Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Configura una rete VPC

Google Cloud Managed Lustre viene eseguito all'interno di un Virtual Private Cloud (VPC) che fornisce funzionalità di rete per le istanze delle macchine virtuali (VM) di Compute Engine, i cluster Google Kubernetes Engine (GKE) e i carichi di lavoro serverless.

La stessa rete VPC deve essere specificata quando crei l'istanza Managed Lustre e le VM Compute Engine client o i cluster Google Kubernetes Engine.

Autorizzazioni obbligatorie

Devi disporre delle seguenti autorizzazioni IAM:

serviceusage.services.enable
compute.networks.create
compute.addresses.create
compute.addresses.get
compute.firewalls.create
servicenetworking.services.addPeering

Queste autorizzazioni possono essere concesse aggiungendo tutti i seguenti ruoli predefiniti:

Amministratore Service Usage (roles/serviceusage.serviceUsageAdmin)
Compute Network Admin (roles/compute.networkAdmin)
Compute Security Admin (roles/compute.securityAdmin)

In alternativa, puoi creare un ruolo personalizzato contenente le autorizzazioni specifiche.

Per concedere un ruolo a un utente:

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member="user:EMAIL_ADDRESS"
  --role=ROLE

Creare e configurare il VPC

Attiva il networking di servizi.

gcloud services enable servicenetworking.googleapis.com

Crea una rete VPC in modalità personalizzata.
```
gcloud compute networks create NETWORK_NAME \
  --subnet-mode=custom \
  --mtu=8896
```
Nota: l'impostazione del valore di mtu (unità massima di trasmissione o la dimensione del pacchetto IP più grande che può essere trasmesso su questa rete) sul valore massimo consentito di 8896 migliora le prestazioni fino al 10% rispetto al valore predefinito di 1460 byte.

Crea una subnet principale per le risorse GKE o Compute Engine.

gcloud compute networks subnets create SUBNET_NAME \
  --network=NETWORK_NAME \
  --range=10.128.0.0/20 \
  --region=REGION

Alloca un intervallo IP per l'accesso privato ai servizi.

Questo intervallo IP interno viene utilizzato per la connessione di accesso privato ai servizi, che esegue il peering della rete VPC con la rete gestita da Google in cui vengono sottoposte a provisioning le risorse Managed Lustre. Questo intervallo allocato viene utilizzato per fornire indirizzi IP per le istanze Managed Lustre e non deve sovrapporsi a nessuna subnet nella rete VPC.

Ogni istanza Managed Lustre richiede un blocco CIDR contiguo con una lunghezza del prefisso di almeno 23.

Ti consigliamo di creare un intervallo IP più grande di /20 per consentire la creazione di più istanze Managed Lustre o l'utilizzo di altri Google Cloud servizi.
```
gcloud compute addresses create IP_RANGE_NAME \
  --global \
  --purpose=VPC_PEERING \
  --prefix-length=20 \
  --description="Managed Lustre VPC Peering" \
  --network=NETWORK_NAME
```

Recupera il blocco CIDR associato all'intervallo creato nel passaggio precedente.

CIDR_BLOCK=$(
  gcloud compute addresses describe IP_RANGE_NAME \
    --global  \
    --format="value[separator=/](address, prefixLength)"
)

Crea una regola firewall per consentire il traffico TCP dall'intervallo IP creato.

gcloud compute firewall-rules create FIREWALL_NAME \
  --allow=tcp:988,tcp:6988 \
  --network=NETWORK_NAME \
  --source-ranges=$CIDR_BLOCK

Collega il peering.

gcloud services vpc-peerings connect \
  --network=NETWORK_NAME \
  --ranges=IP_RANGE_NAME \
  --service=servicenetworking.googleapis.com

Creare subnet aggiuntive per più NIC

Se prevedi di utilizzare più schede di interfaccia di rete (multi-NIC) per aggregare la larghezza di banda, devi creare una subnet separata all'interno della rete VPC per ogni NIC.

Per usufruire di più NIC, devi utilizzare i tipi di macchina Compute Engine con più NIC fisiche collegate a VPC regolari. Le NIC collegate a VPC con profili di rete RDMA non possono essere utilizzate per aumentare la larghezza di banda di rete generale. Per ulteriori dettagli, consulta Networking e macchine GPU.

Per creare una subnet per una NIC fisica aggiuntiva:

gcloud compute networks subnets create SUBNET_NAME_2 \
  --network=NETWORK_NAME \
  --range=10.130.0.0/20 \
  --region=REGION

Ripeti questo passaggio per ogni NIC aggiuntiva. Assicurati che gli intervalli IP di ogni subnet non si sovrappongano.

Controlli di servizio VPC

Managed Lustre supporta i Controlli di servizio VPC (VPC-SC). Per saperne di più, consulta Proteggere le istanze con un perimetro di servizio.

Risolvere i problemi di configurazione del VPC

Autorizzazione negata per aggiungere il peering per il servizio `servicenetworking.googleapis.com`

ERROR: (gcloud.services.vpc-peerings.connect) User [$(USER)] does not have
permission to access services instance [servicenetworking.googleapis.com]
(or it may not exist): Permission denied to add peering for service
'servicenetworking.googleapis.com'.

Questo errore indica che non disponi dell'autorizzazione IAM servicenetworking.services.addPeering sul tuo account utente.

Per istruzioni su come aggiungere uno dei seguenti ruoli al tuo account, consulta Controllo dell'accesso con IAM:

roles/compute.networkAdmin o
roles/servicenetworking.networksAdmin

Impossibile modificare gli intervalli allocati in CreateConnection

ERROR: (gcloud.services.vpc-peerings.connect) The operation
"operations/[operation_id]" resulted in a failure "Cannot modify allocated
ranges in CreateConnection. Please use UpdateConnection."

Questo errore viene restituito quando hai già creato un peering VPC su questa rete con intervalli IP diversi. Esistono due possibili soluzioni:

Sostituisci gli intervalli IP esistenti:

gcloud services vpc-peerings update \
  --network=NETWORK_NAME \
  --ranges=IP_RANGE_NAME \
  --service=servicenetworking.googleapis.com \
  --force

In alternativa, aggiungi il nuovo intervallo IP alla connessione esistente:

Recupera l'elenco degli intervalli IP esistenti per il peering:

EXISTING_RANGES="$(
  gcloud services vpc-peerings list \
    --network=NETWORK_NAME \
    --service=servicenetworking.googleapis.com \
    --format="value(reservedPeeringRanges.list())" \
    --flatten=reservedPeeringRanges
)

Quindi, aggiungi il nuovo intervallo al peering:

gcloud services vpc-peerings update \
  --network=NETWORK_NAME \
  --ranges="${EXISTING_RANGES}",IP_RANGE_NAME \
  --service=servicenetworking.googleapis.com

Intervallo di indirizzi IP esaurito

Se la creazione dell'istanza non riesce a causa di un errore di esaurimento dell'intervallo di indirizzi IP:

ERROR: (gcloud.alpha.Google Cloud Managed Lustre.instances.create) FAILED_PRECONDITION: Invalid
resource state for "NETWORK_RANGES_NOT_AVAILABLE": IP address range exhausted

Segui la guida VPC per modificare la connessione privata esistente e aggiungere intervalli di indirizzi IP.

Ti consigliamo una lunghezza del prefisso di almeno /20 (4096 indirizzi).