VPC 네트워크 구성

Google Cloud 관리형 Lustre는 Virtual Private Cloud (VPC) 내에서 실행되며, 이 VPC는 Compute Engine 가상 머신 (VM) 인스턴스, Google Kubernetes Engine (GKE) 클러스터, 서버리스 워크로드에 네트워킹 기능을 제공합니다.

Managed Lustre 인스턴스와 클라이언트 Compute Engine VM 또는 Google Kubernetes Engine 클러스터를 만들 때 동일한 VPC 네트워크를 지정해야 합니다.

필수 권한

다음 IAM 권한이 있어야 합니다.

• serviceusage.services.enable
• compute.networks.create
• compute.addresses.create
• compute.addresses.get
• compute.firewalls.create
• servicenetworking.services.addPeering

다음 사전 정의된 역할을 모두 추가하여 이러한 권한을 부여할 수 있습니다.

• 서비스 사용량 관리자(roles/serviceusage.serviceUsageAdmin)
• Compute 네트워크 관리자(roles/compute.networkAdmin)
• Compute 보안 관리자(roles/compute.securityAdmin)

또는 특정 권한이 포함된 커스텀 역할을 만듭니다.

사용자에게 역할을 부여하려면 다음을 실행합니다.

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member="user:EMAIL_ADDRESS"
  --role=ROLE

VPC 만들기 및 구성

1. 서비스 네트워킹을 사용 설정합니다.

   gcloud services enable servicenetworking.googleapis.com
   

2. 커스텀 모드에서 VPC 네트워크를 만듭니다.

   gcloud compute networks create NETWORK_NAME \
     --subnet-mode=custom \
     --mtu=8896
   

3. GKE 또는 Compute Engine 리소스의 기본 서브넷을 만듭니다.

   gcloud compute networks subnets create SUBNET_NAME \
     --network=NETWORK_NAME \
     --range=10.128.0.0/20 \
     --region=REGION
   

4. 비공개 서비스 액세스의 IP 범위를 할당합니다.

   이 내부 IP 범위는 비공개 서비스 액세스 연결에 사용되며, 이 연결은 VPC 네트워크를 Managed Lustre 리소스가 프로비저닝된 Google 관리 네트워크와 피어링합니다. 이 할당된 범위는 관리형 Lustre 인스턴스에 IP를 제공하는 데 사용되며 VPC 네트워크의 서브넷과 겹치지 않아야 합니다.

   각 관리형 Lustre 인스턴스에는 프리픽스 길이가 23 이상인 연속 CIDR 블록이 필요합니다.

   여러 관리형 Lustre 인스턴스를 만들거나 다른 Google Cloud 서비스를 사용할 수 있도록 /20의 더 큰 IP 범위를 만드는 것이 좋습니다.

   gcloud compute addresses create IP_RANGE_NAME \
     --global \
     --purpose=VPC_PEERING \
     --prefix-length=20 \
     --description="Managed Lustre VPC Peering" \
     --network=NETWORK_NAME
   

5. 이전 단계에서 만든 범위와 연결된 CIDR 블록을 가져옵니다.

   CIDR_BLOCK=$(
     gcloud compute addresses describe IP_RANGE_NAME \
       --global  \
       --format="value[separator=/](address, prefixLength)"
   )
   

6. 만든 IP 범위의 TCP 트래픽을 허용하는 방화벽 규칙을 만듭니다.

   gcloud compute firewall-rules create FIREWALL_NAME \
     --allow=tcp:988,tcp:6988 \
     --network=NETWORK_NAME \
     --source-ranges=$CIDR_BLOCK
   

7. 피어링을 연결합니다.

   gcloud services vpc-peerings connect \
     --network=NETWORK_NAME \
     --ranges=IP_RANGE_NAME \
     --service=servicenetworking.googleapis.com
   

다중 NIC용 추가 서브넷 만들기

대역폭을 집계하기 위해 여러 네트워크 인터페이스 카드 (다중 NIC)를 사용하려는 경우 각 NIC에 대해 VPC 네트워크 내에 별도의 서브넷을 만들어야 합니다.

멀티 NIC를 활용하려면 일반 VPC에 연결된 실제 NIC가 여러 개인 Compute Engine 머신 유형을 사용해야 합니다. RDMA 네트워크 프로필이 있는 VPC에 연결된 NIC는 일반 네트워킹 대역폭을 늘리는 데 사용할 수 없습니다. 자세한 내용은 네트워킹 및 GPU 머신을 참고하세요.

추가 실제 NIC의 서브넷을 만들려면 다음 단계를 따르세요.

gcloud compute networks subnets create SUBNET_NAME_2 \
  --network=NETWORK_NAME \
  --range=10.130.0.0/20 \
  --region=REGION

추가 NIC마다 이 단계를 반복합니다. 각 서브넷의 IP 범위가 서로 겹치지 않는지 확인합니다.

VPC 서비스 제어

관리형 Lustre는 VPC 서비스 제어 (VPC-SC)를 지원합니다. 자세한 내용은 서비스 경계로 인스턴스 보호를 참고하세요.

다음 단계

• Managed Lustre 인스턴스 만들기
• VPC 네트워크 문제 해결