Crie o ficheiro de configuração

Esta página descreve como criar o ficheiro de configuração de entrada usado para configurar o dispositivo isolado do Google Distributed Cloud (GDC).

Antes de começar

Ligue o portátil ao interruptor

Crie o ficheiro de configuração de entrada

  1. O processo de configuração do dispositivo usa um ficheiro YAML de entrada. Crie este ficheiro exatamente no mesmo formato que o modelo fornecido. Os campos ou as secções indicados como "Opcional" têm de ser omitidos e não deixados em branco.

  2. Segue-se um exemplo de um ficheiro de configuração de entrada.

    bgp:
  dataASN: DATAPLANE_ASN
interconnects:
  customerData:
    asn: CUSTOMER_ASN
    customerPeerSubnets:
    - ipFamily: UPLINK_IP_FAMILY_1
      ipv4:
        ip: UPLINK_IPV4_PEER_1
        subnet:
          gateway: UPLINK_IPV4_GW_1
          subnet: UPLINK_IPV4_NET_1
      # Optional: Only specify ipv6 for DualStack ipFamily
      ipv6:
        ip: UPLINK_IPV6_PEER_1
        subnet:
          gateway: UPLINK_IPV6_GW_1
          subnet: UPLINK_IPV6_NET_1
    - ipFamily: UPLINK_IP_FAMILY_2
      ipv4:
        ip: UPLINK_IPV4_PEER_2
        subnet:
          gateway: UPLINK_IPV4_GW_2
          subnet: UPLINK_IPV4_NET_2
      # Optional: Only specify ipv6 for DualStack ipFamily
      ipv6:
        ip: UPLINK_IPV6_PEER_2
        subnet:
          gateway: UPLINK_IPV6_GW_2
          subnet: UPLINK_IPV6_NET_2
dns:
  delegatedSubdomain: DELEGATED_SUBDOMAIN
externalCIDR:
  ipFamily: IP_FAMILY
  ipv4: EXTERNAL_NETWORK_IPV4
  ipv6: EXTERNAL_NETWORK_IPV6

# Optional: External hardware security module (HSM) information
externalHSM:
  primaryAddress:  EXTERNAL_HSM_PR_ADDR
  secondaryAddresses:
    - EXTERNAL_HSM_SE_ADDR
  caCert: EXTERNAL_HSM_CA_CERT
  clientCert: EXTERNAL_HSM_CLIENT_CERT
  clientKey: EXTERNAL_HSM_CLIENT_KEY

# Optional: External IdP information
externalIDP:
  name: EXTERNAL_IDP_NAME
  oidc:
    clientID: EXTERNAL_IDP_CLIENT_ID
    clientSecret: EXTERNAL_IDP_CLIENT_SECRET
    issuerURI: EXTERNAL_IDP_ISSUER_URI
    scopes: EXTERNAL_IDP_SCOPES
    userClaim: EXTERNAL_IDP_USER_CLAIM
    caCert: EXTERNAL_IDP_CA_DATA
  saml:
    idpEntityID: EXTERNAL_IDP_ENTITY_ID
    idpSingleSignOnURI: EXTERNAL_IDP_SSO_URI
    idpCertDataList: EXTERNAL_IDP_CERT_DATA
    userAttribute: EXTERNAL_IDP_USER_ATTRIBUTE
  initialAdmin: EXTERNAL_IDP_INITIAL_ADMIN

Informações do Border Gateway Protocol (BGP)

O Border Gateway Protocol (BGP) troca informações de encaminhamento com redes externas. Estas redes são identificadas através de números de sistemas autónomos (ASN). Para garantir a conetividade adequada entre o dispositivo isolado do GDC e as redes externas, todos os valores de ASN têm de ser globalmente únicos.

  1. DATAPLANE_ASN: o ASN atribuído ao plano de dados para a instância do dispositivo isolado do GDC. Por exemplo, 65204.

  2. CUSTOMER_ASN: o ASN atribuído ao plano de dados para a rede do cliente. Por exemplo, 4200002002.

As configurações de uplink são associações de peering usadas para ligar externamente instâncias de dispositivos isolados do GDC a outros serviços, como redes de clientes e outras instâncias de dispositivos isolados do GDC. Estas configurações de carregamento e cablagem de uma instância de dispositivo isolado do GDC são importantes para garantir a conetividade adequada com a rede externa.

  1. Para cada uplink necessário para a interligação de pares do cliente à instância do dispositivo com isolamento de ar do GDC, preencha uma secção de item de uplink no campo Sub-redes de pares do cliente. Se o número que indicou não corresponder ao número esperado de ligações ascendentes (2), as ligações ascendentes restantes são atribuídas a partir da sub-rede do plano de dados externo.
  2. Para os uplinks, especifique o seguinte:
    1. UPLINK_IP_FAMILY_1, UPLINK_IP_FAMILY_2: especifique a família de IPs sub-rede. Tem de ser IPv4 ou DualStack.
      1. Se selecionar IPv4,
        1. UPLINK_IPV4_PEER_1 IP, UPLINK_IPV4_PEER_2 IP: descreve o endereço IP atribuído na porta encaminhada. Se deixar em branco, o valor é retirado do bloco de sub-rede de pares.
        2. UPLINK_IPV4_NET_1, UPLINK_IPV4_NET_2: introduza o bloco de sub-rede de pares configurado na rede do cliente para a associação de comutador e porta fornecida. Esta é uma sub-rede /31. Por exemplo, 172.16.255.148/31.
        3. UPLINK_IPV4_GW_1, UPLINK_IPV4_GW_2: introduza o endereço IP que representa o endereço IP virado para o cliente na sub-rede de pares /31. Por exemplo, 172.16.255.148.
      2. Se selecionar DualStack,
        1. UPLINK_IPV4_PEER_1 IP, UPLINK_IPV4_PEER_2 IP: descreve o endereço IPv4 atribuído na porta encaminhada. Se deixar em branco, o valor é retirado do bloco de sub-rede de pares.
        2. UPLINK_IPV4_NET_1, UPLINK_IPV4_NET_2: Para IPv4, introduza o bloco de sub-rede de pares configurado na rede do cliente para o link de comutador e porta fornecido. Esta é uma sub-rede /31. Por exemplo, 172.16.255.148/31.
        3. UPLINK_IPV4_GW_1, UPLINK_IPV4_GW_2: Para IPv4, introduza o endereço IPv4 que representa o endereço IP virado para o cliente na /31 sub-rede de pares. Por exemplo, 172.16.255.148.
        4. UPLINK_IPV6_PEER_1 IP, UPLINK_IPV6_PEER_2 IP: descreve o endereço IPv6 atribuído na porta encaminhada. Se deixar em branco, é usado o bloco de sub-rede de pares.
        5. UPLINK_IPV6_NET_1, UPLINK_IPV6_NET_2: Para IPv6, introduza o bloco de sub-rede de pares configurado na rede do cliente para o link de comutador e porta fornecido. Esta é uma sub-rede /127. Por exemplo, FC00::/127.
        6. UPLINK_IPV6_GW_1, UPLINK_IPV6_GW_2: Para IPv6, introduza o endereço IPv6 que representa o endereço IP virado para o cliente na sub-rede de pares /127. Por exemplo, FC00::.

Informações do Sistema de Nomes de Domínio (DNS)

  1. DELEGATED_SUBDOMAIN: introduza o nome do subdomínio delegado do DNS para a instância do dispositivo isolado do GDC a partir do servidor DNS principal. Este nome de domínio totalmente qualificado é usado como um sufixo para os serviços de dispositivos isolados do GDC, como a gestão de clusters. O formato esperado é LOCATION.SUFFIX.

    Substitua o seguinte:

    • LOCATION: o identificador da zona da implementação do dispositivo isolado do GDC, como us-central1-a
    • SUFFIX: qualquer sufixo DNS válido, como zone1.google.gdch.test ou us-central1-a.gdch.customer

Rede do plano de dados (CIDR externo)

  1. Para a rede de família IP do plano de dados, especifique se a sub-rede é IPv4 ou DualStack. Na secção externalCIDR, substitua IP_FAMILY por IPv4 ou DualStack.
    1. Se selecionar IPv4,
      1. Introduza o endereço de rede IPv4 com o tamanho mínimo de 23 para a rede de plano de dados externa. Use esta rede para serviços acessíveis externamente, como o servidor da API Management e as interfaces de armazenamento. O endereço de rede tem de ser um bloco de IP contínuo que está pré-atribuído na sua rede. Por exemplo, substitua EXTERNAL_NETWORK_IPV4 por 10.100.101.0/23.
    2. Se selecionar DualStack:
      1. Introduza o endereço de rede IPv4 com o tamanho mínimo de 23 para a rede de plano de dados externa. Use esta rede para serviços acessíveis externamente, como o servidor da API Management e as interfaces de armazenamento. O endereço de rede tem de ser um bloco de IP contínuo que está pré-atribuído na sua rede. Por exemplo, substitua EXTERNAL_NETWORK_IPV4 por 10.100.101.0/23.
      2. Introduza o endereço de rede IPv6 com o tamanho mínimo de 64. Este bloco de IP está dividido em dois. A primeira metade é usada como a rede de plano de dados externa e a segunda metade é usada como a rede de plano de dados interna. Por exemplo, substitua EXTERNAL_NETWORK_IPV6 por FC00::/64.

Opcional: informações do módulo de segurança de hardware (HSM) externo

Os dispositivos HSM alojam chaves de encriptação e realizam operações criptográficas através do KMIP (Key Management Interoperability Protocol). Pode usar o HSM com o NetApp ONTAP Select (OTS) para armazenamento. Se quiser usar um servidor NTP externo, preencha a secção externalHSM.

Antes de começar, configure primeiro a rede HSM.

  1. EXTERNAL_HSM_PR_ADDR: O endereço do serviço KMIP principal. Siga o formato (IP|DNS):Porta. Se a porta for omitida, é usada a porta predefinida 5696.

    • Para IP, introduza o endereço de rede IP do serviço KMIP. Por exemplo, 8.8.8.8:5696.
    • Para Nome DNS, introduza o nome do domínio totalmente qualificado do serviço KMIP. Por exemplo, te.us-central1-a:5696.

  2. EXTERNAL_HSM_SE_ADDR: os endereços dos serviços KMIP secundários. Siga o formato (IP|DNS):Porta. Se a porta for omitida, é usada a porta predefinida 5696. Pode especificar até 3 endereços secundários, separados por vírgulas.

  3. EXTERNAL_HSM_CA_CERT: introduza o CACert. O certificado da AC é o certificado assinado para o serviço KMIP.

  4. EXTERNAL_HSM_CLIENT_CERT: introduza o certificado do cliente para estabelecer ligação ao HSM externo.

  5. EXTERNAL_HSM_CLIENT_KEY: introduza a chave do cliente associada ao certificado de cliente para estabelecer ligação ao HSM externo.

Opcional: associe um Fornecedor de identidade

Pode estabelecer ligação ao seu próprio fornecedor de identidade (IdP) existente para a gestão de identidade e acesso ou, em alternativa, configurar um IdP do Keycloak integrado. Se quiser usar o seu próprio fornecedor de identidade, preencha a secção externalIDP.

  1. Escolha o tipo de fornecedor de identidade ao qual se está a ligar: OIDC (OpenID Connect) ou SAML (Security Assertion Markup Language).
  2. Se escolher um fornecedor OIDC, especifique os seguintes parâmetros:
    1. EXTERNAL_IDP_NAME: introduza o nome do IdP. O nome que indicar aqui é o alias da identidade no sistema.
    2. EXTERNAL_IDP_ISSUER_URI: introduza o URI do emissor. O URI do emissor tem de apontar para o nível dentro de .well-known/openid-configuration. As aplicações cliente enviam pedidos de autorização para este URL. O servidor da API Kubernetes usa este URL para descobrir chaves públicas para validar tokens.
    3. EXTERNAL_IDP_CA_DATA: introduza um certificado codificado em base64 codificado em PEM para os dados da autoridade de certificação para o IdP. Para mais informações, consulte https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail.
      1. Para criar a string, codifique o certificado, incluindo os cabeçalhos, em base64.
      2. Inclua a string resultante como uma única linha. Exemplo: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tC...k1JSUN2RENDQWFT==
    4. EXTERNAL_IDP_CLIENT_ID: introduza o ID de cliente para a aplicação cliente que faz pedidos de autenticação ao IdP.
    5. EXTERNAL_IDP_CLIENT_SECRET: introduza o segredo do cliente, que é um segredo partilhado entre o seu IdP e o dispositivo isolado do GDC.
    6. EXTERNAL_IDP_USER_CLAIM: introduza o campo user claim para identificar cada utilizador. Este é o nome da reivindicação no token de ID do OIDC que contém o nome de utilizador. Se esta reivindicação estiver em falta no token de ID, os utilizadores não podem autenticar. A reivindicação predefinida para muitos fornecedores é sub. Pode escolher outras reivindicações, como email ou name, consoante o fornecedor de identidade. As reivindicações que não sejam email têm o prefixo do URL do emissor para evitar conflitos de nomenclatura.
    7. EXTERNAL_IDP_SCOPES: se o seu fornecedor de identidade exigir âmbitos adicionais, introduza uma lista de âmbitos separados por vírgulas para enviar para o IdP. Por exemplo, o Microsoft Azure e o Okta requerem o âmbito offline_access.
  3. Se escolher um fornecedor de SAML, especifique os seguintes parâmetros:
    1. EXTERNAL_IDP_NAME: introduza o nome do IdP. O nome que indicar aqui é o alias da identidade no sistema.
    2. EXTERNAL_IDP_ENTITY_ID: introduza o ID de entidade para o fornecedor SAML, especificado num formato de URI, como: https://www.idp.com/saml.
    3. EXTERNAL_IDP_SSO_URI: introduza o URI de SSO, que é o URI para o ponto final de SSO do fornecedor de SAML, como https://www.idp.com/saml/sso.
    4. EXTERNAL_IDP_CERT_DATA: introduza uma lista dos certificados de IdP usados para validar a resposta SAML. Estes certificados têm de estar codificados em Base64 padrão e no formato PEM. É suportado um máximo de dois certificados para facilitar a rotação de certificados do IdP.
    5. EXTERNAL_IDP_USER_ATTRIBUTE: introduza o atributo do utilizador, que é o nome do atributo na resposta SAML que contém o nome de utilizador. Se este atributo estiver em falta na resposta SAML, a autenticação falha.

  4. EXTERNAL_IDP_INITIAL_ADMIN: para fornecedores SAML e OIDC, introduza a conta do administrador inicial. O administrador inicial é a primeira conta à qual é concedido acesso ao sistema após a conclusão da instalação. O valor que introduz tem de corresponder ao tipo de reivindicação, como um endereço de email, se a reivindicação do utilizador para um fornecedor OIDC estiver definida como email.

    Registe o nome do administrador inicial, uma vez que precisa destas informações para iniciar sessão no sistema pela primeira vez após a conclusão da instalação.

O que se segue?

Configure o dispositivo e instale o software