Criar o arquivo de configuração

Nesta página, descrevemos como criar o arquivo de configuração de entrada usado para configurar o appliance isolado do Google Distributed Cloud (GDC).

Criar o arquivo de configuração de entrada

1. O processo de configuração do appliance usa um arquivo YAML de entrada. Crie esse arquivo no mesmo formato do modelo fornecido. Campos ou seções marcados como "Opcional" precisam ser omitidos, não deixados em branco.

2. Confira a seguir um exemplo de arquivo de configuração de entrada.

   bgp:
     dataASN: DATAPLANE_ASN
   interconnects:
     customerData:
       asn: CUSTOMER_ASN
       customerPeerSubnets:
       - ipFamily: UPLINK_IP_FAMILY_1
         ipv4:
           ip: UPLINK_IPV4_PEER_1
           subnet:
             gateway: UPLINK_IPV4_GW_1
             subnet: UPLINK_IPV4_NET_1
         # Optional: Only specify ipv6 for DualStack ipFamily
         ipv6:
           ip: UPLINK_IPV6_PEER_1
           subnet:
             gateway: UPLINK_IPV6_GW_1
             subnet: UPLINK_IPV6_NET_1
       - ipFamily: UPLINK_IP_FAMILY_2
         ipv4:
           ip: UPLINK_IPV4_PEER_2
           subnet:
             gateway: UPLINK_IPV4_GW_2
             subnet: UPLINK_IPV4_NET_2
         # Optional: Only specify ipv6 for DualStack ipFamily
         ipv6:
           ip: UPLINK_IPV6_PEER_2
           subnet:
             gateway: UPLINK_IPV6_GW_2
             subnet: UPLINK_IPV6_NET_2
   dns:
     delegatedSubdomain: DELEGATED_SUBDOMAIN
   externalCIDR:
     ipFamily: IP_FAMILY
     ipv4: EXTERNAL_NETWORK_IPV4
     ipv6: EXTERNAL_NETWORK_IPV6
   
   # Optional: External hardware security module (HSM) information
   externalHSM:
     primaryAddress:  EXTERNAL_HSM_PR_ADDR
     secondaryAddresses:
       - EXTERNAL_HSM_SE_ADDR
     caCert: EXTERNAL_HSM_CA_CERT
     clientCert: EXTERNAL_HSM_CLIENT_CERT
     clientKey: EXTERNAL_HSM_CLIENT_KEY
   
   # Optional: External IdP information
   externalIDP:
     name: EXTERNAL_IDP_NAME
     oidc:
       clientID: EXTERNAL_IDP_CLIENT_ID
       clientSecret: EXTERNAL_IDP_CLIENT_SECRET
       issuerURI: EXTERNAL_IDP_ISSUER_URI
       scopes: EXTERNAL_IDP_SCOPES
       userClaim: EXTERNAL_IDP_USER_CLAIM
       caCert: EXTERNAL_IDP_CA_DATA
     saml:
       idpEntityID: EXTERNAL_IDP_ENTITY_ID
       idpSingleSignOnURI: EXTERNAL_IDP_SSO_URI
       idpCertDataList: EXTERNAL_IDP_CERT_DATA
       userAttribute: EXTERNAL_IDP_USER_ATTRIBUTE
     initialAdmin: EXTERNAL_IDP_INITIAL_ADMIN
   

Informações do protocolo de gateway de borda (BGP)

O Border Gateway Protocol (BGP) troca informações de roteamento com redes externas. Essas redes são identificadas usando números de sistema autônomo (ASN). Para garantir a conectividade adequada entre o dispositivo isolado do GDC e as redes externas, todos os valores de ASN precisam ser globalmente exclusivos.

1. DATAPLANE_ASN: o ASN atribuído ao plano de dados para a instância do appliance isolado do GDC. Exemplo:65204

2. CUSTOMER_ASN: o ASN atribuído ao plano de dados para a rede do cliente. Por exemplo, 4200002002.

Informações de uplink

As configurações de uplink são conexões de peering usadas para conectar externamente instâncias de dispositivos isolados do GDC a outros serviços, como redes de clientes e outras instâncias de dispositivos isolados do GDC. Essas configurações de uplink e a fiação de uma instância de dispositivo isolado do GDC são importantes para garantir a conectividade adequada com a rede externa.

1. Para cada uplink necessário para o peering do cliente na instância do dispositivo isolado do GDC, preencha uma seção de item de uplink no campo Sub-redes de peering do cliente. Se o número fornecido não corresponder ao número esperado de uplinks (2), os uplinks restantes serão alocados da sub-rede do plano de dados externo.
2. Para os uplinks, especifique o seguinte:
   1. UPLINK_IP_FAMILY_1, UPLINK_IP_FAMILY_2: especifique a sub-rede da família de IP. Precisa ser IPv4 ou DualStack.
      1. Se você selecionar IPv4,
         1. UPLINK_IPV4_PEER_1 IP, UPLINK_IPV4_PEER_2 IP: descreve o endereço IP atribuído à porta roteada. Se ficar em branco, ele será extraído do bloco de sub-rede do peer.
         2. UPLINK_IPV4_NET_1, UPLINK_IPV4_NET_2: insira o bloco de sub-rede do peer configurado na rede do cliente para a chave e o link de porta fornecidos. Esta é uma sub-rede /31. Por exemplo, 172.16.255.148/31.
         3. UPLINK_IPV4_GW_1, UPLINK_IPV4_GW_2: insira o endereço IP que representa o endereço IP voltado ao cliente na sub-rede do peer /31. Por exemplo, 172.16.255.148.
      2. Se você selecionar DualStack,
         1. UPLINK_IPV4_PEER_1 IP, UPLINK_IPV4_PEER_2 IP: descreve o endereço IPv4 atribuído à porta roteada. Se ficar em branco, ele será extraído do bloco de sub-rede do peer.
         2. UPLINK_IPV4_NET_1, UPLINK_IPV4_NET_2: para IPv4, insira o bloco de sub-rede do peer configurado na rede do cliente para a conexão de porta e switch fornecida. Esta é uma sub-rede /31. Por exemplo, 172.16.255.148/31.
         3. UPLINK_IPV4_GW_1, UPLINK_IPV4_GW_2: para IPv4, insira o endereço IPv4 que representa o endereço IP voltado ao cliente na sub-rede do peer /31. Por exemplo, 172.16.255.148.
         4. UPLINK_IPV6_PEER_1 IP, UPLINK_IPV6_PEER_2 IP: descreve o endereço IPv6 atribuído à porta roteada. Se ficar em branco, ele será extraído do bloco de sub-rede do peer.
         5. UPLINK_IPV6_NET_1, UPLINK_IPV6_NET_2: para IPv6, insira o bloco de sub-rede do peer configurado na rede do cliente para a chave e o link de porta fornecidos. Esta é uma sub-rede /127. Por exemplo, FC00::/127.
         6. UPLINK_IPV6_GW_1, UPLINK_IPV6_GW_2: para IPv6, insira o endereço IPv6 que representa o endereço IP voltado ao cliente na sub-rede do peer /127. Por exemplo, FC00::.

Informações do Sistema de Nomes de Domínio (DNS)

1. DELEGATED_SUBDOMAIN: insira o nome do subdomínio delegado do DNS para a instância do appliance isolado do GDC no servidor DNS principal. Esse nome de domínio totalmente qualificado é usado como um sufixo para serviços de appliance isolados do GDC, como gerenciamento de cluster. O formato esperado é LOCATION.SUFFIX.

   Substitua:

   • LOCATION: o identificador da zona da implantação do dispositivo isolado do GDC, como us-central1-a.
   • SUFFIX: qualquer sufixo DNS válido, como zone1.google.gdch.test ou us-central1-a.gdch.customer.

Rede do plano de dados (CIDR externo)

1. Para a rede da família de IPs do plano de dados, especifique se a sub-rede é IPv4 ou DualStack. Na seção externalCIDR, substitua IP_FAMILY por IPv4 ou DualStack.
   1. Se você selecionar IPv4,
      1. Insira o endereço de rede IPv4 com tamanho mínimo de 23 para a rede de plano de dados externa. Use essa rede para serviços acessíveis externamente, como o servidor da API Management e interfaces de armazenamento. O endereço de rede precisa ser um bloco de IP contínuo pré-alocado na sua rede. Por exemplo, substitua EXTERNAL_NETWORK_IPV4 por 10.100.101.0/23.
   2. Se você selecionar DualStack,
      1. Insira o endereço de rede IPv4 com tamanho mínimo de 23 para a rede de plano de dados externa. Use essa rede para serviços acessíveis externamente, como o servidor da API Management e interfaces de armazenamento. O endereço de rede precisa ser um bloco de IP contínuo pré-alocado na sua rede. Por exemplo, substitua EXTERNAL_NETWORK_IPV4 por 10.100.101.0/23.
      2. Insira o endereço de rede IPv6 com o tamanho mínimo de 64. Esse bloco de IP é dividido em dois. A primeira metade é usada como a rede de plano de dados externa, e a segunda metade é usada como a rede de plano de dados interna. Por exemplo, substitua EXTERNAL_NETWORK_IPV6 por FC00::/64.

Opcional: informações sobre o módulo de segurança de hardware (HSM) externo

Os dispositivos HSM hospedam chaves de criptografia e realizam operações criptográficas usando o KMIP (protocolo de interoperabilidade de gerenciamento de chaves). É possível usar o HSM com o NetApp ONTAP Select (OTS) para armazenamento. Se você quiser usar um servidor NTP externo, preencha a seção externalHSM.

Antes de começar, configure a rede do HSM.

1. EXTERNAL_HSM_PR_ADDR: o endereço do serviço KMIP principal. Siga o formato (IP|DNS):Porta. Se a porta for omitida, a porta padrão 5696 será usada.

   • Em IP, insira o endereço de rede IP do serviço KMIP. Por exemplo, 8.8.8.8:5696.
   • Em Nome do DNS, insira o nome de domínio totalmente qualificado do serviço KMIP. Por exemplo, te.us-central1-a:5696.

2. EXTERNAL_HSM_SE_ADDR: os endereços dos serviços secundários do KMIP. Siga o formato (IP|DNS):Porta. Se a porta for omitida, a porta padrão 5696 será usada. É possível especificar até três endereços secundários, separados por vírgulas.

3. EXTERNAL_HSM_CA_CERT: insira o CACert. O certificado da CA é o certificado assinado para o serviço KMIP.

4. EXTERNAL_HSM_CLIENT_CERT: insira o certificado do cliente para se conectar ao HSM externo.

5. EXTERNAL_HSM_CLIENT_KEY: insira a chave do cliente associada ao certificado do cliente para se conectar ao HSM externo.

Opcional: conectar um provedor de identidade

Você pode se conectar ao seu provedor de identidade (IdP) para gerenciamento de identidade e acesso ou configurar um IdP do Keycloak integrado. Se quiser usar seu próprio provedor de identidade, preencha a seção externalIDP.

1. Escolha o tipo de provedor de identidade a que você está se conectando: OIDC (OpenID Connect) ou SAML (Security Assertion Markup Language).
2. Se você escolher um provedor de OIDC, especifique os seguintes parâmetros:
   1. EXTERNAL_IDP_NAME: insira o nome do IdP. O nome que você fornece aqui é o alias da identidade no sistema.
   2. EXTERNAL_IDP_ISSUER_URI: insira o URI do emissor. O URI do emissor precisa apontar para o nível dentro de .well-known/openid-configuration. Os aplicativos clientes enviam solicitações de autorização para esse URL. O servidor da API Kubernetes usa esse URL para descobrir chaves públicas de verificação de tokens.
   3. EXTERNAL_IDP_CA_DATA: insira um certificado codificado em PEM codificado em base64 para os dados da autoridade de certificação do IdP. Para mais informações, consulte https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail.
      1. Para criar a string, codifique o certificado, incluindo cabeçalhos, em base64.
      2. Inclua a string resultante como uma única linha. Exemplo: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tC...k1JSUN2RENDQWFT==
   4. EXTERNAL_IDP_CLIENT_ID: insira o ID do cliente do aplicativo cliente que faz solicitações de autenticação para o IdP.
   5. EXTERNAL_IDP_CLIENT_SECRET: insira a chave secreta do cliente, que é uma senha secreta compartilhada entre seu IdP e o dispositivo isolado do GDC.
   6. EXTERNAL_IDP_USER_CLAIM: insira o campo declaração do usuário para identificar cada usuário. Esse é o nome da declaração no token de ID do OIDC que contém o nome de usuário. Se essa declaração estiver ausente do token de ID, os usuários não poderão se autenticar. A declaração padrão para muitos provedores é sub. É possível escolher outras declarações, como email ou name, dependendo do provedor de identidade. Declarações diferentes de email são prefixadas com o URL do emissor para evitar conflitos de nomenclatura.
   7. EXTERNAL_IDP_SCOPES: se o provedor de identidade exigir outros escopos, insira uma lista separada por vírgulas de escopos para enviar ao IdP. Por exemplo, o Microsoft Azure e o Okta exigem o escopo offline_access.
3. Se você escolher um provedor SAML, especifique os seguintes parâmetros:
   1. EXTERNAL_IDP_NAME: insira o nome do IdP. O nome que você fornece aqui é o alias da identidade no sistema.
   2. EXTERNAL_IDP_ENTITY_ID: insira o ID da entidade do provedor de SAML, especificado em um formato de URI, como: https://www.idp.com/saml.
   3. EXTERNAL_IDP_SSO_URI: insira o URI de SSO, que é o URI do endpoint de SSO do provedor SAML, como https://www.idp.com/saml/sso.
   4. EXTERNAL_IDP_CERT_DATA: insira uma lista dos certificados do IdP usados para verificar a resposta SAML. Esses certificados precisam ser codificados em base64 padrão e formatados no formato PEM. Um máximo de dois certificados são aceitos para facilitar a rotação de certificados do IdP.
   5. EXTERNAL_IDP_USER_ATTRIBUTE: insira o atributo do usuário, que é o nome do atributo na resposta SAML que contém o nome de usuário. Se esse atributo estiver ausente da resposta SAML, a autenticação vai falhar.

4. EXTERNAL_IDP_INITIAL_ADMIN: para provedores SAML e OIDC, insira a conta do administrador inicial. O administrador inicial é a primeira conta que recebe acesso ao sistema após a conclusão da instalação. O valor inserido precisa corresponder ao tipo de declaração, como um endereço de e-mail, se a declaração do usuário para um provedor OIDC estiver definida como email.

   Registre o nome do administrador inicial, porque você vai precisar dessa informação para fazer login no sistema pela primeira vez após a conclusão da instalação.