구성 파일 만들기

이 페이지에서는 Google Distributed Cloud (GDC) 오프라인 어플라이언스를 구성하는 데 사용되는 입력 구성 파일을 만드는 방법을 설명합니다.

입력 구성 파일 만들기

  1. 어플라이언스 구성 프로세스에서는 입력 YAML 파일을 사용합니다. 제공된 템플릿과 정확히 동일한 형식으로 이 파일을 만듭니다. '선택사항'으로 표시된 필드나 섹션은 비워 두지 말고 생략해야 합니다.

  2. 다음은 입력 구성 파일의 예시입니다.

    bgp:
  dataASN: DATAPLANE_ASN
interconnects:
  customerData:
    asn: CUSTOMER_ASN
    customerPeerSubnets:
    - ipFamily: UPLINK_IP_FAMILY_1
      ipv4:
        ip: UPLINK_IPV4_PEER_1
        subnet:
          gateway: UPLINK_IPV4_GW_1
          subnet: UPLINK_IPV4_NET_1
      # Optional: Only specify ipv6 for DualStack ipFamily
      ipv6:
        ip: UPLINK_IPV6_PEER_1
        subnet:
          gateway: UPLINK_IPV6_GW_1
          subnet: UPLINK_IPV6_NET_1
    - ipFamily: UPLINK_IP_FAMILY_2
      ipv4:
        ip: UPLINK_IPV4_PEER_2
        subnet:
          gateway: UPLINK_IPV4_GW_2
          subnet: UPLINK_IPV4_NET_2
      # Optional: Only specify ipv6 for DualStack ipFamily
      ipv6:
        ip: UPLINK_IPV6_PEER_2
        subnet:
          gateway: UPLINK_IPV6_GW_2
          subnet: UPLINK_IPV6_NET_2
dns:
  delegatedSubdomain: DELEGATED_SUBDOMAIN
externalCIDR:
  ipFamily: IP_FAMILY
  ipv4: EXTERNAL_NETWORK_IPV4
  ipv6: EXTERNAL_NETWORK_IPV6

# Optional: External hardware security module (HSM) information
externalHSM:
  primaryAddress:  EXTERNAL_HSM_PR_ADDR
  secondaryAddresses:
    - EXTERNAL_HSM_SE_ADDR
  caCert: EXTERNAL_HSM_CA_CERT
  clientCert: EXTERNAL_HSM_CLIENT_CERT
  clientKey: EXTERNAL_HSM_CLIENT_KEY

# Optional: External IdP information
externalIDP:
  name: EXTERNAL_IDP_NAME
  oidc:
    clientID: EXTERNAL_IDP_CLIENT_ID
    clientSecret: EXTERNAL_IDP_CLIENT_SECRET
    issuerURI: EXTERNAL_IDP_ISSUER_URI
    scopes: EXTERNAL_IDP_SCOPES
    userClaim: EXTERNAL_IDP_USER_CLAIM
    caCert: EXTERNAL_IDP_CA_DATA
  saml:
    idpEntityID: EXTERNAL_IDP_ENTITY_ID
    idpSingleSignOnURI: EXTERNAL_IDP_SSO_URI
    idpCertDataList: EXTERNAL_IDP_CERT_DATA
    userAttribute: EXTERNAL_IDP_USER_ATTRIBUTE
  initialAdmin: EXTERNAL_IDP_INITIAL_ADMIN

경계 게이트웨이 프로토콜 (BGP) 정보

경계 게이트웨이 프로토콜 (BGP)은 외부 네트워크와 라우팅 정보를 교환합니다. 이러한 네트워크는 자율 시스템 번호 (ASN)를 사용하여 식별됩니다. GDC 에어갭 어플라이언스와 외부 네트워크 간의 적절한 연결을 보장하려면 모든 ASN 값이 전역적으로 고유해야 합니다.

  1. DATAPLANE_ASN: GDC 에어 갭 어플라이언스 인스턴스의 데이터 플레인에 할당된 ASN입니다. 예를 들면 65204입니다.

  2. CUSTOMER_ASN: 고객 네트워크의 데이터 영역에 할당된 ASN입니다. 예를 들면 4200002002입니다.

업링크 구성은 GDC 에어갭 어플라이언스 인스턴스를 고객 네트워크 및 기타 GDC 에어갭 어플라이언스 인스턴스와 같은 다른 서비스에 외부적으로 연결하는 데 사용되는 피어링 연결입니다. GDC 에어갭 어플라이언스 인스턴스의 이러한 업링크 구성과 배선은 외부 네트워크와의 적절한 연결을 보장하는 데 중요합니다.

  1. GDC 에어갭 어플라이언스 인스턴스에 고객 피어링에 필요한 업링크마다 고객 피어 서브넷 필드에 업링크 항목 섹션을 작성합니다. 제공한 숫자가 예상 업링크 수 (2)와 일치하지 않으면 나머지 업링크는 외부 데이터 영역 서브넷에서 할당됩니다.
  2. 업링크의 경우 다음을 지정합니다.
    1. UPLINK_IP_FAMILY_1, UPLINK_IP_FAMILY_2: IP 패밀리 서브넷을 지정합니다. IPv4 또는 DualStack 중 하나여야 합니다.
      1. IPv4를 선택하면 다음이 표시됩니다.
        1. UPLINK_IPV4_PEER_1 IP, UPLINK_IPV4_PEER_2 IP: 라우팅된 포트에 할당된 IP 주소를 설명합니다. 비워두면 피어 서브넷 블록에서 가져옵니다.
        2. UPLINK_IPV4_NET_1, UPLINK_IPV4_NET_2: 제공된 스위치 및 포트 링크에 대해 고객 네트워크에 구성된 피어 서브넷 블록을 입력합니다. /31 서브넷입니다. 예를 들면 172.16.255.148/31입니다.
        3. UPLINK_IPV4_GW_1, UPLINK_IPV4_GW_2: /31 피어 서브넷에서 고객 대상 IP 주소를 나타내는 IP 주소를 입력합니다. 예를 들면 172.16.255.148입니다.
      2. DualStack를 선택하면 다음이 표시됩니다.
        1. UPLINK_IPV4_PEER_1 IP, UPLINK_IPV4_PEER_2 IP: 라우팅된 포트에 할당된 IPv4 주소를 설명합니다. 비워두면 피어 서브넷 블록에서 가져옵니다.
        2. UPLINK_IPV4_NET_1, UPLINK_IPV4_NET_2: IPv4의 경우 제공된 스위치 및 포트 링크에 대해 고객 네트워크에 구성된 피어 서브넷 블록을 입력합니다. /31 서브넷입니다. 예를 들면 172.16.255.148/31입니다.
        3. UPLINK_IPV4_GW_1, UPLINK_IPV4_GW_2: IPv4의 경우 /31 피어 서브넷에서 고객 대상 IP 주소를 나타내는 IPv4 주소를 입력합니다. 예를 들면 172.16.255.148입니다.
        4. UPLINK_IPV6_PEER_1 IP, UPLINK_IPV6_PEER_2 IP: 라우팅된 포트에 할당된 IPv6 주소를 설명합니다. 비워두면 피어 서브넷 블록에서 가져옵니다.
        5. UPLINK_IPV6_NET_1, UPLINK_IPV6_NET_2: IPv6의 경우 제공된 스위치 및 포트 링크에 대해 고객 네트워크에 구성된 피어 서브넷 블록을 입력합니다. /127 서브넷입니다. 예를 들면 FC00::/127입니다.
        6. UPLINK_IPV6_GW_1, UPLINK_IPV6_GW_2: IPv6의 경우 /127 피어 서브넷에서 고객 대상 IP 주소를 나타내는 IPv6 주소를 입력합니다. 예를 들면 FC00::입니다.

DNS (도메인 이름 시스템) 정보

  1. DELEGATED_SUBDOMAIN: 상위 DNS 서버에서 GDC 에어갭 어플라이언스 인스턴스의 DNS 위임 서브도메인 이름을 입력합니다. 이 정규화된 도메인 이름은 클러스터 관리와 같은 GDC 오프라인 어플라이언스 서비스의 접미사로 사용됩니다. 예상되는 형식은 LOCATION입니다.SUFFIX.

    다음을 바꿉니다.

    • LOCATION: GDC 오프라인 어플라이언스 배포의 영역 식별자입니다(예: us-central1-a).
    • SUFFIX: 유효한 DNS 서픽스(예: zone1.google.gdch.test 또는 us-central1-a.gdch.customer)

데이터 영역 네트워크 (외부 CIDR)

  1. 데이터 영역 IP 계열 네트워크의 경우 서브넷이 IPv4인지 DualStack인지 지정합니다. externalCIDR 섹션에서 IP_FAMILYIPv4 또는 DualStack로 바꿉니다.
    1. IPv4를 선택하면
      1. 외부 데이터 플레인 네트워크의 최소 크기가 23인 IPv4 네트워크 주소를 입력합니다. 관리 API 서버 및 스토리지 인터페이스와 같이 외부에서 액세스할 수 있는 서비스에 이 네트워크를 사용합니다. 네트워크 주소는 네트워크에 사전 할당된 연속 IP 블록이어야 합니다. 예를 들어 EXTERNAL_NETWORK_IPV410.100.101.0/23으로 바꿉니다.
    2. DualStack을 선택하면
      1. 외부 데이터 플레인 네트워크의 최소 크기가 23인 IPv4 네트워크 주소를 입력합니다. 관리 API 서버 및 스토리지 인터페이스와 같이 외부에서 액세스할 수 있는 서비스에 이 네트워크를 사용합니다. 네트워크 주소는 네트워크에 사전 할당된 연속 IP 블록이어야 합니다. 예를 들어 EXTERNAL_NETWORK_IPV410.100.101.0/23으로 바꿉니다.
      2. 최소 크기가 64인 IPv6 네트워크 주소를 입력합니다. 이 IP 블록은 두 개로 나뉘며, 전반부는 외부 데이터 플레인 네트워크로 사용되고 후반부는 내부 데이터 플레인 네트워크로 사용됩니다. 예를 들어 EXTERNAL_NETWORK_IPV6FC00::/64으로 바꿉니다.

선택사항: 외부 하드웨어 보안 모듈 (HSM) 정보

HSM 기기는 암호화 키를 호스팅하고 KMIP (키 관리 상호 운용성 프로토콜)를 사용하여 암호화 작업을 실행합니다. 스토리지에 NetApp ONTAP Select (OTS)와 함께 HSM을 사용할 수 있습니다. 외부 NTP 서버를 사용하려면 externalHSM 섹션을 작성합니다.

시작하기 전에 먼저 HSM 네트워크를 구성하세요.

  1. EXTERNAL_HSM_PR_ADDR: 기본 KMIP 서비스의 주소입니다. (IP|DNS):Port 형식을 따르세요. 포트를 생략하면 기본 포트 5696이 사용됩니다.

    • IP에 KMIP 서비스의 IP 네트워크 주소를 입력합니다. 예를 들면 8.8.8.8:5696입니다.
    • DNS 이름에 KMIP 서비스의 정규화된 도메인 이름을 입력합니다. 예를 들면 te.us-central1-a:5696입니다.

  2. EXTERNAL_HSM_SE_ADDR: 보조 KMIP 서비스의 주소입니다. (IP|DNS):Port 형식을 따르세요. 포트를 생략하면 기본 포트 5696이 사용됩니다. 최대 3개의 보조 주소를 쉼표로 구분하여 지정할 수 있습니다.

  3. EXTERNAL_HSM_CA_CERT: CACert를 입력합니다. CA 인증서는 KMIP 서비스의 서명된 인증서입니다.

  4. EXTERNAL_HSM_CLIENT_CERT: 외부 HSM에 연결하기 위한 클라이언트 인증서를 입력합니다.

  5. EXTERNAL_HSM_CLIENT_KEY: 외부 HSM에 연결하기 위한 클라이언트 인증서와 연결된 클라이언트 키를 입력합니다.

선택사항: ID 공급업체 연결

ID 및 액세스 관리를 위해 기존 ID 공급업체 (IdP)에 연결하거나 내장된 Keycloak IdP를 설정할 수 있습니다. 자체 ID 공급업체를 사용하려면 externalIDP 섹션을 작성하세요.

  1. 연결할 ID 공급업체의 유형을 선택합니다(OIDC(OpenID Connect) 또는 SAML(보안 보장 마크업 언어)).
  2. OIDC 제공업체를 선택하는 경우 다음 매개변수를 지정합니다.
    1. EXTERNAL_IDP_NAME: IdP 이름을 입력합니다. 여기에 제공하는 이름은 시스템의 ID 별칭입니다.
    2. EXTERNAL_IDP_ISSUER_URI: 발급기관 URI를 입력합니다. 발급기관 URI는 .well-known/openid-configuration 내부의 수준을 가리켜야 합니다. 클라이언트 애플리케이션은 이 URL로 승인 요청을 보냅니다. Kubernetes API 서버는 이 URL을 사용하여 토큰을 확인할 수 있도록 공개 키를 검색합니다.
    3. EXTERNAL_IDP_CA_DATA: IdP의 인증 기관 데이터에 대해 base64로 인코딩된 PEM 인코딩 인증서를 입력합니다. 자세한 내용은 https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail을 참고하세요.
      1. 문자열을 만들려면 헤더를 포함한 인증서를 base64로 인코딩합니다.
      2. 결과 문자열을 단일 줄로 포함합니다. 예를 들면 다음과 같습니다. LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tC...k1JSUN2RENDQWFT==
    4. EXTERNAL_IDP_CLIENT_ID: IdP에 인증을 요청하는 클라이언트 애플리케이션의 클라이언트 ID를 입력합니다.
    5. EXTERNAL_IDP_CLIENT_SECRET: IdP와 GDC 에어갭 어플라이언스 간에 공유되는 보안 비밀인 클라이언트 보안 비밀을 입력합니다.
    6. EXTERNAL_IDP_USER_CLAIM: 각 사용자를 식별하려면 사용자 클레임 필드를 입력합니다. 사용자 이름이 저장된 OIDC ID 토큰의 클레임 이름입니다. 이 클레임이 ID 토큰에 없으면 사용자가 인증할 수 없습니다. 많은 제공업체의 기본 클레임은 sub입니다. ID 제공업체에 따라 email 또는 name과 같은 다른 클레임을 선택할 수 있습니다. email 이외의 클레임은 이름 충돌을 방지하기 위해 발급기관 URL이 프리픽스로 추가됩니다.
    7. EXTERNAL_IDP_SCOPES: ID 공급업체에 추가 범위가 필요한 경우 IDP에 전송할 범위의 쉼표로 구분된 목록을 입력합니다. 예를 들어 Microsoft Azure 및 Okta에는 offline_access 범위가 필요합니다.
  3. SAML 제공업체를 선택한 경우 다음 매개변수를 지정합니다.
    1. EXTERNAL_IDP_NAME: IdP 이름을 입력합니다. 여기에 제공하는 이름은 시스템의 ID 별칭입니다.
    2. EXTERNAL_IDP_ENTITY_ID: SAML 제공업체의 엔티티 ID를 입력합니다. URI 형식으로 지정됩니다(예: https://www.idp.com/saml).
    3. EXTERNAL_IDP_SSO_URI: SAML 공급업체의 SSO 엔드포인트 URI인 SSO URI를 입력합니다(예: https://www.idp.com/saml/sso).
    4. EXTERNAL_IDP_CERT_DATA: SAML 응답을 확인하는 데 사용되는 IDP 인증서 목록을 입력합니다. 이러한 인증서는 표준 Base64 인코딩 및 PEM 형식이어야 합니다. IDP 인증서 순환을 촉진하기 위해 최대 2개의 인증서만 지원됩니다.
    5. EXTERNAL_IDP_USER_ATTRIBUTE: 사용자 속성을 입력합니다. 사용자 속성은 사용자 이름을 보유하는 SAML 응답의 속성 이름입니다. SAML 응답에 이 속성이 누락되면 인증이 실패합니다.

  4. EXTERNAL_IDP_INITIAL_ADMIN: SAML 및 OIDC 제공업체 모두에 대해 초기 관리자의 계정을 입력합니다. 초기 관리자는 설치가 완료된 후 시스템에 대한 액세스 권한이 부여된 첫 번째 계정입니다. 입력하는 값은 클레임 유형과 일치해야 합니다. 예를 들어 OIDC 제공업체의 사용자 클레임이 email로 설정된 경우 이메일 주소와 일치해야 합니다.

    설치가 완료된 후 시스템에 처음 로그인하려면 이 정보가 필요하므로 초기 관리자의 이름을 기록합니다.