Bare-Metal-Lösungsumgebung einrichten

Wenn Ihre Bare-Metal-Lösungsumgebung bereit ist, werden Sie von Google Cloud benachrichtigt. Die Benachrichtigung enthält die internen IP-Adressen Ihrer neuen Maschinen.

In dieser Anleitung wird beschrieben, wie Sie die folgenden Aufgaben ausführen, die zum Verbinden Ihrer Bare-Metal-Lösung erforderlich sind:

  • Erstellen Sie redundante VLAN-Anhänge in der Bare-Metal-Lösungsumgebung.
  • Erstellen Sie einen Bastion Host in Ihrem VPC-Netzwerk.
  • Stellen Sie über den Bastion Host eine SSH- oder RDP-Verbindung zu Ihren neuen Maschinen her.

Nachdem Sie eine Verbindung zu Ihren Maschinen hergestellt haben, prüfen Sie die Konfiguration Ihrer Bare-Metal-Lösungsbestellung.

Vorbereitung

Um Ihre Bare-Metal-Lösungsumgebung zu konfigurieren und eine Verbindung zu ihr herzustellen, benötigen Sie:

  • Google Cloud-Projekt mit aktivierter Abrechnungsfunktion. Sie können ein Projekt auf der Seite "Projektauswahl" in der Google Cloud Console erstellen.
  • Ein VPC-Netzwerk (Virtual Private Cloud). Das ist das VPC-Netzwerk, das Sie bei der Bestellung der Bare-Metal-Lösung benannt haben. Weitere Informationen zur Erstellung des VPC-Netzwerks finden Sie unter VPC-Netzwerke verwenden.
  • Die folgenden Informationen werden von Google Cloud bereitgestellt, wenn Ihre Bare-Metal-Lösung bereit ist:
    • Die IP-Adressen der Bare-Metal-Maschinen.
    • Die temporären Passwörter für die einzelnen Bare-Metal-Maschinen.

VLAN-Anhänge für die Cloud Interconnect-Verbindung erstellen

Nachdem Sie benachrichtigt wurden, dass die Maschinen Ihrer Bare-Metal-Lösung bereit sind, müssen Sie redundante VLAN-Anhänge in derselben Region wie Ihre Bare-Metal-Maschinen erstellen, um die Verbindung herzustellen.

Die VLAN-Anhänge (auch InterconnectAttachments genannt) verbinden Ihr Virtual Private Cloud-Netzwerk mit Ihrer Bare-Metal-Lösungsumgebung, indem sie über die Cloud Interconnect-Verbindung VLANs zuordnen.

Derzeit unterstützen einzelne Bare-Metal-VLAN-Anhänge maximal 10 Gbit/s. Für einen höheren Durchsatz in einem VPC-Netzwerk können Sie mehrere Anhänge für das VPC-Netzwerk konfigurieren. Verwenden Sie für jede BGP-Sitzung dieselben MED-Werte, damit der Traffic ECMP für alle konfigurierten Interconnect-Anhänge verwenden kann.

Console

  1. Wenn in dem Netzwerk und der Region, für die Sie die Bare-Metal-Lösung verwenden, noch keine Cloud Router-Instanzen vorhanden sind, müssen Sie für jeden VLAN-Anhang eine erstellen. Geben Sie beim Erstellen der Router 16550 als ASN für jeden Cloud Router an.

    Eine Anleitung hierzu finden Sie unter Cloud Router erstellen.

  2. Rufen Sie in der Google Cloud Console den Cloud Interconnect-Tab „VLAN-Anhänge“ auf.
    Zum Tab "VLAN-Anhänge"

  3. Klicken Sie auf VLAN-Anhang hinzufügen.

  4. Wählen Sie Partner Interconnect aus, um Partner-VLAN-Anhänge zu erstellen, und klicken Sie dann auf Weiter.

  5. Klicken Sie auf Ich habe bereits einen Dienstanbieter.

  6. Wählen Sie Redundante VLAN-Anhänge erstellen aus. Beide Anhänge können Traffic bereitstellen und Sie können den Traffic an das Load-Balancing zwischen ihnen weiterleiten. Wenn ein Anhang ausfällt, z. B. während einer geplanten Wartung, verarbeitet der andere Anhang weiterhin Traffic. Weitere Informationen finden Sie im Abschnitt „Redundanz“ auf der Seite Partner Interconnect – Übersicht.

  7. Wählen Sie für die Felder Netzwerk und Region das VPC-Netzwerk bzw. die Google Cloud-Region aus, mit denen Ihre Anhänge verbunden werden sollen.

  8. Geben Sie die Details der VLAN-Anhänge an:

    • Cloud Router: ein Cloud Router, dem der jeweilige Anhang zugeordnet werden soll. Sie können nur einen Cloud Router mit der ASN 16550 im ausgewählten VPC-Netzwerk und in der ausgewählten Region verwenden.
    • Name des VLAN-Anhangs: Ein Name für den Anhang. Dieser Name wird in der Console angezeigt und vom gcloud-Befehlszeilentool als Bezeichnung des Anhangs verwendet, wie z. B. my-attachment.
  9. Klicken Sie auf Erstellen, um die Anhänge zu erstellen. Dies kann einen Moment dauern.

  10. Kopieren Sie nach dem Erstellen die Kopplungsschlüssel. Die Schlüssel enthalten einen alphanumerischen Code, den Namen der Region und die Anzahl der Netzwerkverfügbarkeitszonen, z. B. /1 oder /2. Sie geben diese Schlüssel an Google Cloud weiter.

  11. Klicken Sie auf OK, um sich eine Liste Ihrer VLAN-Anhänge aufzurufen.

  12. Wenn Google Cloud Ihnen mitteilt, dass die Maschinen für Ihre Bare-Metal-Lösung bereit sind, aktivieren Sie die VLAN-Anhänge jetzt, wenn Sie sie nicht vorab aktiviert haben.

    1. Rufen Sie in der Google Cloud Platform Console den Tab "VLAN-Anhänge" auf.
      Zum Tab "VLAN-Anhänge"
    2. Wählen Sie den VLAN-Anhang aus, um dessen Details anzusehen.
    3. Klicken Sie auf Activate (Aktivieren).

gcloud

  1. Wenn in dem Netzwerk und der Region, für die Sie die Bare-Metal-Lösung verwenden, noch keine Cloud Router-Instanzen vorhanden sind, müssen Sie für jeden VLAN-Anhang eine erstellen. Verwenden Sie 16550 als ASN-Nummer:

    gcloud compute routers create router-name \
    --network vpc-network-name \
    --asn 16550 \
    --region region \

    Weitere Informationen finden Sie unter Cloud Router erstellen.

  2. Erstellen Sie ein InterconnectAttachment vom Typ PARTNER und geben Sie den Namen Ihres Cloud Routers und die Edge-Verfügbarkeitsdomain (EAD) des VLAN-Anhangs an.

    gcloud compute interconnects attachments partner create first-attachment-name \
      --region region \
      --router first-router-name \
      --edge-availability-domain availability-domain-1
    gcloud compute interconnects attachments partner create second-attachment-name \
      --region region \
      --router second-router-name \
      --edge-availability-domain availability-domain-2

    Google fügt dem Cloud Router automatisch eine Schnittstelle und einen BGP-Peer hinzu. Der Anhang generiert einen Kopplungsschlüssel, den Sie später an Google Cloud senden müssen.

    Im folgenden Beispiel werden redundante Anhänge erstellt, einer in der EAD availability-domain-1 und ein weiterer in der EAD availability-domain-2. Jeder ist mit einem separaten Cloud Router (my-router-1 bzw. my-router-2) verknüpft. Beide befinden sich in der Region us-central1.

    gcloud compute interconnects attachments partner create my-attachment \
     --region us-central1 \
     --router my-router-1 \
     --edge-availability-domain availability-domain-1
    gcloud compute interconnects attachments partner create my-attachment \
     --region us-central1 \
     --router my-router-2 \
     --edge-availability-domain availability-domain-2
  3. Beschreiben Sie den Anhang, um dessen Kopplungsschlüssel abzurufen. Sie geben den Schlüssel an Google Cloud weiter, nachdem Sie eine Änderungsanfrage zum Erstellen der Verbindung zur Bare-Metal-Lösungsumgebung gesendet haben.

    gcloud compute interconnects attachments describe my-attachment \
      --region us-central1
    adminEnabled: false
    edgeAvailabilityDomain: AVAILABILITY_DOMAIN_1
    creationTimestamp: '2017-12-01T08:29:09.886-08:00'
    id: '7976913826166357434'
    kind: compute#interconnectAttachment
    labelFingerprint: 42WmSpB8rSM=
    name: my-attachment
    pairingKey: 7e51371e-72a3-40b5-b844-2e3efefaee59/us-central1/1
    region: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1
    router: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1/routers/my-router
    selfLink: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1/interconnectAttachments/my-attachment
    state: PENDING_PARTNER
    type: PARTNER
    • Das Feld pairingKey enthält den Kopplungsschlüssel, den Sie kopieren und für Ihren Dienstanbieter freigeben müssen. Behandeln Sie den Kopplungsschlüssel als vertrauliche Information, bis Ihr VLAN-Anhang konfiguriert ist.
    • Der Status des VLAN-Anhangs lautet PENDING_PARTNER, bis Google Cloud die Konfiguration Ihres VLAN-Anhangs abgeschlossen hat. Danach hat der Anhang den Status INACTIVE oder ACTIVE, je nachdem, ob Sie Ihre Anhänge vorab aktivieren möchten oder nicht.

    Wenn Sie Verbindungen von Google Cloud anfordern, müssen Sie dieselbe Metropolregion (Stadt) für beide Anhänge auswählen, damit diese redundant sind. Weitere Informationen finden Sie im Abschnitt „Redundanz“ auf der Seite Partner Interconnect – Übersicht.

  4. Aktivieren Sie alle VLAN-Anhänge:

    gcloud compute interconnects attachments partner update attachment-name \
    --region region \
    --admin-enabled

Sie können den Status der Cloud Router und der beworbenen Routen in der Cloud Console prüfen. Weitere Informationen finden Sie unter Routerstatus und angebotene Routen aufrufen.

Routing zwischen der Bare-Metal-Lösung und Google Cloud einrichten

Sobald die VLAN-Anhänge aktiv sind, werden Ihre BGP-Sitzungen gestartet und die Routen aus der Bare-Metal-Lösung über die BGP-Sitzungen empfangen.

Benutzerdefiniertes Advertising für einen Standard-IP-Bereich zu BGP-Sitzungen hinzufügen

Wenn Sie das Routing für Traffic aus der Bare-Metal-Lösung einrichten möchten, wird empfohlen, eine benutzerdefinierte Anzeige einer Standardroute hinzuzufügen, z. B. 0.0.0.0/0 bei Ihren BGP-Sitzungen in der Bare-Metal-Lösungsumgebung.

So geben Sie Advertising für eine vorhandene BGP-Sitzung an:

Console

  1. Rufen Sie in der Google Cloud Console die Seite „Cloud Router” auf.
    Zur Liste der Cloud Router
  2. Klicken Sie auf den Cloud Router, der die zu aktualisierende BGP-Sitzung enthält.
  3. Klicken Sie auf der Detailseite des Cloud Routers auf die zu aktualisierende BGP-Sitzung.
  4. Wählen Sie auf der Seite BGP-Sitzungsdetails Bearbeiten aus.
  5. Wählen Sie für Routen die Option Benutzerdefinierte Routen erstellen aus.
  6. Wählen Sie Benutzerdefinierte Route hinzufügen aus, um eine beworbene Route zu erstellen.
  7. Konfigurieren Sie das Routen-Advertising.
    • Quelle: Wählen Sie Benutzerdefinierter IP-Bereich aus, um einen benutzerdefinierten IP-Bereich anzugeben.
    • IP-Adressbereich: Geben Sie den benutzerdefinierten IP-Bereich mit der CIDR-Notation an.
    • Beschreibung: Fügen Sie eine Beschreibung hinzu, damit Sie den Zweck dieses Routen-Advertisings erkennen können.
  8. Wenn Sie keine weiteren Routen hinzufügen möchten, klicken Sie auf Speichern.

gcloud

Sie können vorhandenen benutzerdefinierten Anzeigen hinzufügen oder eine neue Kundenanzeige festlegen, das alle vorhandenen benutzerdefinierten Anzeigen durch das neue ersetzt.

Verwenden Sie das Flag --set-advertisement-ranges, um eine neue benutzerdefinierte Advertising für einen Standard-IP-Bereich festzulegen:

gcloud compute routers update-bgp-peer router-name \
   --peer-name bgp-session-name \
   --advertisement-mode custom \
   --set-advertisement-ranges 0.0.0.0/0

Mit dem Flag --add-advertisement-ranges können Sie den Standard-IP-Bereich an vorhandene IP-Bereiche anhängen. Für dieses Flag muss der Advertising-Modus des Cloud Routers bereits auf custom eingestellt sein. Im folgenden Beispiel wird die benutzerdefinierte IP 0.0.0.0/0 dem Advertising des Cloud Routers hinzugefügt:

gcloud compute routers update-bgp-peer router-name \
   --peer-name bgp-session-name \
   --add-advertisement-ranges 0.0.0.0/0

Optional den Modus für dynamisches Routing des VPC-Netzwerks auf global festlegen

Wenn Sie Maschinen für Bare-Metal-Lösungen in zwei verschiedenen Regionen verwenden, ist die Aktivierung des globalen Routingmodus im VPC-Netzwerk sinnvoll, damit Ihre Bare-Metal-Regionen direkt über das VPC-Netzwerk miteinander kommunizieren können.

Der globale Routing-Modus ist auch erforderlich, um die Kommunikation zwischen einer lokalen Umgebung zu ermöglichen, die mit einer Google Cloud-Region und einer Bare-Metal-Lösungsumgebung in einer anderen Google Cloud-Region verbunden ist.

Informationen zum Festlegen des globalen Routingmodus finden Sie unter Modus für dynamisches Routing des VPC-Netzwerks festlegen.

VPC-Firewall einrichten

Neue VPC-Netzwerke enthalten aktive Firewallstandardregeln, die den meisten Traffic im VPC-Netzwerk einschränken.

Wenn Sie eine Verbindung zu Ihrer Bare-Metal-Lösung herstellen möchten, muss der Netzwerkverkehr aktiviert werden zwischen:

  • Ihrer Bare-Metal-Lösungsumgebung und -Netzwerkzielen in Google Cloud.
  • Ihrer lokalen Umgebung und Ihren Ressourcen in Google Cloud, z. B. einem beliebigen Jump-Server, mit dem Sie eine Verbindung zu Ihrer Bare-Metal-Lösungsumgebung herstellen können.

Wenn Sie den Netzwerk-Traffic zwischen den Bare-Metal-Maschinen oder zwischen den Maschinen und Zielen in Google Cloud steuern müssen, müssen Sie in Ihrer Bare-Metal-Lösungsumgebung einen Kontrollmechanismus selbst implementieren.

So erstellen Sie eine Firewallregel in Ihrem VPC-Netzwerk in Google Cloud:

Console

  1. Zur Seite Firewallregeln:

    Zu Firewallregeln

  2. Klicken Sie auf FIREWALLREGEL ERSTELLEN.

  3. Definieren Sie die Firewallregel.

    1. Geben Sie der Firewallregel einen Namen.
    2. Wählen Sie im Feld Netzwerk das Netzwerk aus, in dem sich die VM befindet.
    3. Geben Sie im Feld Ziele entweder Angegebene Ziel-Tags oder Angegebenes Dienstkonto an.
    4. Geben Sie in den entsprechenden Feldern das Zielnetzwerk-Tag oder Dienstkonto an.
    5. Geben Sie im Feld Quellfilter IP-Bereiche an, um eingehenden Traffic aus Ihrer Bare-Metal-Lösungsumgebung zuzulassen.
    6. Geben Sie im Feld Quell-IP-Bereiche die IP-Adressen der Maschinen oder Geräte in Ihrer Bare-Metal-Lösung an.
    7. Geben Sie im Abschnitt Protokolle und Ports die Protokolle und Ports an, die in Ihrer Umgebung erforderlich sind.
    8. Klicken Sie auf Erstellen.

gcloud

Mit dem folgenden Befehl erstellen Sie eine Firewallregel, die die Quelle mithilfe eines IP-Bereichs und des Ziels mithilfe des Netzwerk-Tags einer Instanz definiert. Passen Sie den Befehl für Ihre Umgebung nach Bedarf an.

gcloud compute firewall-rules create rule-name \
    --project=your-project-id \
    --direction=INGRESS \
    --priority=1000 \
    --network=your-network-name \
    --action=ALLOW \
    --rules=protocol:port \
    --source-ranges=ip-range \
    --target-tags=instance-network-tag

Weitere Informationen zum Erstellen von Firewallregeln finden Sie unter Firewallregeln erstellen.

Verbindung zur Bare-Metal-Maschine herstellen

Die Maschinen in Ihrer Bare-Metal-Lösungsumgebung werden nicht mit externen IP-Adressen bereitgestellt.

Nachdem Sie eine Firewallregel erstellt haben, um Traffic aus der Bare-Metal-Lösung in Ihr VPC-Netzwerk zuzulassen, können Sie über einen Jump-Server oder einen Bastion Host eine Verbindung zu Ihrem Computer herstellen.

Jump-Server in Google Cloud erstellen

Wenn Sie schnell eine Verbindung zu Ihren Bare-Metal-Maschinen herstellen möchten, erstellen Sie eine Compute Engine-VM, die als Jump-Server verwendet werden soll. Erstellen Sie die VM im selben VPC-Netzwerk und in derselben Google Cloud-Region wie Ihre Bare-Metal-Lösung.

Wenn Sie eine sicherere Verbindungsmethode benötigen, finden Sie unter Verbindung über einen Bastion Host herstellen weitere Informationen.

Wenn Sie einen Jump-Server erstellen möchten, gehen Sie nach den Schritten vor, die für das Betriebssystem gelten, das Sie in Ihrer Bare-Metal-Lösungsumgebung verwenden.

Weitere Informationen zum Erstellen von Compute Engine-VM-Instanzen finden Sie unter VM-Instanzen erstellen und starten.

Linux

VM-Instanz erstellen

  1. Öffnen Sie in der Cloud Console die Seite VM-Instanzen:

    Die Seite VM-Instanzen aufrufen

  2. Klicken Sie auf INSTANZ ERSTELLEN.

  3. Geben Sie im Feld Name einen Namen für die VM-Instanz ein.

  4. Wählen Sie unter Region die Region Ihrer Bare-Metal-Lösungsumgebung aus.

  5. Klicken Sie im Abschnitt Bootlaufwerk auf Ändern.

    1. Wählen Sie im Feld Betriebssysteme das Linux-Betriebssystem aus, das Sie auch auf Ihren Bare-Metal-Lösungsmaschinen verwenden.
    2. Wählen Sie im Feld Version die Version des Betriebssystems aus.
  6. Klicken Sie auf Verwaltung, Sicherheit, Laufwerke, Netzwerke, einzelne Mandanten, um den Abschnitt zu maximieren.

  7. Klicken Sie auf Netzwerk, um die Netzwerkoptionen aufzurufen.

    • Definieren Sie unter Netzwerk-Tags einen oder mehrere Netzwerk-Tags für die Instanz.
    • Prüfen Sie unter Netzwerkschnittstellen, ob das richtige VPC-Netzwerk angezeigt wird.
  8. Klicken Sie auf Erstellen.

Warten Sie, bis die Instanz gestartet ist. Wenn die Instanz bereit ist, wird sie auf der Seite VM-Instanzen mit einem grünen Statussymbol angezeigt.

Verbindung zu Ihrem Jump-Server herstellen

  1. Informationen zum Erstellen einer Firewallregel, um den Zugriff auf Ihren Jump-Server zu gewähren, finden Sie unter Firewall einrichten.

  2. Öffnen Sie in der Cloud Console die Seite VM-Instanzen:

    Die Seite VM-Instanzen aufrufen

  3. Klicken Sie in der Liste der VM-Instanzen in der Zeile Ihrer Jump-Server-VM auf SSH.

    Grafik: Die Schaltfläche "SSH" ist in der Jump-Server-Zeile auf der Seite "VM-Instanzen" hervorgehoben.

Sie haben jetzt ein Terminalfenster mit Ihrem Jump-Server, über das Sie mit SSH eine Verbindung zu Ihrer Bare-Metal-Maschine herstellen können.

Windows

VM-Instanz erstellen

  1. Öffnen Sie in der Cloud Console die Seite VM-Instanzen:

    Die Seite VM-Instanzen aufrufen

  2. Klicken Sie auf INSTANZ ERSTELLEN.

  3. Geben Sie im Feld Name einen Namen für die VM-Instanz ein.

  4. Wählen Sie unter Region die Region Ihrer Bare-Metal-Lösungsumgebung aus.

  5. Klicken Sie im Abschnitt Bootlaufwerk auf Ändern.

    1. Wählen Sie im Feld Betriebssysteme die Option Windows Server aus.
    2. Wählen Sie im Feld Version eine Windows Server-Version aus.
  6. Klicken Sie auf Verwaltung, Sicherheit, Laufwerke, Netzwerke, einzelne Mandanten, um den Abschnitt zu maximieren.

  7. Klicken Sie auf Netzwerk, um die Netzwerkoptionen aufzurufen.

    • Definieren Sie unter Netzwerk-Tags einen oder mehrere Netzwerk-Tags für die Instanz.
    • Prüfen Sie unter Netzwerkschnittstellen, ob das richtige VPC-Netzwerk ausgewählt wurde.
  8. Klicken Sie auf Erstellen.

Warten Sie, bis die Instanz gestartet ist. Wenn die Instanz bereit ist, wird sie auf der Seite VM-Instanzen mit einem grünen Statussymbol angezeigt.

Verbindung zu Ihrem Jump-Server herstellen

  1. Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.

    Die Seite VM-Instanzen aufrufen

  2. Klicken Sie in der Spalte Name auf den Namen Ihrer VM-Instanz.

  3. Klicken Sie im Bereich Remotezugriff auf Windows-Passwort festlegen.

    Grafik: Auf der Seite mit den VM-Instanzdetails werden die Schaltflächen "RDP" und "Passwort" angezeigt.

  4. Geben Sie einen Nutzernamen ein und klicken Sie dann auf Einstellen, um für diese Windows-Instanz ein neues Passwort zu erstellen. Speichern Sie den Nutzernamen und das Passwort, sodass Sie sich bei der Instanz anmelden können.

  5. Stellen Sie mit einem grafischen Tool oder einem Befehlszeilentool Ihrer Wahl eine Verbindung zu der Instanz her.

Erstmalige Anmeldung bei einer Bare-Metal-Lösungsmaschine.

Linux

  1. Verbindung zur Ihrer Jump-Server-VM herstellen

  2. Öffnen Sie auf dem Jump-Server ein Befehlszeilenterminal und prüfen Sie, ob Sie die Maschine erreichen können:

    ping bare-metal-ip

    Wenn der Ping-Befehl fehlschlägt, prüfen Sie Folgendes:

    • Enthält Ihre VPC eine Firewallregel, die den Zugriff über den IP-Bereich zulässt, den Sie in der Bare-Metal-Lösungsumgebung für die Kommunikation mit der Google Cloud-Umgebung verwenden?
    • Sind die VLAN-Anhänge aktiv?
    • Enthalten Ihre VLAN-Anhänge ein benutzerdefiniertes Route Advertisement von 0.0.0.0/0?
  3. Als Nächstes müssen Sie ein neues Passwort für Ihre Bare-Metal-Maschine erstellen und speichern. Bei der ersten Anmeldung müssen Sie Ihr Passwort ändern.

  4. Stellen Sie auf dem Jump-Server eine SSH-Verbindung zur Bare-Metal-Maschine her. Verwenden Sie dazu die Nutzer-ID customeradmin und das von Google Cloud bereitgestellte Passwort:

    ssh customeradmin@bare-metal-ip
  5. Geben Sie bei entsprechender Aufforderung das Passwort ein, das Sie von Google Cloud erhalten haben.

  6. Neues Passwort festlegen. Möglicherweise müssen Sie mit sudo zum Root-Nutzer wechseln.

    Wenn Sie fertig sind, schließen Sie den Root-Nutzer und speichern Sie Ihre Passwörter an einem sicheren Ort.

  7. Prüfen Sie, ob die Maschinenkonfiguration mit der Bestellung übereinstimmt. Prüfen Sie Folgendes:

    • Die Maschinenkonfiguration, einschließlich Anzahl und Typ der CPUs, der Sockets und des Arbeitsspeichers.
    • Betriebssystem- oder Hypervisor-Software, einschließlich Anbieter und Version.
    • Den Speicherplatz, einschließlich Typ und Menge.

Windows

  1. Verbindung zur Ihrer Jump-Server-VM herstellen

  2. Öffnen Sie auf dem Jump-Server eine Befehlszeilen-Shell und bestätigen Sie, dass Sie die Maschine erreichen können:

    ping bare-metal-ip
  3. Als Nächstes müssen Sie ein neues Passwort für Ihre Bare-Metal-Maschine erstellen und speichern. Bei der ersten Anmeldung müssen Sie Ihr Passwort ändern.

  4. Stellen Sie auf dem Jump-Server eine Remoteverbindung zur Bare-Metal-Maschine her:

  5. Geben Sie bei entsprechender Aufforderung das Passwort ein, das Sie von Google Cloud erhalten haben.

  6. Legen Sie ein neues Passwort fest und notieren Sie es an einem sicheren Ort.

  7. Prüfen Sie, ob die Maschinenkonfiguration mit der Bestellung übereinstimmt. Prüfen Sie Folgendes:

    • Die Maschinenkonfiguration, einschließlich Anzahl und Typ der CPUs, der Sockets und des Arbeitsspeichers.
    • Betriebssystem- oder Hypervisor-Software, einschließlich Anbieter und Version.
    • Den Speicherplatz, einschließlich Typ und Menge.

Auf Netzwerkdienste, Google Cloud-Dienste oder das öffentliche Internet zugreifen

Die Bare-Metal-Lösung beinhaltet keinen Zugriff auf Google Cloud-Dienste, Netzwerkdienste oder das Internet. Sie haben viele Möglichkeiten, den Zugriff zu implementieren. Welche davon Sie wählen, hängt von verschiedenen Faktoren wie Ihrer geschäftlichen Anforderungen und der vorhandenen Infrastruktur ab. In den folgenden Abschnitten werden einige der Optionen vorgestellt.

Auf das Internet zugreifen

Zu den Optionen für den Zugriff auf das Internet gehören:

  • Ausgehenden Traffic über ein NAT-Gateway weiterleiten.
  • Traffic über eine Compute Engine-VM weiterleiten, die als Proxyserver fungiert.
  • Traffic über Cloud VPN oder Dedicated Interconnect an lokale Gateways im Internet weiterleiten.

NAT-Gateway auf einer Compute Engine-VM einrichten

In der folgenden Anleitung wird ein NAT-Gateway auf einer Compute Engine-VM eingerichtet, um Maschinen in einer Bare-Metal-Lösungsumgebung mit dem Internet zu verbinden, um so beispielsweise Softwareupdates zu erhalten.

In der Anleitung wird das Standard-Internetgateway Ihres VPC-Netzwerks für den Zugriff auf das Internet verwendet.

Die in der folgenden Anleitung gezeigten Linux-Befehle beziehen sich auf das Betriebssystem Debian-. Wenn Sie ein anderes Betriebssystem verwenden, können die verwendeten Befehle möglicherweise unterschiedlich sein.

Gehen Sie im VPC-Netzwerk, das Sie mit Ihrer Bare-Metal-Lösungsumgebung verwenden, so vor:

  1. Cloud Shell öffnen

    Zu Cloud Shell

  2. Compute Engine-VM erstellen und konfigurieren, die als NAT-Gateway dient.

    1. VM erstellen:

      gcloud compute instances create instance-name \
        --machine-type=machine-type-name \
        --network vpc-network-name \
        --subnet=subnet-name \
        --can-ip-forward \
        --zone=your-zone \
        --image-family=os-image-family-name \
        --image-project=os-image-project \
        --tags=natgw-network-tag
        --service-account=optional-service-account-email
      

      In späteren Schritten verwenden Sie das in diesem Schritt definierte Netzwerk-Tag, um Traffic an diese VM weiterzuleiten.

      Wenn Sie kein Dienstkonto angeben, entfernen Sie das Flag --service-account=. Compute Engine verwendet das Standarddienstkonto des Projekts.

    2. Stellen Sie eine SSH-Verbindung zur VM her und konfigurieren Sie die iptables:

      $ sudo sysctl -w net.ipv4.ip_forward=1
      $ sudo iptables -t nat -A POSTROUTING \
         -o $(/sbin/ifconfig | head -1 | awk -F: {'print $1'}) -j MASQUERADE
      

      Der erste sudo-Befehl teilt dem Kernel mit, dass Sie die IP-Weiterleitung zulassen möchten. Der zweite sudo-Befehl maskiert Pakete, die von internen Instanzen empfangen werden, als wären sie von der NAT-Gateway-Instanz gesendet worden.

    3. Prüfen Sie die iptables:

      $ sudo iptables -v -L -t nat
    4. Führen Sie die folgenden Befehle auf der NAT-Gateway-VM aus, um Ihre NAT-Gateway-Einstellungen während eines Neustarts beizubehalten:

      $ sudo -i
      
      $ echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/20-natgw.conf
      
      $ apt-get install iptables-persistent
      
      $ exit
      
  3. Erstellen Sie in Cloud Shell eine Route zu 0.0.0.0/0 mit dem Standard-Internetgateway als nächsten Hop. Geben Sie das Netzwerk-Tag an, das Sie im vorherigen Schritt für das Argument --tags definiert haben. Weisen Sie der Route eine höhere Priorität zu als jeder anderen Standardroute.

    gcloud compute routes create route-name \
        --destination-range=0.0.0.0/0 \
        --network=network-name \
        --priority=800 \
        --tags=natgw-network-tag \
        --next-hop-gateway=default-internet-gateway
    
  4. Fügen Sie das gerade erstellte Netzwerk-Tag zu allen vorhandenen VMs in Ihrem VPC-Netzwerk hinzu, die einen Internetzugang benötigen, damit sie auch dann noch auf das Internet zugreifen können, nachdem Sie eine neue Standardroute erstellt haben, die Ihre Bare-Metal-Lösungsmaschinen ebenfalls verwenden können.

  5. Optional: Entfernen Sie Routen zum Internet, die bereits vor der im vorherigen Schritt erstellten Route vorhanden waren, einschließlich der standardmäßig erstellten Routen.

  6. Prüfen Sie, ob alle vorhandenen VMs in Ihrem Netzwerk und die NAT-Gateway-VM auf das Internet zugreifen können. Senden Sie dazu von jeder VM aus einen Ping an eine öffentliche IP-Adresse, wie z. B. 8.8.8.8, die Google DNS.

  7. Erstellen Sie eine Standardroute zu 0.0.0.0/0 mit der NAT-Gateway-VM als nächsten Hop. Weisen Sie der Route eine niedrigere Priorität zu als für die erste erstellte Route.

    gcloud compute routes create route-name \
        --destination-range=0.0.0.0/0 \
        --network=network-name \
        --priority=900 \
        --next-hop-instance=natgw-vm-name \
        --next-hop-instance-zone=natgw-vm-zone
    
  8. Melden Sie sich bei Ihren Bare-Metal-Lösungsmaschinen an und senden Sie einen Ping an eine öffentliche IP-Adresse, um zu bestätigen, dass die Maschinen auf das Internet zugreifen können.

    Wenn der Ping-Befehl nicht erfolgreich ist, prüfen Sie, ob Sie eine Firewallregel erstellt haben, die den Zugriff von Ihrer Bare-Metal-Lösungsumgebung auf Ihr VPC-Netzwerk zulässt.

Zugriff auf Google Cloud APIs und -Dienste einrichten

Sie können über Ihre Bare-Metal-Lösungsumgebung privat auf Google Cloud-APIs und -Dienste zugreifen.

Sie richten den privaten Zugriff auf die Google Cloud APIs und Google-Dienste in einer Bare-Metal-Lösungsumgebung genau wie bei einer lokalen Umgebung ein. Folgen Sie der Anleitung für lokale Umgebungen unter Privaten Google-Zugriff für lokale Hosts konfigurieren.

Die Anleitung führt Sie durch die folgenden allgemeinen Schritte:

  1. Routen für den Google API-Traffic konfigurieren
  2. Firewallregeln für eine Firewall der Bare-Metal-Lösung konfigurieren, um den ausgehenden Traffic zum IP-Bereich der eingeschränkten Google APIs zuzulassen
  3. Bare-Metal-Lösungs-DNS so konfigurieren, dass *.googleapis.com als CNAME in restricted.googleapis.com aufgelöst wird

Weitere Informationen

Nachdem Sie Ihre Bare-Metal-Lösungsumgebung eingerichtet haben, können Sie Ihre Arbeitslasten installieren.

Wenn Sie Oracle-Datenbanken auf den Maschinen in Ihrer Bare-Metal-Lösungsumgebung ausführen möchten, können Sie das Open-Source-Toolkit für die Bare-Metal-Lösung verwenden, um die Oracle-Software zu installieren.