Configura una red de VPC

Lustre administrado de Google Cloud se ejecuta dentro de una nube privada virtual (VPC) que proporciona funcionalidad de redes a las instancias de máquina virtual (VM) de Compute Engine, los clústeres de Google Kubernetes Engine (GKE) y las cargas de trabajo sin servidores.

Se debe especificar la misma red de VPC cuando se creen la instancia de Lustre administrada y las VMs de cliente de Compute Engine o los clústeres de Google Kubernetes Engine.

También debes configurar el acceso privado a servicios dentro de tu VPC.

Permisos necesarios

Debes tener los siguientes permisos de IAM:

serviceusage.services.enable
compute.networks.create
compute.addresses.create
compute.addresses.get
compute.firewalls.create
servicenetworking.services.addPeering

Estos permisos se pueden otorgar si se agregan todos los siguientes roles predefinidos:

Administrador de Service Usage (roles/serviceusage.serviceUsageAdmin)
Administrador de la red de Compute (roles/compute.networkAdmin)
Administrador de seguridad de Compute (roles/compute.securityAdmin)

O bien, crea un rol personalizado que contenga los permisos específicos.

Para otorgar una función a un usuario, haz lo siguiente:

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member="user:EMAIL_ADDRESS"
  --role=ROLE

Crea y configura la VPC

Habilita la conexión de redes de servicios.

gcloud services enable servicenetworking.googleapis.com

Crea una red de VPC.
```
gcloud compute networks create NETWORK_NAME \
  --subnet-mode=auto \
  --mtu=8896
```
Nota: Establecer el valor de mtu (unidad de transmisión máxima o el tamaño del paquete IP más grande que se puede transmitir en esta red) en el valor máximo permitido de 8896 mejora el rendimiento hasta en un 10% en comparación con el valor predeterminado de 1460 bytes.
Crea un rango de IP.

Cada instancia de Lustre administrada requiere un bloque CIDR contiguo con una longitud de prefijo de 24. El siguiente comando crea un rango de IP más grande para permitir la creación de varias instancias de Lustre administrado.
```
gcloud compute addresses create IP_RANGE_NAME \
  --global \
  --purpose=VPC_PEERING \
  --prefix-length=20 \
  --description="Managed Lustre VPC Peering" \
  --network=NETWORK_NAME
```

Obtén el bloque CIDR asociado al rango que creaste en el paso anterior.

CIDR_BLOCK=$(
  gcloud compute addresses describe IP_RANGE_NAME \
    --global  \
    --format="value[separator=/](address, prefixLength)"
)

Crea una regla de firewall para permitir el tráfico de TCP desde el rango de IP que creaste.

gcloud compute firewall-rules create FIREWALL_NAME \
  --allow=tcp:988,tcp:6988 \
  --network=NETWORK_NAME \
  --source-ranges=$CIDR_BLOCK

Conecta el intercambio de tráfico.

gcloud services vpc-peerings connect \
  --network=NETWORK_NAME \
  --ranges=IP_RANGE_NAME \
  --service=servicenetworking.googleapis.com

Controles del servicio de VPC

Lustre administrado admite los Controles del servicio de VPC (VPC-SC). Consulta Protege instancias con un perímetro de servicio para obtener más detalles.