VPC-Netzwerk konfigurieren

Google Cloud Managed Lustre wird in einer Virtual Private Cloud (VPC) ausgeführt, die Netzwerkfunktionen für VM-Instanzen von Compute Engine, Cluster von Google Kubernetes Engine (GKE) und serverlose Arbeitslasten bietet.

Beim Erstellen der verwalteten Lustre-Instanz und der Client-Compute Engine-VMs oder Google Kubernetes Engine-Cluster muss dasselbe VPC-Netzwerk angegeben werden.

Sie müssen auch den Zugriff auf private Dienste in Ihrer VPC konfigurieren.

Erforderliche Berechtigungen

Sie benötigen die folgenden IAM-Berechtigungen:

serviceusage.services.enable
compute.networks.create
compute.addresses.create
compute.addresses.get
compute.firewalls.create
servicenetworking.services.addPeering

Diese Berechtigungen können durch Hinzufügen aller folgenden vordefinierten Rollen gewährt werden:

Service Usage Admin (roles/serviceusage.serviceUsageAdmin)
Compute-Netzwerkadministrator (roles/compute.networkAdmin)
Compute-Sicherheitsadministrator (roles/compute.securityAdmin)

Alternativ können Sie eine benutzerdefinierte Rolle mit den spezifischen Berechtigungen erstellen.

So weisen Sie einem Nutzer eine Rolle zu:

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member="user:EMAIL_ADDRESS"
  --role=ROLE

VPC erstellen und konfigurieren

Aktivieren Sie Service Networking.

gcloud services enable servicenetworking.googleapis.com

VPC-Netzwerk erstellen.
```
gcloud compute networks create NETWORK_NAME \
  --subnet-mode=auto \
  --mtu=8896
```
Hinweis :Wenn Sie den Wert von mtu (maximale Übertragungseinheit oder die Größe des größten IP-Pakets, das in diesem Netzwerk übertragen werden kann) auf den maximal zulässigen Wert von 8.896 festlegen, wird die Leistung im Vergleich zum Standardwert von 1.460 Byte um bis zu 10% verbessert.
Erstellen Sie einen IP-Bereich.

Für jede verwaltete Lustre-Instanz ist ein zusammenhängender CIDR-Block mit einer Präfixlänge von 24 erforderlich. Mit dem folgenden Befehl wird ein größerer IP-Bereich erstellt, um die Erstellung mehrerer verwalteter Lustre-Instanzen zu ermöglichen.
```
gcloud compute addresses create IP_RANGE_NAME \
  --global \
  --purpose=VPC_PEERING \
  --prefix-length=20 \
  --description="Managed Lustre VPC Peering" \
  --network=NETWORK_NAME
```

Rufen Sie den CIDR-Block ab, der dem Bereich zugeordnet ist, den Sie im vorherigen Schritt erstellt haben.

CIDR_BLOCK=$(
  gcloud compute addresses describe IP_RANGE_NAME \
    --global  \
    --format="value[separator=/](address, prefixLength)"
)

Erstellen Sie eine Firewallregel, die den TCP-Traffic aus dem von Ihnen erstellten IP-Bereich zulässt.

gcloud compute firewall-rules create FIREWALL_NAME \
  --allow=tcp:988,tcp:6988 \
  --network=NETWORK_NAME \
  --source-ranges=$CIDR_BLOCK

Stellen Sie die Peering-Verbindung her.

gcloud services vpc-peerings connect \
  --network=NETWORK_NAME \
  --ranges=IP_RANGE_NAME \
  --service=servicenetworking.googleapis.com

VPC Service Controls

Managed Lustre unterstützt VPC Service Controls (VPC-SC). Weitere Informationen finden Sie unter Instanzen mit einem Dienstperimeter sichern.