设置 Google Cloud 以与您的 Bare Metal 解决方案环境搭配使用

当 Bare Metal 解决方案环境准备就绪后,Google Cloud 会通知您。该通知包含新服务器的内部 IP 地址。

以下说明介绍如何执行以下任务,这些任务需要连接到 Bare Metal 解决方案环境:

  • 为 Bare Metal 解决方案环境创建冗余 VLAN 连接。
  • 在您的 VPC 网络中创建堡垒主机。
  • 通过 SSH 或 RDP 从堡垒主机连接到您的新服务器。

连接到服务器后,验证 Bare Metal 解决方案订单的配置。

准备工作

要连接到和配置 Bare Metal 解决方案环境,您需要:

  • 启用了结算功能的 Google Cloud 项目。您可以在 Google Cloud Console 中的项目选择器页面上创建项目。
  • Virtual Private Cloud (VPC) 网络。这是您订购 Bare Metal 解决方案时命名的 VPC 网络。如果您需要创建 VPC 网络,请参阅使用 VPC 网络
  • Bare Metal 解决方案准备就绪后 Google Cloud 提供的以下信息:
    • Bare Metal 服务器的 IP 地址。
    • 每台 Bare Metal 服务器的临时密码。

为 Cloud Interconnect 连接创建 VLAN 连接

当 Google Cloud 通知您裸金属解决方案服务器准备就绪后,您需要完成裸金属解决方案环境和 VPC 网络之间的连接。为此,您需要在裸金属解决方案服务器所在地区使用一对 VLAN 连接创建合作伙伴互连。

VLAN 连接(也称为 InterconnectAttachments)会在合作伙伴互连连接上分配 VLAN。

目前,单个裸金属解决方案互连 VLAN 连接支持最高速度 10 Gbps。如需在 VPC 网络中实现更高的吞吐量,您必须在 VPC 网络中配置多个连接。对于每个 BGP 会话,您应使用相同的 MED 值以允许流量在所有配置的互连连接上使用 ECMP。

控制台

  1. 如果您在用于 Bare Metal 解决方案的网络和区域中没有 Cloud Router 实例,则需要为每个 VLAN 连接创建一个。创建路由器时,请将 16550 指定为每个 Cloud Router 的 ASN。

    如需查看说明,请参阅创建 Cloud Router

  2. 转到 Google Cloud Console 中的 Cloud Interconnect“VLAN 连接”标签页。
    转到“VLAN 连接”标签页

  3. 点击 Cloud Console 顶部的创建 VLAN 连接

  4. 选择合作伙伴互连以创建合作伙伴 VLAN 连接,然后点击继续

  5. 点击我已经有服务提供方

  6. 选择创建具备冗余性的一对 VLAN。两个连接都可以处理流量,且您可以将流量路由到它们之间的负载平衡。如果一个连接发生故障(例如在计划性维护期间),则另一个连接会继续处理流量。如需了解详情,请参阅合作伙伴互连概览页面中的“冗余”部分。

  7. 对于网络地区字段,选择将与您的连接相连的 VPC 网络和 Google Cloud 地区。

  8. 指定每个 VLAN 连接的详细信息。

    • Cloud Router - 与此连接相关联的 Cloud Router。
      • 您只能在所选 VPC 网络和区域中选择 ASN 为 16550 的 Cloud Router 路由器。
      • 每个连接只能分配一个 Cloud Router。一对 VLAN 连接需要两个 Cloud Router。
    • VLAN 连接名称 - 每个连接的名称。这些名称显示在 Cloud Console 中,并供 gcloud 命令行工具用于引用连接,例如 my-attachment-1my-attachment-2
    • 说明 - 有关每个 VLAN 连接的信息。
    • 最大传输单元 (MTU) - 网络传输的数据包大小上限。默认大小为 1440。
  9. 点击创建以创建连接,此过程需要一些时间才能完成。

  10. 创建完成后,复制配对密钥。密钥包括字母数字代码、地区名称和网络可用性区域编号,例如 /1/2。您将与 Google Cloud 共享这些密钥。

  11. 通过选择启用预先激活两个连接。预先激活连接后,它们会在 Google Cloud 完成裸金属解决方案配置后立即开始传输流量。

  12. 点击确定以查看 VLAN 连接的列表。

  13. 在 Google Cloud 通知您裸金属解决方案服务器已准备就绪后,转到 Google Cloud Console 中的 VLAN 连接标签页。
    转到“VLAN 连接”标签页

  14. 查找 Status 列,该列应显示为连接的 Up。如果连接状态显示为 Down,请按以下方式启用连接:

    1. 点击第一个 VLAN 连接的名称以查看其详情页面。
    2. 点击启用
    3. 点击 VLAN 连接详情,返回主 VLAN 连接标签页。
    4. 点击第二个 VLAN 连接的名称查看其详情页面。
    5. 点击启用

gcloud

  1. 如果您在用于 Bare Metal 解决方案的网络和区域中没有 Cloud Router 实例,则为每个 VLAN 连接创建一个。使用 16550 作为 ASN 编号:

    gcloud compute routers create router-name \
    --network vpc-network-name \
    --asn 16550 \
    --region region \

    如需了解详情,请参阅创建 Cloud Router

  2. 创建类型为 PARTNERInterconnectAttachment,并指定 Cloud Router 的名称以及 VLAN 连接的边缘可用性网域 (EAD)。 此外,添加 --admin-enabled 标志以预先激活连接,并在 Google Cloud 完成裸金属解决方案配置后立即发送流量。

    gcloud compute interconnects attachments partner create first-attachment-name \
      --region region \
      --router first-router-name \
      --edge-availability-domain availability-domain-1
      --admin-enabled
    gcloud compute interconnects attachments partner create second-attachment-name \
      --region region \
      --router second-router-name \
      --edge-availability-domain availability-domain-2
      --admin-enabled

    Google Cloud 会在 Cloud Router 上自动添加接口和 BGP 对等端。连接会生成配对密钥,稍后您将与 Google Cloud 共享该密钥。

    以下示例会创建冗余连接,一个位于 EAD availability-domain-1中,另一个位于 EAD availability-domain-2 中。每个连接都与单独的 Cloud Router(分别为 my-router-1my-router-2)相关联。这两者都在 us-central1 地区中。

    gcloud compute interconnects attachments partner create my-attachment \
     --region us-central1 \
     --router my-router-1 \
     --edge-availability-domain availability-domain-1
     --admin-enabled
    gcloud compute interconnects attachments partner create my-attachment \
     --region us-central1 \
     --router my-router-2 \
     --edge-availability-domain availability-domain-2
      --admin-enabled
  3. 描述连接,以检索其配对密钥。您在打开更改请求以创建与 Bare Metal 解决方案环境的连接后,将与 Google Cloud 共享密钥。

    gcloud compute interconnects attachments describe my-attachment \
      --region us-central1
    adminEnabled: false
    edgeAvailabilityDomain: AVAILABILITY_DOMAIN_1
    creationTimestamp: '2017-12-01T08:29:09.886-08:00'
    id: '7976913826166357434'
    kind: compute#interconnectAttachment
    labelFingerprint: 42WmSpB8rSM=
    name: my-attachment
    pairingKey: 7e51371e-72a3-40b5-b844-2e3efefaee59/us-central1/1
    region: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1
    router: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1/routers/my-router
    selfLink: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1/interconnectAttachments/my-attachment
    state: PENDING_PARTNER
    type: PARTNER
    • pairingKey 字段包含您需要复制并与服务提供商共享的配对密钥。在配置您的 VLAN 连接之前,应将配对密钥视为敏感信息。
    • 在 Google Cloud 完成 VLAN 连接配置之前,VLAN 连接的状态为 PENDING_PARTNER。之后连接状态将为 INACTIVEACTIVE,具体取决于您是否预先激活连接。

    当从 Google Cloud 请求连接时,您必须为两个连接选择相同的都市圈(城市),这样才能实现冗余。如需了解详情,请参阅合作伙伴互连概览页面中的“冗余”部分。

  4. 如果 Google Cloud 完成裸金属解决方案订单后 VLAN 连接没有启动,请激活每个 VLAN 连接:

    gcloud compute interconnects attachments partner update attachment-name \
    --region region \
    --admin-enabled

您可以在 Cloud Console 中查看 Cloud Router 和通告路由的状态。如需了解详情,请参阅查看路由器状态和通告路由

设置 Bare Metal 解决方案 和 Google Cloud 之间的路由

您的 VLAN 连接激活后,您的 BGP 会话就会启动,Bare Metal Solution 环境的路由会通过 BGP 会话接收。

为 BGP 会话添加一个默认 IP 范围的自定义通告

如需为来自 Bare Metal 解决方案环境的流量设置路由,建议您在 BGP 会话上将默认路由的自定义通告(例如 0.0.0.0/0)添加到 Bare Metal 解决方案环境。

如需在现有 BGP 会话中指定通告,请执行以下操作:

控制台

  1. 转到 Google Cloud Console 中的“Cloud Router 路由器”页面。
    Cloud Router 路由器列表
  2. 选择待更新 BGP 会话所属的 Cloud Router 路由器。
  3. 在 Cloud Router 路由器的详情页面中,选择要更新的 BGP 会话。
  4. 在 BGP 会话详情页面中,选择修改
  5. 对于路由,选择创建自定义路由
  6. 选择添加自定义路由以添加通告路由。
  7. 配置路由通告。
    • 来源 - 选择自定义 IP 范围以指定自定义 IP 范围。
    • IP 地址范围 - 使用 CIDR 表示法指定自定义 IP 范围。
    • 描述 - 添加描述以帮助标识此路由通告的用途。
  8. 添加完路由后,选择保存

gcloud

您可以将其添加到现有自定义通告,也可以设置新客户通告,该通告使用新的通告取代现有自定义通告。

如要为默认 IP 范围设置新的自定义通告,请使用 --set-advertisement-ranges 标志:

gcloud compute routers update-bgp-peer router-name \
   --peer-name bgp-session-name \
   --advertisement-mode custom \
   --set-advertisement-ranges 0.0.0.0/0

如需将默认 IP 范围附加到现有 IP 范围,请使用 --add-advertisement-ranges 标志。请注意,您必须将 Cloud Router 路由器的通告模式设置为 custom 才能使用此标志。以下示例展示了如何将 0.0.0.0/0 自定义 IP 添加到 Cloud Router 路由器的通告中:

gcloud compute routers update-bgp-peer router-name \
   --peer-name bgp-session-name \
   --add-advertisement-ranges 0.0.0.0/0

(可选)将 VPC 网络动态路由模式设置为 global

如果您在两个不同区域中存在 Bare Metal 解决方案服务器,请考虑在 VPC 网络上启用全局路由模式,以使您的 Bare Metal 解决方案区域直接通过 VPC 网络相互通信。

还需要全局路由模式,以在连接到一个 Google Cloud 区域的本地环境和另一个 Google Cloud 区域的 Bare Metal 解决方案环境之间进行通信。

如需设置全局路由模式,请参阅设置 VPC 网络动态路由模式

VPC 防火墙设置

新的 VPC 网络具有活跃的默认防火墙规则,用于限制 VPC 网络中的大多数流量。

要连接到 Bare Metal 解决方案环境,必须在以下各项之间启用网络流量:

  • Bare Metal 解决方案环境和 Google Cloud 上的网络目标。
  • 您的本地环境和 Google Cloud 上的资源,例如可用于连接到 Bare Metal 解决方案环境的任何跳转主机虚拟机实例。

在 Bare Metal 解决方案环境中,如果您需要控制 Bare Metal 服务器之间或 Google Cloud 上的服务器和目的地之间的网络流量,则需要自行实现控制机制。

如需在 Google Cloud 的 VPC 网络中创建防火墙规则,请执行以下操作:

控制台

  1. 转到防火墙规则页面:

    转到“防火墙规则”

  2. 点击创建防火墙规则

  3. 定义防火墙规则。

    1. 为防火墙规则命名。
    2. 网络字段中,选择您的虚拟机所在的网络。
    3. 目标字段中,指定指定的目标标记指定的服务帐号
    4. 在相应字段中指定目标网络标记或服务帐号。
    5. 来源过滤条件字段中,指定 IP 地址范围以允许 Bare Metal 解决方案环境传入的流量。
    6. 来源 IP 地址范围字段中,指定 Bare Metal 解决方案环境中服务器或设备的 IP 地址。
    7. 协议和端口部分中,指定您的环境所需的协议和端口。
    8. 点击创建

gcloud

以下命令将创建使用 IP 地址范围定义来源并使用实例的网络标记定义目标的防火墙规则。根据需要为环境修改命令。

gcloud compute firewall-rules create rule-name \
    --project=your-project-id \
    --direction=INGRESS \
    --priority=1000 \
    --network=your-network-name \
    --action=ALLOW \
    --rules=protocol:port \
    --source-ranges=ip-range \
    --target-tags=instance-network-tag

如需详细了解如何创建防火墙规则,请参阅创建防火墙规则

连接到 Bare Metal 服务器

Bare Metal 解决方案环境中的服务器不会预配外部 IP 地址。

在创建防火墙规则以允许流量从 Bare Metal 解决方案环境进入您的 VPC 网络后,您可以使用跳转主机虚拟机实例连接到服务器。

在 Google Cloud 上创建跳转主机虚拟机实例

如需快速连接到您的 Bare Metal 服务器,请创建一个 Compute Engine 虚拟机 (VM) 作为 Jump 主机。在与 Bare Metal 解决方案环境相同的 Google Cloud 区域中创建虚拟机。

如果您需要更安全的连接方法,请参阅通过堡垒主机进行连接

如需创建跳转主机虚拟机实例,请根据您在 Bare Metal 解决方案环境中使用的操作系统选择以下说明。

如需详细了解如何创建 Compute Engine 虚拟机实例,请参阅创建和启动虚拟机实例

Linux

创建虚拟机实例

  1. 在 Cloud Console 中,转到虚拟机实例页面:

    转到“虚拟机实例”页面

  2. 点击创建实例

  3. 名称字段中,指定虚拟机实例的名称。

  4. 地区下,选择 Bare Metal 解决方案环境的地区。

  5. 启动磁盘部分,点击更改

    1. 操作系统字段中,选择要在 Bare Metal 解决方案服务器上使用的 Linux 操作系统。
    2. 版本字段中,选择操作系统版本。
  6. 点击管理、安全、磁盘、网络、单独租用以展开该部分。

  7. 点击网络以显示网络选项。

    • (可选)在网络标记下,为实例定义一个或多个网络标记。
    • 网络接口下,确认显示了正确的 VPC 网络。
  8. 点击创建

实例启动会需要一些时间,请稍等片刻。准备就绪后,实例会列在虚拟机实例页面上,并带有绿色状态图标。

连接到跳转主机

  1. 如果您需要创建防火墙规则以允许访问跳转主机虚拟机实例,请参阅防火墙设置

  2. 在 Cloud Console 中,转到虚拟机实例页面:

    转到“虚拟机实例”页面

  3. 在虚拟机实例列表中,点击跳转主机所在行中的 SSH。

    “虚拟机实例”页面中的跳转主机行突出显示 SSH 按钮

您现在具有一个含跳转主机虚拟机实例的终端窗口,您可以在该窗口中使用 SSH 连接到 Bare Metal 服务器。

首次登录 Bare Metal 解决方案服务器

Linux

  1. 连接到跳转主机虚拟机实例

  2. 在跳转主机上,打开命令行终端并确认您可以访问裸金属 解决方案服务器:

    ping bare-metal-ip-address

    如果 ping 失败,请检查并更正以下内容:

  3. 从跳转主机虚拟机实例,使用 customeradmin 用户 ID 和服务器的 IP 地址,通过 SSH 连接到裸金属解决方案服务器:

    ssh customeradmin@bare-metal-ip
  4. 出现提示时,输入 Google Cloud 向您提供的密码。

  5. 首次登录时,您需要更改裸金属解决方案服务器的密码。

  6. 设置新密码并将其存储在安全的位置。重置密码后,服务器会自动退出您的登录。

  7. 使用 customeradmin 用户 ID 和新密码重新登录裸金属解决方案服务器:

    ssh customeradmin@bare-metal-ip
  8. 我们建议您同时更改根用户密码。首先以根用户身份登录:

    sudo bash
  9. 如需更改根密码,请发出 passwd 命令并按照提示进行操作:

    passwd
  10. 如需返回 customeradmin 用户提示,请退出根用户提示:

    exit
  11. 请务必将密码存储在安全的位置,以供恢复使用。

  12. 确认您的服务器配置与订单相匹配。需要检查的事项包括:

    • 服务器配置,包括 CPU 的数量和类型、插口和内存。
    • 操作系统或 Hypervisor 软件,包括供应商和版本。
    • 存储空间,包括类型和数量。

访问网络服务、Google Cloud 服务或公共互联网

Bare Metal 解决方案不提供对 Google Cloud 服务、网络服务或互联网的访问权限。您可以选择多个选项来实施访问,具体取决于您的业务要求、现有基础架构等各种因素。以下几个部分介绍一些选项。

访问互联网

用于访问互联网的一些选项包括:

  • 通过 NAT 网关路由传出流量。
  • 通过充当代理服务器的 Compute Engine 虚拟机路由流量。
  • 通过 Cloud VPN 或专用互连将流量路由到本地网关,再到互联网。

在 Compute Engine 虚拟机上设置 NAT 网关

以下说明介绍了如何在 Compute Engine 虚拟机上设置 NAT 网关,以将 Bare Metal 解决方案环境中的服务器连接到互联网,用于接收软件更新。

这些说明使用 VPC 网络的默认互联网网关访问互联网。

以下说明中显示的 Linux 命令适用于 Debian 操作系统。如果您使用不同的操作系统,则需要使用的命令也可能不同。

在 Bare Metal 解决方案环境使用的 VPC 网络中,执行以下步骤:

  1. 打开 Cloud Shell:

    转到 Cloud Shell

  2. 创建并配置 Compute Engine 虚拟机以充当 NAT 网关。

    1. 创建一个虚拟机:

      gcloud compute instances create instance-name \
        --machine-type=machine-type-name \
        --network vpc-network-name \
        --subnet=subnet-name \
        --can-ip-forward \
        --zone=your-zone \
        --image-family=os-image-family-name \
        --image-project=os-image-project \
        --tags=natgw-network-tag
        --service-account=optional-service-account-email
      

      在后续步骤中,您将使用在此步骤中定义的网络标记来将流量路由到此虚拟机。

      如果您未指定服务帐号,请移除 --service-account= 标志。Compute Engine 使用项目的默认服务帐号。

    2. 通过 SSH 连接到虚拟机并配置 iptables

      $ sudo sysctl -w net.ipv4.ip_forward=1
      $ sudo iptables -t nat -A POSTROUTING \
         -o $(/sbin/ifconfig | head -1 | awk -F: {'print $1'}) -j MASQUERADE
      

      第一条 sudo 命令告诉内核,您希望允许 IP 转发。第二条 sudo 命令伪装从内部实例接收到的数据包,就像这些数据包是从 NAT 网关实例发送的一样。

    3. 检查 iptables:

      $ sudo iptables -v -L -t nat
    4. 要在重新启动后保留 NAT 网关设置,请在 NAT 网关虚拟机上执行以下命令:

      $ sudo -i
      
      $ echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/20-natgw.conf
      
      $ apt-get install iptables-persistent
      
      $ exit
      
  3. 在 Cloud Shell 中,创建通往 0.0.0.0/0 的路由,其中使用默认互联网网关作为下一个跃点。指定您在上一步的 --tags 参数中定义的网络标记。为路由分配高于任何其他默认路由的优先级。

    gcloud compute routes create default-internet-gateway-route-name \
        --destination-range=0.0.0.0/0 \
        --network=network-name \
        --priority=800 \
        --tags=natgw-network-tag \
        --next-hop-gateway=default-internet-gateway
    
  4. 将刚创建的网络标记添加到 VPC 网络中需要访问互联网的任何现有虚拟机,以便在创建 Bare Metal 解决方案机器也可以使用的新默认路由后,它们可以继续访问互联网。

  5. 可选:移除您在上一步中创建的路由之前存在的互联网路由,包括默认情况下创建的路由。

  6. 确认您网络中的任何现有虚拟机和 NAT 网关虚拟机都可以通过从每个虚拟机 ping 某个公共 IP 地址(如 8.8.8.8)、Google DNS 来访问互联网。

  7. 创建通往 0.0.0.0/0 的默认路由,其中将 NAT 网关虚拟机用作下一个跃点。将该路由的优先级设置为低于为创建的第一个路由指定的优先级。

    gcloud compute routes create natgw-route-name \
        --destination-range=0.0.0.0/0 \
        --network=network-name \
        --priority=900 \
        --next-hop-instance=natgw-vm-name \
        --next-hop-instance-zone=natgw-vm-zone
    
  8. 登录 Bare Metal 解决方案服务器,并 ping 公共 IP 地址,以确认它们可以访问互联网。

    如果 ping 失败,请确保您已创建允许从 Bare Metal 解决方案环境访问您的 VPC 网络的防火墙规则。

设置对 Google Cloud API 和服务的访问权限

您可以从 Bare Metal 解决方案环境以私密方式访问 Google Cloud API 和服务。

您可以在 Bare Metal 解决方案环境中设置对 Google Cloud API 和服务的私有访问权限,就像在本地环境中一样。按照为本地主机配置专用 Google 访问通道中针对本地环境的说明执行操作。

这些说明将指导您完成以下简要步骤:

  1. 为 Google API 流量配置路由
  2. 在任何 Bare Metal 解决方案防火墙中配置防火墙规则,以允许将流量传出到受限 Google API IP 地址范围。
  3. 配置 Bare Metal 解决方案 DNS,以将作为 CNAME*.googleapis.com 解析为 restricted.googleapis.com

后续步骤

设置 Bare Metal 解决方案环境后,您可以安装工作负载。

如果您计划在 Bare Metal 解决方案环境中的机器上运行 Oracle 数据库,则可以使用开源的 Bare Metal 解决方案工具包来安装 Oracle 软件。