设置 Google Cloud 以与您的裸金属解决方案环境搭配使用
当裸金属解决方案环境准备就绪后,Google Cloud 会通知您。该通知包含新服务器的内部 IP 地址。
以下说明介绍如何执行以下任务,这些任务需要连接到裸金属解决方案环境:
- 为裸金属解决方案环境创建冗余 VLAN 连接。
- 在您的 VPC 网络中创建一个跳转主机虚拟机实例。
- 使用 SSH 或 RDP 从该跳转主机虚拟机实例登录您的裸金属解决方案服务器。
连接到服务器后,验证裸金属解决方案订单的配置。
准备工作
要连接到和配置裸金属解决方案环境,您需要:
- 启用了结算功能的 Google Cloud 项目。您可以在 Google Cloud 控制台中的项目选择器页面上创建项目。
- Virtual Private Cloud (VPC) 网络。这是您订购裸金属解决方案时命名的 VPC 网络。如果您需要创建 VPC 网络,请参阅使用 VPC 网络。
- 裸金属解决方案准备就绪后 Google Cloud 提供的以下信息:
- Bare Metal 服务器的 IP 地址。
- 每台 Bare Metal 服务器的临时密码。
为 Cloud Interconnect 连接创建 VLAN 连接
如需访问裸金属解决方案服务器,您需要在服务器所在的区域中创建 VLAN 连接,并预先激活它们。创建 VLAN 连接时,系统会生成您需要与 Google Cloud 共享的配对密钥。Google Cloud 会使用这些配对密钥激活裸金属解决方案环境与 VPC 网络之间的连接。
VLAN 连接(也称为 InterconnectAttachments)会在合作伙伴互连连接上分配 VLAN。
目前,单个裸金属解决方案互连 VLAN 连接支持最高速度 10 Gbps。如需在 VPC 网络中实现更高的吞吐量,您必须在 VPC 网络中配置多个连接。对于每个 BGP 会话,您应使用相同的 MED 值以允许流量在所有配置的互连连接上使用 ECMP。
控制台
如果您在用于裸金属解决方案的网络和区域中没有 Cloud Router 实例,则需要为每个 VLAN 连接创建一个。创建路由器时,请将
16550指定为每个 Cloud Router 的 ASN。如需查看说明,请参阅创建 Cloud Router。
转到 Google Cloud 控制台中的 Cloud Interconnect“VLAN 连接”标签页。
转到“VLAN 连接”标签页点击 Google Cloud 控制台顶部的创建 VLAN 连接。
选择合作伙伴互连以创建合作伙伴 VLAN 连接,然后点击继续。
点击我已经有服务提供方。
选择创建具备冗余性的一对 VLAN。两个连接都可以处理流量,且您可以将流量路由到它们之间的负载平衡。如果一个连接发生故障(例如在计划性维护期间),则另一个连接会继续处理流量。如需了解详情,请参阅合作伙伴互连概览页面中的“冗余”部分。
对于网络和地区字段,选择将与您的连接相连的 VPC 网络和 Google Cloud 地区。
指定每个 VLAN 连接的详细信息。
- Cloud Router - 与此连接相关联的 Cloud Router。
- 您只能在所选 VPC 网络和区域中选择 ASN 为
16550的 Cloud Router 路由器。 - 每个连接只能分配一个 Cloud Router。一对 VLAN 连接需要两个 Cloud Router。
- 您只能在所选 VPC 网络和区域中选择 ASN 为
- VLAN 连接名称 - 每个连接的名称。这些名称显示在 Google Cloud 控制台中,供 Google Cloud CLI 用于引用连接,例如
my-attachment-1和my-attachment-2。 - 说明 - 有关每个 VLAN 连接的信息。
- 最大传输单元 (MTU) - 网络传输的数据包大小上限。默认大小为 1440。
- Cloud Router - 与此连接相关联的 Cloud Router。
点击创建以创建连接,此过程需要一些时间才能完成。
创建完成后,复制配对密钥。密钥包括字母数字代码、地区名称和网络可用性区域编号,例如
/1或/2。您将与 Google Cloud 共享这些密钥。通过选择启用来预先激活两个连接。预先激活连接后,它们会在 Google Cloud 完成裸金属解决方案配置后立即开始传输流量。
点击确定以查看 VLAN 连接的列表。
在 Google Cloud 通知您裸金属解决方案服务器已准备就绪后,转到 Google Cloud 控制台中的 VLAN 连接标签页。
转到“VLAN 连接”标签页查找
Status列,该列应显示为连接的Up。如果连接状态显示为Down,请按以下方式启用连接:- 点击第一个 VLAN 连接的名称以查看其详情页面。
- 点击启用。
- 点击 VLAN 连接详情,返回主 VLAN 连接标签页。
- 点击第二个 VLAN 连接的名称查看其详情页面。
- 点击启用。
gcloud
如果您在用于裸金属解决方案的网络和区域中没有 Cloud Router 实例,则为每个 VLAN 连接创建一个。使用
16550作为 ASN 编号:gcloud compute routers create router-name \ --network vpc-network-name \ --asn 16550 \ --region region
如需了解详情,请参阅创建 Cloud Router。
创建类型为
PARTNER的InterconnectAttachment,并指定 Cloud Router 的名称以及 VLAN 连接的边缘可用性网域 (EAD)。此外,添加--admin-enabled标志以预先激活连接,并在 Google Cloud 完成裸金属解决方案配置后立即发送流量。gcloud compute interconnects attachments partner create first-attachment-name \ --region region \ --router first-router-name \ --edge-availability-domain availability-domain-1 \ --admin-enabled
gcloud compute interconnects attachments partner create second-attachment-name \ --region region \ --router second-router-name \ --edge-availability-domain availability-domain-2 \ --admin-enabled
Google Cloud 会在 Cloud Router 上自动添加接口和 BGP 对等端。连接会生成配对密钥,稍后您将与 Google Cloud 共享该密钥。
以下示例会创建冗余连接,一个位于 EAD
availability-domain-1中,另一个位于 EADavailability-domain-2中。每个连接都与单独的 Cloud Router(分别为my-router-1和my-router-2)相关联。这两者都在us-central1地区中。gcloud compute interconnects attachments partner create my-attachment \ --region us-central1 \ --router my-router-1 \ --edge-availability-domain availability-domain-1 \ --admin-enabled
gcloud compute interconnects attachments partner create my-attachment \ --region us-central1 \ --router my-router-2 \ --edge-availability-domain availability-domain-2 \ --admin-enabled
描述连接,以检索其配对密钥。您在打开更改请求以创建与裸金属解决方案环境的连接后,将与 Google Cloud 共享密钥。
gcloud compute interconnects attachments describe my-attachment \ --region us-central1
adminEnabled: false edgeAvailabilityDomain: AVAILABILITY_DOMAIN_1 creationTimestamp: '2017-12-01T08:29:09.886-08:00' id: '7976913826166357434' kind: compute#interconnectAttachment labelFingerprint: 42WmSpB8rSM= name: my-attachment pairingKey: 7e51371e-72a3-40b5-b844-2e3efefaee59/us-central1/1 region: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1 router: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1/routers/my-router selfLink: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1/interconnectAttachments/my-attachment state: PENDING_PARTNER type: PARTNER
pairingKey字段包含您需要复制并与服务提供商共享的配对密钥。在配置您的 VLAN 连接之前,应将配对密钥视为敏感信息。- 在 Google Cloud 完成 VLAN 连接配置之前,VLAN 连接的状态为
PENDING_PARTNER。之后连接状态将为INACTIVE或ACTIVE,具体取决于您是否预先激活连接。
当从 Google Cloud 请求连接时,您必须为两个连接选择相同的都市圈(城市),这样才能实现冗余。如需了解详情,请参阅合作伙伴互连概览页面中的“冗余”部分。
如果 Google Cloud 完成裸金属解决方案订单后 VLAN 连接没有启动,请激活每个 VLAN 连接:
gcloud compute interconnects attachments partner update attachment-name \ --region region \ --admin-enabled
您可以在 Cloud 控制台中查看 Cloud Router 和通告路由的状态。如需了解详情,请参阅查看路由器状态和通告路由。
设置裸金属解决方案和 Google Cloud 之间的路由
您的 VLAN 连接激活后,您的 BGP 会话就会启动,Bare Metal Solution 环境的路由会通过 BGP 会话接收。
为 BGP 会话添加一个默认 IP 范围的自定义通告
如需为来自裸金属解决方案环境的流量设置路由,建议您在 BGP 会话上将默认路由的自定义通告(例如 0.0.0.0/0)添加到裸金属解决方案环境。
如需在现有 BGP 会话中指定通告,请执行以下操作:
控制台
- 转到 Google Cloud 控制台中的“Cloud Router 路由器”页面。
Cloud Router 路由器列表 - 选择待更新 BGP 会话所属的 Cloud Router 路由器。
- 在 Cloud Router 路由器的详情页面中,选择要更新的 BGP 会话。
- 在 BGP 会话详情页面中,选择修改。
- 对于路由,选择创建自定义路由。
- 选择添加自定义路由以添加通告路由。
- 配置路由通告。
- 来源 - 选择自定义 IP 范围以指定自定义 IP 范围。
- IP 地址范围 - 使用 CIDR 表示法指定自定义 IP 范围。
- 描述 - 添加描述以帮助标识此路由通告的用途。
- 添加完路由后,选择保存。
gcloud
您可以将其添加到现有自定义通告,也可以设置新客户通告,该通告使用新的通告取代现有自定义通告。
如要为默认 IP 范围设置新的自定义通告,请使用 --set-advertisement-ranges 标志:
gcloud compute routers update-bgp-peer router-name \ --peer-name bgp-session-name \ --advertisement-mode custom \ --set-advertisement-ranges 0.0.0.0/0
如需将默认 IP 范围附加到现有 IP 范围,请使用 --add-advertisement-ranges 标志。请注意,您必须将 Cloud Router 路由器的通告模式设置为 custom 才能使用此标志。以下示例展示了如何将 0.0.0.0/0 自定义 IP 添加到 Cloud Router 路由器的通告中:
gcloud compute routers update-bgp-peer router-name \ --peer-name bgp-session-name \ --add-advertisement-ranges 0.0.0.0/0
(可选)将 VPC 网络动态路由模式设置为 global
如果您在两个不同区域中存在裸金属解决方案服务器,请考虑在 VPC 网络上启用全局路由模式,以使您的裸金属解决方案区域直接通过 VPC 网络相互通信。
还需要全局路由模式,以在连接到一个 Google Cloud 区域的本地环境和另一个 Google Cloud 区域的裸金属解决方案环境之间进行通信。
如需设置全局路由模式,请参阅设置 VPC 网络动态路由模式。
VPC 防火墙设置
新的 VPC 网络具有活跃的默认防火墙规则,用于限制 VPC 网络中的大多数流量。
要连接到裸金属解决方案环境,必须在以下各项之间启用网络流量:
- 裸金属解决方案环境和 Google Cloud 上的网络目标。
- 您的本地环境和 Google Cloud 上的资源,例如可用于连接到裸金属解决方案环境的任何跳转主机虚拟机实例。
在裸金属解决方案环境中,如果您需要控制 Bare Metal 服务器之间或 Google Cloud 上的服务器和目的地之间的网络流量,则需要自行实现控制机制。
如需在 Google Cloud 的 VPC 网络中创建防火墙规则,请执行以下操作:
控制台
转到防火墙规则页面:
点击创建防火墙规则。
定义防火墙规则。
- 为防火墙规则命名。
- 在网络字段中,选择您的虚拟机所在的网络。
- 在目标字段中,指定指定的目标标记或指定的服务账号。
- 在相应字段中指定目标网络标记或服务账号。
- 在来源过滤条件字段中,指定 IP 地址范围以允许裸金属解决方案环境传入的流量。
- 在来源 IP 地址范围字段中,指定裸金属解决方案环境中服务器或设备的 IP 地址。
- 在协议和端口部分中,指定您的环境所需的协议和端口。
- 点击创建。
gcloud
以下命令将创建使用 IP 地址范围定义来源并使用实例的网络标记定义目标的防火墙规则。根据需要为环境修改命令。
gcloud compute firewall-rules create rule-name \ --project=your-project-id \ --direction=INGRESS \ --priority=1000 \ --network=your-network-name \ --action=ALLOW \ --rules=protocol:port \ --source-ranges=ip-range \ --target-tags=instance-network-tag
如需详细了解如何创建防火墙规则,请参阅创建防火墙规则。
连接到 Bare Metal 服务器
裸金属解决方案环境中的服务器不会预配外部 IP 地址。
在创建防火墙规则以允许流量从裸金属解决方案环境进入您的 VPC 网络后,您可以使用跳转主机虚拟机实例连接到服务器。
在 Google Cloud 上创建跳转主机虚拟机实例
如需快速连接到您的 Bare Metal 服务器,请创建一个 Compute Engine 虚拟机 (VM) 作为 Jump 主机。在与裸金属解决方案环境相同的 Google Cloud 区域中创建虚拟机。
如果您需要更安全的连接方法,请参阅使用堡垒主机进行连接。
如需创建跳转主机虚拟机实例,请根据您在裸金属解决方案环境中使用的操作系统选择以下说明。
如需详细了解如何创建 Compute Engine 虚拟机实例,请参阅创建和启动虚拟机实例。
Linux
创建虚拟机实例
在 Google Cloud 控制台中,转到虚拟机实例页面:
点击创建实例。
在名称字段中,指定虚拟机实例的名称。
在地区下,选择裸金属解决方案环境的地区。
在启动磁盘部分,点击更改。
- 在操作系统字段中,选择所需的操作系统。
- 在版本字段中,选择操作系统版本。
点击管理、安全、磁盘、网络、单独租用以展开该部分。
点击网络以显示网络选项。
- (可选)在网络标记下,为实例定义一个或多个网络标记。
- 在网络接口下,确认显示了正确的 VPC 网络。
点击创建。
实例启动会需要一些时间,请稍等片刻。准备就绪后,实例会列在虚拟机实例页面上,并带有绿色状态图标。
连接到跳转主机虚拟机实例
如果您需要创建防火墙规则以允许访问跳转主机虚拟机实例,请参阅防火墙设置。
在 Google Cloud 控制台中,转到虚拟机实例页面:
在虚拟机实例列表中,点击跳转主机所在行中的 SSH。
您现在具有一个含跳转主机虚拟机实例的终端窗口,您可以在该窗口中使用 SSH 连接到 Bare Metal 服务器。
首次登录裸金属解决方案服务器
Linux
在跳转主机虚拟机实例上,打开命令行终端并确认您可以访问裸金属解决方案服务器:
ping bare-metal-ip
如果 ping 失败,请检查并更正以下内容:
- VLAN 连接处于活跃状态,
Status为Up。参见为 Cloud Interconnect 连接创建 VLAN 连接。 - 您的 VLAN 连接包含
0.0.0.0/0的自定义路由通告。参见为 BGP 会话添加一个默认 IP 范围的自定义通告 - 您的 VPC 包含防火墙规则,该规则允许从您在裸金属解决方案环境中使用的 IP 范围内进行访问,以便与 Google Cloud 环境进行通信。请参阅 VPC 防火墙设置。
- VLAN 连接处于活跃状态,
从跳转主机虚拟机实例,使用
customeradmin用户 ID 和服务器的 IP 地址,通过 SSH 连接到裸金属解决方案服务器:ssh customeradmin@bare-metal-ip
出现提示时,输入 Google Cloud 向您提供的密码。
首次登录时,您需要更改裸金属解决方案服务器的密码。
设置新密码并将其存储在安全的位置。重置密码后,服务器会自动退出您的登录。
使用
customeradmin用户 ID 和新密码重新登录裸金属解决方案服务器:ssh customeradmin@bare-metal-ip
我们建议您同时更改根用户密码。首先以根用户身份登录:
sudo su -
如需更改根密码,请发出
passwd命令并按照提示进行操作:passwd
如需返回
customeradmin用户提示,请退出根用户提示:exit
请务必将密码存储在安全的位置,以供恢复使用。
确认您的服务器配置与订单相匹配。需要检查的事项包括:
- 服务器配置,包括 CPU 的数量和类型、插口和内存。
- 操作系统或 Hypervisor 软件,包括供应商和版本。
- 存储空间,包括类型和数量。
设置对公共互联网的访问权限
裸金属解决方案无法访问互联网。您可以根据业务要求和现有基础架构等各种因素,选择以下方法来设置访问权限:
- 使用 Compute Engine 虚拟机作为代理服务器虚拟机服务器访问互联网。
通过充当代理服务器的 Compute Engine 虚拟机路由流量。
您可以通过以下方式使用 Compute Engine 虚拟机来路由流量:
通过 Cloud VPN 或专用互连将流量路由到本地网关,再到互联网。
使用 Compute Engine 虚拟机和 Cloud NAT 访问互联网
以下说明介绍了如何在 Compute Engine 虚拟机上设置 NAT 网关,以将裸金属解决方案环境中的服务器连接到互联网,用于接收软件更新。
这些说明使用 VPC 网络的默认互联网网关访问互联网。
以下说明中显示的 Linux 命令适用于 Debian 操作系统。如果您使用不同的操作系统,则需要使用的命令也可能不同。
在裸金属解决方案环境使用的 VPC 网络中,执行以下步骤:
打开 Cloud Shell:
创建并配置 Compute Engine 虚拟机以充当 NAT 网关。
创建一个虚拟机:
gcloud compute instances create instance-name \ --machine-type=machine-type-name \ --network vpc-network-name \ --subnet=subnet-name \ --can-ip-forward \ --zone=your-zone \ --image-family=os-image-family-name \ --image-project=os-image-project \ --tags=natgw-network-tag \ --service-account=optional-service-account-email
在后续步骤中,您将使用在此步骤中定义的网络标记来将流量路由到此虚拟机。
如果您未指定服务账号,请移除
--service-account=标志。Compute Engine 使用项目的默认服务账号。创建用于访问虚拟机互联网的 Cloud NAT
有关如何为虚拟机创建 Cloud NAT 的说明 - 点击此处
通过 SSH 连接到 NAT 网关虚拟机并配置 iptables:
$ sudo sysctl -w net.ipv4.ip_forward=1$ sudo iptables -t nat -A POSTROUTING \ -o $(/bin/ip -o -4 route show to default | awk '{print $5}') -j MASQUERADE第一条 sudo 命令告诉内核,您希望允许 IP 转发。第二条 sudo 命令伪装从内部实例接收到的数据包,就像这些数据包是从 NAT 网关实例发送的一样。
检查 iptables:
$ sudo iptables -v -L -t nat要在重新启动后保留 NAT 网关设置,请在 NAT 网关虚拟机上执行以下命令:
$ sudo -i$ echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/70-natgw.conf$ apt-get install iptables-persistent$ exit
在 Cloud Shell 中,创建通往
0.0.0.0/0的路由,其中使用默认互联网网关作为下一个跃点。指定您在上一步的--tags参数中定义的网络标记。为路由分配高于任何其他默认路由的优先级。gcloud compute routes create default-internet-gateway-route-name \ --destination-range=0.0.0.0/0 \ --network=network-name \ --priority=800 \ --tags=natgw-network-tag \ --next-hop-gateway=default-internet-gateway
将刚创建的网络标记添加到 VPC 网络中需要访问互联网的任何现有虚拟机,以便在创建裸金属解决方案机器也可以使用的新默认路由后,它们可以继续访问互联网。
可选:移除您在上一步中创建的路由之前存在的互联网路由,包括默认情况下创建的路由。
确认网络中的任何现有虚拟机以及 NAT 网关虚拟机都可以从每个虚拟机 ping 外部 IP 地址(例如 8.8.8.8、Google DNS)来访问互联网。
创建通往
0.0.0.0/0的默认路由,其中将 NAT 网关虚拟机用作下一个跃点。将该路由的优先级设置为低于为创建的第一个路由指定的优先级。gcloud compute routes create natgw-route-name \ --destination-range=0.0.0.0/0 \ --network=network-name \ --priority=900 \ --next-hop-instance=natgw-vm-name \ --next-hop-instance-zone=natgw-vm-zone
登录裸金属解决方案服务器并 ping 外部 IP 地址,以确认它们可以访问互联网。
如果 ping 失败,请确保您已创建允许从裸金属解决方案环境访问您的 VPC 网络的防火墙规则。
使用冗余 Compute Engine 虚拟机、Cloud NAT、内部直通式网络负载平衡器和基于政策的路由访问互联网
本部分介绍如何设置内部直通式网络负载平衡器,将 Compute Engine 虚拟机和 Cloud NAT 配置为后端。基于政策的路由会将互联网流量转发到内部直通式网络负载平衡器的前端。
下图展示了此设置。
在裸金属解决方案环境的 VPC 网络中,执行以下步骤:
创建并配置 Compute Engine 虚拟机和 Cloud NAT,以充当 NAT 网关。完成方法 1:使用单个 Compute Engine 虚拟机和 Cloud NAT 中所述的步骤。
轻量级 HTTP 服务器可用于对内部直通式网络负载平衡器执行健康检查。
# Installing http server sudo yum install httpd sudo systemctl restart httpd # Testing curl http://127.0.0.1:80创建实例组。
gcloud compute instance-groups unmanaged create INSTANCE_GROUP_NAME --project=PROJECT_ID --zone=ZONE替换以下内容:
- INSTANCE_GROUP_NAME:实例组的名称
- PROJECT_ID:项目的 ID
- ZONE:要在其中创建实例组的地区
将虚拟机添加到该实例组。
gcloud compute instance-groups unmanaged add-instances INSTANCE_GROUP_NAME --project=PROJECT_ID --zone=ZONE --instances=VM_NAME替换以下内容:
- INSTANCE_GROUP_NAME:实例组的名称
- PROJECT_ID:项目的 ID
- ZONE:要在其中创建实例组的地区
- VM_NAME:虚拟机的名称
创建内部直通式网络负载平衡器:
开始配置
在 Google Cloud 控制台中,转到负载均衡页面。
- 点击创建负载均衡器。
- 对于负载均衡器的类型,选择网络负载均衡器 (TCP/UDP/SSL),然后点击下一步。
- 对于代理或直通,选择直通式负载均衡器,然后点击下一步。
- 在公共或内部字段中,选择内部,然后点击下一步。
- 点击配置。
基本配置
- 设置负载平衡器名称。
- 选择区域。
- 选择网络。
配置后端和前端
点击后端配置 并进行以下更改:
- 如需添加后端,请执行以下操作:
- 在新后端下,若要仅处理 IPv4 流量,请选择 IPv4(单栈)作为 IP 栈类型。
- 选择您的实例组,然后点击完成。
选择一项健康检查。您也可以创建健康检查,输入以下信息,然后点击保存:
- 名称:输入健康检查的名称。
- 协议:
HTTP - 端口:
80 - 代理协议:
NONE - 请求路径:
/
- 如需添加后端,请执行以下操作:
点击前端配置。在新建前端 IP 和端口部分,进行以下更改:
- 端口:选择全部,然后输入
80,8008,8080,8088作为端口号。 - 点击完成。
- 端口:选择全部,然后输入
点击检查并最终确定。
查看负载均衡器配置设置。
点击创建。
为互联网创建基于政策的路由。
gcloud network-connectivity policy-based-routes create ROUTE_NAME \ --source-range=SOURCE_RANGE \ --destination-range=0.0.0.0/0 \ --ip-protocol=ALL \ --network="projects/PROJECT_ID/global/networks/NETWORK" \ --next-hop-ilb-ip=NEXT_HOP \ --description="DESCRIPTION" \ --priority=PRIORITY \ --interconnect-attachment-region=REGION替换以下内容:
- ROUTE_NAME:基于政策的路由的名称
- SOURCE_RANGE:来源 IP CIDR 范围。在本示例中,这是裸金属解决方案的 IP 地址。
- PROJECT_ID:项目的 ID
- NETWORK:应用基于政策的路由的网络
- NEXT_HOP:路由的下一个跃点的 IPv4 地址。在这种情况下,这是内部直通式网络负载平衡器前端的 IP 地址。
- DESCRIPTION:路由的说明
- PRIORITY:基于政策的路由相较于其他基于政策的路由的优先级
- REGION:VLAN 连接所在的区域
创建基于政策的路由,以跳过本地子网和本地子网基于互联网政策的路由。
gcloud network-connectivity policy-based-routes create ROUTE_NAME \ --source-range=SOURCE_RANGE/32 \ --destination-range=DESTINATION_RANGE \ --ip-protocol=ALL \ --network="projects/PROJECT_ID/global/networks/VPC_NAME" \ --next-hop-other-routes="DEFAULT_ROUTING" \ --description="DESCRIPTION" \ --priority=PRIORITY \ --interconnect-attachment-region=REGION替换以下内容:
- ROUTE_NAME:基于政策的路由的名称
- SOURCE_RANGE:来源 IP CIDR 范围。在本示例中,这是裸金属解决方案的 IP 地址。
- DESTINATION_RANGE:目标 IP CIDR 范围。在本例中,这是指本地子网或本地子网。
- PROJECT_ID:项目的 ID
- VPC_NAME:VPC 网络的名称
- DESCRIPTION:路由的说明
- PRIORITY:基于政策的路由相较于其他基于政策的路由的优先级。此基于政策的路由的优先级必须小于或等于互联网的基于政策的路由。
- REGION:VLAN 连接所在的区域
更新防火墙以允许虚拟机上的 HTTP 端口 80。
如果您不更新防火墙,健康检查可能会失败。
使用冗余 Compute Engine 虚拟机、Cloud NAT、内部直通式网络负载平衡器,以及独立 VPC 中基于政策的路由来访问互联网
如果您不想为本地子网添加基于政策的路由,可以使用此方法访问互联网。但是,如需使用此方法,您需要创建 VLAN 连接和 VPC 以连接裸金属解决方案。
下图展示了此设置。
请按照以下步骤操作:
为互联网创建 VPC 网络。
gcloud compute networks create NETWORK --project=PROJECT_ID --subnet-mode=custom --mtu=MTU --bgp-routing-mode=regional替换以下内容:
- NETWORK:VPC 网络的名称。
- PROJECT_ID:项目的 ID
- MTU:最大传输单元 (MTU),即网络的最大数据包大小
创建子网。
gcloud compute networks subnets create SUBNET_NAME --project=PROJECT_ID --range=RANGE --stack-type=IPV4_ONLY --network=NETWORK --region=REGION替换以下内容:
- SUBNET_NAME:子网的名称
- PROJECT_ID:项目的 ID
- RANGE:分配给此子网的 IP 空间(采用 CIDR 格式)
- NETWORK:子网所属的 VPC 网络
- REGION:子网的区域
创建两个 Cloud Router 路由器,以实现冗余和通告。
gcloud compute routers create ROUTER_NAME --project=PROJECT_ID --region=REGION --network=NETWORK --advertisement-mode=custom --set-advertisement-ranges=0.0.0.0/0替换以下内容:
- ROUTER_NAME:路由器的名称
- PROJECT_ID:项目的 ID
- REGION:路由器的区域
- NETWORK:此路由器的 VPC 网络
创建四个 VLAN 连接,每个 Cloud Router 路由器两个。
有关说明,请参阅创建 VLAN 连接。
VLAN 连接激活后,请按照方法 2:使用冗余 Compute Engine 虚拟机、Cloud NAT、内部直通式网络负载平衡器和基于政策的路由中的步骤配置互联网基础架构。但是,对于此设置,请勿为本地流量配置基于政策的路由。请仅在 VPC 网络的路由表中为互联网创建基于政策的路由。
设置对 Google Cloud API 和服务的访问权限
裸金属解决方案不提供对 Google Cloud 服务的访问权限。您可以根据各种因素(包括您的业务需求和现有基础架构)选择如何实现访问权限。
您可以从裸金属解决方案环境以私密方式访问 Google Cloud API 和服务。
您可以在裸金属解决方案环境中设置对 Google Cloud API 和服务的专用访问,方法与在本地环境中设置访问权限一样。
按照为本地主机配置专用 Google 访问通道中针对本地环境的说明执行操作。
这些说明将指导您完成以下简要步骤:
- 配置 Google API 流量的路由。
- 配置裸金属解决方案 DNS,以将作为
CNAME的*.googleapis.com解析为restricted.googleapis.com。
后续步骤
设置裸金属解决方案环境后,您可以安装工作负载。
如果您计划在裸金属解决方案环境中的机器上运行 Oracle 数据库,则可以使用开源的裸金属解决方案工具包来安装 Oracle 软件。