Configura una rete VPC

Google Cloud Managed Lustre viene eseguito all'interno di un Virtual Private Cloud (VPC) che fornisce funzionalità di networking a istanze di macchine virtuali (VM) di Compute Engine, cluster Google Kubernetes Engine (GKE) e carichi di lavoro serverless.

La stessa rete VPC deve essere specificata durante la creazione dell'istanza Managed Lustre e delle VM Compute Engine client o dei cluster Google Kubernetes Engine.

Devi anche configurare l'accesso privato ai servizi all'interno del VPC.

Autorizzazioni obbligatorie

Devi disporre delle seguenti autorizzazioni IAM:

serviceusage.services.enable
compute.networks.create
compute.addresses.create
compute.addresses.get
compute.firewalls.create
servicenetworking.services.addPeering

Queste autorizzazioni possono essere concesse aggiungendo tutti i seguenti ruoli predefiniti:

Amministratore Service Usage (roles/serviceusage.serviceUsageAdmin)
Compute Network Admin (roles/compute.networkAdmin)
Compute Security Admin (roles/compute.securityAdmin)

In alternativa, crea un ruolo personalizzato contenente le autorizzazioni specifiche.

Per concedere un ruolo a un utente:

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member="user:EMAIL_ADDRESS"
  --role=ROLE

Crea e configura il VPC

Abilita il networking di servizio.

gcloud services enable servicenetworking.googleapis.com

Crea una rete VPC.
```
gcloud compute networks create NETWORK_NAME \
  --subnet-mode=auto \
  --mtu=8896
```
Nota: l'impostazione del valore di mtu (unità massima di trasmissione o dimensione del pacchetto IP più grande che può essere trasmesso su questa rete) sul valore massimo consentito di 8896 migliora il rendimento fino al 10% rispetto al valore predefinito di 1460 byte.
Crea un intervallo IP.

Ogni istanza Managed Lustre richiede un blocco CIDR contiguo con una lunghezza del prefisso di 24. Il seguente comando crea un intervallo IP più ampio per consentire la creazione di più istanze Managed Lustre.
```
gcloud compute addresses create IP_RANGE_NAME \
  --global \
  --purpose=VPC_PEERING \
  --prefix-length=20 \
  --description="Managed Lustre VPC Peering" \
  --network=NETWORK_NAME
```

Recupera il blocco CIDR associato all'intervallo che hai creato nel passaggio precedente.

CIDR_BLOCK=$(
  gcloud compute addresses describe IP_RANGE_NAME \
    --global  \
    --format="value[separator=/](address, prefixLength)"
)

Crea una regola firewall per consentire il traffico TCP dall'intervallo IP che hai creato.

gcloud compute firewall-rules create FIREWALL_NAME \
  --allow=tcp:988,tcp:6988 \
  --network=NETWORK_NAME \
  --source-ranges=$CIDR_BLOCK

Collega il peering.

gcloud services vpc-peerings connect \
  --network=NETWORK_NAME \
  --ranges=IP_RANGE_NAME \
  --service=servicenetworking.googleapis.com

Controlli di servizio VPC

Managed Lustre supporta i Controlli di servizio VPC (VPC-SC). Per i dettagli, consulta Proteggere le istanze con un perimetro di servizio.