Crea el archivo de configuración

En esta página, se describe cómo crear el archivo de configuración de entrada que se usa para configurar el dispositivo aislado de Google Distributed Cloud (GDC).

Crea el archivo de configuración de entrada

1. El proceso de configuración del dispositivo usa un archivo YAML de entrada. Crea este archivo con el mismo formato exacto que el de la plantilla proporcionada. Los campos o las secciones que se indican como "Opcionales" se deben omitir, no dejar vacíos.

2. A continuación, se muestra un ejemplo de un archivo de configuración de entrada.

   bgp:
     dataASN: DATAPLANE_ASN
   interconnects:
     customerData:
       asn: CUSTOMER_ASN
       customerPeerSubnets:
       - ipFamily: UPLINK_IP_FAMILY_1
         ipv4:
           ip: UPLINK_IPV4_PEER_1
           subnet:
             gateway: UPLINK_IPV4_GW_1
             subnet: UPLINK_IPV4_NET_1
         # Optional: Only specify ipv6 for DualStack ipFamily
         ipv6:
           ip: UPLINK_IPV6_PEER_1
           subnet:
             gateway: UPLINK_IPV6_GW_1
             subnet: UPLINK_IPV6_NET_1
       - ipFamily: UPLINK_IP_FAMILY_2
         ipv4:
           ip: UPLINK_IPV4_PEER_2
           subnet:
             gateway: UPLINK_IPV4_GW_2
             subnet: UPLINK_IPV4_NET_2
         # Optional: Only specify ipv6 for DualStack ipFamily
         ipv6:
           ip: UPLINK_IPV6_PEER_2
           subnet:
             gateway: UPLINK_IPV6_GW_2
             subnet: UPLINK_IPV6_NET_2
   dns:
     delegatedSubdomain: DELEGATED_SUBDOMAIN
   externalCIDR:
     ipFamily: IP_FAMILY
     ipv4: EXTERNAL_NETWORK_IPV4
     ipv6: EXTERNAL_NETWORK_IPV6
   
   # Optional: External hardware security module (HSM) information
   externalHSM:
     primaryAddress:  EXTERNAL_HSM_PR_ADDR
     secondaryAddresses:
       - EXTERNAL_HSM_SE_ADDR
     caCert: EXTERNAL_HSM_CA_CERT
     clientCert: EXTERNAL_HSM_CLIENT_CERT
     clientKey: EXTERNAL_HSM_CLIENT_KEY
   
   # Optional: External IdP information
   externalIDP:
     name: EXTERNAL_IDP_NAME
     oidc:
       clientID: EXTERNAL_IDP_CLIENT_ID
       clientSecret: EXTERNAL_IDP_CLIENT_SECRET
       issuerURI: EXTERNAL_IDP_ISSUER_URI
       scopes: EXTERNAL_IDP_SCOPES
       userClaim: EXTERNAL_IDP_USER_CLAIM
       caCert: EXTERNAL_IDP_CA_DATA
     saml:
       idpEntityID: EXTERNAL_IDP_ENTITY_ID
       idpSingleSignOnURI: EXTERNAL_IDP_SSO_URI
       idpCertDataList: EXTERNAL_IDP_CERT_DATA
       userAttribute: EXTERNAL_IDP_USER_ATTRIBUTE
     initialAdmin: EXTERNAL_IDP_INITIAL_ADMIN
   

Información del Protocolo de Puerta de Enlace Fronteriza (BGP)

El Protocolo de Puerta de Enlace Fronteriza (BGP) intercambia información de enrutamiento con redes externas. Estas redes se identifican con números de sistema autónomo (ASN). Para garantizar la conectividad adecuada entre el dispositivo aislado de GDC y las redes externas, todos los valores de ASN deben ser únicos a nivel global.

1. DATAPLANE_ASN: Es el ASN asignado al plano de datos para la instancia del dispositivo aislado de GDC. Por ejemplo 65204.

2. CUSTOMER_ASN: Es el ASN asignado al plano de datos para la red del cliente. Por ejemplo, 4200002002.

Información de la vinculación ascendente

Las configuraciones de vínculo ascendente son conexiones de intercambio de tráfico que se usan para conectar externamente instancias de dispositivos aislados de GDC a otros servicios, como redes de clientes y otras instancias de dispositivos aislados de GDC. Estas configuraciones de vínculo ascendente y el cableado de una instancia de dispositivo aislada de GDC son importantes para garantizar la conectividad adecuada con la red externa.

1. Para cada vínculo ascendente necesario para el intercambio de tráfico del cliente a la instancia del dispositivo aislado de GDC, completa una sección de elemento de vínculo ascendente en el campo Subredes de intercambio de tráfico del cliente. Si el número que proporcionaste no coincide con la cantidad esperada de vínculos ascendentes (2), los vínculos ascendentes restantes se asignan desde la subred del plano de datos externo.
2. Para las vinculaciones, especifica lo siguiente:
   1. UPLINK_IP_FAMILY_1,UPLINK_IP_FAMILY_2: Especifica la subred de la familia de IP. Debe ser IPv4 o DualStack.
      1. Si seleccionas IPv4,
         1. UPLINK_IPV4_PEER_1 IP,UPLINK_IPV4_PEER_2 IP: Describe la dirección IP asignada en el puerto de enrutamiento. Si se deja en blanco, se tomará del bloque de subred del par.
         2. UPLINK_IPV4_NET_1, UPLINK_IPV4_NET_2: Ingresa el bloque de subred de la misma organización configurado en la red del cliente para la conexión de puerto y conmutador proporcionada. Esta es una subred de /31. Por ejemplo, 172.16.255.148/31.
         3. UPLINK_IPV4_GW_1,UPLINK_IPV4_GW_2: Ingresa la dirección IP que representa la dirección IP orientada al cliente en la subred de la entidad de /31. Por ejemplo, 172.16.255.148.
      2. Si seleccionas DualStack,
         1. UPLINK_IPV4_PEER_1 IP, UPLINK_IPV4_PEER_2 IP: Describe la dirección IPv4 asignada en el puerto de la ruta. Si se deja en blanco, se tomará del bloque de subred del par.
         2. UPLINK_IPV4_NET_1, UPLINK_IPV4_NET_2: Para IPv4, ingresa el bloque de subred de la entidad de par configurado en la red del cliente para la vinculación del puerto y el conmutador proporcionados. Esta es una subred de /31. Por ejemplo, 172.16.255.148/31.
         3. UPLINK_IPV4_GW_1,UPLINK_IPV4_GW_2: Para IPv4, ingresa la dirección IPv4 que representa la dirección IP orientada al cliente en la subred de la entidad de peer /31. Por ejemplo, 172.16.255.148.
         4. UPLINK_IPV6_PEER_1 IP,UPLINK_IPV6_PEER_2 IP: Describe la dirección IPv6 asignada en el puerto de enrutamiento. Si se deja en blanco, se tomará del bloque de subred del par.
         5. UPLINK_IPV6_NET_1,UPLINK_IPV6_NET_2: Para IPv6, ingresa el bloque de subred del par configurado en la red del cliente para la conexión de conmutador y puerto proporcionada. Esta es una subred de /127. Por ejemplo, FC00::/127.
         6. UPLINK_IPV6_GW_1,UPLINK_IPV6_GW_2: Para IPv6, ingresa la dirección IPv6 que representa la dirección IP orientada al cliente en la subred de la entidad de /127. Por ejemplo, FC00::.

Información del sistema de nombres de dominio (DNS)

1. DELEGATED_SUBDOMAIN: Ingresa el nombre del subdominio delegado por DNS para la instancia del dispositivo aislado de GDC desde el servidor DNS principal. Este nombre de dominio completamente calificado se usa como sufijo para los servicios de dispositivos aislados de GDC, como la administración de clústeres. El formato esperado es LOCATION.SUFFIX.

   Reemplaza lo siguiente:

   • LOCATION: Es el identificador de zona de la implementación del dispositivo aislado de GDC, como us-central1-a.
   • SUFFIX: Cualquier sufijo de DNS válido, como zone1.google.gdch.test o us-central1-a.gdch.customer

Red del plano de datos (CIDR externo)

1. Para la red de la familia de IP del plano de datos, especifica si la subred es IPv4 o DualStack. En la sección externalCIDR, reemplaza IP_FAMILY por IPv4 o DualStack.
   1. Si seleccionas IPv4, haz lo siguiente:
      1. Ingresa la dirección de red IPv4 con un tamaño mínimo de 23 para la red de plano de datos externa. Usa esta red para los servicios externos accesibles, como el servidor de la API de Management y las interfaces de almacenamiento. La dirección de red debe ser un bloque de IP continuo que esté preasignado en tu red. Por ejemplo, reemplaza EXTERNAL_NETWORK_IPV4 por 10.100.101.0/23.
   2. Si seleccionas DualStack,
      1. Ingresa la dirección de red IPv4 con un tamaño mínimo de 23 para la red de plano de datos externa. Usa esta red para los servicios externos accesibles, como el servidor de la API de Management y las interfaces de almacenamiento. La dirección de red debe ser un bloque de IP continuo que esté preasignado en tu red. Por ejemplo, reemplaza EXTERNAL_NETWORK_IPV4 por 10.100.101.0/23.
      2. Ingresa la dirección de red IPv6 con el tamaño mínimo de 64. Este bloque de IP se divide en dos, la primera mitad se usa como la red externa del plano de datos y la segunda mitad se usa como la red interna del plano de datos. Por ejemplo, reemplaza EXTERNAL_NETWORK_IPV6 por FC00::/64.

Opcional: Información del módulo de seguridad de hardware (HSM) externo

Los dispositivos HSM alojan claves de encriptación y realizan operaciones criptográficas con KMIP (protocolo de interoperabilidad de administración de claves). Puedes usar HSM con NetApp ONTAP Select (OTS) para el almacenamiento. Si deseas usar un servidor NTP externo, completa la sección externalHSM.

Antes de comenzar, primero configura la red del HSM.

1. EXTERNAL_HSM_PR_ADDR: Es la dirección del servicio KMIP principal. Sigue el formato (IP|DNS):Puerto. Si se omite el puerto, se usará el puerto predeterminado 5696.

   • En IP, ingresa la dirección de red IP del servicio de KMIP. Por ejemplo, 8.8.8.8:5696.
   • En Nombre de DNS, ingresa el nombre de dominio completamente calificado del servicio de KMIP. Por ejemplo, te.us-central1-a:5696.

2. EXTERNAL_HSM_SE_ADDR: Son las direcciones de los servicios de KMIP secundarios. Sigue el formato (IP|DNS):Puerto. Si se omite el puerto, se usará el puerto predeterminado 5696. Puedes especificar hasta 3 direcciones secundarias, separadas por comas.

3. EXTERNAL_HSM_CA_CERT: Ingresa el CACert. El certificado de la CA es el certificado firmado para el servicio de KMIP.

4. EXTERNAL_HSM_CLIENT_CERT: Ingresa el certificado del cliente para conectarte al HSM externo.

5. EXTERNAL_HSM_CLIENT_KEY: Ingresa la clave del cliente asociada con el certificado del cliente para conectarte al HSM externo.

Opcional: Conecta un proveedor de identidad

Puedes conectarte a tu propio proveedor de identidad (IdP) existente para la administración de identidades y accesos o, de manera alternativa, configurar un IdP de Keycloak integrado. Si deseas usar tu propio proveedor de identidad, completa la sección externalIDP.

1. Elige el tipo de proveedor de identidad al que te conectarás: OIDC (OpenID Connect) o SAML (lenguaje de marcado para confirmaciones de seguridad).
2. Si eliges un proveedor de OIDC, especifica los siguientes parámetros:
   1. EXTERNAL_IDP_NAME: Ingresa el nombre del IdP. El nombre que proporciones aquí es el alias de la identidad en el sistema.
   2. EXTERNAL_IDP_ISSUER_URI: Ingresa el URI de la entidad emisora. El URI del emisor debe apuntar al nivel dentro de .well-known/openid-configuration. Las aplicaciones cliente envían solicitudes de autorización a esta URL. El servidor de la API de Kubernetes usa esta URL para descubrir claves públicas para la verificación de tokens.
   3. EXTERNAL_IDP_CA_DATA: Ingresa un certificado codificado en PEM codificado en base64 para los datos de la autoridad certificadora del IdP. Para obtener más información, consulta https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail.
      1. Para crear la cadena, codifica el certificado, incluidos los encabezados, en base64.
      2. Incluye la cadena resultante como una sola línea. Ejemplo: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tC...k1JSUN2RENDQWFT==
   4. EXTERNAL_IDP_CLIENT_ID: Ingresa el ID de cliente de la aplicación cliente que realiza solicitudes de autenticación al IdP.
   5. EXTERNAL_IDP_CLIENT_SECRET: Ingresa el secreto del cliente, que es un secreto compartido entre tu IdP y el dispositivo aislado de GDC.
   6. EXTERNAL_IDP_USER_CLAIM: Ingresa el campo reclamo del usuario para identificar a cada usuario. Es el nombre de la reclamación en el token de ID de OIDC que contiene el nombre de usuario. Si falta este reclamo en el token de ID, los usuarios no podrán autenticarse. El reclamo predeterminado para muchos proveedores es sub. Puedes elegir otras reclamaciones, como email o name, según el proveedor de identidad. Las reclamaciones que no sean email tienen el prefijo de la URL de la entidad emisora para evitar conflictos de nombres.
   7. EXTERNAL_IDP_SCOPES: Si tu proveedor de identidad requiere permisos adicionales, ingresa una lista separada por comas de los permisos que se enviarán al IdP. Por ejemplo, Microsoft Azure y Okta requieren el permiso offline_access.
3. Si eliges un proveedor de SAML, especifica los siguientes parámetros:
   1. EXTERNAL_IDP_NAME: Ingresa el nombre del IdP. El nombre que proporciones aquí es el alias de la identidad en el sistema.
   2. EXTERNAL_IDP_ENTITY_ID: Ingresa el ID de la entidad del proveedor de SAML, especificado en un formato de URI, como https://www.idp.com/saml.
   3. EXTERNAL_IDP_SSO_URI: Ingresa el URI de SSO, que es el URI del extremo de SSO del proveedor de SAML, como https://www.idp.com/saml/sso.
   4. EXTERNAL_IDP_CERT_DATA: Ingresa una lista de los certificados de IdP que se usan para verificar la respuesta de SAML. Estos certificados deben estar codificados en Base64 estándar y tener el formato PEM. Se admite un máximo de dos certificados para facilitar la rotación de certificados del IdP.
   5. EXTERNAL_IDP_USER_ATTRIBUTE: Ingresa el atributo del usuario, que es el nombre del atributo en la respuesta de SAML que contiene el nombre de usuario. Si falta este atributo en la respuesta de SAML, falla la autenticación.

4. EXTERNAL_IDP_INITIAL_ADMIN: Para los proveedores de SAML y OIDC, ingresa la cuenta del administrador inicial. El administrador inicial es la primera cuenta a la que se le otorga acceso al sistema después de que se completa la instalación. El valor que ingreses debe coincidir con el tipo de reclamo, como una dirección de correo electrónico si el reclamo del usuario para un proveedor de OIDC se establece en email.

   Registra el nombre del administrador inicial, ya que necesitarás esta información para acceder al sistema por primera vez después de que se complete la instalación.