Kurzanleitung: Google Cloud für eine Bare-Metal-Lösungsumgebung einrichten

Google Cloud für eine Bare-Metal-Lösungsumgebung einrichten

Wenn Ihre Bare-Metal-Lösungsumgebung bereit ist, werden Sie von Google Cloud benachrichtigt. Die Benachrichtigung enthält die internen IP-Adressen Ihrer neuen Server.

In dieser Anleitung wird beschrieben, wie Sie die folgenden Aufgaben ausführen, die zum Verbinden Ihrer Bare-Metal-Lösung erforderlich sind:

  • Erstellen Sie redundante VLAN-Anhänge in der Bare-Metal-Lösungsumgebung.
  • Erstellen Sie einen Bastion Host in Ihrem VPC-Netzwerk.
  • Stellen Sie über den Bastion Host eine SSH- oder RDP-Verbindung zu Ihren neuen Servern her.

Nachdem Sie eine Verbindung zu Ihren Servern hergestellt haben, prüfen Sie die Konfiguration Ihrer Bare-Metal-Lösungsbestellung.

Hinweis

Um Ihre Bare-Metal-Lösungsumgebung zu konfigurieren und eine Verbindung zu ihr herzustellen, benötigen Sie:

  • Google Cloud-Projekt mit aktivierter Abrechnungsfunktion. Sie können ein Projekt auf der Seite "Projektauswahl" in der Google Cloud Console erstellen.
  • Ein VPC-Netzwerk (Virtual Private Cloud). Das ist das VPC-Netzwerk, das Sie bei der Bestellung der Bare-Metal-Lösung benannt haben. Weitere Informationen zur Erstellung des VPC-Netzwerks finden Sie unter VPC-Netzwerke verwenden.
  • Die folgenden Informationen werden von Google Cloud zur Verfügung gestellt, sobald Ihre Bare-Metal-Lösung bereit ist:
    • Die IP-Adressen der Bare-Metal-Server.
    • Die temporären Passwörter für die einzelnen Bare-Metal-Server.

VLAN-Anhänge für die Cloud Interconnect-Verbindung erstellen

Für den Zugriff auf Ihre Bare-Metal-Lösungsserver müssen Sie VLAN-Anhänge in derselben Region wie Ihre Server erstellen und vorab aktivieren. Wenn Sie die VLAN-Anhänge erstellen, generiert das System Kopplungsschlüssel, die Sie an Google Cloud freigeben müssen. Google Cloud verwendet diese Kopplungsschlüssel, um die Verbindung zwischen Ihrer Bare-Metal-Lösungsumgebung und Ihrem VPC-Netzwerk zu aktivieren.

Die VLAN-Anhänge (auch InterconnectAttachments genannt) weisen der Partner Interconnect-Verbindung VLANs zu.

Derzeit unterstützen einzelne Bare-Metal-VLAN-Anhänge eine Geschwindigkeit von 10 Gbit/s. Sie können mehrere Anhänge im VPC-Netzwerk konfigurieren, um einen höheren Durchsatz zu erreichen. Verwenden Sie für jede BGP-Sitzung dieselben MED-Werte, damit der Traffic ECMP für alle konfigurierten Interconnect-Anhänge verwenden kann.

Console

  1. Wenn in dem Netzwerk und der Region, für die Sie die Bare-Metal-Lösung verwenden, noch keine Cloud Router-Instanzen vorhanden sind, müssen Sie für jeden VLAN-Anhang eine erstellen. Geben Sie beim Erstellen der Router 16550 als ASN für jeden Cloud Router an.

    Eine Anleitung hierzu finden Sie unter Cloud Router erstellen.

  2. Rufen Sie in der Google Cloud Console den Cloud Interconnect-Tab „VLAN-Anhänge“ auf.
    Zum Tab "VLAN-Anhänge"

  3. Klicken Sie oben in der Console auf VLAN-Anhang erstellen.

  4. Wählen Sie Partner Interconnect aus, um Partner-VLAN-Anhänge zu erstellen, und klicken Sie dann auf Weiter.

  5. Klicken Sie auf Ich habe bereits einen Dienstanbieter.

  6. Wählen Sie Redundante VLAN-Anhänge erstellen aus. Beide Anhänge können Traffic bereitstellen und Sie können den Traffic an das Load-Balancing zwischen ihnen weiterleiten. Wenn ein Anhang ausfällt, z. B. während einer geplanten Wartung, verarbeitet der andere Anhang weiterhin Traffic. Weitere Informationen finden Sie im Abschnitt „Redundanz“ auf der Seite Partner Interconnect – Übersicht.

  7. Wählen Sie für die Felder Netzwerk und Region das VPC-Netzwerk bzw. die Google Cloud-Region aus, mit denen Ihre Anhänge verbunden werden sollen.

  8. Geben Sie die Details für jeden VLAN-Anhang an.

    • Cloud Router: ein Cloud Router, dem der jeweilige Anhang zugeordnet werden soll.
      • Sie können nur einen Cloud Router mit der ASN 16550 im ausgewählten VPC-Netzwerk und in der ausgewählten Region verwenden.
      • Sie können nur einen Cloud Router pro Anhang zuweisen. Für ein Paar von VLAN-Anhängen benötigen Sie zwei Cloud Router.
    • Name des VLAN-Anhangs: Ein Name für jeden Anhang. Die Namen werden in der Console angezeigt und von der Google Cloud CLI verwendet, um auf die Anhänge zu verweisen, z. B. my-attachment-1 und my-attachment-2.
    • Beschreibung: Informationen zu jedem VLAN-Anhang.
    • Maximale Übertragungseinheit (MTU): Die maximale Paketgröße für die Netzwerkübertragung. Der Standardwert ist 1440.
  9. Klicken Sie auf Erstellen, um die Anhänge zu erstellen. Dies kann einen Moment dauern.

  10. Kopieren Sie nach dem Erstellen die Kopplungsschlüssel. Die Schlüssel enthalten einen alphanumerischen Code, den Namen der Region und die Anzahl der Netzwerkverfügbarkeitszonen, z. B. /1 oder /2. Sie geben diese Schlüssel an Google Cloud weiter.

  11. Wählen Sie Aktivieren aus, um beide Anhänge vorab zu aktivieren. Wenn Sie die Anhänge vorab aktivieren, leiten sie den Traffic sofort weiter, nachdem Google Cloud die Konfiguration Ihrer Bare-Metal-Lösung abgeschlossen hat.

  12. Klicken Sie auf OK, um sich eine Liste Ihrer VLAN-Anhänge aufzurufen.

  13. Nachdem Google Cloud Sie darüber informiert hat, dass Ihre Bare-Metal-Lösungsserver bereit sind, rufen Sie in der Google Cloud Console den Tab "VLAN-Anhänge" auf.
    Zum Tab "VLAN-Anhänge"

  14. Suchen Sie nach der Spalte Status, die für Ihre Anhänge als Up angezeigt werden sollte. Wenn der Status Ihrer Anhänge als Down angezeigt wird, aktivieren Sie die Anhänge so:

    1. Klicken Sie auf den Namen des ersten VLAN-Anhangs, um die zugehörige Detailseite anzusehen.
    2. Klicken Sie auf Aktivieren.
    3. Klicken Sie auf Details zu VLAN-Anhang, um zur Hauptregisterkarte "VLAN-Anhänge" zurückzukehren.
    4. Klicken Sie auf den Namen des zweiten VLAN-Anhangs, um die zugehörige Detailseite anzusehen.
    5. Klicken Sie auf Aktivieren.

gcloud

  1. Wenn in dem Netzwerk und der Region, für die Sie die Bare-Metal-Lösung verwenden, noch keine Cloud Router-Instanzen vorhanden sind, müssen Sie für jeden VLAN-Anhang eine erstellen. Verwenden Sie 16550 als ASN-Nummer:

    gcloud compute routers create router-name \
    --network vpc-network-name \
    --asn 16550 \
    --region region \

    Weitere Informationen finden Sie unter Cloud Router erstellen.

  2. Erstellen Sie ein InterconnectAttachment vom Typ PARTNER und geben Sie den Namen Ihres Cloud Routers und die Edge-Verfügbarkeitsdomain (EAD) des VLAN-Anhangs an. Fügen Sie außerdem das Flag --admin-enabled hinzu, um die Anhänge vorab zu aktivieren und den Traffic sofort zu senden, nachdem Google Cloud die Konfiguration der Bare-Metal-Lösung abgeschlossen hat.

    gcloud compute interconnects attachments partner create first-attachment-name \
      --region region \
      --router first-router-name \
      --edge-availability-domain availability-domain-1
      --admin-enabled
    gcloud compute interconnects attachments partner create second-attachment-name \
      --region region \
      --router second-router-name \
      --edge-availability-domain availability-domain-2
      --admin-enabled

    Google fügt dem Cloud Router automatisch eine Schnittstelle und einen BGP-Peer hinzu. Der Anhang generiert einen Kopplungsschlüssel, den Sie später an Google Cloud senden müssen.

    Im folgenden Beispiel werden redundante Anhänge erstellt, einer in der EAD availability-domain-1 und ein weiterer in der EAD availability-domain-2. Jeder ist mit einem separaten Cloud Router (my-router-1 bzw. my-router-2) verknüpft. Beide befinden sich in der Region us-central1.

    gcloud compute interconnects attachments partner create my-attachment \
     --region us-central1 \
     --router my-router-1 \
     --edge-availability-domain availability-domain-1
     --admin-enabled
    gcloud compute interconnects attachments partner create my-attachment \
     --region us-central1 \
     --router my-router-2 \
     --edge-availability-domain availability-domain-2
      --admin-enabled
  3. Beschreiben Sie den Anhang, um dessen Kopplungsschlüssel abzurufen. Sie geben den Schlüssel an Google Cloud weiter, nachdem Sie eine Änderungsanfrage zum Erstellen der Verbindung zur Bare-Metal-Lösungsumgebung gesendet haben.

    gcloud compute interconnects attachments describe my-attachment \
      --region us-central1
    adminEnabled: false
    edgeAvailabilityDomain: AVAILABILITY_DOMAIN_1
    creationTimestamp: '2017-12-01T08:29:09.886-08:00'
    id: '7976913826166357434'
    kind: compute#interconnectAttachment
    labelFingerprint: 42WmSpB8rSM=
    name: my-attachment
    pairingKey: 7e51371e-72a3-40b5-b844-2e3efefaee59/us-central1/1
    region: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1
    router: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1/routers/my-router
    selfLink: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1/interconnectAttachments/my-attachment
    state: PENDING_PARTNER
    type: PARTNER
    • Das Feld pairingKey enthält den Kopplungsschlüssel, den Sie kopieren und für Ihren Dienstanbieter freigeben müssen. Behandeln Sie den Kopplungsschlüssel als vertrauliche Information, bis Ihr VLAN-Anhang konfiguriert ist.
    • Der Status des VLAN-Anhangs lautet PENDING_PARTNER, bis Google Cloud die Konfiguration Ihres VLAN-Anhangs abgeschlossen hat. Danach hat der Anhang den Status INACTIVE oder ACTIVE, je nachdem, ob Sie Ihre Anhänge vorab aktivieren möchten oder nicht.

    Wenn Sie Verbindungen von Google Cloud anfordern, müssen Sie dieselbe Metropolregion (Stadt) für beide Anhänge auswählen, damit diese redundant sind. Weitere Informationen finden Sie im Abschnitt „Redundanz“ auf der Seite Partner Interconnect – Übersicht.

  4. Wenn die VLAN-Anhänge nicht angezeigt werden, nachdem Google Cloud die Bestellung Ihrer Bare-Metal-Lösung abgeschlossen hat, aktivieren Sie jeden VLAN-Anhang:

    gcloud compute interconnects attachments partner update attachment-name \
    --region region \
    --admin-enabled

Sie können den Status der Cloud Router und der beworbenen Routen in der Cloud Console prüfen. Weitere Informationen finden Sie unter Routerstatus und angebotene Routen aufrufen.

Routing zwischen der Bare-Metal-Lösung und Google Cloud einrichten

Sobald die VLAN-Anhänge aktiv sind, werden Ihre BGP-Sitzungen gestartet und die Routen aus der Bare-Metal-Lösung über die BGP-Sitzungen empfangen.

Benutzerdefiniertes Advertising für einen Standard-IP-Bereich zu BGP-Sitzungen hinzufügen

Wenn Sie das Routing für Traffic aus der Bare-Metal-Lösung einrichten möchten, wird empfohlen, eine benutzerdefinierte Anzeige einer Standardroute hinzuzufügen, z. B. 0.0.0.0/0 bei Ihren BGP-Sitzungen in der Bare-Metal-Lösungsumgebung.

So geben Sie Advertising für eine vorhandene BGP-Sitzung an:

Console

  1. Rufen Sie in der Google Cloud Console die Seite „Cloud Router” auf.
    Zur Liste der Cloud Router
  2. Klicken Sie auf den Cloud Router, der die zu aktualisierende BGP-Sitzung enthält.
  3. Klicken Sie auf der Detailseite des Cloud Routers auf die zu aktualisierende BGP-Sitzung.
  4. Wählen Sie auf der Seite BGP-Sitzungsdetails Bearbeiten aus.
  5. Wählen Sie für Routen die Option Benutzerdefinierte Routen erstellen aus.
  6. Wählen Sie Benutzerdefinierte Route hinzufügen aus, um eine beworbene Route zu erstellen.
  7. Konfigurieren Sie das Routen-Advertising.
    • Quelle: Wählen Sie Benutzerdefinierter IP-Bereich aus, um einen benutzerdefinierten IP-Bereich anzugeben.
    • IP-Adressbereich: Geben Sie den benutzerdefinierten IP-Bereich mit der CIDR-Notation an.
    • Beschreibung: Fügen Sie eine Beschreibung hinzu, damit Sie den Zweck dieses Routen-Advertisings erkennen können.
  8. Wenn Sie keine weiteren Routen hinzufügen möchten, klicken Sie auf Speichern.

gcloud

Sie können vorhandenen benutzerdefinierten Anzeigen hinzufügen oder eine neue Kundenanzeige festlegen, das alle vorhandenen benutzerdefinierten Anzeigen durch das neue ersetzt.

Verwenden Sie das Flag --set-advertisement-ranges, um eine neue benutzerdefinierte Advertising für einen Standard-IP-Bereich festzulegen:

gcloud compute routers update-bgp-peer router-name \
   --peer-name bgp-session-name \
   --advertisement-mode custom \
   --set-advertisement-ranges 0.0.0.0/0

Mit dem Flag --add-advertisement-ranges können Sie den Standard-IP-Bereich an vorhandene IP-Bereiche anhängen. Für dieses Flag muss der Advertising-Modus des Cloud Routers bereits auf custom eingestellt sein. Im folgenden Beispiel wird die benutzerdefinierte IP 0.0.0.0/0 dem Advertising des Cloud Routers hinzugefügt:

gcloud compute routers update-bgp-peer router-name \
   --peer-name bgp-session-name \
   --add-advertisement-ranges 0.0.0.0/0

Optional den Modus für dynamisches Routing des VPC-Netzwerks auf global festlegen

Wenn Sie Server für Bare-Metal-Lösungen in zwei verschiedenen Regionen verwenden, ist die Aktivierung des globalen Routingmodus im VPC-Netzwerk sinnvoll, damit Ihre Bare-Metal-Regionen direkt über das VPC-Netzwerk miteinander kommunizieren können.

Der globale Routing-Modus ist auch erforderlich, um die Kommunikation zwischen einer lokalen Umgebung zu ermöglichen, die mit einer Google Cloud-Region und einer Bare-Metal-Lösungsumgebung in einer anderen Google Cloud-Region verbunden ist.

Informationen zum Festlegen des globalen Routingmodus finden Sie unter Modus für dynamisches Routing des VPC-Netzwerks festlegen.

VPC-Firewall einrichten

Neue VPC-Netzwerke enthalten aktive Firewallstandardregeln, die den meisten Traffic im VPC-Netzwerk einschränken.

Wenn Sie eine Verbindung zu Ihrer Bare-Metal-Lösung herstellen möchten, muss der Netzwerkverkehr aktiviert werden zwischen:

  • Ihrer Bare-Metal-Lösungsumgebung und -Netzwerkzielen in Google Cloud.
  • Ihre lokale Umgebung und Ihre Ressourcen in Google Cloud, wie z. B. eine beliebige Jump-Host-VM-Instanz, mit der Sie eine Verbindung zu Ihrer Bare-Metal-Lösungsumgebung herstellen können.

Wenn Sie den Netzwerk-Traffic zwischen den Bare-Metal-Servern oder zwischen den Servern und Zielen in Google Cloud steuern müssen, müssen Sie in Ihrer Bare-Metal-Lösungsumgebung einen Kontrollmechanismus selbst implementieren.

So erstellen Sie eine Firewallregel in Ihrem VPC-Netzwerk in Google Cloud:

Console

  1. Zur Seite Firewallregeln:

    Zu Firewallregeln

  2. Klicken Sie auf Firewallregel erstellen.

  3. Definieren Sie die Firewallregel.

    1. Geben Sie der Firewallregel einen Namen.
    2. Wählen Sie im Feld Netzwerk das Netzwerk aus, in dem sich die VM befindet.
    3. Geben Sie im Feld Ziele entweder Angegebene Ziel-Tags oder Angegebenes Dienstkonto an.
    4. Geben Sie in den entsprechenden Feldern das Zielnetzwerk-Tag oder Dienstkonto an.
    5. Geben Sie im Feld Quellfilter IP-Bereiche an, um eingehenden Traffic aus Ihrer Bare-Metal-Lösungsumgebung zuzulassen.
    6. Geben Sie im Feld Quell-IP-Bereiche die IP-Adressen der Server oder Geräte in Ihrer Bare-Metal-Lösung an.
    7. Geben Sie im Abschnitt Protokolle und Ports die Protokolle und Ports an, die in Ihrer Umgebung erforderlich sind.
    8. Klicken Sie auf Erstellen.

gcloud

Mit dem folgenden Befehl erstellen Sie eine Firewallregel, die die Quelle mithilfe eines IP-Bereichs und des Ziels mithilfe des Netzwerk-Tags einer Instanz definiert. Passen Sie den Befehl für Ihre Umgebung nach Bedarf an.

gcloud compute firewall-rules create rule-name \
    --project=your-project-id \
    --direction=INGRESS \
    --priority=1000 \
    --network=your-network-name \
    --action=ALLOW \
    --rules=protocol:port \
    --source-ranges=ip-range \
    --target-tags=instance-network-tag

Weitere Informationen zum Erstellen von Firewallregeln finden Sie unter Firewallregeln erstellen.

Verbindung zum Bare-Metal-Server herstellen

Die Server in Ihrer Bare-Metal-Lösungsumgebung werden nicht mit externen IP-Adressen bereitgestellt.

Nachdem Sie eine Firewallregel erstellt haben, um Traffic aus der Bare-Metal-Lösung in Ihr VPC-Netzwerk zuzulassen, können Sie über eine Jump-Host-VM-Instanz eine Verbindung zu Ihrem Server herstellen.

Jump-Host-VM-Instanz in Google Cloud erstellen

Wenn Sie schnell eine Verbindung zu Ihren Bare-Metal-Servern herstellen möchten, erstellen Sie eine Compute Engine-VM, die als Jump-Host verwendet werden soll. Erstellen Sie die VM in derselben Google Cloud-Region wie Ihre Bare-Metal-Lösungsumgebung.

Wenn Sie eine sicherere Verbindungsmethode benötigen, finden Sie unter Verbindung über einen Bastion Host herstellen weitere Informationen.

Wählen Sie zum Erstellen einer Jump-Host-VM-Instanz die unten die entsprechende Anleitung basierend auf dem Betriebssystem aus, das Sie in Ihrer Bare-Metal-Lösungsumgebung verwenden.

Weitere Informationen zum Erstellen von Compute Engine-VM-Instanzen finden Sie unter VM-Instanzen erstellen und starten.

Linux

VM-Instanz erstellen

  1. Rufen Sie in der Console die Seite VM-Instanzen auf:

    Die Seite VM-Instanzen aufrufen

  2. Klicken Sie auf Instanz erstellen.

  3. Geben Sie im Feld Name einen Namen für die VM-Instanz ein.

  4. Wählen Sie unter Region die Region Ihrer Bare-Metal-Lösungsumgebung aus.

  5. Klicken Sie im Abschnitt Bootlaufwerk auf Ändern.

    1. Wählen Sie im Feld Betriebssysteme das gewünschte Linux-Betriebssystem aus, das Sie auf Ihren Bare-Metal-Lösungsservern verwenden.
    2. Wählen Sie im Feld Version die Version des Betriebssystems aus.
  6. Klicken Sie auf Verwaltung, Sicherheit, Laufwerke, Netzwerke, einzelne Mandanten, um den Abschnitt zu maximieren.

  7. Klicken Sie auf Netzwerk, um die Netzwerkoptionen aufzurufen.

    • Definieren Sie unter Netzwerk-Tags einen oder mehrere Netzwerk-Tags für die Instanz.
    • Prüfen Sie unter Netzwerkschnittstellen, ob das richtige VPC-Netzwerk angezeigt wird.
  8. Klicken Sie auf Erstellen.

Warten Sie, bis die Instanz gestartet ist. Wenn die Instanz bereit ist, wird sie auf der Seite VM-Instanzen mit einem grünen Statussymbol angezeigt.

Verbindung zum Jump-Host herstellen

  1. Informationen zum Erstellen einer Firewallregel, um den Zugriff auf Ihre Jump-Host-VM-Instanz zu ermöglichen, finden Sie unter Firewall einrichten.

  2. Rufen Sie in der Console die Seite VM-Instanzen auf:

    Die Seite VM-Instanzen aufrufen

  3. Klicken Sie in der Liste der VM-Instanzen in der Zeile, die Ihren Jump-Host enthält, auf "SSH".

    Die Schaltfläche "SSH" wird für die Jump-Host-Zeile auf der Seite "VM-Instanzen" hervorgehoben.

Sie haben jetzt ein Terminalfenster mit Ihrer Jump-Host-VM-Instanz, über die Sie mithilfe von SSH eine Verbindung zu Ihrem Bare-Metal-Server herstellen können.

Erstmalige Anmeldung bei einem Bare-Metal-Lösungsserver

Linux

  1. Stellen Sie eine Verbindung zu Ihrer Jump-Host-VM-Instanz her.

  2. Öffnen Sie auf dem Jump-Host ein Befehlszeilenterminal und prüfen Sie, ob Sie Ihren Bare-Metal-Lösungsserver erreichen können:

    ping bare-metal-ip-address

    Wenn der Ping-Befehl fehlschlägt, prüfen und korrigieren Sie folgendes:

  3. Stellen Sie auf der Jump-Host-VM-Instanz eine SSH-Verbindung zum Bare-Metal-Lösungsserver her. Verwenden Sie dazu die Nutzer-ID customeradmin und die IP-Adresse des Servers:

    ssh customeradmin@bare-metal-ip
  4. Geben Sie bei entsprechender Aufforderung das von Google Cloud bereitgestellte Passwort ein.

  5. Bei der ersten Anmeldung müssen Sie das Passwort für Ihren Bare-Metal-Lösungsserver ändern.

  6. Legen Sie ein neues Passwort fest und notieren Sie es an einem sicheren Ort. Nach dem Zurücksetzen des Passworts meldet Sie der Server automatisch ab.

  7. Melden Sie sich noch einmal mit der Nutzer-ID customeradmin und Ihrem neuen Passwort beim Bare-Metal-Lösungsserver an:

    ssh customeradmin@bare-metal-ip
  8. Wir empfehlen Ihnen außerdem, das Passwort für den Root-Nutzer zu ändern. Melden Sie sich als Root-Nutzer an:

    sudo bash
  9. Um das Root-Passwort zu ändern, führen Sie den Befehl passwd aus und folgen Sie den Eingabeaufforderungen:

    passwd
  10. Beenden Sie die Eingabeaufforderung für den Root-Nutzer, um zur Eingabeaufforderung customeradminzurückzukehren.

    exit
  11. Bewahren Sie Ihre Passwörter zur Wiederherstellung an einem sicheren Ort auf.

  12. Prüfen Sie, ob die Serverkonfiguration mit der Bestellung übereinstimmt. Prüfen Sie Folgendes:

    • Die Serverkonfiguration, einschließlich Anzahl und Typ der CPUs, der Sockets und des Arbeitsspeichers.
    • Betriebssystem- oder Hypervisor-Software, einschließlich Anbieter und Version.
    • Den Speicherplatz, einschließlich Typ und Menge.

Auf Netzwerkdienste, Google Cloud-Dienste oder das öffentliche Internet zugreifen

Die Bare-Metal-Lösung beinhaltet keinen Zugriff auf Google Cloud-Dienste, Netzwerkdienste oder das Internet. Sie haben viele Möglichkeiten, den Zugriff zu implementieren. Welche davon Sie wählen, hängt von verschiedenen Faktoren wie Ihrer geschäftlichen Anforderungen und der vorhandenen Infrastruktur ab. In den folgenden Abschnitten werden einige der Optionen vorgestellt.

Auf das Internet zugreifen

Zu den Optionen für den Zugriff auf das Internet gehören:

  • Ausgehenden Traffic über ein NAT-Gateway weiterleiten.
  • Traffic über eine Compute Engine-VM weiterleiten, die als Proxyserver fungiert.
  • Traffic über Cloud VPN oder Dedicated Interconnect an lokale Gateways im Internet weiterleiten.

NAT-Gateway auf einer Compute Engine-VM einrichten

In der folgenden Anleitung wird ein NAT-Gateway auf einer Compute Engine-VM eingerichtet, um die Server in einer Bare-Metal-Lösungsumgebung mit dem Internet zu verbinden, um so beispielsweise Softwareupdates zu erhalten.

In der Anleitung wird das Standard-Internetgateway Ihres VPC-Netzwerks für den Zugriff auf das Internet verwendet.

Die in der folgenden Anleitung gezeigten Linux-Befehle beziehen sich auf das Betriebssystem Debian-. Wenn Sie ein anderes Betriebssystem verwenden, können die verwendeten Befehle möglicherweise unterschiedlich sein.

Gehen Sie im VPC-Netzwerk, das Sie mit Ihrer Bare-Metal-Lösungsumgebung verwenden, so vor:

  1. Cloud Shell öffnen

    Zu Cloud Shell

  2. Compute Engine-VM erstellen und konfigurieren, die als NAT-Gateway dient.

    1. VM erstellen:

      gcloud compute instances create instance-name \
        --machine-type=machine-type-name \
        --network vpc-network-name \
        --subnet=subnet-name \
        --can-ip-forward \
        --zone=your-zone \
        --image-family=os-image-family-name \
        --image-project=os-image-project \
        --tags=natgw-network-tag
        --service-account=optional-service-account-email
      

      In späteren Schritten verwenden Sie das in diesem Schritt definierte Netzwerk-Tag, um Traffic an diese VM weiterzuleiten.

      Wenn Sie kein Dienstkonto angeben, entfernen Sie das Flag --service-account=. Compute Engine verwendet das Standarddienstkonto des Projekts.

    2. Stellen Sie eine SSH-Verbindung zur VM her und konfigurieren Sie die iptables:

      $ sudo sysctl -w net.ipv4.ip_forward=1
      $ sudo iptables -t nat -A POSTROUTING \
         -o $(/sbin/ifconfig | head -1 | awk -F: {'print $1'}) -j MASQUERADE
      

      Der erste sudo-Befehl teilt dem Kernel mit, dass Sie die IP-Weiterleitung zulassen möchten. Der zweite sudo-Befehl maskiert Pakete, die von internen Instanzen empfangen werden, als wären sie von der NAT-Gateway-Instanz gesendet worden.

    3. Prüfen Sie die iptables:

      $ sudo iptables -v -L -t nat
    4. Führen Sie die folgenden Befehle auf der NAT-Gateway-VM aus, um Ihre NAT-Gateway-Einstellungen während eines Neustarts beizubehalten:

      $ sudo -i
      
      $ echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/20-natgw.conf
      
      $ apt-get install iptables-persistent
      
      $ exit
      
  3. Erstellen Sie in Cloud Shell eine Route zu 0.0.0.0/0 mit dem Standard-Internetgateway als nächsten Hop. Geben Sie das Netzwerk-Tag an, das Sie im vorherigen Schritt für das Argument --tags definiert haben. Weisen Sie der Route eine höhere Priorität zu als jeder anderen Standardroute.

    gcloud compute routes create default-internet-gateway-route-name \
        --destination-range=0.0.0.0/0 \
        --network=network-name \
        --priority=800 \
        --tags=natgw-network-tag \
        --next-hop-gateway=default-internet-gateway
    
  4. Fügen Sie das gerade erstellte Netzwerk-Tag zu allen vorhandenen VMs in Ihrem VPC-Netzwerk hinzu, die Internetzugang benötigen, damit sie auch dann noch auf das Internet zugreifen können, nachdem Sie eine neue Standardroute erstellt haben, die die Bare-Metal-Lösungsserver ebenfalls verwenden können.

  5. Optional: Entfernen Sie Routen zum Internet, die bereits vor der im vorherigen Schritt erstellten Route vorhanden waren, einschließlich der standardmäßig erstellten Routen.

  6. Prüfen Sie, ob alle vorhandenen VMs in Ihrem Netzwerk und die NAT-Gateway-VM auf das Internet zugreifen können. Senden Sie dazu von jeder VM aus einen Ping an eine öffentliche IP-Adresse, wie z. B. 8.8.8.8, die Google DNS.

  7. Erstellen Sie eine Standardroute zu 0.0.0.0/0 mit der NAT-Gateway-VM als nächsten Hop. Weisen Sie der Route eine niedrigere Priorität zu als für die erste erstellte Route.

    gcloud compute routes create natgw-route-name \
        --destination-range=0.0.0.0/0 \
        --network=network-name \
        --priority=900 \
        --next-hop-instance=natgw-vm-name \
        --next-hop-instance-zone=natgw-vm-zone
    
  8. Melden Sie sich bei Ihren Bare-Metal-Lösungsservern an und senden Sie einen Ping an eine öffentliche IP-Adresse, um zu bestätigen, dass die Server auf das Internet zugreifen können.

    Wenn der Ping-Befehl nicht erfolgreich ist, prüfen Sie, ob Sie eine Firewallregel erstellt haben, die den Zugriff von Ihrer Bare-Metal-Lösungsumgebung auf Ihr VPC-Netzwerk zulässt.

Zugriff auf Google Cloud APIs und -Dienste einrichten

Sie können über Ihre Bare-Metal-Lösungsumgebung privat auf Google Cloud-APIs und -Dienste zugreifen.

Sie richten den privaten Zugriff auf die Google Cloud APIs und Google-Dienste in einer Bare-Metal-Lösungsumgebung genau wie bei einer lokalen Umgebung ein. Folgen Sie der Anleitung für lokale Umgebungen unter Privaten Google-Zugriff für lokale Hosts konfigurieren.

Die Anleitung führt Sie durch die folgenden allgemeinen Schritte:

  1. Routen für den Google API-Traffic konfigurieren
  2. Firewallregeln für eine Firewall der Bare-Metal-Lösung konfigurieren, um den ausgehenden Traffic zum IP-Bereich der eingeschränkten Google APIs zuzulassen
  3. Bare-Metal-Lösungs-DNS so konfigurieren, dass *.googleapis.com als CNAME in restricted.googleapis.com aufgelöst wird

Weitere Informationen

Nachdem Sie Ihre Bare-Metal-Lösungsumgebung eingerichtet haben, können Sie Ihre Arbeitslasten installieren.

Wenn Sie Oracle-Datenbanken auf den Servern in Ihrer Bare-Metal-Lösungsumgebung ausführen möchten, können Sie das Open-Source-Toolkit für die Bare-Metal-Lösung verwenden, um Ihre Oracle-Software zu installieren.