設定 Google Cloud 以與 Bare Metal 解決方案環境搭配使用
當 Bare Metal 解決方案環境準備就緒時,您會收到Google Cloud的通知。通知中會附上新伺服器的內部 IP 位址。
本操作說明將說明如何執行下列作業,這些作業是連線至 Bare Metal 解決方案環境的必要條件:
- 為 Bare Metal 解決方案環境建立備援 VLAN 連結。
- 在虛擬私有雲網路中建立跳躍主機 VM 執行個體。
- 使用 SSH 或 RDP,從跳躍主機 VM 例項登入 Bare Metal 解決方案伺服器。
連線至伺服器後,請驗證 Bare Metal 解決方案訂單的設定。
事前準備
如要連線至 Bare Metal 解決方案環境並進行設定,您需要:
- 已啟用計費功能的 Google Cloud 專案。您可以在 Google Cloud 控制台的專案選取器頁面中建立專案。
- 虛擬私有雲 (VPC) 網路。這是您在下單訂購 Bare Metal 解決方案時所命名的 VPC 網路。如果您需要建立 VPC 網路,請參閱「使用虛擬私有雲網路」。
- Google Cloud會在 Bare Metal 解決方案準備就緒時,提供下列資訊:
- 裸機伺服器的 IP 位址。
- 每部裸機伺服器的臨時密碼。
為 Cloud Interconnect 連線建立 VLAN 連結
如要存取 Bare Metal 解決方案伺服器,您必須在伺服器所在的區域中建立及設定 VLAN 連結 (也稱為 InterconnectAttachments)。VLAN 連結是 Cloud Interconnect 中的邏輯物件,用於將裸機解決方案環境連線至 Google Cloud。
建議您建立備援 VLAN 連結組合,以確保高可用性。一組主要 VLAN 連結和次要 VLAN 連結會分別在個別硬體和實體機架的個別 EAD (邊緣可用性網域) 中佈建。這可確保在維護等事件期間維持高可用性。
單一 VLAN 連結支援的最高速度為 10 Gbps。一組 VLAN 連結 (也就是主要和次要 VLAN 連結) 可支援 20 Gbps 的最高速度。如要提高裸機解決方案環境和虛擬私有雲網路之間的總處理量,您可以設定多個 VLAN 連結組合。
如要讓某個 VLAN 連結優先於其他連結,您可以在 Cloud Router 上更新基本路徑優先順序。
建立 VLAN 連結後,您必須預先啟用這些連結,並將其新增至 Bare Metal 解決方案的 VRF。如要建立及設定 VLAN 連結,請按照下列步驟操作:
主控台
如果您的 Bare Metal 解決方案網路和地區中沒有 Cloud Router,請建立 Cloud Router,將 Bare Metal 解決方案環境連結至虛擬私人雲端網路。
您可以為兩個 VLAN 連結使用單一 Cloud Router,也可以為每個 VLAN 連結使用不同的 Cloud Router。
如要與 Bare Metal 解決方案建立 peering,請在建立路由器時使用 Google 公用 ASN (
16550)。如需操作說明,請參閱「建立 Cloud Router」。
在 Google Cloud 控制台中,前往 Cloud Interconnect「VLAN attachments」頁面。
按一下「建立 VLAN 連結」。
選取「合作夥伴互連網路」,然後按一下「繼續」。
選取 [我已有服務供應商]。
選取「Create a redundant pair of VLAN attachments」(建立一組備援 VLAN 連結)。
兩個 VLAN 連結都能提供流量,您可以將流量路由至兩者之間,以便負載平衡。如果一個連結發生故障 (例如在定期維護期間),另一個連結會繼續處理流量。詳情請參閱「備援功能和服務水準協議」。
在「Network」(網路) 欄位中,選取虛擬私人雲端網路。
在「區域」欄位中,選取 Google Cloud 區域。
請為兩個 VLAN 連結指定下列詳細資料。
- Cloud Router - 與這個 VLAN 連結相關聯的 Cloud Router。您只能選擇 ASN 為
16550的 Cloud Router,且該路由器必須位於您的 VPC 網路和地區。 - VLAN 連結名稱 - 每個連結的名稱。例如
my-attachment-1和my-attachment-2。 - Description (說明):每個 VLAN 連結的相關資訊。
- 最大傳輸單位 (MTU):網路傳輸的最大封包大小。預設大小為 1440。建立 VLAN 連結時,您可以選擇下列 MTU。
- 1440
- 1460
- 1500
- 8896
- Cloud Router - 與這個 VLAN 連結相關聯的 Cloud Router。您只能選擇 ASN 為
按一下 [確定]。
在「VLAN attachments」頁面上,VLAN 連結狀態會顯示為
waiting for service provider。繼續執行下一個步驟。Google Cloud 通知您 Bare Metal 解決方案伺服器已就緒後,請按照下列步驟將新的 VLAN 連結新增至 VRF:
- 如要將 VLAN 連結新增至現有的 VRF,請按照「新增 VLAN 連結」一節中的操作說明進行。
- 如要將 VLAN 連結新增至新的 VRF,請按照「建立 VRF」一節中的操作說明進行。
gcloud
如果您在使用 Bare Metal 解決方案的網路和地區中,尚未建立 Cloud Router 執行個體,請為每個 VLAN 連結建立一個。使用
16550做為 ASN 編號:gcloud compute routers create router-name \ --network vpc-network-name \ --asn 16550 \ --region region
詳情請參閱「建立 Cloud Router」。
建立
PARTNER類型的InterconnectAttachment,指定您的 Cloud Router 名稱,以及 VLAN 連結的邊緣可用性網域 (EAD)。此外,請新增--admin-enabled標記,預先啟用附件,並在 Google Cloud完成 Bare Metal 解決方案設定後立即傳送流量。gcloud compute interconnects attachments partner create first-attachment-name \ --region region \ --router first-router-name \ --edge-availability-domain availability-domain-1 \ --admin-enabled
gcloud compute interconnects attachments partner create second-attachment-name \ --region region \ --router second-router-name \ --edge-availability-domain availability-domain-2 \ --admin-enabled
Google Cloud 會自動在 Cloud Router 上新增介面和 BGP 對等點。
以下範例會建立重複的附件,一個在 EAD
availability-domain-1中,另一個在 EADavailability-domain-2中。每個網路都分別與不同的 Cloud Routermy-router-1和my-router-2建立關聯。兩者都位於us-central1區域。gcloud compute interconnects attachments partner create my-attachment \ --region us-central1 \ --router my-router-1 \ --edge-availability-domain availability-domain-1 \ --admin-enabled
gcloud compute interconnects attachments partner create my-attachment \ --region us-central1 \ --router my-router-2 \ --edge-availability-domain availability-domain-2 \ --admin-enabled
執行
gcloud compute interconnects attachments describe指令,查看 VLAN 連結的詳細資料。gcloud compute interconnects attachments describe my-attachment \ --region us-central1
adminEnabled: false edgeAvailabilityDomain: AVAILABILITY_DOMAIN_1 creationTimestamp: '2017-12-01T08:29:09.886-08:00' id: '7976913826166357434' kind: compute#interconnectAttachment labelFingerprint: 42WmSpB8rSM= name: my-attachment region: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1 router: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1/routers/my-router selfLink: https://www.googleapis.com/compute/v1/projects/customer-project/regions/us-central1/interconnectAttachments/my-attachment state: PENDING_PARTNER type: PARTNER
- VLAN 連結的狀態會一直處於
PENDING_PARTNER,直到Google Cloud 完成 VLAN 連結設定為止。之後,連結的狀態將成為INACTIVE或ACTIVE,視您是否選擇預先啟用連結而定。
向 Google Cloud要求連線時,您必須為兩個附件選取相同的都會區 (城市),才能建立備援連線。詳情請參閱「合作夥伴互連網路總覽」頁面中的「備援功能」一節。
- VLAN 連結的狀態會一直處於
如果在 Google Cloud完成裸機解決方案訂單後,VLAN 連結未顯示,請啟用每個 VLAN 連結:
gcloud compute interconnects attachments partner update attachment-name \ --region region \ --admin-enabled
您可以在 Cloud 主控台中查看 Cloud Router 的狀態和通告路徑。詳情請參閱「查看路由器狀態和通告路徑」。
設定 Bare Metal 解決方案和 Google Cloud之間的路由
只要 VLAN 連結啟用,BGP 工作階段就會啟動,並透過 BGP 工作階段接收 Bare Metal 解決方案環境的路徑。
為預設 IP 範圍新增自訂通告路徑,並將其加入 BGP 工作階段
如要為 Bare Metal 解決方案環境中的流量設定路由,建議您在 BGP 工作階段中,為預設路徑 (例如 0.0.0.0/0) 新增自訂的廣告路徑,並將其新增至 Bare Metal 解決方案環境。
如要在現有的 BGP 工作階段上指定通告:
主控台
- 前往 Google Cloud 主控台的「Cloud Router」頁面。
Cloud Router 清單 - 選取您要更新的 BGP 工作階段所屬的 Cloud Router。
- 在 Cloud Router 的詳細資料頁面中,選取要更新的 BGP 工作階段。
- 在 BGP 工作階段詳細資料頁面中選取 [編輯]。
- 在「路徑」欄位,選取 [建立自訂路徑]。
- 選取 [新增自訂路徑] 以新增通告路徑。
- 設定路徑通告。
- 「來源」:選取「自訂 IP 範圍」,指定自訂 IP 位址範圍。
- 「IP 位址範圍」:使用 CIDR 標記法指定自訂 IP 位址範圍。
- 「說明」:加上說明以識別這個自訂廣告路徑的目的。
- 新增路徑完畢後,請選取 [儲存]。
gcloud
您可以新增現有的自訂通告路徑,也可以設定新的自訂通告路徑,以便取代現有的自訂通告路徑。
如要為預設 IP 範圍設定新的自訂通告路徑,請使用 --set-advertisement-ranges 標記:
gcloud compute routers update-bgp-peer router-name \ --peer-name bgp-session-name \ --advertisement-mode custom \ --set-advertisement-ranges 0.0.0.0/0
如要將預設 IP 範圍附加到現有範圍,請使用 --add-advertisement-ranges 標記。請注意,Cloud Router 的廣告模式必須先設為 custom,您才能使用這個標記。以下示範如何將 0.0.0.0/0 自訂 IP 新增到 Cloud Router 的廣告:
gcloud compute routers update-bgp-peer router-name \ --peer-name bgp-session-name \ --add-advertisement-ranges 0.0.0.0/0
視需要將 VPC 網路動態轉送模式設為 global
如果您在兩個不同區域中都有 Bare Metal 解決方案伺服器,建議您在虛擬私有雲網路上啟用全域轉送模式,讓 Bare Metal 解決方案區域可直接透過虛擬私有雲網路互相通訊。
您也需要使用全球轉送模式,才能在連線至一個 Google Cloud 區域的內部部署環境與另一個 Google Cloud 區域的 Bare Metal 解決方案環境之間啟用通訊。
如要設定全域轉送模式,請參閱「設定轉送和最佳路徑選取模式」。
設定虛擬私有雲防火牆
新的虛擬私有雲網路會附帶有效的預設防火牆規則,限制虛擬私有雲網路中的大部分流量。
如要連線至 Bare Metal 解決方案環境,請在下列項目之間啟用網路流量:
- 您的 Bare Metal 解決方案環境和網路目的地 (在 Google Cloud上)。
- Google Cloud上的本機環境和資源,例如您可能用來連線至 Bare Metal 解決方案環境的任何跳躍主機 VM 例項。
在 Bare Metal 解決方案環境中,如果您需要控制裸機伺服器之間,或伺服器與非 Google Cloud目的地之間的網路流量,就必須自行實作控制機制。
如要在 Google Cloud的虛擬私有雲網路中建立防火牆規則,請按照下列步驟操作:
主控台
前往「防火牆規則」頁面:
點按「建立防火牆規則」。
定義防火牆規則。
- 為防火牆規則命名。
- 在「Network」(網路) 欄位中,選取您 VM 所在的網路。
- 在「目標」欄位中,指定「指定目標標記」或「指定服務帳戶」。
- 在適當的欄位中指定目標網路標記或服務帳戶。
- 在「Source filter」(來源篩選器) 欄位中指定「IP ranges」(IP 範圍),允許來自 Bare Metal 解決方案環境的流量。
- 在「Source IP ranges」(來源 IP 範圍) 欄位中,指定 Bare Metal 解決方案環境中伺服器或裝置的 IP 位址。
- 在「Protocols and ports」(通訊協定和通訊埠) 部分,指定環境中所需的通訊協定和通訊埠。
- 按一下 [建立]。
gcloud
以下指令會建立防火牆規則,透過 IP 範圍定義來源,並透過執行個體的網路標記定義目標。視需要修改環境的指令。
gcloud compute firewall-rules create rule-name \ --project=your-project-id \ --direction=INGRESS \ --priority=1000 \ --network=your-network-name \ --action=ALLOW \ --rules=protocol:port \ --source-ranges=ip-range \ --target-tags=instance-network-tag
如要進一步瞭解如何建立防火牆規則,請參閱「建立防火牆規則」。
連線至裸機伺服器
您的 Bare Metal 解決方案環境中的伺服器未使用外部 IP 位址佈建。
建立防火牆規則後,系統就會允許從裸機解決方案環境傳入虛擬私有雲網路的流量,您就可以使用跳躍主機 VM 執行個體連線至伺服器。
在 Google Cloud上建立跳躍主機 VM 執行個體
如要快速連線至裸機伺服器,請建立 Compute Engine 虛擬機器 (VM) 做為跳躍主機。在與 Bare Metal 解決方案環境相同的 Google Cloud 區域中建立 VM。
如果您需要更安全的連線方法,請參閱「使用防禦主機連線」一文。
如要建立跳躍主機 VM 執行個體,請根據您在 Bare Metal 解決方案環境中使用的作業系統,選擇下列操作說明。
如要進一步瞭解如何建立 Compute Engine VM 執行個體,請參閱「建立及啟動 VM 執行個體」一文。
Linux
建立虛擬機器執行個體
前往 Google Cloud 控制台的「VM Instances」(VM 執行個體) 頁面:
點選「建立執行個體」。
在「Name」欄位中,指定 VM 執行個體的名稱。
在「Region」下方,選取 Bare Metal 解決方案環境的區域。
在「Boot disk」(開機磁碟) 區段,按一下 [Change] (變更)。
- 在「Operating systems」(作業系統) 欄位中,選取所需作業系統。
- 在「Version」欄位中,選取 OS 版本。
按一下「管理、安全性、磁碟、網路、單獨租用」展開該部分。
按一下「網路」,即可顯示網路選項。
- 視需要在「網路標記」下方,為執行個體定義一或多個網路標記。
- 在「網路介面」下方,確認是否顯示正確的虛擬私人雲端網路。
按一下 [建立]。
啟動執行個體會花費一些時間。當執行個體準備就緒時,就會列在「VM 執行個體」頁面中,並顯示綠色的狀態圖示。
連線至跳板主機 VM 執行個體
如果您需要建立防火牆規則,以便存取跳躍主機 VM 執行個體,請參閱「防火牆設定」。
前往 Google Cloud 控制台的「VM instances」(VM 執行個體) 頁面:
在 VM 執行個體清單中,按一下含有跳躍主機的列中的「SSH」。
您現在有一個含有跳躍主機 VM 例項的終端機視窗,可透過 SSH 連線至裸機伺服器。
首次登入 Bare Metal 解決方案伺服器
Linux
在跳躍主機 VM 執行個體上,開啟指令列終端機,確認您可以連線至 Bare Metal Solution 伺服器:
ping bare-metal-ip
如果 ping 失敗,請檢查並修正下列項目:
您的 VLAN 連結已啟用,
Status為Up。請參閱「為 Cloud Interconnect 連線建立 VLAN 連結」。您的 VLAN 連結包含自訂的
0.0.0.0/0廣告路徑。請參閱「為預設 IP 範圍新增自訂通告路徑至 BGP 工作階段」。您的 VPC 包含防火牆規則,可允許從您在 Bare Metal 解決方案環境中使用的 IP 位址範圍存取,以便與Google Cloud 環境通訊。請參閱虛擬私有雲防火牆設定。
從跳躍主機 VM 執行個體,使用
customeradmin使用者 ID 和伺服器的 IP 位址,透過 SSH 連線至 Bare Metal 解決方案伺服器:ssh customeradmin@bare-metal-ip
出現提示時,請輸入 Google Cloud提供的密碼。
第一次登入時,您必須變更 Bare Metal 解決方案伺服器的密碼。
設定新密碼並妥善保管。重設密碼後,伺服器會自動登出。
使用
customeradmin使用者 ID 和新密碼登入 Bare Metal 解決方案伺服器:ssh customeradmin@bare-metal-ip
建議您一併變更超級使用者密碼。請先以 root 使用者身分登入:
sudo su -
如要變更超級使用者密碼,請發出
passwd指令,然後按照提示操作:passwd
如要返回
customeradmin使用者提示,請退出超級使用者提示:exit
請記得將密碼儲存在安全的地方,以利日後復原。
確認伺服器設定與訂單相符。需要檢查的項目包括:
- 伺服器設定,包括 CPU 的數量和類型、通訊端和記憶體。
- 作業系統或 Hypervisor 軟體,包括供應商和版本。
- 儲存空間,包括類型和數量。
設定存取公開網際網路的權限
Bare Metal 解決方案不提供網際網路存取權。您可以根據多項因素 (包括業務需求和現有基礎架構) 選擇下列任一方法設定存取權:
- 使用 Compute Engine VM 做為 Proxy VM 伺服器來存取網路。
透過做為 Proxy 伺服器的 Compute Engine VM 轉送流量。
您可以透過下列方式使用 Compute Engine VM 來路由流量:
透過 Cloud VPN 或專屬互連網路將流量路由至內部部署閘道,再連線至網際網路。
使用 Compute Engine VM 和 Cloud NAT 存取網際網路
以下說明如何在 Compute Engine VM 上設定 NAT 閘道,將 Bare Metal 解決方案環境中的伺服器連線至網際網路,以便接收軟體更新等。
操作說明會使用 VPC 網路的預設網際網路閘道存取網際網路。
以下操作說明中顯示的 Linux 指令適用於 Debian 作業系統。如果您使用其他作業系統,需要使用的指令也可能不同。
在與 Bare Metal 解決方案環境搭配使用的 VPC 網路中,執行下列步驟:
開啟 Cloud Shell:
建立及設定 Compute Engine VM,做為 NAT 閘道。
建立 VM:
gcloud compute instances create instance-name \ --machine-type=machine-type-name \ --network vpc-network-name \ --subnet=subnet-name \ --can-ip-forward \ --zone=your-zone \ --image-family=os-image-family-name \ --image-project=os-image-project \ --tags=natgw-network-tag \ --service-account=optional-service-account-email
在後續步驟中,您會使用在此步驟中定義的網路標記,將流量路由至此 VM。
如果您未指定服務帳戶,請移除
--service-account=標記。Compute Engine 會使用專案的預設服務帳戶。建立 Cloud NAT 以便 VM 存取網際網路
為 VM 建立 Cloud NAT 的操作說明:這裡
透過 SSH 連線至 NAT 閘道 VM,並設定 iptables:
$ sudo sysctl -w net.ipv4.ip_forward=1$ sudo iptables -t nat -A POSTROUTING \ -o $(/bin/ip -o -4 route show to default | awk '{print $5}') -j MASQUERADE第一個 sudo 指令會告訴核心,您想要允許 IP 轉送。第二個 sudo 指令會將從內部執行個體收到的封包偽裝成從 NAT 閘道執行個體傳送。
檢查 iptables:
$ sudo iptables -v -L -t nat如要在重新啟動時保留 NAT 閘道設定,請在 NAT 閘道 VM 上執行下列指令:
$ sudo -i$ echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/70-natgw.conf$ apt-get install iptables-persistent$ exit
在 Cloud Shell 中,建立前往
0.0.0.0/0的路徑,並將預設網際網路閘道做為下一跳。在--tags引數中指定先前步驟中定義的網路標記。為路徑指定優先順序,優先順序高於任何其他預設路徑。gcloud compute routes create default-internet-gateway-route-name \ --destination-range=0.0.0.0/0 \ --network=network-name \ --priority=default-igw-route-priority \ --tags=natgw-network-tag,default-igw-tags \ --next-hop-gateway=default-internet-gateway
natgw-network-tag 應與步驟 2 中 natgw-vm 的標記相同。您在步驟 2 中建立的 natvm 會使用預設網際網路閘道存取網際網路。
將您剛建立的網路標記 (default-igw-tags) 新增至虛擬私人雲端網路中需要網際網路存取權的任何現有 VM,這樣在您建立新的預設路徑後,這些 VM 就能繼續存取網際網路,Bare Metal 解決方案伺服器也能使用這些 VM。
選用步驟:移除先前步驟中建立的路由之前,網際網路的路由 (包括預設建立的路由)。
確認網路中任何現有的 VM 和 NAT 閘道 VM 都能透過每個 VM 對外部 IP 位址 (例如 8.8.8.8 的 Google DNS) 執行 ping 命令,存取網際網路。
建立至
0.0.0.0/0的預設路徑,並將 NAT 閘道 VM 做為下一個中繼。為路徑指定的優先順序,必須低於您為建立的第一個路徑指定的優先順序。gcloud compute routes create natgw-route-name \ --destination-range=0.0.0.0/0 \ --network=network-name \ --priority=natgw-route-priority \ --next-hop-instance=natgw-vm-name \ --next-hop-instance-zone=natgw-vm-zone
登入 Bare Metal 解決方案伺服器,並對外部 IP 位址執行 PING 命令,確認伺服器可以存取網際網路。
如果無法成功執行 ping 命令,請確認您已建立防火牆規則,允許 Bare Metal 解決方案環境存取虛擬私人雲端網路。
使用備援 Compute Engine VM、Cloud NAT、內部直通式網路負載平衡器和策略路由存取網際網路
本節說明如何設定內部直通式網路負載平衡器,並將 Compute Engine VM 和 Cloud NAT 設為後端。以政策為準則的路由會將網際網路流量轉送至內部直通式網路負載平衡器的前端。
下列圖表顯示這項設定。
在 Bare Metal 解決方案環境的 VPC 網路中,執行下列步驟:
建立及設定 Compute Engine VM 和 Cloud NAT,以便做為 NAT 閘道。完成方法 1:使用單一 Compute Engine VM 和 Cloud NAT 中的步驟。
您可以使用輕量級 HTTP 伺服器,為內部直通式網路負載平衡器執行健康狀態檢查。
# Installing http server sudo yum install httpd sudo systemctl restart httpd # Testing curl http://127.0.0.1:80建立執行個體群組。
gcloud compute instance-groups unmanaged create INSTANCE_GROUP_NAME --project=PROJECT_ID --zone=ZONE更改下列內容:
- INSTANCE_GROUP_NAME:執行個體群組名稱
- PROJECT_ID:專案 ID
- ZONE:建立執行個體群組的可用區
將 VM 新增至執行個體群組。
gcloud compute instance-groups unmanaged add-instances INSTANCE_GROUP_NAME --project=PROJECT_ID --zone=ZONE --instances=VM_NAME更改下列內容:
- INSTANCE_GROUP_NAME:執行個體群組名稱
- PROJECT_ID:專案 ID
- ZONE:建立執行個體群組的可用區
- VM_NAME:VM 名稱
建立內部直通式網路負載平衡器:
開始設定
前往 Google Cloud 控制台的「Load balancing」(負載平衡)頁面。
- 點選「建立負載平衡器」。
- 在「負載平衡器類型」部分,選取「網路負載平衡器 (TCP/UDP/SSL)」,然後點選「下一步」。
- 在「直通或使用 Proxy」部分,選取「直通式負載平衡器」,然後點選「下一步」。
- 在「公開或內部」部分,選取「內部」,然後點選「下一步」。
- 按一下 [設定]。
基本設定
- 設定「負載平衡器名稱」。
- 選擇一個 [Region] (地區)。
- 選取「網路」。
設定後端和前端
按一下「後端設定」,然後進行以下變更:
- 如要新增後端,請按照下列步驟操作:
- 如要僅處理 IPv4 流量,請在「New Backend」下方,將「IP stack type」設為「IPv4 (single-stack)」。
- 選取執行個體群組,然後按一下「完成」。
選取健康狀態檢查。您也可以建立健康狀態檢查,輸入以下資訊,然後按一下「儲存」:
- 名稱:輸入健康狀態檢查的名稱。
- Protocol (通訊協定):
HTTP - Port (通訊埠):
80 - Proxy protocol (Proxy 通訊協定):
NONE - Request path (要求路徑):
/
- 如要新增後端,請按照下列步驟操作:
按一下 [Frontend configuration] (前端設定)。在「New Frontend IP and port」(新增的前端 IP 和通訊埠) 區段中,進行以下變更:
- 「Ports」(通訊埠):選擇「All」(全部),然後輸入
80,8008,8080,8088做為「Port number」(通訊埠編號)。 - 按一下 [完成]。
- 「Ports」(通訊埠):選擇「All」(全部),然後輸入
按一下「檢查並完成」。
查看負載平衡器設定。
按一下 [建立]。
建立網際網路的策略路徑。
gcloud network-connectivity policy-based-routes create ROUTE_NAME \ --source-range=SOURCE_RANGE \ --destination-range=0.0.0.0/0 \ --ip-protocol=ALL \ --network="projects/PROJECT_ID/global/networks/NETWORK" \ --next-hop-ilb-ip=NEXT_HOP \ --description="DESCRIPTION" \ --priority=PRIORITY \ --interconnect-attachment-region=REGION更改下列內容:
- ROUTE_NAME:以政策為準的路徑名稱
- SOURCE_RANGE:來源 IP CIDR 範圍。在本例中,這是 Bare Metal 解決方案的 IP 位址。
- PROJECT_ID:專案 ID
- NETWORK:套用以政策為準路徑的網路
- NEXT_HOP:路由的下一個節點的 IPv4 位址。在本例中,這是內部直通式網路負載平衡器前端的 IP 位址。
- DESCRIPTION:路線說明
- PRIORITY:與其他策略路徑相比,策略路徑的優先順序
- REGION:VLAN 連結的區域
建立策略路徑,略過內部網路子網路和本機子網路的網際網路策略路徑。
gcloud network-connectivity policy-based-routes create ROUTE_NAME \ --source-range=SOURCE_RANGE/32 \ --destination-range=DESTINATION_RANGE \ --ip-protocol=ALL \ --network="projects/PROJECT_ID/global/networks/VPC_NAME" \ --next-hop-other-routes="DEFAULT_ROUTING" \ --description="DESCRIPTION" \ --priority=PRIORITY \ --interconnect-attachment-region=REGION更改下列內容:
- ROUTE_NAME:以政策為準的路徑名稱
- SOURCE_RANGE:來源 IP CIDR 範圍。在本例中,這是 Bare Metal 解決方案的 IP 位址。
- DESTINATION_RANGE:目的地 IP CIDR 範圍。在本例中,這會是內部部署子網路或本機子網路。
- PROJECT_ID:專案 ID
- VPC_NAME:虛擬私有雲網路名稱
- DESCRIPTION:路線說明
- PRIORITY:與其他以政策為準的路徑相比,以政策為準路徑的優先順序。這個以政策為準的路徑優先順序必須小於或等於網際網路的以政策為準路徑。
- REGION:VLAN 連結的區域
更新防火牆,允許 VM 上的 HTTP 通訊埠 80。
如果您未更新防火牆,健康狀態檢查可能會失敗。
在獨立的虛擬私有雲網路中,使用備援的 Compute Engine VM、Cloud NAT、內部直通式網路負載平衡器,以及以政策為準的轉送
如果您不想為區域子網路新增策略路由,可以使用這個方法存取網際網路。不過,如要使用這個方法,您必須建立 VLAN 連結和虛擬私有雲網路,才能連線至 Bare Metal 解決方案。
下列圖表顯示這項設定。
步驟如下:
建立用於網際網路的虛擬私有雲網路。
gcloud compute networks create NETWORK --project=PROJECT_ID --subnet-mode=custom --mtu=MTU --bgp-routing-mode=regional更改下列內容:
- NETWORK:虛擬私有雲網路的名稱。
- PROJECT_ID:專案 ID
- MTU:最大傳輸單位 (MTU),也就是網路的最大封包大小
建立子網路。
gcloud compute networks subnets create SUBNET_NAME --project=PROJECT_ID --range=RANGE --stack-type=IPV4_ONLY --network=NETWORK --region=REGION更改下列內容:
- SUBNET_NAME:子網路名稱
- PROJECT_ID:專案 ID
- RANGE:以 CIDR 格式指定為此子網路配置的 IP 空間
- NETWORK:子網路所屬的 VPC 網路
- REGION:子網路的區域
建立兩個 Cloud Router 以便備援和廣告。
gcloud compute routers create ROUTER_NAME --project=PROJECT_ID --region=REGION --network=NETWORK --advertisement-mode=custom --set-advertisement-ranges=0.0.0.0/0更改下列內容:
- ROUTER_NAME:路由器名稱
- PROJECT_ID:專案 ID
- REGION:路由器的區域
- NETWORK:此路由器的 VPC 網路
建立四個 VLAN 連結,每個 Cloud Router 兩個。
如需操作說明,請參閱「建立 VLAN 連結」。
啟用 VLAN 連結後,請按照「方法 2:使用備援 Compute Engine VM、Cloud NAT、內部轉送網路負載平衡器,以及以政策為準的路由」一文中的步驟設定網際網路基礎架構。不過,對於這種設定,請不要為本機流量設定以政策為準的路徑。只在虛擬私有雲網路的路由表中建立以政策為準的路徑,用於連線至網際網路。
設定 API 和服務的存取權 Google Cloud
Bare Metal 解決方案不提供 Google Cloud服務的存取權。您可以根據各種因素 (包括業務需求和現有基礎架構),選擇實作存取權的方式。
您可以從 Bare Metal 解決方案環境私下存取 Google Cloud API 和服務。
您可以從 Bare Metal 解決方案環境設定私人存取權,以便存取 Google Cloud API 和服務,就像在內部部署環境中一樣。
請按照「為內部部署主機設定私人 Google 存取權」一文中的說明,設定內部部署環境。
操作說明會引導您完成下列高階步驟:
- 設定 Google API 流量的路徑。
- 設定 Bare Metal 解決方案 DNS,將
*.googleapis.com解析為CNAME到restricted.googleapis.com。
後續步驟
設定 Bare Metal 解決方案環境後,您就可以安裝工作負載。
如果您打算在 Bare Metal 解決方案環境中的伺服器上執行 Oracle 資料庫,可以使用開放原始碼 Bare Metal 解決方案工具包來安裝 Oracle 軟體。