Configurer un réseau VPC

Google Cloud Managed Lustre s'exécute dans un cloud privé virtuel (VPC), qui fournit des fonctionnalités de mise en réseau aux instances de machines virtuelles (VM) Compute Engine, aux clusters Google Kubernetes Engine (GKE) et aux charges de travail sans serveur.

Le même réseau VPC doit être spécifié lors de la création de l'instance Managed Lustre et des VM Compute Engine ou des clusters Google Kubernetes Engine du client.

Autorisations requises

Vous devez disposer des autorisations IAM suivantes :

serviceusage.services.enable
compute.networks.create
compute.addresses.create
compute.addresses.get
compute.firewalls.create
servicenetworking.services.addPeering

Vous pouvez accorder ces autorisations en ajoutant tous les rôles prédéfinis suivants :

Administrateur Service Usage (roles/serviceusage.serviceUsageAdmin)
Administrateur de réseaux Compute (roles/compute.networkAdmin)
Administrateur de sécurité de Compute (roles/compute.securityAdmin)

Vous pouvez également créer un rôle personnalisé contenant les autorisations spécifiques.

Pour attribuer un rôle à un utilisateur :

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member="user:EMAIL_ADDRESS"
  --role=ROLE

Créer et configurer le VPC

Activez le service de mise en réseau.

gcloud services enable servicenetworking.googleapis.com

Créez un réseau VPC en mode personnalisé.
```
gcloud compute networks create NETWORK_NAME \
  --subnet-mode=custom \
  --mtu=8896
```
Remarque : Définir la valeur de mtu (unité de transmission maximale, ou la taille du plus grand paquet IP pouvant être transmis sur ce réseau) sur la valeur maximale autorisée de 8 896 améliore les performances jusqu'à 10 % par rapport à la valeur par défaut de 1 460 octets.

Créez un sous-réseau principal pour vos ressources GKE ou Compute Engine.

gcloud compute networks subnets create SUBNET_NAME \
  --network=NETWORK_NAME \
  --range=10.128.0.0/20 \
  --region=REGION

Allouez une plage d'adresses IP pour l'accès aux services privés.

Cette plage d'adresses IP internes est utilisée pour la connexion d'accès aux services privés, qui appaire votre réseau VPC au réseau géré par Google où les ressources Managed Lustre sont provisionnées. Cette plage allouée est utilisée pour fournir des adresses IP aux instances Managed Lustre. Elle ne doit pas chevaucher les sous-réseaux de votre réseau VPC.

Chaque instance Managed Lustre nécessite un bloc CIDR contigu avec une longueur de préfixe d'au moins 23.

Nous vous recommandons de créer une plage d'adresses IP plus étendue (/20) pour permettre la création de plusieurs instances Lustre gérées ou l'utilisation d'autres services Google Cloud .
```
gcloud compute addresses create IP_RANGE_NAME \
  --global \
  --purpose=VPC_PEERING \
  --prefix-length=20 \
  --description="Managed Lustre VPC Peering" \
  --network=NETWORK_NAME
```

Obtenez le bloc CIDR associé à la plage que vous avez créée à l'étape précédente.

CIDR_BLOCK=$(
  gcloud compute addresses describe IP_RANGE_NAME \
    --global  \
    --format="value[separator=/](address, prefixLength)"
)

Créez une règle de pare-feu pour autoriser le trafic TCP provenant de la plage d'adresses IP que vous avez créée.

gcloud compute firewall-rules create FIREWALL_NAME \
  --allow=tcp:988,tcp:6988 \
  --network=NETWORK_NAME \
  --source-ranges=$CIDR_BLOCK

Connectez le peering.

gcloud services vpc-peerings connect \
  --network=NETWORK_NAME \
  --ranges=IP_RANGE_NAME \
  --service=servicenetworking.googleapis.com

Créer des sous-réseaux supplémentaires pour plusieurs cartes d'interface réseau

Si vous prévoyez d'utiliser plusieurs cartes d'interface réseau pour agréger la bande passante, vous devez créer un sous-réseau distinct dans votre réseau VPC pour chaque carte d'interface réseau.

Pour bénéficier de plusieurs cartes d'interface réseau, vous devez utiliser des types de machines Compute Engine avec plusieurs cartes d'interface réseau physiques associées à des VPC standards. Les cartes d'interface réseau qui se rattachent à des VPC avec des profils réseau RDMA ne peuvent pas être utilisées pour augmenter la bande passante réseau générale. Pour en savoir plus, consultez Mise en réseau et machines GPU.

Pour créer un sous-réseau pour une carte d'interface réseau physique supplémentaire :

gcloud compute networks subnets create SUBNET_NAME_2 \
  --network=NETWORK_NAME \
  --range=10.130.0.0/20 \
  --region=REGION

Répétez cette étape pour chaque carte d'interface réseau supplémentaire. Assurez-vous que les plages d'adresses IP de chaque sous-réseau ne se chevauchent pas.

VPC Service Controls

Managed Lustre est compatible avec VPC Service Controls (VPC-SC). Pour en savoir plus, consultez Sécuriser des instances avec un périmètre de service.