建立設定檔

本頁說明如何建立輸入設定檔，用於設定 Google Distributed Cloud (GDC) 無網路連線裝置。

建立輸入設定檔

1. 設備設定程序會使用輸入 YAML 檔案。請按照提供的範本，以完全相同的格式建立這個檔案。標示為「選填」的欄位或區段必須省略，不得留空。

2. 以下是輸入設定檔範例。

   bgp:
     dataASN: DATAPLANE_ASN
   interconnects:
     customerData:
       asn: CUSTOMER_ASN
       customerPeerSubnets:
       - ipFamily: UPLINK_IP_FAMILY_1
         ipv4:
           ip: UPLINK_IPV4_PEER_1
           subnet:
             gateway: UPLINK_IPV4_GW_1
             subnet: UPLINK_IPV4_NET_1
         # Optional: Only specify ipv6 for DualStack ipFamily
         ipv6:
           ip: UPLINK_IPV6_PEER_1
           subnet:
             gateway: UPLINK_IPV6_GW_1
             subnet: UPLINK_IPV6_NET_1
       - ipFamily: UPLINK_IP_FAMILY_2
         ipv4:
           ip: UPLINK_IPV4_PEER_2
           subnet:
             gateway: UPLINK_IPV4_GW_2
             subnet: UPLINK_IPV4_NET_2
         # Optional: Only specify ipv6 for DualStack ipFamily
         ipv6:
           ip: UPLINK_IPV6_PEER_2
           subnet:
             gateway: UPLINK_IPV6_GW_2
             subnet: UPLINK_IPV6_NET_2
   dns:
     delegatedSubdomain: DELEGATED_SUBDOMAIN
   externalCIDR:
     ipFamily: IP_FAMILY
     ipv4: EXTERNAL_NETWORK_IPV4
     ipv6: EXTERNAL_NETWORK_IPV6
   
   # Optional: External hardware security module (HSM) information
   externalHSM:
     primaryAddress:  EXTERNAL_HSM_PR_ADDR
     secondaryAddresses:
       - EXTERNAL_HSM_SE_ADDR
     caCert: EXTERNAL_HSM_CA_CERT
     clientCert: EXTERNAL_HSM_CLIENT_CERT
     clientKey: EXTERNAL_HSM_CLIENT_KEY
   
   # Optional: External IdP information
   externalIDP:
     name: EXTERNAL_IDP_NAME
     oidc:
       clientID: EXTERNAL_IDP_CLIENT_ID
       clientSecret: EXTERNAL_IDP_CLIENT_SECRET
       issuerURI: EXTERNAL_IDP_ISSUER_URI
       scopes: EXTERNAL_IDP_SCOPES
       userClaim: EXTERNAL_IDP_USER_CLAIM
       caCert: EXTERNAL_IDP_CA_DATA
     saml:
       idpEntityID: EXTERNAL_IDP_ENTITY_ID
       idpSingleSignOnURI: EXTERNAL_IDP_SSO_URI
       idpCertDataList: EXTERNAL_IDP_CERT_DATA
       userAttribute: EXTERNAL_IDP_USER_ATTRIBUTE
     initialAdmin: EXTERNAL_IDP_INITIAL_ADMIN
   

邊界閘道通訊協定 (BGP) 資訊

邊界閘道通訊協定 (BGP) 會與外部網路交換轉送資訊。這些網路是透過自治系統編號 (ASN) 識別。 為確保 GDC 氣隙裝置與外部網路之間的連線正常運作，所有 ASN 值都必須是全域不重複的值。

1. DATAPLANE_ASN：指派給 GDC 實體隔離裝置例項資料層的 ASN。例如 65204。

2. CUSTOMER_ASN：指派給客戶網路資料層的 ASN。例如：4200002002。

上行連結資訊

上行連結設定是同層互連連線，用於將 GDC 實體隔離裝置執行個體連線至其他服務，例如客戶網路和其他 GDC 實體隔離裝置執行個體。這些上行連結設定和 GDC 氣隙裝置例項的接線，對於確保與外部網路的連線是否正常運作至關重要。

1. 針對客戶對等互連所需的每個上行連結，填寫「客戶對等互連子網路」欄位中的上行連結項目部分。如果提供的號碼與預期的上行連結數 (2) 不符，系統會從外部資料平面子網路分配剩餘的上行連結。
2. 針對上行鏈路，請指定下列項目：
   1. UPLINK_IP_FAMILY_1, UPLINK_IP_FAMILY_2：指定 IP 系列 子網路。必須是 IPv4 或 DualStack。
      1. 如果選取 IPv4，
         1. UPLINK_IPV4_PEER_1 IP, UPLINK_IPV4_PEER_2 IP：說明在路由傳輸埠上指派的 IP 位址。如果留空，系統會從對等互連子網路區塊中取得。
         2. UPLINK_IPV4_NET_1、 UPLINK_IPV4_NET_2：輸入為所提供交換器和連接埠連結設定的客戶網路對等互連子網路區塊。這是 /31 子網路。例如：172.16.255.148/31。
         3. UPLINK_IPV4_GW_1, UPLINK_IPV4_GW_2：輸入代表面向客戶的 IP 位址，該位址位於/31對等互連子網路中。例如：172.16.255.148。
      2. 如果選取 DualStack，
         1. UPLINK_IPV4_PEER_1 IP, UPLINK_IPV4_PEER_2 IP：說明在路由傳輸埠上指派的 IPv4 位址。如果留空，系統會從對等互連子網路區塊中取得。
         2. UPLINK_IPV4_NET_1, UPLINK_IPV4_NET_2：如果是 IPv4，請輸入為所提供交換器和連接埠連結設定的客戶網路對等互連子網路區塊。這是 /31 子網路。例如：172.16.255.148/31。
         3. UPLINK_IPV4_GW_1, UPLINK_IPV4_GW_2：如果是 IPv4，請輸入代表客戶面向 IP 位址的 IPv4 位址，該位址位於 /31 對等互連子網路。例如：172.16.255.148。
         4. UPLINK_IPV6_PEER_1 IP, UPLINK_IPV6_PEER_2 IP：說明在路由傳輸埠上指派的 IPv6 位址。如果留空，系統會從對等互連子網路區塊中取得。
         5. UPLINK_IPV6_NET_1, UPLINK_IPV6_NET_2：如果是 IPv6，請輸入為所提供交換器和連接埠連結設定的對等互連子網路區塊。這是 /127 子網路。例如：FC00::/127。
         6. UPLINK_IPV6_GW_1, UPLINK_IPV6_GW_2：如果是 IPv6，請輸入代表面向客戶的 IP 位址，該位址位於/127對等互連子網路中。例如：FC00::。

網域名稱系統 (DNS) 資訊

1. DELEGATED_SUBDOMAIN：從父項 DNS 伺服器輸入 GDC 無網路連線裝置執行個體的DNS 委派子網域名稱。這個完整網域名稱會做為 GDC 無網路連線裝置服務 (例如叢集管理) 的後置字串。預期格式為 LOCATION。SUFFIX。

   更改下列內容：

   • LOCATION：GDC 實體隔離設備部署的可用區 ID，例如 us-central1-a
   • SUFFIX：任何有效的 DNS 尾碼，例如 zone1.google.gdch.test 或 us-central1-a.gdch.customer

資料層網路 (外部 CIDR)

1. 如果是資料平面 IP 系列網路，請指定子網路是 IPv4 或 DualStack。在 externalCIDR 區段中，將 IP_FAMILY 替換為 IPv4 或 DualStack。
   1. 如果選取 IPv4，
      1. 輸入 IPv4 網路位址，大小至少為 23，適用於外部資料平面網路。這個網路適用於可從外部存取的服務，例如 Management API 伺服器和儲存空間介面。網路位址必須是網路中預先分配的連續 IP 區塊。例如，將 EXTERNAL_NETWORK_IPV4 替換為 10.100.101.0/23。
   2. 如果選取 DualStack，
      1. 輸入 IPv4 網路位址，大小至少為 23，適用於外部資料平面網路。這個網路適用於可從外部存取的服務，例如 Management API 伺服器和儲存空間介面。網路位址必須是網路中預先分配的連續 IP 區塊。例如，將 EXTERNAL_NETWORK_IPV4 替換為 10.100.101.0/23。
      2. 輸入 IPv6 網路位址，最小大小為 64。這個 IP 區塊會分成兩半，前半部做為外部資料平面網路，後半部則做為內部資料平面網路。例如，將 EXTERNAL_NETWORK_IPV6 替換為 FC00::/64。

選用：外部硬體安全性模組 (HSM) 資訊

HSM 裝置會託管加密金鑰，並使用 KMIP (金鑰管理互通性通訊協定) 執行加密作業。您可以將 HSM 與 NetApp ONTAP Select (OTS) 搭配使用，做為儲存空間。如要使用外部 NTP 伺服器，請填寫 externalHSM 區段。

開始前，請先設定 HSM 網路。

1. EXTERNAL_HSM_PR_ADDR：主要 KMIP 服務的地址。請使用 (IP|DNS):Port 格式。如果省略通訊埠，系統會使用預設通訊埠 5696。

   • 在「IP」中，輸入 KMIP 服務的 IP 網路位址。例如：8.8.8.8:5696。
   • 針對「DNS name」(DNS 名稱)，輸入 KMIP 服務的完整網域名稱。例如：te.us-central1-a:5696。

2. EXTERNAL_HSM_SE_ADDR：次要 KMIP 服務的地址。請使用 (IP|DNS):Port 格式。如果省略通訊埠，系統會使用預設通訊埠 5696。最多可指定 3 個次要地址，並以半形逗號分隔。

3. EXTERNAL_HSM_CA_CERT：輸入 CACert。CA 憑證是 KMIP 服務的簽署憑證。

4. EXTERNAL_HSM_CLIENT_CERT：輸入用於連線至外部 HSM 的用戶端憑證。

5. EXTERNAL_HSM_CLIENT_KEY：輸入與用戶端憑證相關聯的用戶端金鑰，以便連線至外部 HSM。

選用：連結識別資訊提供者

您可以連線至現有的識別資訊提供者 (IdP)，進行身分和存取權管理，也可以設定內建的 Keycloak IdP。如要使用自己的識別資訊提供者，請填寫 externalIDP 部分。

1. 選擇要連結的識別資訊提供者類型：OIDC (OpenID Connect) 或 SAML (安全宣告標記語言)。
2. 如果您選擇 OIDC 供應商，請指定下列參數：
   1. EXTERNAL_IDP_NAME：輸入 IdP 的名稱。您在此提供的名稱是系統中身分的別名。
   2. EXTERNAL_IDP_ISSUER_URI：輸入簽發機構 URI。核發者 URI 必須指向 .well-known/openid-configuration 內的層級。用戶端應用程式會將授權要求傳送至這個網址。Kubernetes API 伺服器會使用這個網址探索公開金鑰，以驗證權杖。
   3. EXTERNAL_IDP_CA_DATA：輸入 IdP 的憑證授權單位資料，並採用 PEM 編碼和 Base64 編碼。詳情請參閱 https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail。
      1. 如要建立字串，請將憑證 (包含標頭) 的編碼方式改為 base64。
      2. 並以獨立一行的形式加入產生的字串。例如： LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tC...k1JSUN2RENDQWFT==
   4. EXTERNAL_IDP_CLIENT_ID：輸入向 IdP 提出驗證要求的用戶端應用程式用戶端 ID。
   5. EXTERNAL_IDP_CLIENT_SECRET：輸入用戶端密碼，這是 IdP 與 GDC 離線裝置共用的密碼。
   6. EXTERNAL_IDP_USER_CLAIM：輸入使用者聲明欄位，識別每位使用者。這是 OIDC ID 權杖中包含使用者名稱的聲明名稱。如果 ID 權杖缺少這項聲明，使用者就無法通過驗證。許多供應商的預設聲明為 sub。視身分識別提供者而定，您可以選擇其他憑證附加資訊，例如 email 或 name。email以外的憑證附加資訊都必須在前方加上核發者網址，以免發生命名衝突。
   7. EXTERNAL_IDP_SCOPES：如果識別資訊提供者需要其他範圍，請輸入以半形逗號分隔的範圍清單，然後傳送至 IdP。舉例來說，Microsoft Azure 和 Okta 需要 offline_access 範圍。
3. 如果您選擇 SAML 供應商，請指定下列參數：
   1. EXTERNAL_IDP_NAME：輸入 IdP 的名稱。您在此提供的名稱是系統中身分的別名。
   2. EXTERNAL_IDP_ENTITY_ID：以 URI 格式輸入 SAML 供應商的實體 ID，例如： https://www.idp.com/saml。
   3. EXTERNAL_IDP_SSO_URI：輸入 SSO URI，這是 SAML 提供者的 SSO 端點 URI，例如 https://www.idp.com/saml/sso。
   4. EXTERNAL_IDP_CERT_DATA：輸入用於驗證 SAML 回應的 IDP 憑證清單。這些憑證必須採用標準 Base64 編碼和 PEM 格式。為方便 IDP 憑證輪替，最多可支援兩個憑證。
   5. EXTERNAL_IDP_USER_ATTRIBUTE：輸入使用者屬性，也就是 SAML 回應中包含使用者名稱的屬性名稱。如果 SAML 回應缺少這項屬性，驗證就會失敗。

4. EXTERNAL_IDP_INITIAL_ADMIN：如果是 SAML 和 OIDC 提供者，請輸入初始管理員的帳戶。初始管理員是安裝完成後，第一個獲得系統存取權的帳戶。輸入的值必須與聲明類型相符，例如，如果 OIDC 提供者的使用者聲明設為 email，則輸入的值必須是電子郵件地址。

   請記下初始管理員的名稱，因為安裝完成後，您需要這項資訊才能首次登入系統。