Google Cloud für eine Bare-Metal-Lösungsumgebung einrichten

Wenn Ihre Bare-Metal-Lösungsumgebung bereit ist, werden Sie von Google Cloud benachrichtigt. Die Benachrichtigung enthält die internen IP-Adressen Ihrer neuen Server.

In dieser Anleitung wird beschrieben, wie Sie die folgenden Aufgaben ausführen, um eine Verbindung zu Ihrer Bare-Metal-Lösung herzustellen:

  • Erstellen Sie redundante VLAN-Anhänge in der Bare-Metal-Lösungsumgebung.
  • Erstellen Sie in Ihrem VPC-Netzwerk eine Jump-Host-VM-Instanz.
  • Verwenden Sie SSH oder RDP, um sich über die Jump-Host-VM-Instanz bei den Servern der Bare-Metal-Lösung anzumelden.

Nachdem Sie eine Verbindung zu Ihren Servern hergestellt haben, prüfen Sie die Konfiguration Ihrer Bare-Metal-Lösungsbestellung.

Hinweise

Um Ihre Bare-Metal-Lösungsumgebung zu konfigurieren und eine Verbindung zu ihr herzustellen, benötigen Sie:

  • Google Cloud-Projekt mit aktivierter Abrechnungsfunktion. Sie können ein Projekt auf der Seite "Projektauswahl" in der Google Cloud Console erstellen.
  • Ein VPC-Netzwerk (Virtual Private Cloud). Das ist das VPC-Netzwerk, das Sie bei der Bestellung der Bare-Metal-Lösung benannt haben. Weitere Informationen zur Erstellung des VPC-Netzwerks finden Sie unter VPC-Netzwerke verwenden.
  • Die folgenden Informationen werden von Google Cloud bereitgestellt, wenn Ihre Bare-Metal-Lösung bereit ist:
    • Die IP-Adressen der Bare-Metal-Server.
    • Die temporären Passwörter für die einzelnen Bare-Metal-Server.

VLAN-Anhänge für die Cloud Interconnect-Verbindung erstellen

Für den Zugriff auf Ihre Bare-Metal-Lösungsserver müssen Sie VLAN-Anhänge in derselben Region wie Ihre Server erstellen und vorab aktivieren. Wenn Sie die VLAN-Anhänge erstellen, generiert das System Kopplungsschlüssel, die Sie an Google Cloud freigeben müssen. Google Cloud verwendet diese Kopplungsschlüssel, um die Verbindung zwischen Ihrer Bare-Metal-Lösungsumgebung und Ihrem VPC-Netzwerk zu aktivieren.

Die VLAN-Anhänge (auch InterconnectAttachments genannt) weisen der Partner Interconnect-Verbindung VLANs zu.

Derzeit unterstützen einzelne Bare-Metal-VLAN-Anhänge eine Geschwindigkeit von 10 Gbit/s. Sie können mehrere Anhänge im VPC-Netzwerk konfigurieren, um einen höheren Durchsatz zu erreichen. Verwenden Sie für jede BGP-Sitzung dieselben MED-Werte, damit der Traffic ECMP für alle konfigurierten Interconnect-Anhänge verwenden kann.

Console

  1. Wenn in dem Netzwerk und der Region, für die Sie die Bare-Metal-Lösung verwenden, noch keine Cloud Router-Instanzen vorhanden sind, müssen Sie für jeden VLAN-Anhang eine erstellen. Geben Sie beim Erstellen der Router 16550 als ASN für jeden Cloud Router an.

    Eine Anleitung hierzu finden Sie unter Cloud Router erstellen.

  2. Rufen Sie in der Google Cloud Console den Cloud Interconnect-Tab „VLAN-Anhänge“ auf.
    Zum Tab "VLAN-Anhänge"

  3. Klicken Sie oben in der Google Cloud Console auf VLAN-Anhang erstellen.

  4. Wählen Sie Partner Interconnect aus, um Partner-VLAN-Anhänge zu erstellen, und klicken Sie dann auf Weiter.

  5. Klicken Sie auf Ich habe bereits einen Dienstanbieter.

  6. Wählen Sie Redundante VLAN-Anhänge erstellen aus. Beide Anhänge können Traffic bereitstellen und Sie können den Traffic an das Load-Balancing zwischen ihnen weiterleiten. Wenn ein Anhang ausfällt, z. B. während einer geplanten Wartung, verarbeitet der andere Anhang weiterhin Traffic. Weitere Informationen finden Sie im Abschnitt „Redundanz“ auf der Seite Partner Interconnect – Übersicht.

  7. Wählen Sie für die Felder Netzwerk und Region das VPC-Netzwerk bzw. die Google Cloud-Region aus, mit denen Ihre Anhänge verbunden werden sollen.

  8. Geben Sie die Details für jeden VLAN-Anhang an.

    • Cloud Router: ein Cloud Router, dem der jeweilige Anhang zugeordnet werden soll.
      • Sie können nur einen Cloud Router mit der ASN 16550 im ausgewählten VPC-Netzwerk und in der ausgewählten Region verwenden.
      • Sie können nur einen Cloud Router pro Anhang zuweisen. Für ein Paar von VLAN-Anhängen benötigen Sie zwei Cloud Router.
    • Name des VLAN-Anhangs: Ein Name für jeden Anhang. Die Namen werden in der Google Cloud Console angezeigt und von der Google Cloud CLI verwendet, um auf die Anhänge zu verweisen, z. B. my-attachment-1 und my-attachment-2.
    • Beschreibung: Informationen zu jedem VLAN-Anhang.
    • Maximale Übertragungseinheit (MTU): Die maximale Paketgröße für die Netzwerkübertragung. Der Standardwert ist 1440.

  9. Klicken Sie auf Erstellen, um die Anhänge zu erstellen. Dies kann einen Moment dauern.

  10. Kopieren Sie nach dem Erstellen die Kopplungsschlüssel. Die Schlüssel enthalten einen alphanumerischen Code, den Namen der Region und die Nummer der Netzwerkverfügbarkeitszone, z. B. /1 oder /2. Sie geben diese Schlüssel an Google Cloud weiter.

  11. Wählen Sie Aktivieren aus, um beide Anhänge vorab zu aktivieren. Wenn Sie die Anhänge vorab aktivieren, leiten sie den Traffic sofort weiter, nachdem Google Cloud die Konfiguration Ihrer Bare-Metal-Lösung abgeschlossen hat.

  12. Klicken Sie auf OK, um sich eine Liste Ihrer VLAN-Anhänge aufzurufen.

  13. Nachdem Google Cloud Sie darüber informiert hat, dass Ihre Bare-Metal-Lösungsserver bereit sind, rufen Sie in der Google Cloud Console den Tab "VLAN-Anhänge" auf.
    Zum Tab "VLAN-Anhänge"

  14. Suchen Sie nach der Spalte Status, die für Ihre Anhänge als Up angezeigt werden sollte. Wenn der Status Ihrer Anhänge als Down angezeigt wird, aktivieren Sie die Anhänge so:

    1. Klicken Sie auf den Namen des ersten VLAN-Anhangs, um die zugehörige Detailseite anzusehen.
    2. Klicken Sie auf Aktivieren.
    3. Klicken Sie auf Details zu VLAN-Anhang, um zur Hauptregisterkarte "VLAN-Anhänge" zurückzukehren.
    4. Klicken Sie auf den Namen des zweiten VLAN-Anhangs, um die zugehörige Detailseite anzusehen.
    5. Klicken Sie auf Aktivieren.

gcloud

  1. Wenn in dem Netzwerk und der Region, für die Sie die Bare-Metal-Lösung verwenden, noch keine Cloud Router-Instanzen vorhanden sind, müssen Sie für jeden VLAN-Anhang eine erstellen. Verwenden Sie 16550 als ASN-Nummer:

    gcloud compute routers create router-name \
--network vpc-network-name \
--asn 16550 \
--region region

    Weitere Informationen finden Sie unter Cloud Router erstellen.

  2. Erstellen Sie ein InterconnectAttachment vom Typ PARTNER und geben Sie den Namen Ihres Cloud Routers und die Edge-Verfügbarkeitsdomain (EAD) des VLAN-Anhangs an. Fügen Sie außerdem das Flag --admin-enabled hinzu, um die Anhänge vorab zu aktivieren und den Traffic sofort zu senden, nachdem Google Cloud die Konfiguration der Bare-Metal-Lösung abgeschlossen hat.

    gcloud compute interconnects attachments partner create first-attachment-name \
  --region region \
  --router first-router-name \
  --edge-availability-domain availability-domain-1 \
  --admin-enabled
    gcloud compute interconnects attachments partner create second-attachment-name \
  --region region \
  --router second-router-name \
  --edge-availability-domain availability-domain-2 \
  --admin-enabled

    Google fügt dem Cloud Router automatisch eine Schnittstelle und einen BGP-Peer hinzu. Der Anhang generiert einen Kopplungsschlüssel, den Sie später an Google Cloud senden müssen.

    Im folgenden Beispiel werden redundante Anhänge erstellt, einer in der EAD availability-domain-1 und ein weiterer in der EAD availability-domain-2. Jeder ist mit einem separaten Cloud Router (my-router-1 bzw. my-router-2) verknüpft. Beide befinden sich in der Region us-central1.

    gcloud compute interconnects attachments partner create my-attachment \
 --region us-central1 \
 --router my-router-1 \
 --edge-availability-domain availability-domain-1 \
 --admin-enabled
    gcloud compute interconnects attachments partner create my-attachment \
 --region us-central1 \
 --router my-router-2 \
 --edge-availability-domain availability-domain-2 \
  --admin-enabled

  3. Beschreiben Sie den Anhang, um dessen Kopplungsschlüssel abzurufen. Sie geben den Schlüssel an Google Cloud weiter, nachdem Sie eine Änderungsanfrage zum Erstellen der Verbindung zur Bare-Metal-Lösungsumgebung gesendet haben.

    gcloud compute interconnects attachments describe my-attachment \
  --region us-central1
    adminEnabled: false
edgeAvailabilityDomain: AVAILABILITY_DOMAIN_1
creationTimestamp: '2017-12-01T08:29:09.886-08:00'
id: '7976913826166357434'
kind: compute#interconnectAttachment
labelFingerprint: 42WmSpB8rSM=
name: my-attachment
pairingKey: 7e51371e-72a3-40b5-b844-2e3efefaee59/us-central1/1
region: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1
router: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1/routers/my-router
selfLink: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1/interconnectAttachments/my-attachment
state: PENDING_PARTNER
type: PARTNER
    • Das Feld pairingKey enthält den Kopplungsschlüssel, den Sie kopieren und für Ihren Dienstanbieter freigeben müssen. Behandeln Sie den Kopplungsschlüssel als vertrauliche Information, bis Ihr VLAN-Anhang konfiguriert ist.
    • Der Status des VLAN-Anhangs lautet PENDING_PARTNER, bis Google Cloud die Konfiguration Ihres VLAN-Anhangs abgeschlossen hat. Danach hat der Anhang den Status INACTIVE oder ACTIVE, je nachdem, ob Sie Ihre Anhänge vorab aktivieren möchten oder nicht.

    Wenn Sie Verbindungen von Google Cloud anfordern, müssen Sie dieselbe Metropolregion (Stadt) für beide Anhänge auswählen, damit diese redundant sind. Weitere Informationen finden Sie im Abschnitt „Redundanz“ auf der Seite Partner Interconnect – Übersicht.

  4. Wenn die VLAN-Anhänge nicht angezeigt werden, nachdem Google Cloud die Bestellung Ihrer Bare-Metal-Lösung abgeschlossen hat, aktivieren Sie jeden VLAN-Anhang:

    gcloud compute interconnects attachments partner update attachment-name \
--region region \
--admin-enabled

Sie können den Status der Cloud Router und der beworbenen Routen in der Cloud Console prüfen. Weitere Informationen finden Sie unter Routerstatus und angebotene Routen aufrufen.

Routing zwischen der Bare-Metal-Lösung und Google Cloud einrichten

Sobald die VLAN-Anhänge aktiv sind, werden Ihre BGP-Sitzungen gestartet und die Routen aus der Bare-Metal-Lösung über die BGP-Sitzungen empfangen.

Benutzerdefiniertes Advertising für einen Standard-IP-Bereich zu BGP-Sitzungen hinzufügen

Wenn Sie das Routing für Traffic aus der Bare-Metal-Lösung einrichten möchten, wird empfohlen, eine benutzerdefinierte Anzeige einer Standardroute hinzuzufügen, z. B. 0.0.0.0/0 bei Ihren BGP-Sitzungen in der Bare-Metal-Lösungsumgebung.

So geben Sie Advertising für eine vorhandene BGP-Sitzung an:

Console

  1. Rufen Sie in der Google Cloud Console die Seite „Cloud Router” auf.
    Zur Liste der Cloud Router
  2. Klicken Sie auf den Cloud Router, der die zu aktualisierende BGP-Sitzung enthält.
  3. Klicken Sie auf der Detailseite des Cloud Routers auf die zu aktualisierende BGP-Sitzung.
  4. Wählen Sie auf der Seite BGP-Sitzungsdetails Bearbeiten aus.
  5. Wählen Sie für Routen die Option Benutzerdefinierte Routen erstellen aus.
  6. Wählen Sie Benutzerdefinierte Route hinzufügen aus, um eine beworbene Route zu erstellen.
  7. Konfigurieren Sie das Routen-Advertising.
    • Quelle: Wählen Sie Benutzerdefinierter IP-Bereich aus, um einen benutzerdefinierten IP-Bereich anzugeben.
    • IP-Adressbereich: Geben Sie den benutzerdefinierten IP-Bereich mit der CIDR-Notation an.
    • Beschreibung: Fügen Sie eine Beschreibung hinzu, damit Sie den Zweck dieses Routen-Advertisings erkennen können.
  8. Wenn Sie keine weiteren Routen hinzufügen möchten, klicken Sie auf Speichern.

gcloud

Sie können vorhandenen benutzerdefinierten Anzeigen hinzufügen oder eine neue Kundenanzeige festlegen, die alle vorhandenen benutzerdefinierten Anzeigen durch die neue ersetzt.

Verwenden Sie das Flag --set-advertisement-ranges, um eine neue benutzerdefinierte Advertising für einen Standard-IP-Bereich festzulegen:

gcloud compute routers update-bgp-peer router-name \
   --peer-name bgp-session-name \
   --advertisement-mode custom \
   --set-advertisement-ranges 0.0.0.0/0

Mit dem Flag --add-advertisement-ranges können Sie den Standard-IP-Bereich an vorhandene IP-Bereiche anhängen. Für dieses Flag muss der Advertising-Modus des Cloud Routers bereits auf custom eingestellt sein. Im folgenden Beispiel wird die benutzerdefinierte IP 0.0.0.0/0 dem Advertising des Cloud Routers hinzugefügt:

gcloud compute routers update-bgp-peer router-name \
   --peer-name bgp-session-name \
   --add-advertisement-ranges 0.0.0.0/0

Optional den Modus für dynamisches Routing des VPC-Netzwerks auf global festlegen

Wenn Sie Server für Bare-Metal-Lösungen in zwei verschiedenen Regionen verwenden, ist die Aktivierung des globalen Routingmodus im VPC-Netzwerk sinnvoll, damit Ihre Bare-Metal-Regionen direkt über das VPC-Netzwerk miteinander kommunizieren können.

Der globale Routing-Modus ist auch erforderlich, um die Kommunikation zwischen einer lokalen Umgebung zu ermöglichen, die mit einer Google Cloud-Region und einer Bare-Metal-Lösungsumgebung in einer anderen Google Cloud-Region verbunden ist.

Informationen zum Festlegen des globalen Routingmodus finden Sie unter Modus für dynamisches Routing des VPC-Netzwerks festlegen.

VPC-Firewall einrichten

Neue VPC-Netzwerke enthalten aktive Firewallstandardregeln, die den meisten Traffic im VPC-Netzwerk einschränken.

Wenn Sie eine Verbindung zu Ihrer Bare-Metal-Lösung herstellen möchten, muss der Netzwerkverkehr aktiviert werden zwischen:

  • Ihrer Bare-Metal-Lösungsumgebung und -Netzwerkzielen in Google Cloud.
  • Ihre lokale Umgebung und Ihre Ressourcen in Google Cloud, wie z. B. eine beliebige Jump-Host-VM-Instanz, mit der Sie eine Verbindung zu Ihrer Bare-Metal-Lösungsumgebung herstellen können.

Wenn Sie den Netzwerk-Traffic zwischen den Bare-Metal-Servern oder zwischen den Servern und Zielen in Google Cloud steuern müssen, müssen Sie in Ihrer Bare-Metal-Lösungsumgebung einen Kontrollmechanismus selbst implementieren.

So erstellen Sie eine Firewallregel in Ihrem VPC-Netzwerk in Google Cloud:

Console

  1. Zur Seite Firewallregeln:

    Zu Firewallregeln

  2. Klicken Sie auf Firewallregel erstellen.

  3. Definieren Sie die Firewallregel.

    1. Geben Sie der Firewallregel einen Namen.
    2. Wählen Sie im Feld Netzwerk das Netzwerk aus, in dem sich die VM befindet.
    3. Geben Sie im Feld Ziele entweder Angegebene Ziel-Tags oder Angegebenes Dienstkonto an.
    4. Geben Sie in den entsprechenden Feldern das Zielnetzwerk-Tag oder Dienstkonto an.
    5. Geben Sie im Feld Quellfilter IP-Bereiche an, um eingehenden Traffic aus Ihrer Bare-Metal-Lösungsumgebung zuzulassen.
    6. Geben Sie im Feld Quell-IP-Bereiche die IP-Adressen der Server oder Geräte in Ihrer Bare-Metal-Lösung an.
    7. Geben Sie im Abschnitt Protokolle und Ports die Protokolle und Ports an, die in Ihrer Umgebung erforderlich sind.
    8. Klicken Sie auf Erstellen.

gcloud

Mit dem folgenden Befehl erstellen Sie eine Firewallregel, die die Quelle mithilfe eines IP-Bereichs und des Ziels mithilfe des Netzwerk-Tags einer Instanz definiert. Passen Sie den Befehl für Ihre Umgebung nach Bedarf an.

gcloud compute firewall-rules create rule-name \
    --project=your-project-id \
    --direction=INGRESS \
    --priority=1000 \
    --network=your-network-name \
    --action=ALLOW \
    --rules=protocol:port \
    --source-ranges=ip-range \
    --target-tags=instance-network-tag

Weitere Informationen zum Erstellen von Firewallregeln finden Sie unter Firewallregeln erstellen.

Verbindung zum Bare-Metal-Server herstellen

Die Server in Ihrer Bare-Metal-Lösungsumgebung werden nicht mit externen IP-Adressen bereitgestellt.

Nachdem Sie eine Firewallregel erstellt haben, um Traffic aus der Bare-Metal-Lösung in Ihr VPC-Netzwerk zuzulassen, können Sie über eine Jump-Host-VM-Instanz eine Verbindung zu Ihrem Server herstellen.

Jump-Host-VM-Instanz in Google Cloud erstellen

Wenn Sie schnell eine Verbindung zu Ihren Bare-Metal-Servern herstellen möchten, erstellen Sie eine Compute Engine-VM, die als Jump-Host verwendet werden soll. Erstellen Sie die VM in derselben Google Cloud-Region wie Ihre Bare-Metal-Lösungsumgebung.

Weitere Informationen zu einer sichereren Verbindungsmethode finden Sie unter Verbindung über einen Bastion Host herstellen.

Wählen Sie zum Erstellen einer Jump-Host-VM-Instanz die entsprechende Anleitung weiter unten basierend auf dem Betriebssystem aus, das Sie in Ihrer Bare-Metal-Lösungsumgebung verwenden.

Weitere Informationen zum Erstellen von Compute Engine-VM-Instanzen finden Sie unter VM-Instanzen erstellen und starten.

Linux

VM-Instanz erstellen

  1. Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.

    Die Seite VM-Instanzen aufrufen

  2. Klicken Sie auf Instanz erstellen.

  3. Geben Sie im Feld Name einen Namen für die VM-Instanz ein.

  4. Wählen Sie unter Region die Region Ihrer Bare-Metal-Lösungsumgebung aus.

  5. Klicken Sie im Abschnitt Bootlaufwerk auf Ändern.

    1. Wählen Sie im Feld Betriebssysteme ein Betriebssystem Ihrer Wahl aus.
    2. Wählen Sie im Feld Version die Version des Betriebssystems aus.

  6. Klicken Sie auf Verwaltung, Sicherheit, Laufwerke, Netzwerke, einzelne Mandanten, um den Abschnitt zu maximieren.

  7. Klicken Sie auf Netzwerk, um die Netzwerkoptionen aufzurufen.

    • Definieren Sie unter Netzwerk-Tags einen oder mehrere Netzwerk-Tags für die Instanz.
    • Prüfen Sie unter Netzwerkschnittstellen, ob das richtige VPC-Netzwerk angezeigt wird.

  8. Klicken Sie auf Erstellen.

Warten Sie, bis die Instanz gestartet ist. Wenn die Instanz bereit ist, wird sie auf der Seite VM-Instanzen mit einem grünen Statussymbol angezeigt.

Verbindung zur Jump-Host-VM-Instanz herstellen

  1. Informationen zum Erstellen einer Firewallregel, um den Zugriff auf Ihre Jump-Host-VM-Instanz zu ermöglichen, finden Sie unter Firewall einrichten.

  2. Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf:

    Die Seite VM-Instanzen aufrufen

  3. Klicken Sie in der Liste der VM-Instanzen in der Zeile, die Ihren Jump-Host enthält, auf "SSH".

    Die Schaltfläche "SSH" wird für die Jump-Host-Zeile auf der Seite "VM-Instanzen" hervorgehoben.

Sie haben jetzt ein Terminalfenster mit Ihrer Jump-Host-VM-Instanz, über die Sie mithilfe von SSH eine Verbindung zu Ihrem Bare-Metal-Server herstellen können.

Erstmalige Anmeldung bei einem Bare-Metal-Lösungsserver

Linux

  1. Stellen Sie eine Verbindung zu Ihrer Jump-Host-VM-Instanz her.

  2. Öffnen Sie auf der Jump-Host-VM-Instanz ein Befehlszeilenterminal und bestätigen Sie, dass Sie den Server der Bare-Metal-Lösung erreichen können:

    ping bare-metal-ip

    Wenn der Ping-Befehl fehlschlägt, prüfen und korrigieren Sie folgendes:

  3. Stellen Sie auf der Jump-Host-VM-Instanz eine SSH-Verbindung zum Bare-Metal-Lösungsserver her. Verwenden Sie dazu die Nutzer-ID customeradmin und die IP-Adresse des Servers:

    ssh customeradmin@bare-metal-ip

  4. Geben Sie bei entsprechender Aufforderung das von Google Cloud bereitgestellte Passwort ein.

  5. Bei der ersten Anmeldung müssen Sie das Passwort für Ihren Bare-Metal-Lösungsserver ändern.

  6. Legen Sie ein neues Passwort fest und notieren Sie es an einem sicheren Ort. Nach dem Zurücksetzen des Passworts meldet Sie der Server automatisch ab.

  7. Melden Sie sich noch einmal mit der Nutzer-ID customeradmin und Ihrem neuen Passwort beim Bare-Metal-Lösungsserver an:

    ssh customeradmin@bare-metal-ip

  8. Wir empfehlen Ihnen außerdem, das Passwort für den Root-Nutzer zu ändern. Melden Sie sich als Root-Nutzer an:

    sudo su -

  9. Um das Root-Passwort zu ändern, führen Sie den Befehl passwd aus und folgen Sie den Eingabeaufforderungen:

    passwd

  10. Beenden Sie die Eingabeaufforderung für den Root-Nutzer, um zur Eingabeaufforderung customeradminzurückzukehren.

    exit

  11. Bewahren Sie Ihre Passwörter zur Wiederherstellung an einem sicheren Ort auf.

  12. Prüfen Sie, ob die Serverkonfiguration mit der Bestellung übereinstimmt. Prüfen Sie Folgendes:

    • Die Serverkonfiguration, einschließlich Anzahl und Typ der CPUs, der Sockets und des Arbeitsspeichers.
    • Betriebssystem- oder Hypervisor-Software, einschließlich Anbieter und Version.
    • Den Speicherplatz, einschließlich Typ und Menge.

Zugriff auf das öffentliche Internet einrichten

Die Bare-Metal-Lösung bietet keinen Zugriff auf das Internet. Sie können aus den folgenden Methoden wählen, um den Zugriff abhängig von verschiedenen Faktoren einzurichten, einschließlich Ihrer Geschäftsanforderungen und vorhandener Infrastruktur:

Mit einer Compute Engine-VM und Cloud NAT auf das Internet zugreifen

In der folgenden Anleitung wird ein NAT-Gateway auf einer Compute Engine-VM eingerichtet, um die Server in einer Bare-Metal-Lösungsumgebung mit dem Internet zu verbinden, um so beispielsweise Softwareupdates zu erhalten.

In der Anleitung wird das Standard-Internetgateway Ihres VPC-Netzwerks für den Zugriff auf das Internet verwendet.

Die in der folgenden Anleitung gezeigten Linux-Befehle beziehen sich auf das Betriebssystem Debian-. Wenn Sie ein anderes Betriebssystem verwenden, können die verwendeten Befehle möglicherweise unterschiedlich sein.

Gehen Sie im VPC-Netzwerk, das Sie mit Ihrer Bare-Metal-Lösungsumgebung verwenden, so vor:

  1. Cloud Shell öffnen

    Zu Cloud Shell

  2. Compute Engine-VM erstellen und konfigurieren, die als NAT-Gateway dient.

    1. VM erstellen:

      gcloud compute instances create instance-name \
  --machine-type=machine-type-name \
  --network vpc-network-name \
  --subnet=subnet-name \
  --can-ip-forward \
  --zone=your-zone \
  --image-family=os-image-family-name \
  --image-project=os-image-project \
  --tags=natgw-network-tag \
  --service-account=optional-service-account-email

      In späteren Schritten verwenden Sie das in diesem Schritt definierte Netzwerk-Tag, um Traffic an diese VM weiterzuleiten.

      Wenn Sie kein Dienstkonto angeben, entfernen Sie das Flag --service-account=. Compute Engine verwendet das Standarddienstkonto des Projekts.

    2. Stellen Sie eine SSH-Verbindung zur NAT-Gateway-VM her und konfigurieren Sie die iptables:

      $ sudo sysctl -w net.ipv4.ip_forward=1
      $ sudo iptables -t nat -A POSTROUTING \
   -o $(/bin/ip -o -4 route show to default | awk '{print $5}') -j MASQUERADE

      Der erste sudo-Befehl teilt dem Kernel mit, dass Sie die IP-Weiterleitung zulassen möchten. Der zweite sudo-Befehl maskiert Pakete, die von internen Instanzen empfangen werden, als wären sie von der NAT-Gateway-Instanz gesendet worden.

    3. Prüfen Sie die iptables:

      $ sudo iptables -v -L -t nat

    4. Führen Sie die folgenden Befehle auf der NAT-Gateway-VM aus, um Ihre NAT-Gateway-Einstellungen während eines Neustarts beizubehalten:

      $ sudo -i

      $ echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/70-natgw.conf

      $ apt-get install iptables-persistent

      $ exit

  3. Erstellen Sie in Cloud Shell eine Route zu 0.0.0.0/0 mit dem Standard-Internetgateway als nächsten Hop. Geben Sie das Netzwerk-Tag an, das Sie im vorherigen Schritt für das Argument --tags definiert haben. Weisen Sie der Route eine höhere Priorität zu als jeder anderen Standardroute.

    gcloud compute routes create default-internet-gateway-route-name \
    --destination-range=0.0.0.0/0 \
    --network=network-name \
    --priority=800 \
    --tags=natgw-network-tag \
    --next-hop-gateway=default-internet-gateway

  4. Fügen Sie das gerade erstellte Netzwerk-Tag zu allen vorhandenen VMs in Ihrem VPC-Netzwerk hinzu, die Internetzugang benötigen, damit sie auch dann noch auf das Internet zugreifen können, nachdem Sie eine neue Standardroute erstellt haben, die die Bare-Metal-Lösungsserver ebenfalls verwenden können.

  5. Optional: Entfernen Sie Routen zum Internet, die bereits vor der im vorherigen Schritt erstellten Route vorhanden waren, einschließlich der standardmäßig erstellten Routen.

  6. Prüfen Sie, ob alle vorhandenen VMs in Ihrem Netzwerk und der NAT-Gateway-VM auf das Internet zugreifen können. Senden Sie dazu von jeder VM einen Ping an eine externe IP-Adresse wie 8.8.8.8, das Google DNS.

  7. Erstellen Sie eine Standardroute zu 0.0.0.0/0 mit der NAT-Gateway-VM als nächsten Hop. Weisen Sie der Route eine niedrigere Priorität zu als für die erste erstellte Route.

    gcloud compute routes create natgw-route-name \
    --destination-range=0.0.0.0/0 \
    --network=network-name \
    --priority=900 \
    --next-hop-instance=natgw-vm-name \
    --next-hop-instance-zone=natgw-vm-zone

  8. Melden Sie sich bei den Servern der Bare-Metal-Lösung an und kontaktieren Sie eine externe IP-Adresse, um zu bestätigen, dass sie auf das Internet zugreifen können.

    Wenn der Ping-Befehl nicht erfolgreich ist, prüfen Sie, ob Sie eine Firewallregel erstellt haben, die den Zugriff von Ihrer Bare-Metal-Lösungsumgebung auf Ihr VPC-Netzwerk zulässt.

Mit redundanten Compute Engine-VMs, Cloud NAT, internem Passthrough-Network Load Balancer und richtlinienbasiertem Routing auf das Internet zugreifen

In diesem Abschnitt wird gezeigt, wie Sie den internen Passthrough-Network Load Balancer mit Compute Engine-VMs und Cloud NAT als Back-End einrichten. Das richtlinienbasierte Routing leitet den Internettraffic an das Front-End des internen Passthrough-Network Load Balancers weiter.

Das folgende Diagramm veranschaulicht die Konfiguration.

Einrichtung für die Verwendung redundanter Compute Engine-VMs, Cloud NAT, des internen Passthrough-Network Load Balancers und richtlinienbasiertes Routings für den Zugriff auf das Internet.

Führen Sie im VPC-Netzwerk Ihrer Bare-Metal-Lösungsumgebung die folgenden Schritte aus:

  1. Compute Engine-VM erstellen und konfigurieren, die als NAT-Gateway dient. Führen Sie die unter Methode 1: Einzelne Compute Engine-VM und Cloud NAT verwenden beschriebenen Schritte aus.

    Mit einem einfachen HTTP-Server kann eine Systemdiagnose für den internen Passthrough-Network Load Balancer durchgeführt werden.

    
# Installing http server

sudo yum install httpd
sudo systemctl restart httpd

# Testing

curl http://127.0.0.1:80

  2. Erstellen Sie eine Instanzgruppe:

    gcloud compute instance-groups unmanaged create INSTANCE_GROUP_NAME --project=PROJECT_ID --zone=ZONE

    Ersetzen Sie Folgendes:

    • INSTANCE_GROUP_NAME: der Name der Instanzgruppe.
    • PROJECT_ID: die ID des Projekts.
    • ZONE: die Zone, in der die Instanzgruppe erstellt werden soll.

  3. Fügen Sie die VM der Instanzgruppe hinzu.

    gcloud compute instance-groups unmanaged add-instances INSTANCE_GROUP_NAME --project=PROJECT_ID --zone=ZONE --instances=VM_NAME

    Ersetzen Sie Folgendes:

    • INSTANCE_GROUP_NAME: der Name der Instanzgruppe.
    • PROJECT_ID: die ID des Projekts.
    • ZONE: die Zone, in der die Instanzgruppe erstellt werden soll.
    • VM_NAME: der Name der VM

  4. Erstellen Sie einen internen Passthrough-Network Load Balancer:

    Konfiguration starten

    1. Rufen Sie in der Google Cloud Console die Seite Load-Balancing auf.

      Zur Seite „Load-Balancing“

    2. Klicken Sie auf Load-Balancer erstellen.
    3. Wählen Sie unter Typ des Load-Balancers die Option Netzwerk-Load-Balancer (TCP/UDP/SSL) aus und klicken Sie auf Weiter.
    4. Wählen Sie für Proxy oder Passthrough die Option Passthrough-Load-Balancer aus und klicken Sie auf Weiter.
    5. Wählen Sie für Öffentlich oder intern die Option Intern aus und klicken Sie auf Weiter.
    6. Klicken Sie auf Konfigurieren.

    Grundlegende Konfiguration

    1. Legen Sie Name des Load-Balancers fest.
    2. Wählen Sie eine Region aus.
    3. Wählen Sie ein Netzwerk aus.

    Backend und Frontend konfigurieren

    1. Klicken Sie auf Back-End-Konfiguration und nehmen Sie folgende Änderungen vor:

      1. So fügen Sie Back-Ends hinzu:
        1. Setzen Sie unter Neues Backend den IP-Stack-Typ auf IPv4 (Single-Stack), um nur IPv4-Traffic zu verarbeiten.
        2. Wählen Sie Ihre Instanzgruppe aus und klicken Sie auf Fertig.

      2. Wählen Sie eine Systemdiagnose aus. Sie können auch eine Systemdiagnose erstellen, die folgenden Informationen eingeben und auf Speichern klicken:

        • Name: Geben Sie einen Namen für die Systemdiagnose ein.
        • Protokoll: HTTP
        • Port: 80
        • Proxyprotokoll: NONE
        • Anfragepfad: /

    2. Klicken Sie auf Front-End-Konfiguration. Nehmen Sie im Bereich Neue Frontend-IP-Adresse und neuer Frontend-Port die folgenden Änderungen vor:

      1. Ports: Wählen Sie Alle aus und geben Sie als Portnummer 80,8008,8080,8088 ein.
      2. Klicken Sie auf Fertig.

    3. Klicken Sie auf Prüfen und abschließen.

    4. Prüfen Sie die Konfigurationseinstellungen des Load-Balancers.

    5. Klicken Sie auf Erstellen.

  5. Erstellen Sie eine richtlinienbasierte Route für das Internet.

    gcloud network-connectivity policy-based-routes create ROUTE_NAME \
 --source-range=SOURCE_RANGE \
 --destination-range=0.0.0.0/0 \
 --ip-protocol=ALL \
 --network="projects/PROJECT_ID/global/networks/NETWORK" \
 --next-hop-ilb-ip=NEXT_HOP \
 --description="DESCRIPTION" \
 --priority=PRIORITY \
 --interconnect-attachment-region=REGION

    Ersetzen Sie Folgendes:

    • ROUTE_NAME: der Name der richtlinienbasierten Route
    • SOURCE_RANGE: der CIDR-Bereich der Quell-IP-Adresse In diesem Fall ist dies die IP-Adresse der Bare-Metal-Lösung.
    • PROJECT_ID: die ID des Projekts.
    • NETWORK: das Netzwerk, auf das die richtlinienbasierte Route angewendet wird
    • NEXT_HOP: die IPv4-Adresse des nächsten Hops der Route. In diesem Fall ist dies die IP-Adresse des Front-Ends des internen Passthrough-Network Load Balancers.
    • DESCRIPTION: eine Beschreibung der Route
    • PRIORITY: die Priorität der richtlinienbasierten Route im Vergleich zu anderen richtlinienbasierten Routen
    • REGION: Region des VLAN-Anhang

  6. Erstellen Sie eine richtlinienbasierte Route, um die auf Internetrichtlinien basierende Route für lokale Subnetze und lokale Subnetze zu überspringen.

     gcloud network-connectivity policy-based-routes create ROUTE_NAME \
 --source-range=SOURCE_RANGE/32 \
 --destination-range=DESTINATION_RANGE \
 --ip-protocol=ALL \
 --network="projects/PROJECT_ID/global/networks/VPC_NAME" \
 --next-hop-other-routes="DEFAULT_ROUTING" \
 --description="DESCRIPTION" \
 --priority=PRIORITY \
 --interconnect-attachment-region=REGION

    Ersetzen Sie Folgendes:

    • ROUTE_NAME: der Name der richtlinienbasierten Route
    • SOURCE_RANGE: der CIDR-Bereich der Quell-IP-Adresse In diesem Fall ist dies die IP-Adresse der Bare-Metal-Lösung.
    • DESTINATION_RANGE: der CIDR-Bereich der Ziel-IP. In diesem Fall ist dies das lokale oder ein lokales Subnetz.
    • PROJECT_ID: die ID des Projekts.
    • VPC_NAME: der Name des VPC-Netzwerks
    • DESCRIPTION: eine Beschreibung der Route
    • PRIORITY: die Priorität der richtlinienbasierten Route im Vergleich zu anderen richtlinienbasierten Routen Die Priorität dieser richtlinienbasierten Route muss kleiner oder gleich der richtlinienbasierten Route für das Internet sein.
    • REGION: Region des VLAN-Anhang

  7. Aktualisieren Sie die Firewall so, dass HTTP-Port 80 auf der VM zugelassen wird.

    Die Systemdiagnose kann fehlschlagen, wenn Sie die Firewall nicht aktualisieren.

Über redundante Compute Engine-VMs, Cloud NAT, interner Passthrough-Network Load Balancer und richtlinienbasiertes Routing in einer separaten VPC auf das Internet zugreifen

Wenn Sie keine richtlinienbasierten Routen für lokale Subnetze hinzufügen möchten, können Sie mit dieser Methode auf das Internet zugreifen. Für diese Methode müssen Sie jedoch einen VLAN-Anhang und eine VPC erstellen, um die Bare-Metal-Lösung zu verbinden.

Das folgende Diagramm veranschaulicht die Konfiguration.

Einrichten zur Verwendung redundanter Compute Engine-VMs, Cloud NAT, des internen Passthrough-Network Load Balancers und richtlinienbasiertes Routing in einer separaten VPC.

Gehen Sie so vor:

  1. Erstellen Sie ein VPC-Netzwerk für das Internet.

    gcloud compute networks create NETWORK --project=PROJECT_ID --subnet-mode=custom --mtu=MTU --bgp-routing-mode=regional

    Ersetzen Sie Folgendes:

    • NETWORK: der Name für das VPC-Netzwerk.
    • PROJECT_ID: die ID des Projekts.
    • MTU: die maximale Übertragungseinheit (MTU), die die größte Paketgröße des Netzwerks ist

  2. Erstellen Sie ein Subnetz.

    gcloud compute networks subnets create SUBNET_NAME --project=PROJECT_ID --range=RANGE --stack-type=IPV4_ONLY --network=NETWORK --region=REGION

    Ersetzen Sie Folgendes:

    • SUBNET_NAME: der Name des Subnetzes
    • PROJECT_ID: die ID des Projekts.
    • RANGE: der diesem Subnetz zugeordnete IP-Bereich im CIDR-Format
    • NETWORK: das VPC-Netzwerk, zu dem das Subnetz gehört
    • REGION: Die Region des Subnetzes.

  3. Erstellen Sie zwei Cloud Router für die Redundanz und das Advertising.

    gcloud compute routers create ROUTER_NAME --project=PROJECT_ID --region=REGION --network=NETWORK --advertisement-mode=custom --set-advertisement-ranges=0.0.0.0/0

    Ersetzen Sie Folgendes:

    • ROUTER_NAME: der Name des Routers
    • PROJECT_ID: die ID des Projekts.
    • REGION: Region des Routers
    • NETWORK: das VPC-Netzwerk für diesen Router

  4. Erstellen Sie vier VLAN-Anhänge, zwei für jeden Cloud Router.

    Eine Anleitung dazu finden Sie unter VLAN-Anhänge erstellen.

  5. Wenn die VLAN-Anhänge aktiv sind, führen Sie die Schritte unter Methode 2: Redundante Compute Engine-VMs, Cloud NAT, internen Passthrough-Network Load Balancer und richtlinienbasiertes Routing verwenden aus, um die Internetinfrastruktur zu konfigurieren. Konfigurieren Sie für diese Einrichtung jedoch nicht die richtlinienbasierte Route für lokalen Traffic. Erstellen Sie eine richtlinienbasierte Route für das Internet nur in einer Routingtabelle des VPC-Netzwerk.

Zugriff auf Google Cloud APIs und Google-Dienste einrichten

Die Bare-Metal-Lösung umfasst keinen Zugriff auf Google Cloud-Dienste. Wie Sie den Zugriff implementieren, hängt von verschiedenen Faktoren ab, einschließlich Ihrer Geschäftsanforderungen und vorhandener Infrastruktur.

Sie können über Ihre Bare-Metal-Lösungsumgebung privat auf Google Cloud-APIs und -Dienste zugreifen.

Sie richten den privaten Zugriff auf die Google Cloud APIs und Google-Dienste in einer Bare-Metal-Lösungsumgebung genau wie bei einer lokalen Umgebung ein.

Folgen Sie der Anleitung für lokale Umgebungen unter Privaten Google-Zugriff für lokale Hosts konfigurieren.

Die Anleitung führt Sie durch die folgenden allgemeinen Schritte:

  1. Routen für den Google API-Traffic konfigurieren
  2. Bare-Metal-Lösungs-DNS so konfigurieren, dass *.googleapis.com als CNAME in restricted.googleapis.com aufgelöst wird

Nächste Schritte

Nachdem Sie Ihre Bare-Metal-Lösungsumgebung eingerichtet haben, können Sie Ihre Arbeitslasten installieren.

Wenn Sie Oracle-Datenbanken auf den Servern in Ihrer Bare-Metal-Lösungsumgebung ausführen möchten, können Sie das Open-Source-Toolkit für die Bare-Metal-Lösung verwenden, um Ihre Oracle-Software zu installieren.