设置 Google Cloud 以与您的 Bare Metal 解决方案环境搭配使用

当裸金属解决方案环境准备就绪后,Google Cloud 会通知您。该通知包含新服务器的内部 IP 地址。

以下说明介绍如何执行以下任务,这些任务需要连接到裸金属解决方案环境:

  • 为裸金属解决方案环境创建冗余 VLAN 连接。
  • 在您的 VPC 网络中创建一个跳转主机虚拟机实例。
  • 使用 SSH 或 RDP 从该跳转主机虚拟机实例登录您的裸金属解决方案服务器。

连接到服务器后,验证裸金属解决方案订单的配置。

准备工作

要连接到和配置裸金属解决方案环境,您需要:

  • 启用了结算功能的 Google Cloud 项目。您可以在 Google Cloud 控制台中的项目选择器页面上创建项目。
  • Virtual Private Cloud (VPC) 网络。这是您订购裸金属解决方案时命名的 VPC 网络。如果您需要创建 VPC 网络,请参阅使用 VPC 网络
  • 裸金属解决方案准备就绪后 Google Cloud 提供的以下信息:
    • Bare Metal 服务器的 IP 地址。
    • 每台 Bare Metal 服务器的临时密码。

为 Cloud Interconnect 连接创建 VLAN 连接

如需访问裸金属解决方案服务器,您需要在服务器所在的区域中创建和设置 VLAN 连接(也称为 InterconnectAttachments)。VLAN 连接是 Cloud Interconnect 中的逻辑对象,用于将您的裸金属解决方案环境连接到 Google Cloud。

我们建议以冗余对的形式创建 VLAN 连接,以实现高可用性。 一对主 VLAN 连接和辅助 VLAN 连接分别在单独的 EAD(边缘可用性网域)中预配,位于单独的硬件和物理机架中。这可确保在维护等事件期间实现高可用性。

裸金属解决方案的边缘可用性网域。

单个 VLAN 连接支持的最高速度为 10 Gbps。一对 VLAN 连接(即主 VLAN 连接和辅助 VLAN 连接)支持的最高速度为 20 Gbps。如需在裸金属解决方案环境和 VPC 网络之间实现更高的吞吐量,您可以配置多个 VLAN 连接对。

如需让某个 VLAN 连接优先于其他连接,您可以在 Cloud Router 上更新路由基准优先级

创建 VLAN 连接后,您需要预先激活这些连接,并将其添加到裸金属解决方案 VRF。如需创建和设置 VLAN 连接,请按以下步骤操作:

控制台

  1. 如果您的裸金属解决方案网络和区域中没有 Cloud Router,请创建 Cloud Router 以将裸金属解决方案环境与 VPC 网络连接起来。

    您可以为两个 VLAN 连接使用一个 Cloud Router 路由器,也可以为每个 VLAN 连接使用单独的 Cloud Router 路由器。

    如需与裸金属解决方案建立对等互连,请在创建路由器时使用 Google 公共 ASN (16550)。

    如需了解相关说明,请参阅创建 Cloud Router

  2. 在 Google Cloud 控制台中,转到 Cloud Interconnect VLAN 连接页面。

    转到 VLAN 连接

  3. 点击创建 VLAN 连接

  4. 选择合作伙伴互连,然后点击继续

  5. 选择我已经有服务提供方

  6. 选择创建 VLAN 连接冗余对

    两个 VLAN 连接都可以处理流量,且您可以将流量路由到它们之间的负载平衡。如果一个连接发生故障(例如在计划性维护期间),则另一个连接会继续处理流量。如需了解详情,请参阅冗余和 SLA

  7. 网络字段中,选择您的 VPC 网络。

  8. 区域字段中,选择 Google Cloud 区域。

  9. 为两个 VLAN 连接指定以下详细信息。

    • Cloud Router - 与此 VLAN 连接相关联的 Cloud Router。您只能选择 ASN 为 16550 且位于您的 VPC 网络和区域中的 Cloud Router 路由器。
    • VLAN 连接名称 - 每个连接的名称。例如,my-attachment-1my-attachment-2
    • 说明 - 有关每个 VLAN 连接的信息。
    • 最大传输单元 (MTU) - 网络传输的数据包大小上限。默认大小为 1440。 创建 VLAN 连接时,您可以选择以下 MTU。
      • 1440
      • 1460
      • 1500
      • 8896
  10. 点击确定

    VLAN 连接页面上,VLAN 连接状态显示为 waiting for service provider。继续执行下一步。

  11. 在 Google Cloud 通知您裸金属解决方案服务器已准备就绪后,请按照以下步骤将新的 VLAN 连接添加到 VRF:

    1. 如需向现有 VRF 添加 VLAN 连接,请按照添加 VLAN 连接中的说明操作。
    2. 如需向新的 VRF 添加 VLAN 连接,请按照创建 VRF 中的说明操作。

gcloud

  1. 如果您在用于裸金属解决方案的网络和区域中没有 Cloud Router 实例,则为每个 VLAN 连接创建一个。使用 16550 作为 ASN 编号:

    gcloud compute routers create router-name \
    --network vpc-network-name \
    --asn 16550 \
    --region region

    如需了解详情,请参阅创建 Cloud Router

  2. 创建类型为 PARTNERInterconnectAttachment,并指定 Cloud Router 的名称以及 VLAN 连接的边缘可用性网域 (EAD)。此外,添加 --admin-enabled 标志以预先激活连接,并在 Google Cloud 完成裸金属解决方案配置后立即发送流量。

    gcloud compute interconnects attachments partner create first-attachment-name \
      --region region \
      --router first-router-name \
      --edge-availability-domain availability-domain-1 \
      --admin-enabled
    gcloud compute interconnects attachments partner create second-attachment-name \
      --region region \
      --router second-router-name \
      --edge-availability-domain availability-domain-2 \
      --admin-enabled

    Google Cloud 会在 Cloud Router 上自动添加接口和 BGP 对等端。

    以下示例会创建冗余连接,一个位于 EAD availability-domain-1中,另一个位于 EAD availability-domain-2 中。每个连接都与单独的 Cloud Router(分别为 my-router-1my-router-2)相关联。这两者都在 us-central1 地区中。

    gcloud compute interconnects attachments partner create my-attachment \
     --region us-central1 \
     --router my-router-1 \
     --edge-availability-domain availability-domain-1 \
     --admin-enabled
    gcloud compute interconnects attachments partner create my-attachment \
     --region us-central1 \
     --router my-router-2 \
     --edge-availability-domain availability-domain-2 \
      --admin-enabled
  3. 运行 gcloud compute interconnects attachments describe 命令以查看 VLAN 连接的详细信息。

    gcloud compute interconnects attachments describe my-attachment \
      --region us-central1
    adminEnabled: false
    edgeAvailabilityDomain: AVAILABILITY_DOMAIN_1
    creationTimestamp: '2017-12-01T08:29:09.886-08:00'
    id: '7976913826166357434'
    kind: compute#interconnectAttachment
    labelFingerprint: 42WmSpB8rSM=
    name: my-attachment
    region: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1
    router: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1/routers/my-router
    selfLink: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1/interconnectAttachments/my-attachment
    state: PENDING_PARTNER
    type: PARTNER
    • 在 Google Cloud 完成 VLAN 连接配置之前,VLAN 连接的状态为 PENDING_PARTNER。之后连接状态将为 INACTIVEACTIVE,具体取决于您是否预先激活连接。

    当从 Google Cloud 请求连接时,您必须为两个连接选择相同的都市圈(城市),这样才能实现冗余。如需了解详情,请参阅合作伙伴互连概览页面中的“冗余”部分。

  4. 如果 Google Cloud 完成裸金属解决方案订单后 VLAN 连接没有启动,请激活每个 VLAN 连接:

    gcloud compute interconnects attachments partner update attachment-name \
    --region region \
    --admin-enabled

您可以在 Cloud 控制台中查看 Cloud Router 和通告路由的状态。如需了解详情,请参阅查看路由器状态和通告路由

设置裸金属解决方案和 Google Cloud 之间的路由

您的 VLAN 连接激活后,您的 BGP 会话就会启动,Bare Metal Solution 环境的路由会通过 BGP 会话接收。

为 BGP 会话添加一个默认 IP 范围的自定义通告路由

如需为来自裸金属解决方案环境的流量设置路由,建议您在 BGP 会话上将默认路由的自定义通告路由(例如 0.0.0.0/0)添加到裸金属解决方案环境。

如需在现有 BGP 会话中指定通告,请执行以下操作:

控制台

  1. 转到 Google Cloud 控制台中的“Cloud Router 路由器”页面。
    Cloud Router 路由器列表
  2. 选择待更新 BGP 会话所属的 Cloud Router 路由器。
  3. 在 Cloud Router 路由器的详情页面中,选择要更新的 BGP 会话。
  4. 在 BGP 会话详情页面中,选择修改
  5. 对于路由,选择创建自定义路由
  6. 选择添加自定义路由以添加通告路由。
  7. 配置路由通告。
    • 来源 - 选择自定义 IP 地址范围以指定自定义 IP 地址范围。
    • IP 地址范围 - 使用 CIDR 表示法指定自定义 IP 地址范围。
    • 说明 - 添加说明以帮助标识此自定义通告路由的用途。
  8. 添加完路由后,选择保存

gcloud

您可以将其添加到现有自定义通告路由,也可以设置新的自定义通告路由,该路由会使用新的通告取代现有自定义通告路由。

如要为默认 IP 范围设置新的自定义通告路由,请使用 --set-advertisement-ranges 标志:

gcloud compute routers update-bgp-peer router-name \
   --peer-name bgp-session-name \
   --advertisement-mode custom \
   --set-advertisement-ranges 0.0.0.0/0

如需将默认 IP 范围附加到现有 IP 范围,请使用 --add-advertisement-ranges 标志。请注意,您必须将 Cloud Router 路由器的通告模式设置为 custom 才能使用此标志。以下示例展示了如何将 0.0.0.0/0 自定义 IP 添加到 Cloud Router 路由器的通告中:

gcloud compute routers update-bgp-peer router-name \
   --peer-name bgp-session-name \
   --add-advertisement-ranges 0.0.0.0/0

(可选)将 VPC 网络动态路由模式设置为 global

如果您在两个不同区域中存在裸金属解决方案服务器,请考虑在 VPC 网络上启用全局路由模式,以使您的裸金属解决方案区域直接通过 VPC 网络相互通信。

还需要全局路由模式,以在连接到一个 Google Cloud 区域的本地环境和另一个 Google Cloud 区域的裸金属解决方案环境之间进行通信。

如需设置全局路由模式,请参阅设置 VPC 网络动态路由模式

VPC 防火墙设置

新的 VPC 网络具有活跃的默认防火墙规则,用于限制 VPC 网络中的大多数流量。

要连接到裸金属解决方案环境,必须在以下各项之间启用网络流量:

  • 裸金属解决方案环境和 Google Cloud 上的网络目标。
  • 您的本地环境和 Google Cloud 上的资源,例如可用于连接到裸金属解决方案环境的任何跳转主机虚拟机实例。

在裸金属解决方案环境中,如果您需要控制 Bare Metal 服务器之间或 Google Cloud 上的服务器和目的地之间的网络流量,则需要自行实现控制机制。

如需在 Google Cloud 的 VPC 网络中创建防火墙规则,请执行以下操作:

控制台

  1. 转到防火墙规则页面:

    转到“防火墙规则”

  2. 点击创建防火墙规则

  3. 定义防火墙规则。

    1. 为防火墙规则命名。
    2. 网络字段中,选择您的虚拟机所在的网络。
    3. 目标字段中,指定指定的目标标记指定的服务账号
    4. 在相应字段中指定目标网络标记或服务账号。
    5. 来源过滤条件字段中,指定 IP 地址范围以允许裸金属解决方案环境传入的流量。
    6. 来源 IP 地址范围字段中,指定裸金属解决方案环境中服务器或设备的 IP 地址。
    7. 协议和端口部分中,指定您的环境所需的协议和端口。
    8. 点击创建

gcloud

以下命令将创建使用 IP 地址范围定义来源并使用实例的网络标记定义目标的防火墙规则。根据需要为环境修改命令。

gcloud compute firewall-rules create rule-name \
    --project=your-project-id \
    --direction=INGRESS \
    --priority=1000 \
    --network=your-network-name \
    --action=ALLOW \
    --rules=protocol:port \
    --source-ranges=ip-range \
    --target-tags=instance-network-tag

如需详细了解如何创建防火墙规则,请参阅创建防火墙规则

连接到 Bare Metal 服务器

裸金属解决方案环境中的服务器不会预配外部 IP 地址。

在创建防火墙规则以允许流量从裸金属解决方案环境进入您的 VPC 网络后,您可以使用跳转主机虚拟机实例连接到服务器。

在 Google Cloud 上创建跳转主机虚拟机实例

如需快速连接到您的 Bare Metal 服务器,请创建一个 Compute Engine 虚拟机 (VM) 作为 Jump 主机。在与裸金属解决方案环境相同的 Google Cloud 区域中创建虚拟机。

如果您需要更安全的连接方法,请参阅使用堡垒主机进行连接

如需创建跳转主机虚拟机实例,请根据您在裸金属解决方案环境中使用的操作系统选择以下说明。

如需详细了解如何创建 Compute Engine 虚拟机实例,请参阅创建和启动虚拟机实例

Linux

创建虚拟机实例

  1. 在 Google Cloud 控制台中,转到虚拟机实例页面:

    转到“虚拟机实例”页面

  2. 点击创建实例

  3. 名称字段中,指定虚拟机实例的名称。

  4. 地区下,选择裸金属解决方案环境的地区。

  5. 启动磁盘部分,点击更改

    1. 操作系统字段中,选择所需的操作系统。
    2. 版本字段中,选择操作系统版本。
  6. 点击管理、安全、磁盘、网络、单独租用以展开该部分。

  7. 点击网络以显示网络选项。

    • (可选)在网络标记下,为实例定义一个或多个网络标记。
    • 网络接口下,确认显示了正确的 VPC 网络。
  8. 点击创建

实例启动会需要一些时间,请稍等片刻。准备就绪后,实例会列在虚拟机实例页面上,并带有绿色状态图标。

连接到跳转主机虚拟机实例

  1. 如果您需要创建防火墙规则以允许访问跳转主机虚拟机实例,请参阅防火墙设置

  2. 在 Google Cloud 控制台中,转到虚拟机实例页面:

    转到“虚拟机实例”页面

  3. 在虚拟机实例列表中,点击跳转主机所在行中的 SSH。

    “虚拟机实例”页面中的跳转主机行突出显示 SSH 按钮

您现在具有一个含跳转主机虚拟机实例的终端窗口,您可以在该窗口中使用 SSH 连接到 Bare Metal 服务器。

首次登录裸金属解决方案服务器

Linux

  1. 连接到跳转主机虚拟机实例

  2. 在跳转主机虚拟机实例上,打开命令行终端并确认您可以访问裸金属解决方案服务器:

    ping bare-metal-ip

    如果 ping 失败,请检查并更正以下内容:

  3. 从跳转主机虚拟机实例,使用 customeradmin 用户 ID 和服务器的 IP 地址,通过 SSH 连接到裸金属解决方案服务器:

    ssh customeradmin@bare-metal-ip
  4. 出现提示时,输入 Google Cloud 向您提供的密码。

  5. 首次登录时,您需要更改裸金属解决方案服务器的密码。

  6. 设置新密码并将其存储在安全的位置。重置密码后,服务器会自动退出您的登录。

  7. 使用 customeradmin 用户 ID 和新密码重新登录裸金属解决方案服务器:

    ssh customeradmin@bare-metal-ip
  8. 我们建议您同时更改根用户密码。首先以根用户身份登录:

    sudo su -
  9. 如需更改根密码,请发出 passwd 命令并按照提示进行操作:

    passwd
  10. 如需返回 customeradmin 用户提示,请退出根用户提示:

    exit
  11. 请务必将密码存储在安全的位置,以供恢复使用。

  12. 确认您的服务器配置与订单相匹配。需要检查的事项包括:

    • 服务器配置,包括 CPU 的数量和类型、插口和内存。
    • 操作系统或 Hypervisor 软件,包括供应商和版本。
    • 存储空间,包括类型和数量。

设置对公共互联网的访问权限

裸金属解决方案不提供互联网接入。您可以根据业务要求、现有基础架构等各种因素,从以下方法中选择一种来设置访问权限:

使用 Compute Engine 虚拟机和 Cloud NAT 访问互联网

以下说明介绍了如何在 Compute Engine 虚拟机上设置 NAT 网关,以将裸金属解决方案环境中的服务器连接到互联网,用于接收软件更新。

这些说明使用 VPC 网络的默认互联网网关访问互联网。

以下说明中显示的 Linux 命令适用于 Debian 操作系统。如果您使用不同的操作系统,则需要使用的命令也可能不同。

在裸金属解决方案环境使用的 VPC 网络中,执行以下步骤:

  1. 打开 Cloud Shell:

    转到 Cloud Shell

  2. 创建并配置 Compute Engine 虚拟机以充当 NAT 网关。

    1. 创建一个虚拟机:

      gcloud compute instances create instance-name \
        --machine-type=machine-type-name \
        --network vpc-network-name \
        --subnet=subnet-name \
        --can-ip-forward \
        --zone=your-zone \
        --image-family=os-image-family-name \
        --image-project=os-image-project \
        --tags=natgw-network-tag \
        --service-account=optional-service-account-email
      

      在后续步骤中,您将使用在此步骤中定义的网络标记来将流量路由到此虚拟机。

      如果您未指定服务账号,请移除 --service-account= 标志。Compute Engine 使用项目的默认服务账号。

    2. 创建 Cloud NAT 以便虚拟机访问互联网

      如需了解如何为虚拟机创建 Cloud NAT,请参阅此处

    3. 通过 SSH 连接到 NAT 网关虚拟机并配置 iptables:

      $ sudo sysctl -w net.ipv4.ip_forward=1
      $ sudo iptables -t nat -A POSTROUTING \
         -o $(/bin/ip -o -4 route show to default | awk '{print $5}') -j MASQUERADE
      

      第一条 sudo 命令告诉内核,您希望允许 IP 转发。第二条 sudo 命令伪装从内部实例接收到的数据包,就像这些数据包是从 NAT 网关实例发送的一样。

    4. 检查 iptables:

      $ sudo iptables -v -L -t nat
    5. 要在重新启动后保留 NAT 网关设置,请在 NAT 网关虚拟机上执行以下命令:

      $ sudo -i
      
      $ echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/70-natgw.conf
      
      $ apt-get install iptables-persistent
      
      $ exit
      
  3. 在 Cloud Shell 中,创建通往 0.0.0.0/0 的路由,其中使用默认互联网网关作为下一个跃点。指定您在上一步的 --tags 参数中定义的网络标记。为路由分配高于任何其他默认路由的优先级。

    gcloud compute routes create default-internet-gateway-route-name \
        --destination-range=0.0.0.0/0 \
        --network=network-name \
        --priority=default-igw-route-priority \
        --tags=natgw-network-tag,default-igw-tags \
        --next-hop-gateway=default-internet-gateway
    

    natgw-network-tag 应与第 2 步中标记的 natgw-vm 相同。您在第 2 步中创建的 natvm 将使用默认的互联网网关访问互联网。

  4. 将刚创建的网络标记 (default-igw-tags) 添加到 VPC 网络中需要访问互联网的任何现有虚拟机,以便在创建裸金属解决方案服务器也可以使用的新默认路由后,它们可以继续访问互联网。

  5. 可选:移除您在上一步中创建的路由之前存在的互联网路由,包括默认情况下创建的路由。

  6. 确认您网络中的任何现有虚拟机和 NAT 网关虚拟机都可以通过从每个虚拟机 ping 某个外部 IP 地址(如 8.8.8.8、Google DNS)来访问互联网。

  7. 创建通往 0.0.0.0/0 的默认路由,其中将 NAT 网关虚拟机用作下一个跃点。将该路由的优先级设置为低于为创建的第一个路由指定的优先级。

    gcloud compute routes create natgw-route-name \
        --destination-range=0.0.0.0/0 \
        --network=network-name \
        --priority=natgw-route-priority \
        --next-hop-instance=natgw-vm-name \
        --next-hop-instance-zone=natgw-vm-zone
    
  8. 登录裸金属解决方案服务器,并 ping 外部 IP 地址,以确认它们可以访问互联网。

    如果 ping 失败,请确保您已创建允许从裸金属解决方案环境访问您的 VPC 网络的防火墙规则。

使用冗余的 Compute Engine 虚拟机、Cloud NAT、内部直通式网络负载平衡器和基于政策的路由访问互联网

本部分介绍了如何设置内部直通网络负载平衡器,并将 Compute Engine 虚拟机和 Cloud NAT 配置为后端。基于政策的路由会将互联网流量转发到内部直通式网络负载平衡器的前端。

下图展示了此设置。

设置使用冗余 Compute Engine 虚拟机、Cloud NAT、内部直通式网络负载平衡器和基于政策的路由来访问互联网。

在裸金属解决方案环境的 VPC 网络中,执行以下步骤:

  1. 创建并配置 Compute Engine 虚拟机和 Cloud NAT 以充当 NAT 网关。 完成方法 1:使用单个 Compute Engine 虚拟机和 Cloud NAT 中所述的步骤。

    轻量级 HTTP 服务器可用于为内部直通式网络负载平衡器执行健康检查。

    
    # Installing http server
    
    sudo yum install httpd
    sudo systemctl restart httpd
    
    # Testing
    
    curl http://127.0.0.1:80
    
    
    
  2. 创建实例组。

    gcloud compute instance-groups unmanaged create INSTANCE_GROUP_NAME --project=PROJECT_ID --zone=ZONE
    

    替换以下内容:

    • INSTANCE_GROUP_NAME:实例组的名称
    • PROJECT_ID:项目的 ID
    • ZONE:要在其中创建实例组的区域
  3. 将虚拟机添加到实例组。

    gcloud compute instance-groups unmanaged add-instances INSTANCE_GROUP_NAME --project=PROJECT_ID --zone=ZONE --instances=VM_NAME
    

    替换以下内容:

    • INSTANCE_GROUP_NAME:实例组的名称
    • PROJECT_ID:项目的 ID
    • ZONE:要在其中创建实例组的区域
    • VM_NAME:虚拟机的名称
  4. 创建内部直通式网络负载平衡器:

    开始配置

    1. 在 Google Cloud 控制台中,转到负载均衡页面。

      转到“负载均衡”

    2. 点击创建负载均衡器
    3. 对于负载均衡器的类型,选择网络负载均衡器 (TCP/UDP/SSL),然后点击下一步
    4. 对于代理或直通,选择直通式负载均衡器,然后点击下一步
    5. 公共或内部字段中,选择内部,然后点击下一步
    6. 点击配置

    基本配置

    1. 设置负载平衡器名称
    2. 选择区域
    3. 选择网络

    配置后端和前端

    1. 点击后端配置 并进行以下更改:

      1. 如需添加后端,请执行以下操作:
        1. 新后端下,如需仅处理 IPv4 流量,请选择 IP 栈类型作为 IPv4(单栈)
        2. 选择您的实例组,然后点击完成
      2. 选择一项健康检查。您还可以创建健康检查,输入以下信息,然后点击保存

        • 名称:输入健康检查的名称。
        • 协议HTTP
        • 端口80
        • 代理协议NONE
        • 请求路径/
    2. 点击前端配置。在新建前端 IP 和端口部分,进行以下更改:

      1. 端口:选择全部,然后输入 80,8008,8080,8088 作为端口号
      2. 点击完成
    3. 点击检查并最终确定

    4. 查看负载均衡器配置设置。

    5. 点击创建

  5. 为互联网创建基于政策的路由。

    gcloud network-connectivity policy-based-routes create ROUTE_NAME \
     --source-range=SOURCE_RANGE \
     --destination-range=0.0.0.0/0 \
     --ip-protocol=ALL \
     --network="projects/PROJECT_ID/global/networks/NETWORK" \
     --next-hop-ilb-ip=NEXT_HOP \
     --description="DESCRIPTION" \
     --priority=PRIORITY \
     --interconnect-attachment-region=REGION
    

    替换以下内容:

    • ROUTE_NAME:基于政策的路由的名称
    • SOURCE_RANGE:来源 IP CIDR 范围。在本例中,这是裸金属解决方案 IP 地址。
    • PROJECT_ID:项目的 ID
    • NETWORK:要应用基于政策的路由的网络
    • NEXT_HOP:路由的下一个跃点的 IPv4 地址。在本例中,这是内部直通式网络负载平衡器前端的 IP 地址。
    • DESCRIPTION:路由的说明
    • PRIORITY:基于政策的路由与其他基于政策的路由相比的优先级
    • REGION:VLAN 连接的区域
  6. 创建基于政策的路由,以跳过适用于本地子网和本地子网的基于政策的互联网路由。

     gcloud network-connectivity policy-based-routes create ROUTE_NAME \
     --source-range=SOURCE_RANGE/32 \
     --destination-range=DESTINATION_RANGE \
     --ip-protocol=ALL \
     --network="projects/PROJECT_ID/global/networks/VPC_NAME" \
     --next-hop-other-routes="DEFAULT_ROUTING" \
     --description="DESCRIPTION" \
     --priority=PRIORITY \
     --interconnect-attachment-region=REGION
    

    替换以下内容:

    • ROUTE_NAME:基于政策的路由的名称
    • SOURCE_RANGE:来源 IP CIDR 范围。在本例中,这是裸金属解决方案 IP 地址。
    • DESTINATION_RANGE:目标 IP CIDR 范围。在本例中,这是本地子网或本地子网。
    • PROJECT_ID:项目的 ID
    • VPC_NAME:VPC 网络的名称
    • DESCRIPTION:路由的说明
    • PRIORITY:基于政策的路由与其他基于政策的路由相比的优先级。此基于政策的路由的优先级必须小于或等于互联网的基于政策的路由。
    • REGION:VLAN 连接的区域
  7. 更新防火墙,以允许虚拟机上的 HTTP 端口 80。

    如果您不更新防火墙,健康检查可能会失败。

在单独的 VPC 中使用冗余的 Compute Engine 虚拟机、Cloud NAT、内部直通式网络负载平衡器和基于政策的路由访问互联网

如果您不想为本地子网添加基于政策的路由,可以使用此方法访问互联网。不过,若要使用此方法,您需要创建 VLAN 连接和 VPC 来连接裸金属解决方案。

下图展示了此设置。

设置为在单独的 VPC 中使用冗余的 Compute Engine 虚拟机、Cloud NAT、内部直通式网络负载平衡器和基于政策的路由。

请按照以下步骤操作:

  1. 为互联网创建 VPC 网络。

    gcloud compute networks create NETWORK --project=PROJECT_ID --subnet-mode=custom --mtu=MTU --bgp-routing-mode=regional
    

    替换以下内容:

    • NETWORK:VPC 网络的名称。
    • PROJECT_ID:项目的 ID
    • MTU:最大传输单元 (MTU),即该网络的最大数据包大小
  2. 创建子网。

    gcloud compute networks subnets create SUBNET_NAME --project=PROJECT_ID --range=RANGE --stack-type=IPV4_ONLY --network=NETWORK --region=REGION
    

    替换以下内容:

    • SUBNET_NAME:子网的名称
    • PROJECT_ID:项目的 ID
    • RANGE:为此子网分配的 IP 地址空间(采用 CIDR 格式)
    • NETWORK:子网所属的 VPC 网络
    • REGION:子网的区域
  3. 创建两个 Cloud Router 路由器以实现冗余和通告。

    gcloud compute routers create ROUTER_NAME --project=PROJECT_ID --region=REGION --network=NETWORK --advertisement-mode=custom --set-advertisement-ranges=0.0.0.0/0
    

    替换以下内容:

    • ROUTER_NAME:路由器的名称
    • PROJECT_ID:项目的 ID
    • REGION:路由器所在的区域
    • NETWORK:此路由器的 VPC 网络
  4. 创建四个 VLAN 连接,每个 Cloud Router 路由器两个。

    如需了解相关说明,请参阅创建 VLAN 连接

  5. VLAN 连接处于活跃状态后,请按照方法 2:使用冗余的 Compute Engine 虚拟机、Cloud NAT、内部直通式网络负载平衡器和基于政策的路由中的步骤配置互联网基础架构。不过,对于此设置,请勿为本地流量配置基于政策的路由。仅在 VPC 网络的路由表中为互联网创建基于政策的路由。

设置对 Google Cloud API 和服务的访问权限

裸金属解决方案不提供对 Google Cloud 服务的访问权限。您可以根据各种因素(包括业务要求和现有基础架构)选择访问权限实现方式。

您可以从裸金属解决方案环境以私密方式访问 Google Cloud API 和服务。

您可以在裸金属解决方案环境中设置对 Google Cloud API 和服务的私有访问权限,就像在本地环境中一样。

按照为本地主机配置专用 Google 访问通道中针对本地环境的说明执行操作。

这些说明将指导您完成以下简要步骤:

  1. 为 Google API 流量配置路由。
  2. 配置裸金属解决方案 DNS,以将作为 CNAME*.googleapis.com 解析为 restricted.googleapis.com

后续步骤

设置 Bare Metal 解决方案环境后,您可以安装工作负载。

如果您计划在裸金属解决方案环境中的服务器上运行 Oracle 数据库,则可以使用开源的 Bare Metal 解决方案工具包来安装 Oracle 软件。