Configurer l'environnement de la solution Bare Metal

Lorsque l'environnement de votre solution Bare Metal est prêt, vous en êtes averti par Google Cloud. La notification contient l'ID du projet et le nom du réseau de l'environnement de votre solution Bare Meta, ainsi que les adresses IP internes de vos nouvelles machines.

Pour vous connecter à vos machines pour la première fois, procédez comme suit :

  • Configurez l'appairage du réseau VPC.
  • Créez un hôte bastion dans votre réseau VPC.
  • Connectez-vous en SSH ou RDP à vos nouvelles machines à partir de l'hôte bastion.

Une fois que vous êtes connecté à vos machines, validez la configuration de votre commande de solution Bare Metal.

Avant de commencer

Pour vous connecter à l'environnement de votre solution Bare Metal et le configurer, vous avez besoin des éléments suivants :

  • Un projet Google Cloud avec facturation activée. Vous pouvez créer un projet sur la page de sélection de projet de Google Cloud Console.
  • Un réseau de cloud privé virtuel (VPC). Pour créer un réseau VPC, consultez la page Utiliser des réseaux VPC.
  • Les informations suivantes qui vous sont fournies par Google Cloud lorsque votre solution Bare Metal est prête :
    • ID du projet de l'environnement de votre solution Bare Metal.
    • Nom du réseau VPC de l'environnement de votre solution Bare Metal.
    • Les adresses IP de vos machines Bare Metal.
    • Mots de passe temporaires pour chacune de vos machines Bare Metal.

Réserver la plage d'adresses IP pour l'environnement de votre solution Bare Metal

Lorsque vous fournissez les informations requises à Google Cloud, incluez la plage d'adresses IP internes que vous souhaitez utiliser pour vos machines et appareils dans l'environnement de solution Bare Metal.

Pour garantir l'absence de conflits d'adressage, réservez la plage d'adresses IP de votre réseau VPC sur Google Cloud.

  1. Ouvrez Cloud Shell.

    Accéder à Cloud Shell

  2. Si votre réseau VPC peut contenir des adresses IP existantes, affichez-les pour confirmer que la plage d'adresses IP que vous êtes sur le point de réserver n'est en conflit avec aucune d'entre elles.

    gcloud compute addresses list
  3. Réservez la plage d'adresses IP interne que vous utilisez dans l'environnement de votre solution Bare Metal.

    gcloud compute addresses create ip_range_name --project=your-project-id \
      --addresses=address-for-bare-metal-environ \
      --prefix-length=prefix_length \
      --description="IP range for my bare-metal environment networks." \
      --purpose=VPC_PEERING \
      --network=vpc_name \
      --global
  4. Confirmer votre réservation.

    gcloud compute addresses list

Appairer votre réseau VPC avec le réseau VPC de la solution Bare Metal

Connectez votre réseau VPC à l'environnement de la solution Bare Metal à l'aide de l'appairage de réseaux VPC.

Vous pouvez configurer un appairage de VPC à l'aide de Cloud Console ou de l'interface de ligne de commande gcloud.

Console

  1. Accédez à la page Appairage de réseaux VPC :

    Accéder à l'appairage de réseaux VPC

  2. Cliquez sur CRÉER UNE CONNEXION D'APPAIRAGE. Vous aurez besoin de l'ID du projet et du nom du réseau VPC de l'environnement de votre solution Bare Metal.

  3. Définissez la connexion d'appairage.

    1. Nommez la connexion d'appairage.
    2. Sélectionnez votre réseau VPC dans le menu déroulant.
    3. Sous Réseau VPC appairé, sélectionnez Dans un autre projet.
    4. Dans le champ ID du projet, saisissez l'ID de projet de l'environnement de votre solution Bare Metal.
    5. Dans le champ Nom du réseau VPC, saisissez le nom de réseau de l'environnement de votre solution Bare Metal.
    6. Cliquez sur Échanger les routes personnalisées.
    7. Cochez les options Importer les routes personnalisées et Exporter les routes personnalisées.
  4. Cliquez sur Créer.

gcloud

gcloud beta compute networks peerings create peering-connection-name \
    --network=your-network-name \
    --peer-project=target-project-id \
    --peer-network=target-network-name \
    --import-custom-routes \
    --export-custom-routes

Pour obtenir des instructions plus détaillées sur l'appairage de réseaux VPC, consultez la page Utiliser l'appairage de réseaux VPC.

Configurer le pare-feu

L'environnement de la solution Bare Metal ne contient pas de pare-feu actif.

Cependant, les nouveaux réseaux VPC contiennent des règles de pare-feu actives par défaut qui limitent la plupart du trafic sur le réseau VPC.

Pour se connecter à l'environnement de votre solution Bare Metal, le trafic réseau doit être activé entre :

  • L'environnement de votre solution Bare Metal et vos destinations réseau sur Google Cloud.
  • Votre environnement local et vos ressources sur Google Cloud, par exemple n'importe quel serveur intermédiaire que vous pourriez utiliser pour vous connecter à l'environnement de votre solution Bare Metal.

Dans l'environnement de votre solution Bare Metal, si vous devez contrôler le trafic réseau entre les machines Bare Metal, ou entre les machines et les destinations qui ne sont pas sur Google Cloud, vous devez mettre en œuvre un mécanisme de contrôle vous-même.

Pour définir une règle de pare-feu pour votre réseau VPC sur Google Cloud, procédez comme suit :

Console

  1. Accédez à la page Règles de pare-feu :

    Accéder aux règles de pare-feu

  2. Cliquez sur CREATE FIREWALL RULE (CRÉER UNE RÈGLE DE PARE-FEU).

  3. Définissez la règle de pare-feu.

    1. Nommez la règle de pare-feu.
    2. Dans le champ Réseau, sélectionnez le réseau sur lequel se trouve votre VM.
    3. Dans le champ Cibles, spécifiez Tags cibles spécifiés ou Compte de service spécifié.
    4. Spécifiez le tag réseau ou le compte de service cible dans les champs appropriés.
    5. Dans le champ Filtre source, spécifiez des plages d'adresses IP pour autoriser le trafic entrant provenant de l'environnement de votre solution Bare Metal.
    6. Dans le champ Plages d'adresses IP sources, spécifiez les adresses IP des machines ou des appareils de votre environnement {bms_name_short}}.
    7. Dans la section Protocoles et ports, spécifiez les protocoles et ports requis dans votre environnement.
    8. Cliquez sur Créer.

gcloud

La commande suivante crée une règle de pare-feu qui définit la source à l'aide d'une plage d'adresses IP et la cible à l'aide du tag réseau d'une instance. Modifiez la commande pour votre environnement si nécessaire.

gcloud compute firewall-rules create rule-name
    --project=your-project-id \
    --direction=INGRESS \
    --priority=1000 \
    --network=your-network-name \
    --action=ALLOW \
    --rules=protocol:port \
    --source-ranges=ip-range \
    --target-tags=instance-network-tag

Pour plus d'informations sur la création de règles de pare-feu, consultez la section Créer des règles de pare-feu.

Se connecter à une machine Bare Metal

Les machines de l'environnement de votre solution Bare Metal ne disposent pas d'adresses IP externes.

Une fois que vous avez établi la connexion d'appairage VPC et créé une règle de pare-feu pour autoriser le trafic vers votre réseau VPC à partir de l'environnement de votre solution Bare Metal, vous pouvez vous connecter à votre machine en utilisant un erveur nterméddiaire ou un hôte bastion.

Créer un serveur intermédiaire sur Google Cloud

Pour vous connecter rapidement à vos machines Bare Metal, créez une machine virtuelle (VM) Compute Engine à utiliser comme serveur intermédiaire. Créez la VM dans la même région Google Cloud que l'environnement de votre solution Bare Metal et dans le réseau VPC que vous avez utilisé pour l'appairage avec l'environnement.

Si vous avez besoin d'une méthode de connexion plus sécurisée, consultez la section Se connecter via un hôte bastion.

Pour créer rapidement un serveur intermédiaire, suivez les instructions ci-dessous, en fonction du système d'exploitation que vous utilisez dans l'environnement de votre solution Bare Metal.

Pour en savoir plus sur la création d'instances de VM Compute Engine, consultez la page Créer et démarrer une instance de VM.

Linux

Créer une instance de machine virtuelle

  1. Dans Cloud Console, accédez à la page Instances de VM :

    Accéder à la page Instances de VM

  2. Cliquez sur CRÉER UNE INSTANCE.

  3. Dans le champ Nom, spécifiez un nom pour l'instance de VM.

  4. Sous Région, sélectionnez la région de l'environnement de votre solution Bare Metal.

  5. Dans la section Disque de démarrage, cliquez sur Modifier.

    1. Dans le champ Systèmes d'exploitation, sélectionnez le même système d'exploitation Linux que celui que vous utilisez sur vos machines Bare Metal.
    2. Dans le champ Version, sélectionnez la version du système d'exploitation.
  6. Cliquez sur Gestion, sécurité, disques, réseau et location unique pour développer la section.

  7. Cliquez sur Réseau pour afficher les options de réseau.

    • Si vous le souhaitez, sous Tags réseau, définissez un ou plusieurs tags réseau pour l'instance.
    • Sous Interfaces réseau, vérifiez que le réseau VPC approprié est affiché.
  8. Cliquez sur Créer.

Patientez un court instant le temps que l'instance démarre. Une fois l'instance prête, elle est répertoriée sur la page Instances de VM avec une icône d'état verte.

Se connecter au serveur intermédiaire

  1. Si vous devez créer une règle de pare-feu pour autoriser l'accès à votre serveur intermédiaire, consultez la section Configurer un pare-feu.

  2. Dans Cloud Console, accédez à la page Instances de VM :

    Accéder à la page Instances de VM

  3. Dans la liste des instances de VM, cliquez sur SSH dans la ligne de la VM de votre serveur intermédiaire.

    Le bouton SSH est mis en surbrillance dans la ligne du serveur intermédiaire sur la page Instances de VM.

Vous disposez maintenant d'une fenêtre de terminal avec votre serveur intermédiaire, à partir duquel vous pouvez vous connecter à votre machine Bare Metal à l'aide de SSH.

Windows

Créer une instance de machine virtuelle

  1. Dans Cloud Console, accédez à la page Instances de VM :

    Accéder à la page Instances de VM

  2. Cliquez sur CRÉER UNE INSTANCE.

  3. Dans le champ Nom, spécifiez un nom pour l'instance de VM.

  4. Sous Région, sélectionnez la région de l'environnement de votre solution Bare Metal.

  5. Dans la section Disque de démarrage, cliquez sur Modifier.

    1. Dans le champ Systèmes d'exploitation, sélectionnez Windows Server.
    2. Dans le champ Version, sélectionnez une version Windows Server.
  6. Cliquez sur Gestion, sécurité, disques, réseau et location unique pour développer la section.

  7. Cliquez sur Réseau pour afficher les options de réseau.

    • Si vous le souhaitez, sous Tags réseau, définissez un ou plusieurs tags réseau pour l'instance.
    • Sous Interfaces réseau, vérifiez que le réseau VPC approprié est affiché.
  8. Cliquez sur Créer.

Patientez un court instant le temps que l'instance démarre. Une fois l'instance prête, elle est répertoriée sur la page Instances de VM avec une icône d'état verte.

Se connecter au serveur intermédiaire

  1. Accédez à la page Instances de VM de Google Cloud Console.

    Accéder à la page Instances de VM

  2. Sous la colonne Nom, cliquez sur le nom de votre instance de machine virtuelle.

  3. Dans la section Accès à distance, cliquez sur le bouton Définir un mot de passe Windows.

    La page "VM Instance details" (Informations sur l'instance de VM) affiche les boutons RDP et mot de passe

  4. Spécifiez un nom d'utilisateur, puis cliquez sur "Définir" afin de générer un mot de passe pour cette instance Windows. Enregistrez le nom d'utilisateur et le mot de passe pour pouvoir vous connecter à l'instance.

  5. Connectez-vous à votre instance à l'aide des outils graphiques ou de ligne de commande de votre choix.

Se connecter pour la première fois à une machine utilisant la solution Bare Metal

Linux

  1. Connectez-vous à votre VM de serveur intermédiaire.

  2. Sur le serveur intermédiaire, ouvrez un terminal de ligne de commande et confirmez que vous pouvez accéder à la machine :

    ping bare-metal-ip
  3. Préparez-vous à créer et à stocker un nouveau mot de passe pour votre machine Bare Metal. Lors de la première connexion, vous devez modifier le mot de passe.

  4. Depuis le serveur intermédiaire, connectez-vous en SSH à la machine Bare Metal.

    ssh user-id@bare-metal-ip
  5. Lorsque vous y êtes invité, saisissez le mot de passe que Google Cloud vous a fourni.

  6. Définissez un nouveau mot de passe. Vous devrez peut-être passer à l'utilisateur racine en utilisant sudo.

    Lorsque vous avez terminé, quittez la racine et stockez vos mots de passe dans un endroit sûr.

  7. Vérifiez que la configuration de votre machine correspond à votre commande. Les points à vérifier sont les suivants :

    • La configuration de la machine, y compris le nombre et le type de processeurs, les sockets et la mémoire.
    • Le système d'exploitation ou le logiciel d'hyperviseur, y compris le fournisseur et la version.
    • Le stockage, (type et quantité).

Windows

  1. Connectez-vous à votre VM de serveur intermédiaire.

  2. Préparez-vous à créer et à stocker un nouveau mot de passe pour votre machine Bare Metal. Lors de la première connexion, vous devez modifier le mot de passe.

  3. Depuis le serveur intermédiaire, accédez à distance à la machine Bare Metal.

  4. Lorsque vous y êtes invité, saisissez le mot de passe que Google Cloud vous a fourni.

  5. Définissez un nouveau mot de passe et stockez-le dans un endroit sûr.

  6. Vérifiez que la configuration de votre machine correspond à votre commande. Les points à vérifier sont les suivants :

    • La configuration de la machine, y compris le nombre et le type de processeurs, les sockets et la mémoire.
    • Le système d'exploitation ou le logiciel d'hyperviseur, y compris le fournisseur et la version.
    • Le stockage, (type et quantité).

Accéder aux services réseau, aux services Google Cloud ou à l'Internet public

La solution Bare Metal n'a pas accès aux services Google Cloud, aux services réseau ni à Internet. Vous disposez de nombreuses options pour mettre en œuvre l'accès, que vous choisissez en fonction de divers facteurs, comme les exigences de votre entreprise, l'infrastructure existante, etc. Les sections suivantes présentent certaines de ces options.

Accéder à Internet

Voici quelques-unes des options pour accéder à Internet :

  • Acheminer le trafic sortant via une passerelle NAT. Vous pouvez configurer votre propre VM Compute Engine en tant que passerelle NAT ou utiliser Cloud NAT.
  • Acheminer le trafic via une VM Compute Engine servant de serveur proxy.
  • Acheminer le trafic via Cloud VPN ou l'interconnexion dédiée vers des passerelles sur site.

Configurer une passerelle NAT sur une VM Compute Engine

Les instructions suivantes permettent de configurer une passerelle NAT sur une VM Compute Engine pour connecter les machines d'un environnement de solution Bare Metal afin, notamment, de recevoir les mises à jour logicielles.

Elles utilisent la passerelle Internet par défaut de votre réseau VPC pour accéder à Internet.

Les commandes Linux présentées dans les instructions ci-dessous concernent le système d'exploitation Debian. Si vous utilisez un autre système d'exploitation, les commandes à utiliser peuvent être différentes.

Dans le réseau VPC appairé à l'environnement de votre solution Bare Metal, procédez comme suit :

  1. Ouvrez Cloud Shell.

    Accéder à Cloud Shell

  2. Créez et configurez une VM Compute Engine pour servir de passerelle NAT.

    1. Créez une VM :

      gcloud compute instances create instance-name \
        --network vpc-network-name \
        --subnet=subnet-name \
        --can-ip-forward \
        --zone=your-zone \
        --image-family=os-image-family-name \
        --image-project=os-image-project \
        --tags=natgw-network-tag
        --service-account=optional-service-account-email
      

      Au cours des prochaines étapes, vous utiliserez le tag réseau que vous avez défini à cette étape pour acheminer le trafic vers cette VM.

      Si aucun compte de service n'est spécifié, Compute Engine tente d'utiliser le compte de service par défaut du projet.

    2. Connectez-vous en SSH à la VM et configurez les règles iptables :

      $ sudo sysctl -w net.ipv4.ip_forward=1
      $ sudo iptables -t nat -A POSTROUTING \
         -o $(/sbin/ifconfig | head -1 | awk -F: {'print $1'}) -j MASQUERADE
      

      La première commande sudo indique au noyau que vous souhaitez autoriser le transfert IP. La seconde commande sudo fait passer les paquets reçus des instances internes pour des paquets envoyés depuis l'instance de passerelle NAT.

    3. Vérifiez les iptables :

      $ sudo iptables -v -L -t nat
    4. Pour conserver les paramètres de votre passerelle NAT lors d'un redémarrage, exécutez les commandes suivantes sur la VM de la passerelle NAT :

      $ sudo -i
      
      $ echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/20-natgw.conf
      
      $ apt-get install iptables-persistent
      
      $ exit
      
  3. Dans Cloud Shell, créez une route vers 0.0.0.0/0 avec la passerelle Internet par défaut comme saut suivant. Spécifiez le tag réseau que vous avez défini à l'étape précédente sur l'argument --tags. Attribuez à cette route une priorité plus élevée que toute autre route par défaut.

    gcloud compute routes create route-name \
        --destination-range=0.0.0.0/0 \
        --network=network-name \
        --priority=800 \
        --tags=natgw-network-tag \
        --next-hop-gateway=default-internet-gateway
    
  4. Ajoutez le tag réseau que vous venez de créer sur les VM existantes dans votre réseau VPC qui ont besoin d'un accès à Internet. Elles pourront ainsi continuer à accéder à Internet une fois que vous avez créé une route par défaut que vos machines Bare Metal peuvent également utiliser.

  5. Facultatif : Supprimez les routes vers Internet qui existaient avant la route que vous avez créée à l'étape précédente, y compris celles créées par défaut.

  6. Vérifiez que les VM existantes de votre réseau et la passerelle NAT peuvent accéder à Internet en pinguant une adresse IP publique, telle que 8.8.8.8, le DNS de Google, depuis chaque VM.

  7. Dans Cloud Console, sur la page Informations sur la connexion d'appairage pour la connexion d'appairage de réseaux VPC à l'environnement de votre solution Bare Metal, cliquez sur l'onglet Routes exportées. Aucune route par défaut ne doit apparaître dans la liste des routes exportées.

  8. Créez une route par défaut vers 0.0.0.0/0 en utilisant la VM de la passerelle NAT en tant que saut suivant. Attribuez à la route une priorité inférieure à celle de la première route que vous avez créée. Cette route est exportée vers le réseau appairé de la solution Bare Metal. Ne spécifiez aucun tag pour cette route, car un tag empêche l'exportation de la route.

    gcloud compute routes create route-name \
        --destination-range=0.0.0.0/0 \
        --network=network-name \
        --priority=900 \
        --next-hop-instance=natgw-vm-name \
        --next-hop-instance-zone=natgw-vm-zone
    
  9. Dans Cloud Console, sur la page "Informations sur la connexion d'appairage" pour la connexion d'appairage de réseaux VPC à l'environnement de votre solution Bare Metal, cliquez sur l'onglet Routes exportées. Il devrait désormais contenir une route par défaut.

  10. Connectez-vous à vos machines Bare Metal et pinguez une adresse IP publique pour vérifier qu'elles peuvent accéder à Internet.

    Si le ping n'aboutit pas, vérifiez que vous avez créé une règle de pare-feu autorisant l'accès de l'environnement de votre solution Bare Metal à votre réseau VPC.

Configurer l'accès aux API et aux services Google Cloud

Vous pouvez accéder en privé aux API et aux services Google Cloud à partir de l'environnement de votre solution Bare Metal.

Vous configurez un accès privé aux API et services Google Cloud à partir d'un environnement de solution Bare Metal comme vous le feriez pour un environnement sur site. Suivez les instructions pour les environnements sur site en consultant la section Configurer l'accès privé à Google pour les hôtes sur site.

Les instructions vous guident à travers les étapes majeures suivantes :

  1. Configurer des routes pour le trafic des API Google
  2. Configurer des règles de pare-feu dans n'importe quel pare-feu de solution Bare Metal pour autoriser le trafic sortant vers la plage d'adresses IP limitées des API Google.
  3. Configurer votre DNS de solution Bare Metal pour résoudre *.googleapis.com en tant que CNAME en restricted.googleapis.com.

Étape suivante

Une fois que vous avez configuré l'environnement de votre solution Bare Metal, vous pouvez installer vos charges de travail.

Si vous envisagez d'exécuter des bases de données Oracle sur les machines de l'environnement de votre solution Bare Metal, vous pouvez utiliser le kit Open Source pour la solution Bare Metal pour installer le logiciel Oracle.