Google Cloud Managed Lustre viene eseguito all'interno di un Virtual Private Cloud (VPC) che fornisce funzionalità di rete alle istanze delle macchine virtuali (VM) di Compute Engine, cluster Google Kubernetes Engine (GKE) e ai carichi di lavoro serverless.
La stessa rete VPC deve essere specificata quando crei l'istanza Managed Lustre e le VM Compute Engine client o i cluster Google Kubernetes Engine.
Autorizzazioni obbligatorie
Devi disporre delle seguenti autorizzazioni IAM:
serviceusage.services.enablecompute.networks.createcompute.addresses.createcompute.addresses.getcompute.firewalls.createservicenetworking.services.addPeering
Queste autorizzazioni possono essere concesse aggiungendo tutti i seguenti ruoli predefiniti:
- Amministratore Service Usage (
roles/serviceusage.serviceUsageAdmin) - Compute Network Admin (
roles/compute.networkAdmin) - Compute Security Admin (
roles/compute.securityAdmin)
In alternativa, puoi creare un ruolo personalizzato contenente le autorizzazioni specifiche.
Per concedere un ruolo a un utente:
gcloud projects add-iam-policy-binding PROJECT_ID \
--member="user:EMAIL_ADDRESS"
--role=ROLE
Crea e configura il VPC
Attiva il networking di servizi.
gcloud services enable servicenetworking.googleapis.comCrea una rete VPC in modalità personalizzata.
gcloud compute networks create NETWORK_NAME \ --subnet-mode=custom \ --mtu=8896Crea una subnet principale per le risorse GKE o Compute Engine.
gcloud compute networks subnets create SUBNET_NAME \ --network=NETWORK_NAME \ --range=10.128.0.0/20 \ --region=REGIONAlloca un intervallo IP per l'accesso privato ai servizi.
Questo intervallo IP interno viene utilizzato per la connessione di accesso privato ai servizi, che esegue il peering della rete VPC con la rete gestita da Google in cui vengono sottoposte a provisioning le risorse Managed Lustre. Questo intervallo allocato viene utilizzato per fornire indirizzi IP per le istanze Managed Lustre e non deve sovrapporsi a nessuna subnet nella rete VPC.
Ogni istanza Managed Lustre richiede un blocco CIDR contiguo con una lunghezza del prefisso di almeno 23.
Ti consigliamo di creare un intervallo IP più grande di /20 per consentire la creazione di più istanze Managed Lustre o l'utilizzo di altri Google Cloud servizi.
gcloud compute addresses create IP_RANGE_NAME \ --global \ --purpose=VPC_PEERING \ --prefix-length=20 \ --description="Managed Lustre VPC Peering" \ --network=NETWORK_NAMERecupera il blocco CIDR associato all'intervallo creato nel passaggio precedente.
CIDR_BLOCK=$( gcloud compute addresses describe IP_RANGE_NAME \ --global \ --format="value[separator=/](address, prefixLength)" )Crea una regola firewall per consentire il traffico TCP dall'intervallo IP creato.
gcloud compute firewall-rules create FIREWALL_NAME \ --allow=tcp:988,tcp:6988 \ --network=NETWORK_NAME \ --source-ranges=$CIDR_BLOCKCollega il peering.
gcloud services vpc-peerings connect \ --network=NETWORK_NAME \ --ranges=IP_RANGE_NAME \ --service=servicenetworking.googleapis.com
Crea subnet aggiuntive per più NIC
Se prevedi di utilizzare più schede di interfaccia di rete (multi-NIC) per aggregare la larghezza di banda, devi creare una subnet separata all'interno della rete VPC per ogni NIC.
Per usufruire di multi-NIC, devi utilizzare i tipi di macchina Compute Engine con più NIC fisiche collegate a VPC regolari. Le NIC collegate a VPC con profili di rete RDMA non possono essere utilizzate per aumentare la larghezza di banda di rete generale. Per ulteriori dettagli, consulta Macchine di rete e GPU.
Per creare una subnet per una NIC fisica aggiuntiva:
gcloud compute networks subnets create SUBNET_NAME_2 \
--network=NETWORK_NAME \
--range=10.130.0.0/20 \
--region=REGION
Ripeti questo passaggio per ogni NIC aggiuntiva. Assicurati che gli intervalli IP per ogni subnet non si sovrappongano.
Controlli di servizio VPC
Managed Lustre supporta i Controlli di servizio VPC (VPC-SC). Per maggiori dettagli, consulta Proteggere le istanze con un perimetro di servizio.