Crea il file di configurazione

Questa pagina descrive come creare il file di configurazione di input utilizzato per configurare l'appliance air-gap di Google Distributed Cloud (GDC).

Crea il file di configurazione dell'input

1. Il processo di configurazione dell'appliance utilizza un file YAML di input. Crea questo file nello stesso formato esatto del modello fornito. I campi o le sezioni indicati come "Facoltativo" devono essere omessi, non lasciati vuoti.

2. Di seguito è riportato un esempio di file di configurazione dell'input.

   bgp:
     dataASN: DATAPLANE_ASN
   interconnects:
     customerData:
       asn: CUSTOMER_ASN
       customerPeerSubnets:
       - ipFamily: UPLINK_IP_FAMILY_1
         ipv4:
           ip: UPLINK_IPV4_PEER_1
           subnet:
             gateway: UPLINK_IPV4_GW_1
             subnet: UPLINK_IPV4_NET_1
         # Optional: Only specify ipv6 for DualStack ipFamily
         ipv6:
           ip: UPLINK_IPV6_PEER_1
           subnet:
             gateway: UPLINK_IPV6_GW_1
             subnet: UPLINK_IPV6_NET_1
       - ipFamily: UPLINK_IP_FAMILY_2
         ipv4:
           ip: UPLINK_IPV4_PEER_2
           subnet:
             gateway: UPLINK_IPV4_GW_2
             subnet: UPLINK_IPV4_NET_2
         # Optional: Only specify ipv6 for DualStack ipFamily
         ipv6:
           ip: UPLINK_IPV6_PEER_2
           subnet:
             gateway: UPLINK_IPV6_GW_2
             subnet: UPLINK_IPV6_NET_2
   dns:
     delegatedSubdomain: DELEGATED_SUBDOMAIN
   externalCIDR:
     ipFamily: IP_FAMILY
     ipv4: EXTERNAL_NETWORK_IPV4
     ipv6: EXTERNAL_NETWORK_IPV6
   
   # Optional: External hardware security module (HSM) information
   externalHSM:
     primaryAddress:  EXTERNAL_HSM_PR_ADDR
     secondaryAddresses:
       - EXTERNAL_HSM_SE_ADDR
     caCert: EXTERNAL_HSM_CA_CERT
     clientCert: EXTERNAL_HSM_CLIENT_CERT
     clientKey: EXTERNAL_HSM_CLIENT_KEY
   
   # Optional: External IdP information
   externalIDP:
     name: EXTERNAL_IDP_NAME
     oidc:
       clientID: EXTERNAL_IDP_CLIENT_ID
       clientSecret: EXTERNAL_IDP_CLIENT_SECRET
       issuerURI: EXTERNAL_IDP_ISSUER_URI
       scopes: EXTERNAL_IDP_SCOPES
       userClaim: EXTERNAL_IDP_USER_CLAIM
       caCert: EXTERNAL_IDP_CA_DATA
     saml:
       idpEntityID: EXTERNAL_IDP_ENTITY_ID
       idpSingleSignOnURI: EXTERNAL_IDP_SSO_URI
       idpCertDataList: EXTERNAL_IDP_CERT_DATA
       userAttribute: EXTERNAL_IDP_USER_ATTRIBUTE
     initialAdmin: EXTERNAL_IDP_INITIAL_ADMIN
   

Informazioni sul Border Gateway Protocol (BGP)

Il protocollo BGP (Border Gateway Protocol) scambia informazioni di routing con reti esterne. Queste reti vengono identificate utilizzando i numeri di sistema autonomo (ASN). Per garantire la connettività corretta tra l'appliance GDC air-gapped e le reti esterne, tutti i valori ASN devono essere univoci a livello globale.

1. DATAPLANE_ASN: l'ASN assegnato al piano dati per l'istanza dell'appliance GDC con air gap. Ad esempio, 65204.

2. CUSTOMER_ASN: l'ASN assegnato al data plane per la rete del cliente. Ad esempio: 4200002002.

Informazioni sull'uplink

Le configurazioni uplink sono connessioni di peering utilizzate per connettere esternamente le istanze dell'appliance GDC air-gapped ad altri servizi, come le reti dei clienti e altre istanze dell'appliance GDC air-gapped. Queste configurazioni di uplink e il cablaggio di un'istanza dell'appliance GDC air-gapped sono importanti per garantire una corretta connettività con la rete esterna.

1. Per ogni uplink necessario per il peering del cliente all'istanza dell'appliance GDC air-gapped, compila una sezione dell'elemento uplink nel campo customer Peer Subnets. Se il numero che hai fornito non corrisponde al numero previsto di uplink (2), gli uplink rimanenti vengono allocati dalla subnet del piano dati esterno.
2. Per gli uplink, specifica quanto segue:
   1. UPLINK_IP_FAMILY_1, UPLINK_IP_FAMILY_2: specifica la subnet della famiglia IP. Deve essere IPv4 o DualStack.
      1. Se selezioni IPv4,
         1. UPLINK_IPV4_PEER_1 IP, UPLINK_IPV4_PEER_2 IP: descrive l'indirizzo IP assegnato alla porta di routing. Se non lo specifichi, verrà preso dal blocco di subnet peer.
         2. UPLINK_IPV4_NET_1, UPLINK_IPV4_NET_2: inserisci il blocco di subnet peer configurato sulla rete del cliente per il collegamento dello switch e della porta forniti. Questa è una subnet /31. Ad esempio, 172.16.255.148/31.
         3. UPLINK_IPV4_GW_1, UPLINK_IPV4_GW_2: inserisci l'indirizzo IP che rappresenta l'indirizzo IP rivolto al cliente nella subnet peer /31. Ad esempio, 172.16.255.148.
      2. Se selezioni DualStack,
         1. UPLINK_IPV4_PEER_1 IP, UPLINK_IPV4_PEER_2 IP: descrive l'indirizzo IPv4 assegnato alla porta di routing. Se non lo specifichi, verrà preso dal blocco di subnet peer.
         2. UPLINK_IPV4_NET_1, UPLINK_IPV4_NET_2: per IPv4, inserisci il blocco di subnet peer configurato sulla rete del cliente per il collegamento dello switch e della porta forniti. Questa è una subnet /31. Ad esempio, 172.16.255.148/31.
         3. UPLINK_IPV4_GW_1, UPLINK_IPV4_GW_2: per IPv4, inserisci l'indirizzo IPv4 che rappresenta l'indirizzo IP rivolto al cliente nella subnet peer /31. Ad esempio, 172.16.255.148.
         4. UPLINK_IPV6_PEER_1 IP, UPLINK_IPV6_PEER_2 IP: descrive l'indirizzo IPv6 assegnato alla porta di routing. Se non lo specifichi, verrà preso dal blocco di subnet peer.
         5. UPLINK_IPV6_NET_1, UPLINK_IPV6_NET_2: per IPv6, inserisci il blocco di subnet peer configurato sulla rete del cliente per il collegamento dello switch e della porta forniti. Questa è una subnet /127. Ad esempio, FC00::/127.
         6. UPLINK_IPV6_GW_1, UPLINK_IPV6_GW_2: per IPv6, inserisci l'indirizzo IPv6 che rappresenta l'indirizzo IP rivolto al cliente nella subnet peer /127. Ad esempio, FC00::.

Informazioni sul Domain Name System (DNS)

1. DELEGATED_SUBDOMAIN: inserisci il nome di sottodominio delegato DNS per l'istanza dell'appliance GDC air-gapped dal server DNS principale. Questo nome di dominio completo viene utilizzato come suffisso per i servizi dell'appliance GDC air-gap, come la gestione dei cluster. Il formato previsto è LOCATION.SUFFIX.

   Sostituisci quanto segue:

   • LOCATION: l'identificatore della zona del deployment dell'appliance GDC air-gapped, ad esempio us-central1-a
   • SUFFIX: qualsiasi suffisso DNS valido, ad esempio zone1.google.gdch.test o us-central1-a.gdch.customer

Rete del piano dati (CIDR esterno)

1. Per la rete della famiglia di IP del data plane, specifica se la subnet è IPv4 o DualStack. Nella sezione externalCIDR, sostituisci IP_FAMILY con IPv4 o DualStack.
   1. Se selezioni IPv4,
      1. Inserisci l'indirizzo di rete IPv4 con dimensione minima di 23 per la rete del piano dati esterno. Utilizza questa rete per servizi accessibili esternamente, come il server API Management e le interfacce di archiviazione. L'indirizzo di rete deve essere un blocco IP continuo preassegnato nella rete. Ad esempio, sostituisci EXTERNAL_NETWORK_IPV4 con 10.100.101.0/23.
   2. Se selezioni DualStack,
      1. Inserisci l'indirizzo di rete IPv4 con dimensione minima di 23 per la rete del piano dati esterno. Utilizza questa rete per servizi accessibili esternamente, come il server API Management e le interfacce di archiviazione. L'indirizzo di rete deve essere un blocco IP continuo preassegnato nella rete. Ad esempio, sostituisci EXTERNAL_NETWORK_IPV4 con 10.100.101.0/23.
      2. Inserisci l'indirizzo di rete IPv6 con la dimensione minima di 64. Questo blocco IP è diviso in due: la prima metà viene utilizzata come rete del piano dati esterno e la seconda metà come rete del piano dati interno. Ad esempio, sostituisci EXTERNAL_NETWORK_IPV6 con FC00::/64.

(Facoltativo) Informazioni sul modulo di sicurezza hardware (HSM) esterno

I dispositivi HSM ospitano le chiavi di crittografia ed eseguono operazioni crittografiche utilizzando KMIP (Key Management Interoperability Protocol). Puoi utilizzare HSM con NetApp ONTAP Select (OTS) per l'archiviazione. Se vuoi utilizzare un server NTP esterno, compila la sezione externalHSM.

Prima di iniziare, configura la rete HSM.

1. EXTERNAL_HSM_PR_ADDR: l'indirizzo del servizio KMIP principale. Segui il formato (IP|DNS):Porta. Se la porta viene omessa, verrà utilizzata la porta predefinita 5696.

   • Per IP, inserisci l'indirizzo di rete IP del servizio KMIP. Ad esempio, 8.8.8.8:5696.
   • In Nome DNS, inserisci il nome di dominio completo del servizio KMIP. Ad esempio: te.us-central1-a:5696.

2. EXTERNAL_HSM_SE_ADDR: gli indirizzi dei servizi KMIP secondari. Segui il formato (IP|DNS):Porta. Se la porta viene omessa, verrà utilizzata la porta predefinita 5696. Puoi specificare fino a tre indirizzi secondari separati da virgole.

3. EXTERNAL_HSM_CA_CERT: inserisci CACert. Il certificato CA è il certificato firmato per il servizio KMIP.

4. EXTERNAL_HSM_CLIENT_CERT: inserisci il certificato client per la connessione all'HSM esterno.

5. EXTERNAL_HSM_CLIENT_KEY: inserisci la chiave client associata al certificato client per la connessione all'HSM esterno.

(Facoltativo) Connetti un provider di identità

Puoi connetterti al tuo provider di identità (IdP) esistente per la gestione di identità e accessi oppure configurare un IdP Keycloak integrato. Se vuoi utilizzare il tuo provider di identità, compila la sezione externalIDP.

1. Scegli il tipo di provider di identità a cui ti stai connettendo: OIDC (OpenID Connect) o SAML (Security Assertion Markup Language).
2. Se scegli un provider OIDC, specifica i seguenti parametri:
   1. EXTERNAL_IDP_NAME: inserisci il nome dell'IdP. Il nome che fornisci qui è l'alias dell'identità nel sistema.
   2. EXTERNAL_IDP_ISSUER_URI: inserisci l'URI dell'emittente. L'URI dell'emittente deve puntare al livello all'interno di .well-known/openid-configuration. Le applicazioni client inviano richieste di autorizzazione a questo URL. Il server API Kubernetes utilizza questo URL per rilevare le chiavi pubbliche per la verifica dei token.
   3. EXTERNAL_IDP_CA_DATA: inserisci un certificato con codifica PEM base64 per i dati dell'autorità di certificazione per il provider di identità. Per ulteriori informazioni, visita la pagina https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail.
      1. Per creare la stringa, codifica il certificato, incluse le intestazioni, in base64.
      2. Includi la stringa risultante come riga singola. Esempio: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tC...k1JSUN2RENDQWFT==
   4. EXTERNAL_IDP_CLIENT_ID: inserisci l'ID client per l'applicazione client che effettua richieste di autenticazione all'IdP.
   5. EXTERNAL_IDP_CLIENT_SECRET: inserisci il client secret, ovvero un segreto condiviso tra il tuo IdP e l'appliance GDC air-gapped.
   6. EXTERNAL_IDP_USER_CLAIM: inserisci il campo rivendicazione utente per identificare ogni utente. Questo è il nome dell'attestazione nel token ID OIDC che contiene il nome utente. Se questa rivendicazione non è presente nel token ID, gli utenti non possono autenticarsi. L'attestazione predefinita per molti fornitori è sub. Puoi scegliere altre attestazioni, ad esempio email o name, a seconda del provider di identità. Alle attestazioni diverse da email viene aggiunto come prefisso l'URL dell'emittente per evitare conflitti di denominazione.
   7. EXTERNAL_IDP_SCOPES: se il tuo provider di identità richiede ambiti aggiuntivi, inserisci un elenco separato da virgole di ambiti da inviare all'IdP. Ad esempio, Microsoft Azure e Okta richiedono l'ambito offline_access.
3. Se scegli un provider SAML, specifica i seguenti parametri:
   1. EXTERNAL_IDP_NAME: inserisci il nome dell'IdP. Il nome che fornisci qui è l'alias dell'identità nel sistema.
   2. EXTERNAL_IDP_ENTITY_ID: inserisci l'ID entità per il provider SAML, specificato in un formato URI, ad esempio: https://www.idp.com/saml.
   3. EXTERNAL_IDP_SSO_URI: inserisci l'URI SSO, ovvero l'URI dell'endpoint SSO del provider SAML, ad esempio https://www.idp.com/saml/sso.
   4. EXTERNAL_IDP_CERT_DATA: inserisci un elenco dei certificati IdP utilizzati per verificare la risposta SAML. Questi certificati devono essere codificati in base64 standard e in formato PEM. Per facilitare la rotazione dei certificati IdP, sono supportati un massimo di due certificati.
   5. EXTERNAL_IDP_USER_ATTRIBUTE: inserisci l'attributo utente, ovvero il nome dell'attributo nella risposta SAML che contiene il nome utente. Se questo attributo non è presente nella risposta SAML, l'autenticazione non va a buon fine.

4. EXTERNAL_IDP_INITIAL_ADMIN: per i provider SAML e OIDC, inserisci l'account per l'amministratore iniziale. L'amministratore iniziale è il primo account a cui viene concesso l'accesso al sistema al termine dell'installazione. Il valore che inserisci deve corrispondere al tipo di rivendicazione, ad esempio un indirizzo email se la rivendicazione utente per un provider OIDC è impostata su email.

   Registra il nome dell'amministratore iniziale, in quanto ti servirà per accedere al sistema per la prima volta dopo il completamento dell'installazione.