Configurer un réseau VPC

Google Cloud Managed Lustre s'exécute dans un cloud privé virtuel (VPC), qui fournit des fonctionnalités de mise en réseau aux instances de machines virtuelles (VM) Compute Engine, aux clusters Google Kubernetes Engine (GKE) et aux charges de travail sans serveur.

Le même réseau VPC doit être spécifié lors de la création de l'instance Managed Lustre et des VM Compute Engine ou des clusters Google Kubernetes Engine du client.

Vous devez également configurer l'accès aux services privés dans votre VPC.

Autorisations requises

Vous devez disposer des autorisations IAM suivantes :

serviceusage.services.enable
compute.networks.create
compute.addresses.create
compute.addresses.get
compute.firewalls.create
servicenetworking.services.addPeering

Vous pouvez accorder ces autorisations en ajoutant tous les rôles prédéfinis suivants :

Administrateur Service Usage (roles/serviceusage.serviceUsageAdmin)
Administrateur de réseaux Compute (roles/compute.networkAdmin)
Administrateur de sécurité de Compute (roles/compute.securityAdmin)

Vous pouvez également créer un rôle personnalisé contenant les autorisations spécifiques.

Pour attribuer un rôle à un utilisateur :

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member="user:EMAIL_ADDRESS"
  --role=ROLE

Créer et configurer le VPC

Activez le service de mise en réseau.

gcloud services enable servicenetworking.googleapis.com

Créez un réseau VPC.
```
gcloud compute networks create NETWORK_NAME \
  --subnet-mode=auto \
  --mtu=8896
```
Remarque : Définir la valeur de mtu (unité de transmission maximale, ou la taille du plus grand paquet IP pouvant être transmis sur ce réseau) sur la valeur maximale autorisée de 8 896 améliore les performances jusqu'à 10 % par rapport à la valeur par défaut de 1 460 octets.
Créez une plage d'adresses IP.

Chaque instance Managed Lustre nécessite un bloc CIDR contigu avec une longueur de préfixe de 24. La commande suivante crée une plage d'adresses IP plus grande pour permettre la création de plusieurs instances Lustre gérées.
```
gcloud compute addresses create IP_RANGE_NAME \
  --global \
  --purpose=VPC_PEERING \
  --prefix-length=20 \
  --description="Managed Lustre VPC Peering" \
  --network=NETWORK_NAME
```

Obtenez le bloc CIDR associé à la plage que vous avez créée à l'étape précédente.

CIDR_BLOCK=$(
  gcloud compute addresses describe IP_RANGE_NAME \
    --global  \
    --format="value[separator=/](address, prefixLength)"
)

Créez une règle de pare-feu pour autoriser le trafic TCP provenant de la plage d'adresses IP que vous avez créée.

gcloud compute firewall-rules create FIREWALL_NAME \
  --allow=tcp:988,tcp:6988 \
  --network=NETWORK_NAME \
  --source-ranges=$CIDR_BLOCK

Connectez le peering.

gcloud services vpc-peerings connect \
  --network=NETWORK_NAME \
  --ranges=IP_RANGE_NAME \
  --service=servicenetworking.googleapis.com

VPC Service Controls

Managed Lustre est compatible avec VPC Service Controls (VPC-SC). Pour en savoir plus, consultez Sécuriser des instances avec un périmètre de service.