Configurar o Google Cloud para trabalhar com o ambiente de Solução Bare Metal

Quando o ambiente da solução Bare Metal estiver pronto, você será notificado pelo Google Cloud. A notificação inclui os endereços IP internos dos novos servidores.

Estas instruções mostram como realizar as seguintes tarefas necessárias para se conectar ao ambiente da solução Bare Metal:

  • Crie anexos da VLAN redundantes no ambiente da solução Bare Metal.
  • Crie um Bastion Host na rede VPC.
  • Fazer SSH ou RDP nos servidores novos usando o Bastion Host.

Depois de se conectar aos servidores, valide a configuração do pedido da Solução Bare Metal.

Antes de começar

Para se conectar e configurar o ambiente da Solução Bare Metal, é preciso:

  • Ter um projeto do Google Cloud com o faturamento ativado. Crie um projeto na página do seletor de projetos no Console do Google Cloud.
  • Uma rede de nuvem privada virtual (VPC). Esta é a rede VPC que você nomeou ao fazer o pedido da solução Bare Metal. Se você precisa criar a rede VPC, consulte Como usar redes VPC.
  • Ter as seguintes informações fornecidas pelo Google Cloud quando sua Solução Bare Metal estiver pronta:
    • Os endereços IP dos servidores Bare Metal.
    • As senhas temporárias de cada um dos sevidores Bare Metal.

Crie os anexos da VLAN para a conexão do Cloud Interconnect

Quando o Google Cloud notifica que os servidores da Solução Bare Metal estão prontos, é necessário concluir a conexão entre o ambiente da Solução Bare Metal e a rede VPC. Para fazer isso, crie uma Interconexão por parceiro com um par de anexos da VLAN na mesma região que os servidores da Solução Bare Metal.

Os anexos da VLAN (também conhecidos como InterconnectAttachments) alocam VLANs na conexão do Partner Interconnect.

Atualmente, os anexos da VLAN da interconexão Bare Metal individual são compatíveis com uma velocidade máxima de 10 Gbps. Para alcançar uma maior capacidade em uma rede VPC, é preciso configurar vários anexos na rede VPC. Para cada sessão do BGP, é necessário usar os mesmos valores de MED para permitir que o tráfego use o ECMP em todos os anexos de interconexão configurados.

Console

  1. Se você ainda não tiver instâncias do Cloud Router na rede e na região que está usando com a solução Bare Metal, precisará criar uma para cada anexo da VLAN. Ao criar os roteadores, especifique 16550 como o ASN para cada Cloud Router.

    Para mais instruções, consulte Como criar roteadores do Cloud Router.

  2. Acesse a guia "Anexos da VLAN" do Cloud Interconnect no Console do Google Cloud.
    Acessar a guia "Anexos da VLAN"

  3. Clique em Criar anexo da VLAN na parte superior do Console do Cloud.

  4. Selecione Partner Interconnect para criar anexos da VLAN do Partner e clique em Continuar.

  5. Clique em Já tenho um provedor de serviços.

  6. Selecione Criar um par redundante de VLANs. Os dois anexos podem veicular tráfego e você pode rotear o tráfego para o balanceamento de carga entre eles. Se um anexo ficar inativo, por exemplo, durante a manutenção programada, o outro anexo continuará veiculando tráfego. Para saber mais, consulte a seção "Redundância" na página Visão geral do Partner Interconnect.

  7. Nos campos Rede e Região, selecione a rede VPC e a região do Google Cloud em que os anexos se conectarão.

  8. Especifique os detalhes de cada um dos anexos da VLAN.

    • Cloud Router: um Cloud Router para associar a este anexo.
      • Só é possível escolher um Cloud Router na região e rede VPC que você selecionou com um ASN de 16550.
      • Só é possível atribuir um Cloud Router por anexo. Para um par de anexos da VLAN, você precisa de dois Cloud Routers.
    • Nome do anexo da VLAN: um nome para o anexo. Os nomes são exibidos no Console do Cloud e usados pela ferramenta de linha de comando gcloud para referenciar os anexos, como my-attachment-1 e my-attachment-2.
    • Descrição — Informações sobre cada anexo da VLAN.
    • Unidade de transmissão máxima (MTU, na sigla em inglês): o tamanho máximo de pacote para transmissão de rede. O tamanho padrão é 1440.
  9. Clique em Criar para criar os anexos. Isso leva alguns minutos para ser concluído.

  10. Após a conclusão da criação, copie as chaves de pareamento. As chaves incluem um código alfanumérico, o nome da região e o número da zona de disponibilidade da rede. Por exemplo, /1 ou /2. Você compartilhará essas chaves com o Google Cloud.

  11. Pré-ative os dois anexos selecionando Ativar. Quando você pré-ativa os anexos, eles começam a transmitir o tráfego imediatamente após o Google Cloud concluir a configuração da Solução Bare Metal.

  12. Clique em OK para visualizar uma lista dos anexos da VLAN.

  13. Depois que o Google Cloud notificar você sobre a disponibilidade dos servidores da Solução Bare Metal, acesse a guia "Anexos da VLAN" no Console do Google Cloud.
    Acessar a guia "Anexos da VLAN"

  14. Procure a coluna Status, que deve aparecer como Up para seus anexos. Se o status dos anexos aparecer como Down, ative-os da seguinte maneira:

    1. Clique no nome do primeiro anexo da VLAN para ver a respectiva página de detalhes.
    2. Clique em Enable.
    3. Clique em Detalhes do anexo da VLAN para retornar à guia principal de anexos da VLAN.
    4. Clique no nome do segundo anexo da VLAN para visualizar a respectiva página de detalhes.
    5. Clique em Enable.

gcloud

  1. Se você ainda não tiver instâncias do Cloud Router na rede e na região que está usando com a solução Bare Metal, crie uma para cada anexo da VLAN. Use 16550 como o número ASN:

    gcloud compute routers create router-name \
    --network vpc-network-name \
    --asn 16550 \
    --region region \

    Para mais informações, consulte Como criar Cloud Routers.

  2. Crie um InterconnectAttachment do tipo PARTNER, especificando o nome do Cloud Router e o domínio de disponibilidade de borda (EAD, na sigla em inglês) do anexo da VLAN. Além disso, adicione a sinalização --admin-enabled para pré-ativar os anexos e enviar tráfego imediatamente após a conclusão da configuração da Solução Bare Metal pelo Google Cloud.

    gcloud compute interconnects attachments partner create first-attachment-name \
      --region region \
      --router first-router-name \
      --edge-availability-domain availability-domain-1
      --admin-enabled
    gcloud compute interconnects attachments partner create second-attachment-name \
      --region region \
      --router second-router-name \
      --edge-availability-domain availability-domain-2
      --admin-enabled

    O Google Cloud adiciona automaticamente uma interface e um par BGP ao Cloud Router. O anexo gera uma chave de pareamento que você precisará compartilhar com o Google Cloud posteriormente.

    O exemplo a seguir cria anexos redundantes, um em EAD availability-domain-1 e outro em EAD availability-domain-2. Cada um está associado a um Cloud Router separado, my-router-1 e my-router-2, respectivamente. Ambos estão na região us-central1.

    gcloud compute interconnects attachments partner create my-attachment \
     --region us-central1 \
     --router my-router-1 \
     --edge-availability-domain availability-domain-1
     --admin-enabled
    gcloud compute interconnects attachments partner create my-attachment \
     --region us-central1 \
     --router my-router-2 \
     --edge-availability-domain availability-domain-2
      --admin-enabled
  3. Descreva o anexo para recuperar a chave de pareamento. Você compartilhará a chave com o Google Cloud depois de abrir uma solicitação de alteração para criar a conexão com o ambiente da solução Bare Metal.

    gcloud compute interconnects attachments describe my-attachment \
      --region us-central1
    adminEnabled: false
    edgeAvailabilityDomain: AVAILABILITY_DOMAIN_1
    creationTimestamp: '2017-12-01T08:29:09.886-08:00'
    id: '7976913826166357434'
    kind: compute#interconnectAttachment
    labelFingerprint: 42WmSpB8rSM=
    name: my-attachment
    pairingKey: 7e51371e-72a3-40b5-b844-2e3efefaee59/us-central1/1
    region: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1
    router: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1/routers/my-router
    selfLink: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1/interconnectAttachments/my-attachment
    state: PENDING_PARTNER
    type: PARTNER
    • O campo pairingKey contém a chave de pareamento que você precisa copiar e compartilhar com seu provedor de serviços. Trate a chave de pareamento como informação confidencial até que o anexo da VLAN esteja configurado.
    • O estado do anexo da VLAN será PENDING_PARTNER até que o Google Cloud conclua a configuração do anexo. Depois disso, o estado do anexo será INACTIVE ou ACTIVE, dependendo se você escolheu pré-ativar os anexos.

    Ao solicitar conexões do Google Cloud, você precisa selecionar a mesma área metropolitana (cidade) para que os dois anexos sejam redundantes. Para saber mais, consulte a seção "Redundância" na página Visão geral da Interconexão por parceiro.

  4. Se os anexos da VLAN não aparecerem após o Google Cloud concluir o pedido da Solução Bare Metal, ative cada anexo da VLAN:

    gcloud compute interconnects attachments partner update attachment-name \
    --region region \
    --admin-enabled

Verifique o status dos Cloud Routers e suas rotas anunciadas no Console do Cloud. Para saber mais, consulte Como ver o status do roteador e as rotas anunciadas.

Configure o roteamento entre a solução Bare Metal e o Google Cloud

Assim que os anexos da VLAN estiverem ativos, as sessões do BGP serão exibidas e as rotas do ambiente da solução Bare Metal serão recebidas nas sessões do BGP.

Adicionar uma divulgação personalizada para um intervalo de IP padrão às sessões do BGP

Para configurar o roteamento de tráfego do ambiente da solução do Bare Metal, recomendamos adicionar uma divulgação personalizada de uma rota padrão, como 0.0.0.0/0, nas sessões do BGP para o ambiente da solução Bare Metal.

Para especificar divulgações em uma sessão do BGP atual:

Console

  1. Acesse a página do Cloud Router no Console do Google Cloud.
    Lista do Cloud Router
  2. Selecione o roteador do Cloud Router que contém a sessão do BGP a ser atualizada.
  3. Na página de detalhes do Cloud Router, selecione a sessão do BGP a ser atualizada.
  4. Na página de detalhes da sessão do BGP, selecione Editar.
  5. Em Rotas, selecione Criar rotas personalizadas.
  6. Selecione Adicionar rota personalizada para adicionar uma rota anunciada.
  7. Configure a divulgação de rota.
    • Origem: selecione Intervalo de IP personalizado para especificar um intervalo de IP personalizado.
    • Intervalo de endereços IP: especifique o intervalo de IP personalizado com a notação CIDR.
    • Descrição: adicione uma descrição para ajudar você a identificar o propósito dessa divulgação de rotas.
  8. Quando terminar de adicionar as rotas, selecione Salvar.

gcloud

É possível adicioná-lo a anúncios personalizados ou defini-lo com um novo anúncio do cliente, que substituirá os anúncios personalizados antigos.

Para definir uma nova divulgação personalizada para um intervalo de IP padrão, use a sinalização --set-advertisement-ranges:

gcloud compute routers update-bgp-peer router-name \
   --peer-name bgp-session-name \
   --advertisement-mode custom \
   --set-advertisement-ranges 0.0.0.0/0

Para anexar o intervalo de IP padrão aos atuais, use a sinalização --add-advertisement-ranges. Ela exige que o modo de divulgação do Cloud Router já esteja configurado como custom. O exemplo a seguir acrescenta o IP personalizado 0.0.0.0/0 às divulgações do Cloud Router:

gcloud compute routers update-bgp-peer router-name \
   --peer-name bgp-session-name \
   --add-advertisement-ranges 0.0.0.0/0

Opcionalmente, defina o modo de roteamento dinâmico da rede VPC como global

Se você tiver servidores da Solução Bare Metal em duas regiões diferentes, considere ativar o modo de roteamento global na rede VPC para que as regiões da Solução Bare Metal se comuniquem diretamente pela rede VPC.

O modo de roteamento global também é necessário para permitir a comunicação entre um ambiente local conectado a uma região do Google Cloud e a um ambiente da solução Bare Metal em outra região do Google Cloud.

Para definir o modo de roteamento global, consulte Como configurar o modo de roteamento dinâmico da rede VPC.

Configuração do firewall VPC

As novas redes VPC vêm com regras de firewall padrão ativas que restringem a maior parte do tráfego na rede VPC.

Para se conectar ao ambiente da Solução Bare Metal, o tráfego de rede precisa estar ativado entre:

  • o ambiente da Solução Bare Metal e os destinos de rede no Google Cloud;
  • o ambiente local e os recursos no Google Cloud, como qualquer instância de VM de host de salto que você use para se conectar ao ambiente da Solução Bare Metal.

No ambiente da Solução Bare Metal, se você precisar controlar o tráfego de rede entre os servidores bare-metal ou entre os servidores e os destinos que não estão no Google Cloud, você precisará implementar um mecanismo de controle.

Para criar uma regra de firewall na sua rede VPC no Google Cloud:

Console

  1. Acesse a página Regras de firewall:

    Acessar as regras de firewall

  2. Clique em Criar regra de firewall.

  3. Defina a regra de firewall.

    1. Nomeie a regra de firewall.
    2. No campo Rede, selecione a rede em que a VM está localizada.
    3. No campo Destinos, defina Tags de destino especificadas ou Conta de serviço especificada.
    4. Especifique a tag de rede de destino ou a conta de serviço nos campos apropriados.
    5. No campo Filtro de origem, especifique Intervalos de IP para permitir o tráfego de entrada do ambiente Solução Bare Metal.
    6. No campo Intervalos de IP de origem, especifique os endereços IP dos servidores ou dispositivos no ambiente da Solução Bare Metal.
    7. Na seção Protocolos e portas, especifique os protocolos e as portas necessários no seu ambiente.
    8. Clique em Criar

gcloud

O comando a seguir cria uma regra de firewall que define a origem usando um intervalo de IP e o destino com a tag de rede de uma instância. Modifique o comando para seu ambiente conforme necessário.

gcloud compute firewall-rules create rule-name \
    --project=your-project-id \
    --direction=INGRESS \
    --priority=1000 \
    --network=your-network-name \
    --action=ALLOW \
    --rules=protocol:port \
    --source-ranges=ip-range \
    --target-tags=instance-network-tag

Para mais informações sobre como criar regras de firewall, consulte Como criar regras de firewall.

Como se conectar ao servidor bare-metal

Os servidores no ambiente da Solução Bare Metal não são provisionados com endereços IP externos.

Depois de criar uma regra de firewall para permitir o tráfego do ambiente da solução Bare Metal para a rede VPC, é possível se conectar ao servidor usando uma instância de VM de host de salto.

Criar uma instância de VM do host de salto no Google Cloud

Para se conectar rapidamente aos servidores bare-metal, crie uma máquina virtual (VM, na sigla em inglês) do Compute Engine para usar como host de salto. Crie a VM na mesma região do Google Cloud em que está o ambiente da Solução Bare Metal.

Se você precisar de um método de conexão mais seguro, consulte Como se conectar por meio de um Bastion Host.

Para criar uma instância de VM do host de salto, escolha as instruções abaixo com base no sistema operacional que você está usando no ambiente da Solução Bare Metal.

Para mais informações sobre como criar instâncias de VM do Compute Engine, consulte Como criar e iniciar uma instância de VM.

Linux

Crie uma instância de máquina virtual

  1. No Console do Cloud, acesse a página Instâncias de VM:

    Acessar a página Instâncias de VM

  2. Clique em Criar instância.

  3. No campo Nome, especifique o nome da instância de VM.

  4. Em Região, selecione a região do ambiente da Solução Bare Metal.

  5. Na seção Disco de inicialização, clique em Alterar.

    1. No campo Sistemas operacionais, selecione o mesmo SO Linux que você está usando nos servidores da Solução Bare Metal.
    2. No campo Versão, selecione a versão do SO.
  6. Clique em Gerenciamento, segurança, discos, rede, locatário único para expandir a seção.

  7. Clique em Rede para exibir as opções de rede.

    • Opcionalmente, em Tags de rede, defina uma ou mais tags de rede para a instância.
    • Em Interfaces de rede, confirme se a rede VPC correta é exibida.
  8. Clique em Criar

Aguarde um momento até que a instância seja iniciada. Depois que estiver pronta, ela será listada na página Instâncias de VM com um ícone de status verde.

Conectar ao host de salto

  1. Se precisar criar uma regra de firewall para permitir o acesso à instância de VM do host de salto, consulte Configuração de firewall.

  2. No Console do Cloud, acesse a página Instâncias de VM:

    Acessar a página Instâncias de VM

  3. Na lista de instâncias de VM, clique em SSH na linha que contém o host de salto.

    O botão SSH destacado na linha de host de salto na página de
instâncias da VM.

Agora você tem uma janela de terminal com a instância de VM de host de salto, que pode ser conectada ao servidor bare-metal usando SSH.

Como fazer login em um servidor da Solução Bare Metal pela primeira vez

Linux

  1. Conectar à instância de VM do host de salto.

  2. No host de salto, abra um terminal de linha de comando e confirme se é possível acessar o servidor da Solução Bare Metal:

    ping bare-metal-ip-address

    Se o ping não for bem-sucedido, verifique e corrija o seguinte:

  3. Na instância da VM do host de salto, conecte-se via SSH ao servidor da Solução Bare Metal usando o ID do usuário customeradmin e o endereço IP do servidor:

    ssh customeradmin@bare-metal-ip
  4. Quando solicitado, digite a senha fornecida pelo Google Cloud.

  5. No primeiro login, é necessário alterar a senha do servidor da Solução Bare Metal.

  6. Defina uma nova senha e armazene-a em um local seguro. Após a redefinição da senha, o servidor desconecta automaticamente.

  7. Faça login novamente no servidor da Solução Bare Metal usando o ID do usuário customeradmin e a nova senha:

    ssh customeradmin@bare-metal-ip
  8. Recomendamos que você também altere a senha do usuário raiz. Para começar, faça login como usuário raiz:

    sudo bash
  9. Para alterar a senha raiz, emita o comando passwd e siga as instruções:

    passwd
  10. Para voltar à solicitação do usuário customeradmin, saia da solicitação de usuário raiz:

    exit
  11. Lembre-se de armazenar as senhas em um local seguro para fins de recuperação.

  12. Confirme se a configuração do servidor corresponde ao seu pedido. Entre os itens que devem ser verificados estão:

    • A configuração do servidor, incluindo o número e o tipo de CPUs, os soquetes e a memória.
    • O sistema operacional ou o software de hipervisor, incluindo fornecedor e versão.
    • Armazenamento, incluindo tipo e quantidade.

Como acessar serviços de rede, serviços do Google Cloud ou a Internet pública

A solução Bare Metal não oferece acesso aos serviços do Google Cloud, aos serviços de rede ou à Internet. Você tem muitas opções para implementar o acesso e a escolha depende de vários fatores, como os requisitos da empresa, a infraestrutura existente, etc. Nas seções a seguir, você verá algumas das opções.

Como acessar a Internet

Algumas das opções para acessar a Internet incluem:

  • Rotear o tráfego de saída por um gateway NAT.
  • Rotear o tráfego por meio de uma VM do Compute Engine que atua como um servidor proxy.
  • Rotear o tráfego por meio do Cloud VPN ou da Interconexão dedicada para gateways locais para a Internet.

Como configurar um gateway NAT em uma VM do Compute Engine

As instruções a seguir mostram como configurar um gateway NAT em uma VM do Compute Engine que conecta os servidores em um ambiente da Solução Bare Metal na Internet para, por exemplo, receber atualizações de software.

As instruções usam o gateway de Internet padrão da sua rede VPC para acessar a Internet.

Os comandos do Linux mostrados nas instruções a seguir são para o sistema operacional Debian. Se você usar um sistema operacional diferente, os comandos necessários também poderão ser diferentes.

Na rede VPC que você está usando com o ambiente da solução Bare Metal, execute as etapas a seguir:

  1. Abra o Cloud Shell:

    Acessar o Cloud Shell

  2. Criar e configurar uma VM do Compute Engine para servir como um gateway NAT.

    1. Crie uma VM:

      gcloud compute instances create instance-name \
        --machine-type=machine-type-name \
        --network vpc-network-name \
        --subnet=subnet-name \
        --can-ip-forward \
        --zone=your-zone \
        --image-family=os-image-family-name \
        --image-project=os-image-project \
        --tags=natgw-network-tag
        --service-account=optional-service-account-email
      

      Nos próximos passos, você usará a tag de rede definida nesta etapa para rotear o tráfego para essa VM.

      Se você não especificar uma conta de serviço, remova a sinalização --service-account=. O Compute Engine usa a conta de serviço padrão do projeto.

    2. Conecte-se via SSH à VM e configure o iptables:

      $ sudo sysctl -w net.ipv4.ip_forward=1
      $ sudo iptables -t nat -A POSTROUTING \
         -o $(/sbin/ifconfig | head -1 | awk -F: {'print $1'}) -j MASQUERADE
      

      O primeiro comando sudo indica ao kernel que é preciso permitir o encaminhamento de IP. O segundo comando sudo mascara os pacotes recebidos de instâncias internas como se fossem enviados pela instância de gateway NAT.

    3. Verifique o iptables:

      $ sudo iptables -v -L -t nat
    4. Para manter as configurações do gateway NAT em uma reinicialização, execute os seguintes comandos na VM do gateway NAT:

      $ sudo -i
      
      $ echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/20-natgw.conf
      
      $ apt-get install iptables-persistent
      
      $ exit
      
  3. No Cloud Shell, crie uma rota para 0.0.0.0/0 com o gateway de Internet padrão como o próximo salto. Especifique a tag de rede que você definiu na etapa anterior no argumento --tags. Atribua à rota uma prioridade mais alta que qualquer outra rota padrão.

    gcloud compute routes create default-internet-gateway-route-name \
        --destination-range=0.0.0.0/0 \
        --network=network-name \
        --priority=800 \
        --tags=natgw-network-tag \
        --next-hop-gateway=default-internet-gateway
    
  4. Adicione a tag de rede recém-criada a todas as VMs existentes na rede VPC que precisam de acesso à Internet. Assim, elas podem continuar acessando a Internet depois que você criar uma nova rota padrão que os servidores da Solução Bare Metal também podem usar.

  5. Opcional: remova rotas para a Internet que existiam antes da rota criada na etapa anterior, incluindo as criadas por padrão.

  6. Confirme se qualquer VM existente na sua rede e na VM do gateway NAT pode acessar a Internet ao dar um ping em um endereço IP público, como 8.8.8.8, o DNS do Google, de cada VM.

  7. Crie uma rota padrão para 0.0.0.0/0 com a VM do gateway NAT como o próximo salto. Dê à rota uma prioridade mais baixa do que a especificada para a primeira rota criada.

    gcloud compute routes create natgw-route-name \
        --destination-range=0.0.0.0/0 \
        --network=network-name \
        --priority=900 \
        --next-hop-instance=natgw-vm-name \
        --next-hop-instance-zone=natgw-vm-zone
    
  8. Faça login nos servidores da Solução Bare Metal e dê um ping em um endereço IP público para confirmar que eles podem acessar a Internet.

    Se o ping não for bem-sucedido, certifique-se de ter criado uma regra de firewall que permita o acesso do ambiente da solução Bare Metal para sua rede VPC.

Como configurar o acesso aos serviços e APIs do Google Cloud

Você pode acessar as APIs e os serviços do Google Cloud de forma privada a partir do ambiente da Solução Bare Metal.

Configure o acesso privado às APIs e aos serviços do Google Cloud a partir de um ambiente da Solução Bare Metal como faria para um ambiente local. Siga as instruções para ambientes locais em Como configurar o Acesso privado do Google para hosts locais.

As instruções orientam você pelas seguintes etapas detalhadas:

  1. Como configurar rotas para o tráfego da API do Google
  2. Como configurar regras de firewall em qualquer firewall da Solução Bare Metal para permitir o tráfego de saída para o intervalo de IP das APIs restritas do Google.
  3. Como configurar o DNS da solução Bare Metal para resolver *.googleapis.com como um CNAME para restricted.googleapis.com.

A seguir

Depois de configurar o ambiente da Solução Bare Metal, instale as cargas de trabalho.

Se você planeja executar bancos de dados Oracle nos servidores do ambiente da Solução Bare Metal, use o Toolkit para a Solução Bare Metal de código aberto para instalar o software Oracle.