O Google Cloud Managed Lustre é executado em uma nuvem privada virtual (VPC) que oferece funcionalidade de rede para instâncias de máquina virtual (VM) do Compute Engine, clusters do Google Kubernetes Engine (GKE) e cargas de trabalho sem servidor.
A mesma rede VPC precisa ser especificada ao criar a instância do Managed Lustre e as VMs do Compute Engine ou os clusters do Google Kubernetes Engine do cliente.
Permissões necessárias
Você precisa ter as seguintes permissões do IAM:
serviceusage.services.enablecompute.networks.createcompute.addresses.createcompute.addresses.getcompute.firewalls.createservicenetworking.services.addPeering
Essas permissões podem ser concedidas adicionando todos os seguintes papéis predefinidos:
- Administrador do Service Usage (
roles/serviceusage.serviceUsageAdmin) - Administrador de rede do Compute (
roles/compute.networkAdmin) - Administrador de segurança do Compute (
roles/compute.securityAdmin)
Ou crie uma função personalizada que contenha as permissões específicas.
Para conceder um papel a um usuário:
gcloud projects add-iam-policy-binding PROJECT_ID \
--member="user:EMAIL_ADDRESS"
--role=ROLE
Criar e configurar a VPC
Ative o Service Networking.
gcloud services enable servicenetworking.googleapis.comCrie uma rede VPC no modo personalizado.
gcloud compute networks create NETWORK_NAME \ --subnet-mode=custom \ --mtu=8896Crie uma sub-rede principal para seus recursos do GKE ou do Compute Engine.
gcloud compute networks subnets create SUBNET_NAME \ --network=NETWORK_NAME \ --range=10.128.0.0/20 \ --region=REGIONAlocar um intervalo de IP para acesso a serviços particulares.
Esse intervalo de IP interno é usado para a conexão de acesso a serviços privados, que faz o peering da rede VPC com a rede gerenciada pelo Google em que os recursos do Managed Lustre são provisionados. Esse intervalo alocado é usado para fornecer IPs para instâncias do Managed Lustre e não pode se sobrepor a nenhuma sub-rede na rede VPC.
Cada instância do Managed Lustre requer um bloco CIDR contíguo com um comprimento de prefixo de pelo menos 23.
Recomendamos criar um intervalo de IP maior de /20 para permitir a criação de várias instâncias do Managed Lustre ou o uso de outros Google Cloud serviços.
gcloud compute addresses create IP_RANGE_NAME \ --global \ --purpose=VPC_PEERING \ --prefix-length=20 \ --description="Managed Lustre VPC Peering" \ --network=NETWORK_NAMEReceba o bloco CIDR associado ao intervalo criado na etapa anterior.
CIDR_BLOCK=$( gcloud compute addresses describe IP_RANGE_NAME \ --global \ --format="value[separator=/](address, prefixLength)" )Crie uma regra de firewall para permitir o tráfego TCP do intervalo de IP criado.
gcloud compute firewall-rules create FIREWALL_NAME \ --allow=tcp:988,tcp:6988 \ --network=NETWORK_NAME \ --source-ranges=$CIDR_BLOCKConecte o peering.
gcloud services vpc-peerings connect \ --network=NETWORK_NAME \ --ranges=IP_RANGE_NAME \ --service=servicenetworking.googleapis.com
Criar sub-redes adicionais para várias placas de rede
Se você planeja usar várias placas de interface de rede (várias placas de rede) para agregar largura de banda, crie uma sub-rede separada na rede VPC para cada placa de rede.
Para aproveitar várias placas de rede, use tipos de máquinas do Compute Engine com várias placas de rede físicas anexadas a VPCs normais. As placas de rede que se conectam a VPCs com perfis de rede RDMA não podem ser usadas para aumentar a largura de banda geral da rede. Consulte Máquinas de rede e GPU para mais detalhes.
Para criar uma sub-rede para uma placa de rede física adicional:
gcloud compute networks subnets create SUBNET_NAME_2 \
--network=NETWORK_NAME \
--range=10.130.0.0/20 \
--region=REGION
Repita esta etapa para cada placa de rede adicional. Verifique se os intervalos de IP de cada sub-rede não se sobrepõem.
VPC Service Controls
O Managed Lustre oferece suporte ao VPC Service Controls (VPC-SC). Consulte Proteger instâncias com um perímetro de serviço para mais detalhes.