instance=natgw-vm-name \
    --next-hop-instance-zone=natgw-vm-zone

  8. Melden Sie sich bei den Servern Ihrer Bare-Metal-Lösung an und pingen Sie eine externe IP-Adresse an, um zu bestätigen, dass sie auf das Internet zugreifen können.

    Wenn der Ping-Befehl nicht erfolgreich ist, prüfen Sie, ob Sie eine Firewallregel erstellt haben, die den Zugriff von Ihrer Bare-Metal-Lösungsumgebung auf Ihr VPC-Netzwerk zulässt.

Mit redundanten Compute Engine-VMs, Cloud NAT, internem Passthrough-Network Load Balancer und richtlinienbasiertem Routing auf das Internet zugreifen

In diesem Abschnitt wird gezeigt, wie Sie den internen Passthrough-Network Load Balancer mit Compute Engine-VMs und Cloud NAT einrichten, die als Back-End konfiguriert sind. Beim richtlinienbasierten Routing wird der Internettraffic an das Front-End des internen Passthrough-Network Load Balancers weitergeleitet.

Das folgende Diagramm veranschaulicht die Konfiguration.

Einrichtung zur Verwendung redundanter Compute Engine-VMs, Cloud NAT, des internen Passthrough-Network Load Balancers und richtlinienbasiertem Routing für den Zugriff auf das Internet.

Führen Sie im VPC-Netzwerk Ihrer Bare-Metal-Lösungsumgebung die folgenden Schritte aus:

  1. Compute Engine-VM und Cloud NAT als NAT-Gateway erstellen und konfigurieren Führen Sie die unter Methode 1: Einzelne Compute Engine-VM und Cloud NAT verwenden beschriebenen Schritte aus.

    Mit einem einfachen HTTP-Server kann eine Systemdiagnose für den internen Passthrough-Network Load Balancer durchgeführt werden.

    
# Installing http server

sudo yum install httpd
sudo systemctl restart httpd

# Testing

curl http://127.0.0.1:80

  2. Erstellen Sie eine Instanzgruppe:

    gcloud compute instance-groups unmanaged create INSTANCE_GROUP_NAME --project=PROJECT_ID --zone=ZONE

    Ersetzen Sie Folgendes:

    • INSTANCE_GROUP_NAME: der Name der Instanzgruppe.
    • PROJECT_ID: die ID des Projekts.
    • ZONE: Zone, in der die Instanzgruppe erstellt werden soll

  3. Fügen Sie die VM der Instanzgruppe hinzu.

    gcloud compute instance-groups unmanaged add-instances INSTANCE_GROUP_NAME --project=PROJECT_ID --zone=ZONE --instances=VM_NAME

    Ersetzen Sie Folgendes:

    • INSTANCE_GROUP_NAME: der Name der Instanzgruppe.
    • PROJECT_ID: die ID des Projekts.
    • ZONE: Zone, in der die Instanzgruppe erstellt werden soll
    • VM_NAME: der Name der VM

  4. Erstellen Sie einen internen Passthrough-Network Load Balancer:

    Konfiguration starten

    1. Rufen Sie in der Google Cloud Console die Seite Load-Balancing auf.

      Load Balancing aufrufen

    2. Klicken Sie auf Load-Balancer erstellen.
    3. Wählen Sie unter Typ des Load Balancers die Option Network Load Balancer (TCP/UDP/SSL) aus und klicken Sie auf Weiter.
    4. Wählen Sie für Proxy oder Passthrough die Option Passthrough-Load Balancer aus und klicken Sie auf Weiter.
    5. Wählen Sie unter Öffentlich oder intern die Option Intern aus und klicken Sie auf Weiter.
    6. Klicken Sie auf Konfigurieren.

    Grundlegende Konfiguration

    1. Legen Sie Name des Load-Balancers fest.
    2. Wählen Sie eine Region aus.
    3. Wählen Sie ein Netzwerk aus.

    Backend und Frontend konfigurieren

    1. Klicken Sie auf Back-End-Konfiguration und nehmen Sie folgende Änderungen vor:

      1. So fügen Sie Back-Ends hinzu:
        1. Setzen Sie unter Neues Backend den IP-Stack-Typ auf IPv4 (Single-Stack), um nur IPv4-Traffic zu verarbeiten.
        2. Wählen Sie Ihre Instanzgruppe aus und klicken Sie auf Fertig.

      2. Wählen Sie eine Systemdiagnose aus. Sie können auch eine Systemdiagnose erstellen, die folgenden Informationen eingeben und auf Speichern klicken:

        • Name: Geben Sie einen Namen für die Systemdiagnose ein.
        • Protokoll: HTTP
        • Port: 80
        • Proxyprotokoll: NONE
        • Anfragepfad: /

    2. Klicken Sie auf Front-End-Konfiguration. Nehmen Sie im Bereich Neue Frontend-IP-Adresse und neuer Frontend-Port die folgenden Änderungen vor:

      1. Ports: Wählen Sie Alle aus und geben Sie 80,8008,8080,8088 als Portnummer ein.
      2. Klicken Sie auf Fertig.

    3. Klicken Sie auf Prüfen und abschließen.

    4. Prüfen Sie die Konfigurationseinstellungen des Load-Balancers.

    5. Klicken Sie auf Erstellen.

  5. Erstellen Sie eine richtlinienbasierte Route für das Internet.

    gcloud network-connectivity policy-based-routes create ROUTE_NAME \
 --source-range=SOURCE_RANGE \
 --destination-range=0.0.0.0/0 \
 --ip-protocol=ALL \
 --network="projects/PROJECT_ID/global/networks/NETWORK" \
 --next-hop-ilb-ip=NEXT_HOP \
 --description="DESCRIPTION" \
 --priority=PRIORITY \
 --interconnect-attachment-region=REGION

    Ersetzen Sie Folgendes:

    • ROUTE_NAME: der Name der richtlinienbasierten Route
    • SOURCE_RANGE: der CIDR-Bereich der Quell-IP-Adresse In diesem Fall ist dies die IP-Adresse der Bare-Metal-Lösung.
    • PROJECT_ID: die ID des Projekts.
    • NETWORK: das Netzwerk, auf das die richtlinienbasierte Route angewendet wird
    • NEXT_HOP: die IPv4-Adresse des nächsten Hops der Route. In diesem Fall ist dies die IP-Adresse des Front-Ends des internen Passthrough-Network Load Balancers.
    • DESCRIPTION: Beschreibung der Route
    • PRIORITY: die Priorität der richtlinienbasierten Route im Vergleich zu anderen richtlinienbasierten Routen
    • REGION: Region des VLAN-Anhang

  6. Erstellen Sie eine richtlinienbasierte Route, um die richtlinienbasierte Internetroute für lokale Subnetze und lokale Subnetze zu überspringen.

     gcloud network-connectivity policy-based-routes create ROUTE_NAME \
 --source-range=SOURCE_RANGE/32 \
 --destination-range=DESTINATION_RANGE \
 --ip-protocol=ALL \
 --network="projects/PROJECT_ID/global/networks/VPC_NAME" \
 --next-hop-other-routes="DEFAULT_ROUTING" \
 --description="DESCRIPTION" \
 --priority=PRIORITY \
 --interconnect-attachment-region=REGION

    Ersetzen Sie Folgendes:

    • ROUTE_NAME: der Name der richtlinienbasierten Route
    • SOURCE_RANGE: der CIDR-Bereich der Quell-IP-Adresse In diesem Fall ist dies die IP-Adresse der Bare-Metal-Lösung.
    • DESTINATION_RANGE: der Ziel-IP-CIDR-Bereich. In diesem Fall ist dies das lokale Subnetz oder ein lokales Subnetz.
    • PROJECT_ID: die ID des Projekts.
    • VPC_NAME: der Name des VPC-Netzwerks
    • DESCRIPTION: Beschreibung der Route
    • PRIORITY: die Priorität der richtlinienbasierten Route im Vergleich zu anderen richtlinienbasierten Routen Die Priorität dieser richtlinienbasierten Route muss kleiner oder gleich der richtlinienbasierten Route für das Internet sein.
    • REGION: Region des VLAN-Anhang

  7. Aktualisieren Sie die Firewall, um HTTP-Port 80 auf der VM zuzulassen.

    Die Systemdiagnose kann fehlschlagen, wenn Sie die Firewall nicht aktualisieren.

Zugriff auf das Internet über redundante Compute Engine-VMs, Cloud NAT, den internen Passthrough-Network Load Balancer und richtlinienbasiertes Routing in einer separaten VPC

Wenn Sie keine richtlinienbasierten Routen für lokale Subnetze hinzufügen möchten, können Sie mit dieser Methode auf das Internet zugreifen. Wenn Sie diese Methode verwenden möchten, müssen Sie jedoch einen VLAN-Anhang und eine VPC erstellen, um die Bare-Metal-Lösung zu verbinden.

Das folgende Diagramm veranschaulicht die Konfiguration.

Zur Verwendung redundanter Compute Engine-VMs, Cloud NAT, des internen Passthrough-Network Load Balancers und richtlinienbasiertem Routing in einer separaten VPC einrichten.

Gehen Sie so vor:

  1. Erstellen Sie ein VPC-Netzwerk für das Internet.

    gcloud compute networks create NETWORK --project=PROJECT_ID --subnet-mode=custom --mtu=MTU --bgp-routing-mode=regional

    Ersetzen Sie Folgendes:

    • NETWORK: der Name des VPC-Netzwerks.
    • PROJECT_ID: die ID des Projekts.
    • MTU: die maximale Übertragungseinheit (MTU), was die größte Paketgröße des Netzwerks ist

  2. Erstellen Sie ein Subnetz.

    gcloud compute networks subnets create SUBNET_NAME --project=PROJECT_ID --range=RANGE --stack-type=IPV4_ONLY --network=NETWORK --region=REGION

    Ersetzen Sie Folgendes:

    • SUBNET_NAME: der Name des Subnetzes
    • PROJECT_ID: die ID des Projekts.
    • RANGE: der diesem Subnetz zugewiesene IP-Bereich im CIDR-Format
    • NETWORK: das VPC-Netzwerk, zu dem das Subnetz gehört
    • REGION: Die Region des Subnetzes.

  3. Erstellen Sie zwei Cloud Router für die Redundanz und das Advertising.

    gcloud compute routers create ROUTER_NAME --project=PROJECT_ID --region=REGION --network=NETWORK --advertisement-mode=custom --set-advertisement-ranges=0.0.0.0/0

    Ersetzen Sie Folgendes:

    • ROUTER_NAME: Name des Routers
    • PROJECT_ID: die ID des Projekts.
    • REGION: Region des Routers
    • NETWORK: das VPC-Netzwerk für diesen Router

  4. Erstellen Sie vier VLAN-Anhänge, zwei für jeden Cloud Router.

    Eine Anleitung finden Sie unter VLAN-Anhänge erstellen.

  5. Nachdem die VLAN-Anhänge aktiv sind, führen Sie die Schritte in Methode 2: Redundante Compute Engine-VMs, Cloud NAT, internes Passthrough-Network Load Balancer und richtlinienbasiertes Routing verwenden aus, um die Internetinfrastruktur zu konfigurieren. Konfigurieren Sie für diese Einrichtung jedoch nicht die richtlinienbasierte Route für lokalen Traffic. Erstellen Sie nur eine richtlinienbasierte Route für das Internet in einer Routingtabelle des VPC-Netzwerk.

Zugriff auf Google Cloud APIs und Google Cloud-Dienste einrichten

Die Bare-Metal-Lösung bietet keinen Zugriff auf Google Cloud-Dienste. Wie Sie den Zugriff implementieren, hängt von verschiedenen Faktoren ab, einschließlich Ihrer Geschäftsanforderungen und der vorhandenen Infrastruktur.

Sie können über Ihre Bare-Metal-Lösungsumgebung privat auf Google Cloud-APIs und -Dienste zugreifen.

Sie richten den privaten Zugriff auf die Google Cloud APIs und Google-Dienste in einer Bare-Metal-Lösungsumgebung genau wie bei einer lokalen Umgebung ein.

Folgen Sie der Anleitung für lokale Umgebungen unter Privaten Google-Zugriff für lokale Hosts konfigurieren.

Die Anleitung führt Sie durch die folgenden allgemeinen Schritte:

  1. Routen für den Google API-Traffic konfigurieren
  2. Bare-Metal-Lösungs-DNS so konfigurieren, dass *.googleapis.com als CNAME in restricted.googleapis.com aufgelöst wird

Nächste Schritte

Nachdem Sie Ihre Bare-Metal-Lösungsumgebung eingerichtet haben, können Sie Ihre Arbeitslasten installieren.

Wenn Sie Oracle-Datenbanken auf den Servern in Ihrer Bare-Metal-Lösungsumgebung ausführen möchten, können Sie das Open-Source-Toolkit für die Bare-Metal-Lösung verwenden, um Ihre Oracle-Software zu installieren.