Crie o ficheiro de configuração

Esta página descreve como criar o ficheiro de configuração de entrada usado para configurar o dispositivo isolado do Google Distributed Cloud (GDC).

Crie o ficheiro de configuração de entrada

1. O processo de configuração do dispositivo usa um ficheiro YAML de entrada. Crie este ficheiro no mesmo formato exato do modelo fornecido. Os campos ou as secções indicados como "Opcional" têm de ser omitidos e não deixados em branco.

2. Segue-se um exemplo de um ficheiro de configuração de entrada.

   bgp:
     dataASN: DATAPLANE_ASN
   interconnects:
     customerData:
       asn: CUSTOMER_ASN
       customerPeerSubnets:
       - ipFamily: UPLINK_IP_FAMILY_1
         ipv4:
           ip: UPLINK_IPV4_PEER_1
           subnet:
             gateway: UPLINK_IPV4_GW_1
             subnet: UPLINK_IPV4_NET_1
         # Optional: Only specify ipv6 for DualStack ipFamily
         ipv6:
           ip: UPLINK_IPV6_PEER_1
           subnet:
             gateway: UPLINK_IPV6_GW_1
             subnet: UPLINK_IPV6_NET_1
       - ipFamily: UPLINK_IP_FAMILY_2
         ipv4:
           ip: UPLINK_IPV4_PEER_2
           subnet:
             gateway: UPLINK_IPV4_GW_2
             subnet: UPLINK_IPV4_NET_2
         # Optional: Only specify ipv6 for DualStack ipFamily
         ipv6:
           ip: UPLINK_IPV6_PEER_2
           subnet:
             gateway: UPLINK_IPV6_GW_2
             subnet: UPLINK_IPV6_NET_2
   dns:
     delegatedSubdomain: DELEGATED_SUBDOMAIN
   externalCIDR:
     ipFamily: IP_FAMILY
     ipv4: EXTERNAL_NETWORK_IPV4
     ipv6: EXTERNAL_NETWORK_IPV6
   
   # Optional: External hardware security module (HSM) information
   externalHSM:
     primaryAddress:  EXTERNAL_HSM_PR_ADDR
     secondaryAddresses:
       - EXTERNAL_HSM_SE_ADDR
     caCert: EXTERNAL_HSM_CA_CERT
     clientCert: EXTERNAL_HSM_CLIENT_CERT
     clientKey: EXTERNAL_HSM_CLIENT_KEY
   
   # Optional: External IdP information
   externalIDP:
     name: EXTERNAL_IDP_NAME
     oidc:
       clientID: EXTERNAL_IDP_CLIENT_ID
       clientSecret: EXTERNAL_IDP_CLIENT_SECRET
       issuerURI: EXTERNAL_IDP_ISSUER_URI
       scopes: EXTERNAL_IDP_SCOPES
       userClaim: EXTERNAL_IDP_USER_CLAIM
       caCert: EXTERNAL_IDP_CA_DATA
     saml:
       idpEntityID: EXTERNAL_IDP_ENTITY_ID
       idpSingleSignOnURI: EXTERNAL_IDP_SSO_URI
       idpCertDataList: EXTERNAL_IDP_CERT_DATA
       userAttribute: EXTERNAL_IDP_USER_ATTRIBUTE
     initialAdmin: EXTERNAL_IDP_INITIAL_ADMIN
   

Informações do Border Gateway Protocol (BGP)

O Border Gateway Protocol (BGP) troca informações de encaminhamento com redes externas. Estas redes são identificadas através de números de sistemas autónomos (ASN). Para garantir a conetividade adequada entre o dispositivo isolado do GDC e as redes externas, todos os valores de ASN têm de ser globalmente únicos.

1. DATAPLANE_ASN: o ASN atribuído ao plano de dados para a instância do dispositivo isolado do GDC. Por exemplo, 65204.

2. CUSTOMER_ASN: o ASN atribuído ao plano de dados para a rede do cliente. Por exemplo, 4200002002.

Informações de uplink

As configurações de uplink são associações de peering usadas para ligar externamente instâncias de dispositivos isolados do GDC a outros serviços, como redes de clientes e outras instâncias de dispositivos isolados do GDC. Estas configurações de carregamento e cablagem de uma instância de dispositivo isolado do GDC são importantes para garantir a conetividade adequada com a rede externa.

1. Para cada uplink necessário para a interligação de pares do cliente à instância do dispositivo isolado do GDC, preencha uma secção de item de uplink no campo Sub-redes de pares do cliente. Se o número que indicou não corresponder ao número esperado de ligações ascendentes (2), as ligações ascendentes restantes são atribuídas a partir da sub-rede do plano de dados externo.
2. Para os uplinks, especifique o seguinte:
   1. UPLINK_IP_FAMILY_1, UPLINK_IP_FAMILY_2: especifique a família de IPs sub-rede. Tem de ser IPv4 ou DualStack.
      1. Se selecionar IPv4,
         1. UPLINK_IPV4_PEER_1 IP, UPLINK_IPV4_PEER_2 IP: descreve o endereço IP atribuído na porta encaminhada. Se deixar em branco, é usado o bloco de sub-rede de pares.
         2. UPLINK_IPV4_NET_1, UPLINK_IPV4_NET_2: introduza o bloco de sub-rede de pares configurado na rede do cliente para a associação de comutador e porta fornecida. Esta é uma sub-rede /31. Por exemplo, 172.16.255.148/31.
         3. UPLINK_IPV4_GW_1, UPLINK_IPV4_GW_2: introduza o endereço IP que representa o endereço IP virado para o cliente na sub-rede de pares /31. Por exemplo, 172.16.255.148.
      2. Se selecionar DualStack,
         1. UPLINK_IPV4_PEER_1 IP, UPLINK_IPV4_PEER_2 IP: descreve o endereço IPv4 atribuído na porta encaminhada. Se deixar em branco, é usado o bloco de sub-rede de pares.
         2. UPLINK_IPV4_NET_1, UPLINK_IPV4_NET_2: Para IPv4, introduza o bloco de sub-rede de pares configurado na rede do cliente para o link de comutador e porta fornecido. Esta é uma sub-rede /31. Por exemplo, 172.16.255.148/31.
         3. UPLINK_IPV4_GW_1, UPLINK_IPV4_GW_2: Para IPv4, introduza o endereço IPv4 que representa o endereço IP virado para o cliente na /31 sub-rede de pares. Por exemplo, 172.16.255.148.
         4. UPLINK_IPV6_PEER_1 IP, UPLINK_IPV6_PEER_2 IP: descreve o endereço IPv6 atribuído na porta encaminhada. Se deixar em branco, é usado o bloco de sub-rede de pares.
         5. UPLINK_IPV6_NET_1, UPLINK_IPV6_NET_2: Para IPv6, introduza o bloco de sub-rede de pares configurado na rede do cliente para o link de comutador e porta fornecido. Esta é uma sub-rede /127. Por exemplo, FC00::/127.
         6. UPLINK_IPV6_GW_1, UPLINK_IPV6_GW_2: Para IPv6, introduza o endereço IPv6 que representa o endereço IP virado para o cliente na sub-rede de pares /127. Por exemplo, FC00::.

Informações do Sistema de Nomes de Domínio (DNS)

1. DELEGATED_SUBDOMAIN: introduza o nome do subdomínio delegado do DNS para a instância do dispositivo isolado do GDC a partir do servidor DNS principal. Este nome de domínio totalmente qualificado é usado como um sufixo para os serviços de dispositivos isolados do GDC, como a gestão de clusters. O formato esperado é LOCATION.SUFFIX.

   Substitua o seguinte:

   • LOCATION: o identificador de zona da implementação do dispositivo isolado do GDC, como us-central1-a
   • SUFFIX: qualquer sufixo DNS válido, como zone1.google.gdch.test ou us-central1-a.gdch.customer

Rede do plano de dados (CIDR externo)

1. Para a rede de família IP do plano de dados, especifique se a sub-rede é IPv4 ou DualStack. Na secção externalCIDR, substitua IP_FAMILY por IPv4 ou DualStack.
   1. Se selecionar IPv4,
      1. Introduza o endereço de rede IPv4 com o tamanho mínimo de 23 para a rede de plano de dados externa. Use esta rede para serviços acessíveis externamente, como o servidor da API Management e as interfaces de armazenamento. O endereço de rede tem de ser um bloco de IP contínuo que está pré-atribuído na sua rede. Por exemplo, substitua EXTERNAL_NETWORK_IPV4 por 10.100.101.0/23.
   2. Se selecionar DualStack:
      1. Introduza o endereço de rede IPv4 com o tamanho mínimo de 23 para a rede de plano de dados externa. Use esta rede para serviços acessíveis externamente, como o servidor da API Management e as interfaces de armazenamento. O endereço de rede tem de ser um bloco de IP contínuo que está pré-atribuído na sua rede. Por exemplo, substitua EXTERNAL_NETWORK_IPV4 por 10.100.101.0/23.
      2. Introduza o endereço de rede IPv6 com o tamanho mínimo de 64. Este bloco de IP está dividido em dois. A primeira metade é usada como a rede de plano de dados externa e a segunda metade é usada como a rede de plano de dados interna. Por exemplo, substitua EXTERNAL_NETWORK_IPV6 por FC00::/64.

Opcional: informações do módulo de segurança de hardware (HSM) externo

Os dispositivos HSM alojam chaves de encriptação e realizam operações criptográficas através do KMIP (Key Management Interoperability Protocol). Pode usar o HSM com o NetApp ONTAP Select (OTS) para armazenamento. Se quiser usar um servidor NTP externo, preencha a secção externalHSM.

Antes de começar, configure primeiro a rede HSM.

1. EXTERNAL_HSM_PR_ADDR: O endereço do serviço KMIP principal. Siga o formato (IP|DNS):Porta. Se a porta for omitida, é usada a porta predefinida 5696.

   • Para IP, introduza o endereço de rede IP do serviço KMIP. Por exemplo, 8.8.8.8:5696.
   • Para Nome DNS, introduza o nome do domínio totalmente qualificado do serviço KMIP. Por exemplo, te.us-central1-a:5696.

2. EXTERNAL_HSM_SE_ADDR: os endereços dos serviços KMIP secundários. Siga o formato (IP|DNS):Porta. Se a porta for omitida, é usada a porta predefinida 5696. Pode especificar até 3 endereços secundários, separados por vírgulas.

3. EXTERNAL_HSM_CA_CERT: introduza o CACert. O certificado da AC é o certificado assinado para o serviço KMIP.

4. EXTERNAL_HSM_CLIENT_CERT: introduza o certificado do cliente para estabelecer ligação ao HSM externo.

5. EXTERNAL_HSM_CLIENT_KEY: introduza a chave do cliente associada ao certificado de cliente para estabelecer ligação ao HSM externo.

Opcional: associe um Fornecedor de identidade

Pode estabelecer ligação ao seu próprio fornecedor de identidade (IdP) existente para a gestão de identidade e de acesso ou, em alternativa, configurar um IdP do Keycloak integrado. Se quiser usar o seu próprio fornecedor de identidade, preencha a secção externalIDP.

1. Escolha o tipo de fornecedor de identidade ao qual se está a ligar: OIDC (OpenID Connect) ou SAML (Security Assertion Markup Language).
2. Se escolher um fornecedor OIDC, especifique os seguintes parâmetros:
   1. EXTERNAL_IDP_NAME: introduza o nome do IdP. O nome que indicar aqui é o alias da identidade no sistema.
   2. EXTERNAL_IDP_ISSUER_URI: introduza o URI do emissor. O URI do emissor tem de apontar para o nível dentro de .well-known/openid-configuration. As aplicações cliente enviam pedidos de autorização para este URL. O servidor da API Kubernetes usa este URL para descobrir chaves públicas para validar tokens.
   3. EXTERNAL_IDP_CA_DATA: introduza um certificado codificado em base64 codificado em PEM para os dados da autoridade de certificação para o IdP. Para mais informações, consulte https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail.
      1. Para criar a string, codifique o certificado, incluindo os cabeçalhos, em base64.
      2. Inclua a string resultante como uma única linha. Exemplo: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tC...k1JSUN2RENDQWFT==
   4. EXTERNAL_IDP_CLIENT_ID: introduza o ID de cliente para a aplicação cliente que faz pedidos de autenticação ao IdP.
   5. EXTERNAL_IDP_CLIENT_SECRET: introduza o segredo do cliente, que é um segredo partilhado entre o seu IdP e o dispositivo isolado do GDC.
   6. EXTERNAL_IDP_USER_CLAIM: introduza o campo user claim para identificar cada utilizador. Este é o nome da reivindicação no token de ID do OIDC que contém o nome de utilizador. Se esta reivindicação estiver em falta no token de ID, os utilizadores não podem autenticar. A reivindicação predefinida para muitos fornecedores é sub. Pode escolher outras reivindicações, como email ou name, consoante o fornecedor de identidade. As reivindicações que não sejam email têm o prefixo do URL do emissor para evitar conflitos de nomenclatura.
   7. EXTERNAL_IDP_SCOPES: se o seu fornecedor de identidade exigir âmbitos adicionais, introduza uma lista de âmbitos separados por vírgulas para enviar para o IdP. Por exemplo, o Microsoft Azure e o Okta requerem o âmbito offline_access.
3. Se escolher um fornecedor SAML, especifique os seguintes parâmetros:
   1. EXTERNAL_IDP_NAME: introduza o nome do IdP. O nome que indicar aqui é o alias da identidade no sistema.
   2. EXTERNAL_IDP_ENTITY_ID: introduza o ID de entidade para o fornecedor SAML, especificado num formato de URI, como: https://www.idp.com/saml.
   3. EXTERNAL_IDP_SSO_URI: introduza o URI de SSO, que é o URI para o ponto final de SSO do fornecedor de SAML, como https://www.idp.com/saml/sso.
   4. EXTERNAL_IDP_CERT_DATA: introduza uma lista dos certificados de IdP usados para validar a resposta SAML. Estes certificados têm de estar codificados em Base64 padrão e no formato PEM. É suportado um máximo de dois certificados para facilitar a rotação de certificados do IdP.
   5. EXTERNAL_IDP_USER_ATTRIBUTE: introduza o atributo do utilizador, que é o nome do atributo na resposta SAML que contém o nome de utilizador. Se este atributo estiver em falta na resposta SAML, a autenticação falha.

4. EXTERNAL_IDP_INITIAL_ADMIN: para fornecedores SAML e OIDC, introduza a conta do administrador inicial. O administrador inicial é a primeira conta à qual é concedido acesso ao sistema após a conclusão da instalação. O valor que introduz tem de corresponder ao tipo de reivindicação, como um endereço de email, se a reivindicação do utilizador para um fornecedor OIDC estiver definida como email.

   Registe o nome do administrador inicial, uma vez que precisa destas informações para iniciar sessão no sistema pela primeira vez após a conclusão da instalação.