Configurer Google Cloud pour qu'il fonctionne avec l'environnement de votre solution Bare Metal

Lorsque l'environnement de votre solution Bare Metal est prêt, vous en êtes averti par Google Cloud. La notification inclut les adresses IP internes de vos nouveaux serveurs.

Ces instructions vous montrent comment effectuer les tâches suivantes requises pour la connexion à votre environnement de solution Bare Metal :

  • Créez des rattachements de VLAN redondants dans l'environnement de solution Bare Metal.
  • Créez une instance de VM jump host dans votre réseau VPC.
  • Utilisez SSH ou RDP pour vous connecter à vos serveurs de solution Bare Metal à partir de l'instance de VM de l'hôte jump.

Une fois que vous êtes connecté à vos serveurs, validez la configuration de votre commande de solution Bare Metal.

Avant de commencer

Pour vous connecter à l'environnement de votre solution Bare Metal et le configurer, vous avez besoin des éléments suivants :

  • Un projet Google Cloud avec facturation activée. Vous pouvez créer un projet sur la page de sélection de projet de Google Cloud Console.
  • Un réseau cloud privé virtuel (VPC). Il s'agit du réseau VPC que vous avez nommé lorsque vous avez commandé votre solution Bare Metal. Si vous devez créer le réseau VPC, consultez la section Utiliser des réseaux VPC.
  • Les informations suivantes, qui vous sont fournies par Google Cloud lorsque votre solution Bare Metal est prête :
    • Les adresses IP de vos serveurs Bare Metal.
    • Mots de passe temporaires pour chacun de vos serveurs Bare Metal.

Créer des rattachements de VLAN pour la connexion Cloud Interconnect

Pour accéder à vos serveurs de solution Bare Metal, vous devez créer des rattachements de VLAN dans la même région que vos serveurs et les pré-activer. Lors de la création des rattachements de VLAN, le système génère des clés d'association que vous devez partager avec Google Cloud. Google Cloud utilise ces clés d'association pour activer la connexion entre l'environnement de votre solution Bare Metal et votre réseau VPC.

Les rattachements de VLAN (également appelés InterconnectAttachments) allouent des VLAN sur la connexion d'interconnexion partenaire.

Actuellement, les rattachements de VLAN d'interconnexion pour solution Bare Metal individuels offrent une vitesse maximale de 10 Gbit/s. Pour bénéficier d'un débit supérieur dans un réseau VPC, vous pouvez configurer plusieurs rattachements dans celui-ci. Pour chaque session BGP, vous devez utiliser les mêmes valeurs MED pour que le trafic puisse utiliser ECMP sur tous les rattachements d'interconnexion configurés.

Console

  1. Si vous ne disposez pas encore d'instances Cloud Router dans le réseau et la région que vous utilisez avec la solution Bare Metal, vous devez en créer une pour chaque rattachement de VLAN. Lorsque vous créez les routeurs, spécifiez 16550 comme numéro ASN pour chaque instance Cloud Router.

    Pour obtenir des instructions, reportez-vous à la section Créer des Cloud Routers.

  2. Accédez à l'onglet "Rattachements de VLAN" de Cloud Interconnect dans Google Cloud Console.
    Accéder à l'onglet Rattachements de VLAN

  3. Cliquez sur Créer un rattachement de VLAN en haut de la console Google Cloud.

  4. Sélectionnez Interconnexion partenaire pour créer des rattachements de VLAN partenaires, puis cliquez sur Continuer.

  5. Cliquez sur J'ai déjà un fournisseur de services.

  6. Sélectionnez Créer une paire de VLAN redondants. Les deux rattachements peuvent diffuser le trafic que vous pouvez acheminer de manière à équilibrer la charge. Si un rattachement est interrompu, par exemple lors d'une maintenance planifiée, l'autre continue à diffuser le trafic. Pour en savoir plus, consultez la section "Redondance" de la page Présentation de l'interconnexion partenaire.

  7. Dans les champs Réseau et Région, sélectionnez le réseau VPC et la région Google Cloud où vos rattachements se connecteront.

  8. Saisissez les informations de chacun de vos rattachements de VLAN.

    • Cloud Router : routeur cloud à associer au rattachement.
      • Vous ne pouvez choisir qu'un routeur cloud portant le numéro ASN 16550 dans le réseau VPC et la région que vous avez sélectionnés.
      • Vous ne pouvez attribuer qu'un seul routeur Cloud Router par rattachement. Pour une paire de rattachements de VLAN, vous avez besoin de deux routeurs Cloud Router.
    • Nom du rattachement de VLAN : nom de chaque rattachement. Les noms sont affichés dans la console Google Cloud et utilisés par Google Cloud CLI pour référencer les rattachements, tels que my-attachment-1 et my-attachment-2.
    • Description : informations sur chaque rattachement de VLAN
    • Unité de transmission maximale (MTU) : taille maximale des paquets pour la transmission réseau. La taille par défaut est de 1440.

  9. Cliquez sur Créer pour générer les rattachements. Cette opération peut prendre quelques instants.

  10. Une fois la création terminée, copiez les clés d'association. Les clés incluent un code alphanumérique, le nom de la région et le numéro de la zone de disponibilité du réseau, par exemple /1 ou /2. Vous les partagerez avec Google Cloud.

  11. Pré-activez les deux rattachements en sélectionnant Activer. Lorsque vous préactivez les rattachements, ils commencent à transmettre du trafic immédiatement une fois que Google Cloud a terminé la configuration de votre solution Bare Metal.

  12. Cliquez sur OK pour afficher la liste de vos rattachements de VLAN.

  13. Une fois que Google Cloud vous notifie que vos serveurs de solution Bare Metal sont prêts, accédez à l'onglet "Rattachements de VLAN" dans Google Cloud Console.
    Accéder à l'onglet Rattachements de VLAN

  14. Recherchez la colonne Status, qui devrait indiquer Up pour vos rattachements. Si vos rattachements affichent l'état Down, activez-les en suivant la procédure ci-dessous :

    1. Cliquez sur le nom du premier rattachement de VLAN pour afficher sa page d'informations.
    2. Cliquez sur Activer.
    3. Cliquez sur Informations sur le rattachement de VLAN pour revenir à l'onglet principal des rattachements de VLAN.
    4. Cliquez sur le nom du deuxième rattachement de VLAN pour afficher sa page d'informations.
    5. Cliquez sur Activer.

gcloud

  1. Si vous ne possédez pas déjà d'instances Cloud Router dans le réseau et la région que vous utilisez avec la solution Bare Metal, créez-en une pour chaque rattachement de VLAN. Utilisez 16550 comme numéro ASN :

    gcloud compute routers create router-name \
--network vpc-network-name \
--asn 16550 \
--region region

    Pour plus d'informations, consultez la page Créer des Cloud Routers.

  2. Créez une ressource InterconnectAttachment de type PARTNER, en spécifiant le nom de votre Cloud Router et le domaine de disponibilité de périphérie (EAD) du rattachement de VLAN. Ajoutez également l'option --admin-enabled pour pré-activer les rattachements et commencer à envoyer le trafic dès que Google Cloud a terminé la configuration de la solution Bare Metal.

    gcloud compute interconnects attachments partner create first-attachment-name \
  --region region \
  --router first-router-name \
  --edge-availability-domain availability-domain-1 \
  --admin-enabled
    gcloud compute interconnects attachments partner create second-attachment-name \
  --region region \
  --router second-router-name \
  --edge-availability-domain availability-domain-2 \
  --admin-enabled

    Google ajoute automatiquement une interface et un pair BGP sur le Cloud Router. Le rattachement génère une clé d'association que vous devrez partager ultérieurement avec Google Cloud.

    L'exemple suivant crée des rattachements redondants, l'un dans l'EAD availability-domain-1 et l'autre dans l'EAD availability-domain-2. Chaque rattachement est associé à un routeur cloud distinct, my-router-1 et my-router-2, respectivement. Ils se trouvent tous les deux dans la région us-central1.

    gcloud compute interconnects attachments partner create my-attachment \
 --region us-central1 \
 --router my-router-1 \
 --edge-availability-domain availability-domain-1 \
 --admin-enabled
    gcloud compute interconnects attachments partner create my-attachment \
 --region us-central1 \
 --router my-router-2 \
 --edge-availability-domain availability-domain-2 \
  --admin-enabled

  3. Décrivez le rattachement pour récupérer sa clé d'association. Vous la partagerez avec Google Cloud après l'ouverture d'une demande de modification pour créer la connexion à l'environnement de solution Bare Metal.

    gcloud compute interconnects attachments describe my-attachment \
  --region us-central1
    adminEnabled: false
edgeAvailabilityDomain: AVAILABILITY_DOMAIN_1
creationTimestamp: '2017-12-01T08:29:09.886-08:00'
id: '7976913826166357434'
kind: compute#interconnectAttachment
labelFingerprint: 42WmSpB8rSM=
name: my-attachment
pairingKey: 7e51371e-72a3-40b5-b844-2e3efefaee59/us-central1/1
region: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1
router: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1/routers/my-router
selfLink: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1/interconnectAttachments/my-attachment
state: PENDING_PARTNER
type: PARTNER
    • Le champ pairingKey contient la clé d'association que vous devez copier et partager avec votre fournisseur de services. La clé d'association doit être considérée comme une information sensible jusqu'à ce que votre rattachement de VLAN soit configuré.
    • Le rattachement de VLAN est à l'état PENDING_PARTNER jusqu'à ce que Google Cloud termine la configuration du rattachement. Ensuite, l'état du rattachement passe à INACTIVE ou à ACTIVE, selon que vous avez choisi de pré-activer ou non vos rattachements.

    Lorsque vous demandez des connexions à Google Cloud, vous devez sélectionner la même zone métropolitaine (ville) pour que les deux rattachements soient redondants. Pour en savoir plus, consultez la section "Redondance" de la page Présentation de l'interconnexion partenaire.

  4. Si les rattachements de VLAN ne s'affichent pas une fois que Google Cloud a traité votre commande de solution Bare Metal, activez chaque rattachement de VLAN :

    gcloud compute interconnects attachments partner update attachment-name \
--region region \
--admin-enabled

Vous pouvez vérifier l'état des routeurs cloud et des routes annoncées dans la console Cloud. Pour en savoir plus, consultez la section Afficher l'état des routeurs et des routes annoncées.

Configurer le routage entre la solution Bare Metal et Google Cloud

Dès que vos rattachements de VLAN sont actifs, vos sessions BGP arrivent à destination et les routes de l'environnement de la solution Bare Metal sont reçues sur les sessions BGP.

Ajouter une annonce personnalisée pour une plage d'adresses IP par défaut à vos sessions BGP

Pour configurer le routage du trafic à partir de l'environnement de la solution Bare Metal, nous vous recommandons d'ajouter une annonce personnalisée d'un routage par défaut, telle que 0.0.0.0/0, dans vos sessions BGP vers l'environnement de solution Bare Metal.

Pour spécifier des annonces sur une session BGP existante, procédez comme suit :

Console

  1. Accédez à la page "Cloud Router" de Google Cloud Console.
    Liste des routeurs cloud
  2. Sélectionnez le routeur cloud qui contient la session BGP à mettre à jour.
  3. Sur la page d'informations du routeur cloud, sélectionnez la session BGP à mettre à jour.
  4. Sur la page d'informations de la session BGP, sélectionnez Modifier.
  5. Dans le champ Routes, sélectionnez Créer des routages personnalisés.
  6. Sélectionnez Ajouter un routage personnalisé pour ajouter un routage diffusé.
  7. Configurez l'annonce du routage.
    • Source : sélectionnez Plage d'adresses IP personnalisée pour spécifier une plage d'adresses IP personnalisée.
    • Plage d'adresses IP : spécifiez la plage d'adresses IP personnalisée au format CIDR.
    • Description : ajoutez une description pour vous aider à identifier l'objectif de cette annonce de routage.
  8. Après avoir ajouté les routages, sélectionnez Enregistrer.

gcloud

Vous pouvez ajouter des annonces personnalisées existantes ou définir une nouvelle annonce personnalisée, qui remplace toutes les annonces personnalisées existantes.

Pour définir une nouvelle annonce personnalisée pour une plage d'adresses IP par défaut, utilisez l'indicateur --set-advertisement-ranges :

gcloud compute routers update-bgp-peer router-name \
   --peer-name bgp-session-name \
   --advertisement-mode custom \
   --set-advertisement-ranges 0.0.0.0/0

Pour ajouter la plage d'adresses IP par défaut à des plages existantes, utilisez l'option --add-advertisement-ranges. Notez que cet indicateur nécessite que le mode d'annonce du routeur cloud soit déjà défini sur custom. L'exemple suivant ajoute la plage d'adresses IP personnalisée 0.0.0.0/0 aux annonces du routeur cloud :

gcloud compute routers update-bgp-peer router-name \
   --peer-name bgp-session-name \
   --add-advertisement-ranges 0.0.0.0/0

Vous pouvez également définir le mode de routage dynamique du réseau VPC sur global.

Si vous disposez de serveurs de solution Bare Métal dans deux régions différentes, envisagez d'activer le mode de routage global sur le réseau VPC pour que vos régions de la solution Bare Metal s'adressent directement les unes aux autres via le réseau VPC.

Le mode de routage global est également nécessaire pour permettre les communications entre un environnement sur site connecté à une région Google Cloud et un environnement de solution Bare Metal dans une autre région.

Pour définir le mode de routage global, consultez la section Définir le mode de routage dynamique d'un réseau VPC.

Configuration du pare-feu VPC

Les nouveaux réseaux VPC sont soumis à des règles de pare-feu par défaut actives qui restreignent la majeure partie du trafic au sein du réseau VPC.

Pour se connecter à l'environnement de votre solution Bare Metal, le trafic réseau doit être activé entre :

  • L'environnement de votre solution Bare Metal et vos destinations réseau sur Google Cloud.
  • Votre environnement local et vos ressources sur Google Cloud, par exemple n'importe quelle instance de VM hôte intermédiaire que vous pouvez utiliser pour vous connecter à votre environnement de solution Bare S Metall.

Dans votre environnement de solution Bare Metal, si vous avez besoin de contrôler le trafic réseau entre les serveurs Bare Metal ou entre les serveurs et les destinations hors Google Cloud, vous devez mettre en œuvre vous-même un mécanisme de contrôle.

Pour créer une règle de pare-feu dans votre réseau VPC sur Google Cloud, procédez comme suit :

Console

  1. Accédez à la page Règles de pare-feu :

    Accéder aux règles de pare-feu

  2. Cliquez sur Créer une règle de pare-feu.

  3. Définissez la règle de pare-feu.

    1. Nommez la règle de pare-feu.
    2. Dans le champ Réseau, sélectionnez le réseau sur lequel se trouve votre VM.
    3. Dans le champ Cibles, spécifiez des Tags cibles spécifiés ou un Compte de service spécifié.
    4. Spécifiez le tag réseau ou le compte de service cible dans les champs appropriés.
    5. Dans le champ Filtre source, spécifiez des plages d'adresses IP pour autoriser le trafic entrant provenant de l'environnement de votre solution Bare Metal.
    6. Dans le champ Plages d'adresses IP sources, spécifiez les adresses IP des serveurs ou des appareils dans votre environnement de solution Bare Metal.
    7. Dans la section Protocoles et ports, spécifiez les protocoles et ports requis dans votre environnement.
    8. Cliquez sur Créer.

gcloud

La commande suivante crée une règle de pare-feu qui définit la source à l'aide d'une plage d'adresses IP et la cible à l'aide du tag réseau d'une instance. Modifiez la commande pour votre environnement si nécessaire.

gcloud compute firewall-rules create rule-name \
    --project=your-project-id \
    --direction=INGRESS \
    --priority=1000 \
    --network=your-network-name \
    --action=ALLOW \
    --rules=protocol:port \
    --source-ranges=ip-range \
    --target-tags=instance-network-tag

Pour plus d'informations sur la création de règles de pare-feu, consultez la page Créer des règles de pare-feu.

Connexion à votre serveur Bare Metal

Les serveurs de l'environnement de votre solution Bare Metal ne disposent pas d'adresses IP externes.

Après avoir créé une règle de pare-feu pour autoriser le trafic dans votre réseau VPC à partir de l'environnement de la solution Bare Metal, vous pouvez vous connecter à votre serveur à l'aide d'une instance de VM hôte intermédiaire.

Créer une instance de VM hôte intermédiaire sur Google Cloud

Pour vous connecter rapidement à vos serveurs physiques, créez une machine virtuelle (VM) Compute Engine à utiliser comme hôte intermédiaire. Créez la VM dans la même région Google Cloud que votre environnement de solution Bare Metal.

Si vous avez besoin d'une méthode de connexion plus sécurisée, consultez la section Se connecter à l'aide d'un hôte bastion.

Pour créer une instance de VM hôte intermédiaire, suivez les instructions ci-dessous en fonction du système d'exploitation que vous utilisez dans votre environnement de solution Bare metal.

Pour plus d'informations sur la création d'instances de VM Compute Engine, consultez la section Créer et démarrer une instance de VM.

Linux

Créer une instance de machine virtuelle

  1. Dans la console Google Cloud, accédez à la page Instances de VM.

    Accéder à la page Instances de VM

  2. Cliquez sur Create instance (Créer une instance).

  3. Dans le champ Nom, spécifiez un nom pour l'instance de VM.

  4. Sous Région, sélectionnez la région de l'environnement de votre solution Bare Metal.

  5. Dans la section Disque de démarrage, cliquez sur Modifier.

    1. Dans le champ Systèmes d'exploitation, sélectionnez le système d'exploitation de votre choix.
    2. Dans le champ Version, sélectionnez la version du système d'exploitation.

  6. Cliquez sur Gestion, sécurité, disques, réseau et location unique pour développer la section.

  7. Cliquez sur Réseau pour afficher les options de réseau.

    • Si vous le souhaitez, sous Tags réseau, définissez un ou plusieurs tags réseau pour l'instance.
    • Sous Interfaces réseau, vérifiez que le réseau VPC approprié s'affiche.

  8. Cliquez sur Créer.

Patientez un court instant le temps que l'instance démarre. Une fois l'instance prête, elle est répertoriée sur la page Instances de VM avec une icône d'état verte.

Se connecter à l'instance de VM de l'hôte intermédiaire

  1. Si vous devez créer une règle de pare-feu pour autoriser l'accès à votre instance de VM hôte intermédiaire, consultez la section Configuration du pare-feu.

  2. Dans la console Google Cloud, accédez à la page Instances de VM.

    Accéder à la page Instances de VM

  3. Dans la liste des instances de VM, cliquez sur SSH sur la ligne contenant votre hôte intermédiaire.

    Le bouton SSH est mis en surbrillance sur la ligne de l'hôte intermédiaire dans la page des instances de VM.

Vous disposez maintenant d'une fenêtre de terminal avec votre instance de VM hôte intermédiaire, à partir de laquelle vous pouvez vous connecter à votre serveur Bare Metal à l'aide de SSH.

Se connecter pour la première fois à un serveur utilisant la solution Bare Metal

Linux

  1. Connectez-vous à l'instance de VM de votre hôte intermédiaire.

  2. Sur l'instance de VM du jump host, ouvrez un terminal de ligne de commande et vérifiez que vous pouvez accéder au serveur de votre solution Bare Metal:

    ping bare-metal-ip

    En cas d'échec de votre ping, vérifiez les points suivants et rectifiez-les :

  3. Depuis l'instance de VM de l'hôte intermédiaire, connectez-vous en SSH au serveur sur solution Bare Metal à l'aide de l'ID utilisateur customeradmin et de l'adresse IP du serveur :

    ssh customeradmin@bare-metal-ip

  4. Lorsque vous y êtes invité, saisissez le mot de passe qui vous a été fourni par Google Cloud.

  5. Lors de la première connexion, vous devrez modifier le mot de passe de votre serveur sur solution Bare Metal.

  6. Définissez un nouveau mot de passe et stockez-le dans un endroit sûr. Une fois le mot de passe réinitialisé, le serveur vous déconnecte automatiquement.

  7. Connectez-vous au serveur sur solution Bare Metal à l'aide de l'ID utilisateur customeradmin et de votre nouveau mot de passe :

    ssh customeradmin@bare-metal-ip

  8. Nous vous recommandons également de modifier le mot de passe de l'utilisateur racine. Commencez par vous connecter en tant qu'utilisateur racine :

    sudo su -

  9. Pour modifier le mot de passe de l'utilisateur racine, exécutez la commande passwd et suivez les instructions :

    passwd

  10. Pour revenir à l'invite de l'utilisateur customeradmin, quittez l'invite de l'utilisateur racine :

    exit

  11. N'oubliez pas de conserver vos mots de passe en lieu sûr à des fins de récupération.

  12. Vérifiez que la configuration de votre serveur correspond bien à votre commande. Voici les points à vérifier :

    • La configuration du serveur, y compris le nombre et le type de processeurs, les sockets et la mémoire.
    • Le système d'exploitation ou le logiciel d'hyperviseur, y compris le fournisseur et la version.
    • Le stockage, (type et quantité).

Configurer l'accès à l'Internet public

La solution Bare Metal n'inclut pas l'accès à Internet. Vous pouvez choisir l'une des méthodes suivantes pour configurer l'accès en fonction de différents facteurs, y compris vos exigences commerciales et votre infrastructure existante:

Accéder à Internet à l'aide d'une VM Compute Engine et de Cloud NAT

Les instructions ci-dessous permettent de configurer une passerelle NAT sur une VM Compute Engine afin de connecter les serveurs d'un environnement de solution Bare Metal à Internet pour leur permettre de recevoir des mises à jour logicielles.

Elles utilisent la passerelle Internet par défaut de votre réseau VPC pour accéder à Internet.

Les commandes Linux présentées dans les instructions ci-dessous concernent le système d'exploitation Debian. Si vous utilisez un autre système d'exploitation, les commandes à utiliser peuvent être différentes.

Dans le réseau VPC que vous utilisez avec votre environnement de solution Bare Metal, procédez comme suit :

  1. Ouvrez Cloud Shell.

    Accéder à Cloud Shell

  2. Créez et configurez une VM Compute Engine pour servir de passerelle NAT.

    1. Créez une VM :

      gcloud compute instances create instance-name \
  --machine-type=machine-type-name \
  --network vpc-network-name \
  --subnet=subnet-name \
  --can-ip-forward \
  --zone=your-zone \
  --image-family=os-image-family-name \
  --image-project=os-image-project \
  --tags=natgw-network-tag \
  --service-account=optional-service-account-email

      Lors des étapes suivantes, vous utiliserez le tag réseau que vous avez défini à cette étape pour acheminer le trafic vers cette VM.

      Si vous ne spécifiez pas de compte de service, supprimez l'option --service-account=. Compute Engine utilise le compte de service par défaut du projet.

    2. Créer une instance Cloud NAT pour l'accès Internet de la VM

      Pour créer une instance Cloud NAT pour la VM, cliquez ici.

    3. Connectez-vous en SSH à la VM qui fait office de passerelle NAT et configurez les iptables:

      $ sudo sysctl -w net.ipv4.ip_forward=1
      $ sudo iptables -t nat -A POSTROUTING \
   -o $(/bin/ip -o -4 route show to default | awk '{print $5}') -j MASQUERADE

      La première commande sudo indique au noyau que vous souhaitez autoriser le transfert IP. La seconde commande sudo fait passer les paquets reçus des instances internes pour des paquets envoyés depuis l'instance de passerelle NAT.

    4. Vérifiez les iptables :

      $ sudo iptables -v -L -t nat

    5. Pour conserver les paramètres de votre passerelle NAT lors d'un redémarrage, exécutez les commandes suivantes sur la VM de la passerelle NAT :

      $ sudo -i

      $ echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/70-natgw.conf

      $ apt-get install iptables-persistent

      $ exit

  3. Dans Cloud Shell, créez une route vers 0.0.0.0/0 avec la passerelle Internet par défaut comme saut suivant. Spécifiez le tag réseau que vous avez défini à l'étape précédente pour l'argument --tags. Attribuez une priorité plus élevée à cette route qu'à n'importe quelle autre route par défaut.

    gcloud compute routes create default-internet-gateway-route-name \
    --destination-range=0.0.0.0/0 \
    --network=network-name \
    --priority=800 \
    --tags=natgw-network-tag \
    --next-hop-gateway=default-internet-gateway

  4. Ajoutez le tag réseau que vous venez de créer aux VM existantes de votre réseau VPC qui ont besoin d'accéder à Internet, afin qu'elles puissent continuer à accéder à Internet lorsque vous aurez créé une route par défaut que vos serveurs de solution Bare Metal peuvent également utiliser.

  5. Facultatif : Supprimez les routes vers Internet qui existaient avant la route que vous avez créée à l'étape précédente, y compris celles créées par défaut.

  6. Vérifiez que toutes les VM existantes de votre réseau et de la VM de la passerelle NAT peuvent accéder à Internet en pinguant une adresse IP externe, telle que 8.8.8.8 (le DNS Google), à partir de chaque VM.

  7. Créez une route par défaut vers 0.0.0.0/0 en utilisant la VM de passerelle NAT comme saut suivant. Attribuez à cette route une priorité inférieure à celle que vous avez spécifiée pour la première route que vous avez créée.

    gcloud compute routes create natgw-route-name \
    --destination-range=0.0.0.0/0 \
    --network=network-name \
    --priority=900 \
    --next-hop-instance=natgw-vm-name \
    --next-hop-instance-zone=natgw-vm-zone

  8. Connectez-vous aux serveurs de votre solution Bare Metal et pinguez une adresse IP externe pour vérifier qu'ils peuvent accéder à Internet.

    Si le ping échoue, vérifiez que vous avez créé une règle de pare-feu qui autorise l'accès à votre réseau VPC depuis votre environnement de solution Bare Metal.

Accéder à Internet en utilisant des VM Compute Engine redondantes, Cloud NAT, un équilibreur de charge réseau passthrough interne et un routage basé sur des règles

Cette section explique comment configurer un équilibreur de charge réseau passthrough interne avec des VM Compute Engine et Cloud NAT configuré en tant que backend. Le routage basé sur des règles transfère le trafic Internet vers l'interface de l'équilibreur de charge réseau passthrough interne.

Le schéma suivant illustre cette configuration.

Configuration permettant d'utiliser des VM Compute Engine redondantes, Cloud NAT, un équilibreur de charge réseau passthrough interne et un routage basé sur des règles pour accéder à Internet.

Dans le réseau VPC de votre environnement de solution Bare Metal, procédez comme suit:

  1. Créer et configurer une VM Compute Engine et le service Cloud NAT pour servir de passerelle NAT Suivez les étapes décrites dans la section Méthode 1: Utiliser une seule VM Compute Engine et Cloud NAT.

    Un serveur HTTP léger peut être utilisé pour effectuer une vérification de l'état'état de l'équilibreur de charge réseau passthrough interne.

    
# Installing http server

sudo yum install httpd
sudo systemctl restart httpd

# Testing

curl http://127.0.0.1:80

  2. Créer un groupe d'instances

    gcloud compute instance-groups unmanaged create INSTANCE_GROUP_NAME --project=PROJECT_ID --zone=ZONE

    Remplacez les éléments suivants :

    • INSTANCE_GROUP_NAME: nom du groupe d'instances.
    • PROJECT_ID : ID du projet
    • ZONE: zone dans laquelle créer le groupe d'instances

  3. Ajoutez la VM au groupe d'instances.

    gcloud compute instance-groups unmanaged add-instances INSTANCE_GROUP_NAME --project=PROJECT_ID --zone=ZONE --instances=VM_NAME

    Remplacez les éléments suivants :

    • INSTANCE_GROUP_NAME: nom du groupe d'instances.
    • PROJECT_ID : ID du projet
    • ZONE: zone dans laquelle créer le groupe d'instances
    • VM_NAME : nom de la VM.

  4. Créez un équilibreur de charge réseau passthrough interne:

    Démarrer la configuration

    1. Dans Google Cloud Console, accédez à la page Équilibrage de charge.

      Accéder à la page "Équilibrage de charge"

    2. Cliquez sur Créer un équilibreur de charge.
    3. Sous Type d'équilibreur de charge, sélectionnez Équilibreur de charge réseau (TCP/UDP/SSL), puis cliquez sur Suivant.
    4. Pour Proxy ou passthrough, sélectionnez Équilibreur de charge passthrough, puis cliquez sur Suivant.
    5. Pour Public ou interne, sélectionnez Interne, puis cliquez sur Suivant.
    6. Cliquez sur Configurer.

    Configuration de base

    1. Définissez le champ Nom de l'équilibreur de charge.
    2. Sélectionnez une Région.
    3. Sélectionnez un réseau.

    Configurer le backend et l'interface

    1. Cliquez sur Configuration du backend et apportez les modifications suivantes :

      1. Pour ajouter des backends, procédez comme suit :
        1. Sous Nouveau backend, pour gérer uniquement le trafic IPv4, sélectionnez le type de pile d'adresses IP comme IPv4 (pile unique).
        2. Sélectionnez votre groupe d'instances, puis cliquez sur OK.

      2. Sélectionnez une vérification de l'état. Vous pouvez également créer une vérification d'état, saisir les informations suivantes, puis cliquer sur Enregistrer:

        • Name (Nom) : saisissez le nom de la vérification de l'état.
        • Protocole : HTTP
        • Port : 80
        • Protocole de proxy : NONE
        • Chemin de requête : /

    2. Cliquez sur Configuration de l'interface. Dans la section Nouveaux IP et port d'interface, apportez les modifications suivantes :

      1. Ports: sélectionnez Tous et saisissez 80,8008,8080,8088 comme Numéro de port.
      2. Cliquez sur OK.

    3. Cliquez sur Vérifier et finaliser.

    4. Vérifiez les paramètres de configuration de votre équilibreur de charge.

    5. Cliquez sur Créer.

  5. Créez une route basée sur des règles pour l'Internet.

    gcloud network-connectivity policy-based-routes create ROUTE_NAME \
 --source-range=SOURCE_RANGE \
 --destination-range=0.0.0.0/0 \
 --ip-protocol=ALL \
 --network="projects/PROJECT_ID/global/networks/NETWORK" \
 --next-hop-ilb-ip=NEXT_HOP \
 --description="DESCRIPTION" \
 --priority=PRIORITY \
 --interconnect-attachment-region=REGION

    Remplacez les éléments suivants :

    • ROUTE_NAME : nom de la route basée sur des règles
    • SOURCE_RANGE : plage CIDR de l'adresse IP source Dans le cas présent, il s'agit de l'adresse IP de la solution Bare Metal.
    • PROJECT_ID : ID du projet
    • NETWORK: réseau auquel la route basée sur des règles est appliquée
    • NEXT_HOP: adresse IPv4 du saut suivant de la route. Dans le cas présent, il s'agit de l'adresse IP de l'interface de l'équilibreur de charge réseau passthrough interne.
    • DESCRIPTION: description de la route.
    • PRIORITY : priorité de la route basée sur des règles par rapport aux autres routes basées sur des règles.
    • REGION: région du rattachement de VLAN

  6. Créez une route basée sur des règles pour ignorer la route basée sur des règles Internet pour les sous-réseaux sur site et les sous-réseaux locaux.

     gcloud network-connectivity policy-based-routes create ROUTE_NAME \
 --source-range=SOURCE_RANGE/32 \
 --destination-range=DESTINATION_RANGE \
 --ip-protocol=ALL \
 --network="projects/PROJECT_ID/global/networks/VPC_NAME" \
 --next-hop-other-routes="DEFAULT_ROUTING" \
 --description="DESCRIPTION" \
 --priority=PRIORITY \
 --interconnect-attachment-region=REGION

    Remplacez les éléments suivants :

    • ROUTE_NAME : nom de la route basée sur des règles
    • SOURCE_RANGE : plage CIDR de l'adresse IP source Dans le cas présent, il s'agit de l'adresse IP de la solution Bare Metal.
    • DESTINATION_RANGE: plage CIDR d'adresses IP de destination. Dans le cas présent, il s'agit du sous-réseau sur site ou d'un sous-réseau local.
    • PROJECT_ID : ID du projet
    • VPC_NAME: nom du réseau VPC
    • DESCRIPTION: description de la route.
    • PRIORITY : priorité de la route basée sur des règles par rapport aux autres routes basées sur des règles. La priorité de cette route basée sur des règles doit être inférieure ou égale à celle de la route basée sur des règles pour Internet.
    • REGION: région du rattachement de VLAN

  7. Mettez à jour le pare-feu pour autoriser le port HTTP 80 sur la VM.

    La vérification de l'état peut échouer si vous ne mettez pas à jour le pare-feu.

Accéder à Internet via des VM Compute Engine redondantes, Cloud NAT, un équilibreur de charge réseau passthrough interne et un routage basé sur des règles dans un VPC distinct

Si vous ne souhaitez pas ajouter de routes basées sur des règles pour les sous-réseaux locaux, vous pouvez utiliser cette méthode pour accéder à Internet. Toutefois, pour utiliser cette méthode, vous devez créer un rattachement de VLAN et un VPC pour connecter la solution Bare Metal.

Le schéma suivant illustre cette configuration.

Configurez-le pour utiliser des VM Compute Engine redondantes, Cloud NAT, un équilibreur de charge réseau passthrough interne et un routage basé sur des règles dans un VPC distinct.

Procédez comme suit :

  1. Créer un réseau VPC pour Internet

    gcloud compute networks create NETWORK --project=PROJECT_ID --subnet-mode=custom --mtu=MTU --bgp-routing-mode=regional

    Remplacez les éléments suivants :

    • NETWORK: nom du réseau VPC.
    • PROJECT_ID : ID du projet
    • MTU: unité de transmission maximale (MTU), qui est la plus grande taille de paquets du réseau

  2. Créez un sous-réseau.

    gcloud compute networks subnets create SUBNET_NAME --project=PROJECT_ID --range=RANGE --stack-type=IPV4_ONLY --network=NETWORK --region=REGION

    Remplacez les éléments suivants :

    • SUBNET_NAME: nom du sous-réseau
    • PROJECT_ID : ID du projet
    • RANGE: espace d'adresses IP alloué à ce sous-réseau au format CIDR
    • NETWORK: réseau VPC auquel appartient le sous-réseau
    • REGION : la région du sous-réseau.

  3. Créez deux routeurs cloud pour la redondance et les annonces.

    gcloud compute routers create ROUTER_NAME --project=PROJECT_ID --region=REGION --network=NETWORK --advertisement-mode=custom --set-advertisement-ranges=0.0.0.0/0

    Remplacez les éléments suivants :

    • ROUTER_NAME: nom du routeur
    • PROJECT_ID : ID du projet
    • REGION: région du routeur
    • NETWORK: réseau VPC de ce routeur

  4. Créez quatre rattachements de VLAN, deux pour chaque Cloud Router.

    Pour obtenir des instructions, consultez la page Créer des rattachements de VLAN.

  5. Une fois les rattachements de VLAN actifs, suivez la procédure décrite dans la section Méthode 2: Utiliser des VM Compute Engine redondantes, Cloud NAT, l'équilibreur de charge réseau passthrough interne et le routage basé sur des règles pour configurer l'infrastructure Internet. Toutefois, pour cette configuration, ne configurez pas la route basée sur des règles pour le trafic local. Ne créez une route basée sur des règles pour Internet que dans une table de routage du réseau VPC.

Configurer l'accès aux API et services Google Cloud

La solution Bare Metal n'inclut pas l'accès aux services Google Cloud. Vous pouvez choisir comment mettre en œuvre l'accès en fonction de différents facteurs, y compris des exigences de votre entreprise et de l'infrastructure existante.

Vous pouvez accéder en privé aux API et aux services Google Cloud à partir de l'environnement de votre solution Bare Metal.

Vous configurez un accès privé aux API et services Google Cloud à partir d'un environnement de solution Bare Metal comme vous le feriez pour un environnement sur site.

Suivez les instructions pour les environnements sur site en consultant la section Configurer l'accès privé à Google pour les hôtes sur site.

Les instructions vous guident à travers les étapes majeures suivantes :

  1. Configurer des routes pour le trafic des API Google
  2. Configurer votre DNS de solution Bare Metal pour résoudre *.googleapis.com en tant que CNAME en restricted.googleapis.com.

Étapes suivantes

Une fois que vous avez configuré l'environnement de votre solution Bare Metal, vous pouvez installer vos charges de travail.

Si vous envisagez d'exécuter des bases de données Oracle sur les serveurs de votre environnement de solution Bare Metal, vous pouvez utiliser le toolkit de solution Bare Metal open source pour installer votre logiciel Oracle.