Configurar uma rede VPC

O Lustre gerenciado do Google Cloud é executado em uma nuvem privada virtual (VPC), que oferece funcionalidade de rede para instâncias de máquina virtual (VM) do Compute Engine, clusters do Google Kubernetes Engine (GKE) e cargas de trabalho sem servidor.

A mesma rede VPC precisa ser especificada ao criar a instância gerenciada do Lustre e as VMs do Compute Engine ou os clusters do Google Kubernetes Engine do cliente.

Também é necessário configurar o acesso a serviços particulares na VPC.

Permissões necessárias

Você precisa ter as seguintes permissões do IAM:

serviceusage.services.enable
compute.networks.create
compute.addresses.create
compute.addresses.get
compute.firewalls.create
servicenetworking.services.addPeering

Essas permissões podem ser concedidas adicionando todos os papéis predefinidos a seguir:

Administrador do Service Usage (roles/serviceusage.serviceUsageAdmin)
Administrador de rede do Compute (roles/compute.networkAdmin)
Administrador de segurança do Compute (roles/compute.securityAdmin)

Ou crie um papel personalizado com as permissões específicas.

Para conceder um papel a um usuário:

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member="user:EMAIL_ADDRESS"
  --role=ROLE

Criar e configurar a VPC

Ative o Service Networking.

gcloud services enable servicenetworking.googleapis.com

Crie uma rede VPC.
```
gcloud compute networks create NETWORK_NAME \
  --subnet-mode=auto \
  --mtu=8896
```
Observação: definir o valor de mtu (unidade máxima de transmissão ou o tamanho do maior pacote IP que pode ser transmitido nessa rede) como o valor máximo permitido de 8.896 melhora o desempenho em até 10% em comparação com o valor padrão de 1.460 bytes.
Crie um intervalo de IP.

Cada instância do Lustre gerenciado requer um bloco CIDR contíguo com um comprimento de prefixo de 24. O comando a seguir cria um intervalo de IP maior para permitir a criação de várias instâncias gerenciadas do Lustre.
```
gcloud compute addresses create IP_RANGE_NAME \
  --global \
  --purpose=VPC_PEERING \
  --prefix-length=20 \
  --description="Managed Lustre VPC Peering" \
  --network=NETWORK_NAME
```

Receba o bloco CIDR associado ao intervalo criado na etapa anterior.

CIDR_BLOCK=$(
  gcloud compute addresses describe IP_RANGE_NAME \
    --global  \
    --format="value[separator=/](address, prefixLength)"
)

Crie uma regra de firewall para permitir o tráfego TCP do intervalo de IP que você criou.

gcloud compute firewall-rules create FIREWALL_NAME \
  --allow=tcp:988,tcp:6988 \
  --network=NETWORK_NAME \
  --source-ranges=$CIDR_BLOCK

Conecte o peering.

gcloud services vpc-peerings connect \
  --network=NETWORK_NAME \
  --ranges=IP_RANGE_NAME \
  --service=servicenetworking.googleapis.com

VPC Service Controls

O Managed Lustre é compatível com o VPC Service Controls (VPC-SC). Consulte Proteger instâncias com um perímetro de serviço para mais detalhes.