Portões de Metal
Um Equinix Metal™ Metal Gateway anexa um endereço IP de gateway a uma VLAN e fornece roteamento para uma sub-rede nessa VLAN.
Isso permite que você implante um grupo de servidores em uma VLAN que podem se comunicar entre si por meio da conectividade de Camada 2. Eles podem alcance outros hosts no Equinix Metal ou a internet por meio do Metal Gateway. Isso pode ser usado para implantações como dispositivos corporativos ou instalações ESXi que precisam de uma sub-rede com acesso à internet como uma alternativa mais barata a um firewall dedicado ou instância do Network Edge .
Quando conectado a um roteador virtual usando Roteamento e encaminhamento virtual (VRF), sua rede Metal pode alcance outros provedores de serviços em nuvem e outros destinos no Equinix Fabric.
Você provisiona um Metal Gateway com uma VLAN e um bloco de endereços IP para fornecer a sub-rede. Em seguida, você conecta seus servidores por meio de:
- Convertendo-os para um dos modos de rede da Camada 2
- Conectando os servidores à VLAN
- Atribuindo a cada servidor um endereço IP do bloco
Limitações
- Os Metal Gateways não podem usar blocos de endereços IP Global Anycast.
- Gateways de Metal não suporte DHCP, NAT, NACLs.
- Para usar Metal Gateways com Fabric Virtual Connections ou Dedicated Portas, você precisará usar Virtual Routing and Forwarding (VRF).
- O suporte para endereços IPv6 e sub-redes está disponível somente para gateways VRF.
- O suporte ao vizinho BGP está disponível somente para gateways VRF.
Blocos de endereços IP do Metal Gateway
Os portais de Metal podem ser criados com:
- Blocos de endereços IPv4 públicos de suas reservas de endereços IPv4 públicos.
- Blocos de endereços IP de VRF das reservas de endereços IP de um VRF.
- Blocos de endereços IPv4 privados do espaço de endereços IPv4 privados
10.x.x.xdo Metal.
Blocos de endereços IPv4 públicos
Os Metal Gateways suporte blocos de endereços IPv4 de tamanho /29 a /25 (ou de 8 a 128 endereços IP) para endereços IPv4 públicos. Você pode usar qualquer bloco existente que já você disponível em seu projeto, desde que nenhum endereço no bloco esteja sendo usado para outra finalidade e que ele tenha o tamanho correto. Se você ainda não possui um bloco de endereços IPv4 públicos utilizável, você pode criar um ao criar seu Metal Gateway.
Se você precisar de blocos de endereços IP maiores, suporte a IPv6 ou estiver trazendo suas próprias sub-redes, use Roteamento e encaminhamento virtual.
O Metal Gateway recebe o primeiro endereço IP utilizável do seu bloco de endereços. Por exemplo, se você provisionar um Metal Gateway com o bloco de endereços 128.66.1.0/28, o endereço do gateway será 128.66.1.1 e você poderá atribuir os endereços IP restantes do bloco aos seus servidores. Não é possível alterar o endereço IP do gateway padrão para o bloco.
Os Metal Gateways com blocos de endereços IP públicos terão uma rota para a Internet. Os servidores aos quais foi atribuído um endereço do bloco de endereços e na VLAN do Metal Gateway terão acesso à Internet, mesmo que ele tenha sido implantado anteriormente sem um endereço IP público.
Blocos de Endereço VRF
Primeiro, você deve provisionar seu Roteador Virtual do VRF com seus blocos de endereços IP e criar as reservas de endereços IP a partir desses blocos antes de criar seu Metal Gateway.
Ao criar um Metal Gateway como parte de seu VRF, use as reservas de endereço IP de seus blocos IP especificados do VRF.
As reservas de endereços IPv4 de uma VRF têm um tamanho máximo de sub-rede de /22 e um tamanho mínimo de sub-rede de /29. Você pode criar vários Metal Gateways para cada uma das reservas de endereços IPv4 da mesma VRF.
As VRFs suporte apenas sub-redes de tamanho /64. Existe um limite de uma /64 reserva de IP IPv6 por VRF.
Blocos de endereços IPv4 privados
Metal Gateways com blocos de endereços IPv4 privados podem ser usados para implantações que exigem uma sub-rede privada, como para implantar um banco de dados ou aplicativo de back-end. Metal Gateways com blocos de endereços IPv4 privados implantados NÃO terão uma rota para a internet, mas TERÃO uma rota para outros servidores dentro do Equinix Metal. Eles não podem alcance hosts da internet nem ser alcançados por hosts da internet, mas podem alcance outros hosts dentro do seu projeto e ser alcançados por eles.
Os gateways Metal suporte blocos de endereços IPv4 de tamanho /29 a /25 (ou de 8 a 128 endereços IP) para endereços IPv4 privados.
Os gateways Metal com blocos de endereços IP privados criam automaticamente um bloco de endereços IP no espaço de endereços 10.x.x.x, semelhante às sub-redes de gerenciamento IPv4 privadas do Metal. Se você precisar de blocos de endereços IP maiores, suporte a IPv6 ou estiver trazendo suas próprias sub-redes, use Roteamento e encaminhamento virtual.
O Metal Gateway recebe o primeiro endereço IP utilizável do seu bloco de endereços. Por exemplo, se você provisionar um Metal Gateway com o bloco de endereços 10.1.1.0/28, o endereço do gateway será 10.1.1.1 e você poderá atribuir os endereços IP restantes do bloco aos seus servidores. Não é possível alterar o endereço IP do gateway padrão para o bloco.
Custo
- Não há cobrança adicional por Metal Gateways em sua conta.
- Não há custo adicional para blocos de endereços IPv4 privados ou blocos de endereços IP VRF.
- Blocos de endereços IPv4 públicos usados com um Gateway são cobrados na tarifa existente.
- O uso de largura de banda de saída em blocos IPv4 públicos é cobrado de acordo com a tarifa existente.
Criando um gateway de Metal
- Console
- CLI
- API
Os gateways Metal são definidos no nível do projeto. Para criar um gateway Metal, abra a página Gateway Metálico do projeto. Clique em **+ Adicionar Gateway Metal **.
No painel _Criar Gateway Metal, selecione a VLAN que deseja conectar ao gateway no menu suspenso. Certifique-se de que a VLAN esteja na mesma área metropolitana que os blocos de endereços IP e servidores que você deseja usar com o gateway. Se você não tiver uma VLAN elegível, clique em +Criar Nova VLAN, que o guiará pelo processo de criação de uma.
Em seguida, selecione qual tipo de endereço IP você deseja usar com o gateway.
Se estiver usando um bloco de endereços IPv4 públicos, selecione um dos blocos de endereços IP elegíveis na área metropolitana onde os servidores estão localizados ou clique em +Criar novo bloco de IP para criar um. Novamente, certifique-se de que o bloco de endereços IP esteja na mesma área metropolitana que a VLAN e os servidores que você deseja usar com o gateway.
Se você usar um bloco de endereços IPv4 privados, você precisará criar um novo. Selecione o tamanho do bloco no menu suspenso e ele será criado automaticamente na mesma área metropolitana da VLAN você para o gateway.
Se você estiver criando um gateway para um Roteador Virtual (VRF), selecione o VRF e a reserva de IP do VRF. Mais informações estão disponíveis na página VRF.
Clique em Criar Metal Gateway para iniciar o provisionamento.
Depois de você um Metal Gateway em um projeto, ele será listado na página Metal Gateways.
Crie um Metal Gateway com o comando metal-gateway create. Especifique a VLAN na qual o gateway será criado no parâmetro --virtual-network.
Se você estiver usando um bloco de endereços IPv4 públicos, especifique o bloco com o sinalizador --ip-reservation-id.
metal gateway create --project-id <project_uuid> --virtual-network <vlan_uuid> --ip-reservation-id <reservation_uuid>
Se você estiver criando e usando um bloco de endereços IPv4 privados, especifique o tamanho do bloco (número de endereços IP) com o sinalizador --private-subnet-size.
metal gateway create --project-id <project_uuid> --virtual-network <vlan_uuid> --private-subnet-size <int>
Para criar um Metal Gateway não-VRF na API, envie uma solicitar POST para o endpoint /projects/{project id}/metal-gateways.
curl -X POST \
-H "Content-Type: application/json" \
-H "X-Auth-Token: <API_TOKEN>" \
"https://api.equinix.com/metal/v1/projects/{id}/metal-gateways" \
-d '{
"virtual_network_id": <"string">,
"ip_reservation_id": <"string">,
"private_ipv4_subnet_size": <integer>
}'
Campos de solicitação:
"virtual_network_id" (required) - The UUID of the VLAN to use for this Metal Gateway."ip_reservation_id"- The UUID of a public IPv4 reservation to use for this Metal Gateway. Required if using the Metal Gateway with a public IPv4 address block. The specified IP reservation must belong to the same Metro as the VLAN."private_ipv4_subnet_size"- The size of the private IPv4 subnet to create for this Metal Gateway, and must be an integer that is a power of 2 between 8 and 128, representing how many IP addresses are in the block. Required if using the Metal Gateway with a private IPv4 address block.
NOTA: Os campos "ip_reservation" e "private_ipv4_subnet_size" são mutuamente exclusivos -- apenas um pode ser especificado na solicitar.
Para criar um Metal Gateway para um VRF, especifique a VLAN e a reserva de IP do VRF no corpo da solicitar POST para o endpoint /projects/{project id}/metal-gateways. Mais informações estão disponíveis na página VRF.
curl -X POST \
-H "Content-Type: application/json" \
-H "X-Auth-Token: <API_TOKEN>" \
"https://api.equinix.com/metal/v1/projects/{id}/metal-gateways" \
-d '{
"ip_reservation_id": <string>,
"virtual_network_id": <string>
}'
Campos de solicitação:
"virtual_network_id"(required) - The UUID of the VLAN to use for this Metal Gateway. The VLAN and the VRF IP Reservation must live in the same metro."ip_reservation_id"- The UUID an a VRF IP Reservation that belongs to the same project as the one in which the Metal Gateway is to be created. The VRF IP Reservation and the VLAN must live in the same Metro.
Depois de você um Metal Gateway em um projeto, você pode recuperar uma lista de gateways enviando uma solicitar GET para o endpoint /projects/{project id}/metal-gateways.
curl -X GET -H 'X-Auth-Token: <API_TOKEN>' https://api.equinix.com/metal/v1/projects/{id}/metal-gateways
Detalhes do Gateway
- Console
- CLI
- API
Após o provisionamento, os detalhes do seu Metal Gateway são listados na tabela da página Metal Gateway do seu projeto.
Para obter uma lista e detalhes dos Metal Gateways em um projeto, use o comando metal gateway get.
metal gateway get --project-id <project_uuid>
Para obter os detalhes e o estado de um gateway específico, envie uma solicitar GET para o endpoint /metal-gateways/{id}.
curl -X GET -H 'X-Auth-Token: <API_TOKEN>' https://api.equinix.com/metal/v1/metal-gateways/{id}
| Field | Description |
|---|---|
| State | The current state of the Gateway. The possible states are: Ready - The Gateway was successfully provisioned with the IP Address block and VLAN. Active - The VLAN has servers attached to it and the Gateway is in use. |
| Location | The Metro where the Metal Gateway is located. It will also be the Metro where the VLAN and the servers are located. |
| VXLAN | VLAN ID of the VLAN attached to the gateway. |
| Gateway | The IP Address of the gateway. |
| IP Block | The block of usable IP Addresses available through the gateway. |
| Created | Date when the Metal Gateway was created. |
Exemplo de configuração do Metal Gateway
Este exemplo utiliza um Metal Gateway configurado com uma sub-rede IPv4 pública que fornece acesso à Internet para um servidor configurado no modo de agregação de Camada 2. O servidor terá acesso à Internet apenas através do gateway. O Metal Gateway de exemplo utiliza a sub-rede 203.0.113.0/29 e o endereço IP do gateway é 203.0.113.1.
Quer você provisione seu servidor sem endereços IP públicos ou converta um servidor existente, esta configuração funcionará em ambos os casos. Certifique-se de você a senha de root e as chaves SSH do seu servidor; ambas são necessárias para usar o Console SOS/OOB.
-
Converta o servidor para o Modo Bonded de Camada 2 . Todo o acesso à Internet e os endereços IP atribuídos Equinix Metal serão removidos do servidor.
-
Adicione o servidor à VLAN do Metal Gateway.
-
Use o Console SOS/OOB para acessar o servidor via SSH e atualizar a configuração de rede no sistema operacional. Este exemplo usa o Ubuntu 20.04.
ssh -o PubkeyAcceptedAlgorithms=+ssh-rsa -o HostKeyAlgorithms=+ssh-rsa <device_id>@sos.da11.platformequinix.com -
Configure os pré-requisitos para VLANs.
modprobe 8021qecho "8021q" >> /etc/modules -
Atribua um endereço IP do intervalo de endereços IP utilizáveis pertencentes ao Metal Gateway. Neste exemplo, apenas uma VLAN está associada a este servidor e pacotes não etiquetados não são suportados; portanto, configure o endereço IP atualizando
bond0. (Se você estiver associando mais de uma VLAN a este servidor, você necessário usar tráfego etiquetado e subinterfaces e/ou definir uma VLAN nativa.)ip addr add 203.0.113.2/29 dev bond0ip link set dev bond0 upVocê pode verificar se ele veio com
ip -d link show bond0 -
Mova a rota padrão. Como o servidor está no modo Camada 2, a rota padrão antiga não está mais em uso, então você pode removê-la e atualizá-la para o endereço IP do Metal Gateway.
ip route delete default via <old_ip_gateway>ip route add default via 203.0.113.1 dev bond0 -
Verifique a configuração da interface e a rota padrão com
ip route>default via 203.0.113.1 dev bond010.67.50.2/31 dev bond0 proto kernel scope link src 10.67.50.3203.0.113.2/29 dev bond0 proto kernel scope link src 203.0.113.2 -
O resultado deve ser que você consegue executar ping no servidor no endereço IP na sub-rede que pertence ao seu Metal Gateway.
ping 203.0.113.2>PING 203.0.113.2 (203.0.113.2): 56 data bytes64 bytes from 203.0.113.2: icmp_seq=0 ttl=46 time=49.347 ms64 bytes from 203.0.113.2: icmp_seq=1 ttl=46 time=49.664 ms64 bytes from 203.0.113.2: icmp_seq=2 ttl=46 time=43.281 ms64 bytes from 203.0.113.2: icmp_seq=3 ttl=46 time=54.083 ms64 bytes from 203.0.113.2: icmp_seq=4 ttl=46 time=43.737 ms^C--- 203.0.113.2 ping statistics ---5 packets transmitted, 5 packets received, 0.0% packet lossround-trip min/avg/max/stddev = 43.281/48.022/54.083/4.050 ms
Adicionando um endereço IP a um gateway de Metal
Aviso: Este recurso está em fase de testes e desenvolvimento ativo, estando disponível apenas para determinados usuários.
Você pode atribuir um dos seus endereços IPv4 públicos reservados a um endereço IP de destino em um Metal Gateway.
Ao atribuir o endereço IP reservado (ou intervalo de endereços) ao Metal Gateway, você também especifica o "próximo salto" ou endereço IP de destino. O endereço do próximo salto deve estar contido na sub-rede atribuída ao Metal Gateway e não pode ser o endereço de rede, gateway ou broadcast (não pode ser o primeiro ou o último endereço na sub-rede).
Observação: não há verificação de que o endereço do próximo salto selecionado esteja realmente sendo usado por algum dos seus servidores.
Em seguida, para atribuir um endereço IP reservado a um Metal Gateway, envie uma solicitar POST para o endpoint /metal-gateways/{id}/ips.
curl -X POST \
-H "Content-Type: application/json" \
-H "X-Auth-Token: <API_TOKEN>" \
"https://api.equinix.com/metal/v1/metal-gateways/{id}/ips" \
-d '{
"address": "a.b.c.d/e",
"next_hop": "w.x.y.z",
"tags": ["list", "of", "tags"],
"customdata": { "customdata": "object" }
}'
Parâmetros corporais:
"address"(required) - An IP address (or IP Address range) contained within one of the Project's reserved IP address blocks."next_hop"(required) - An IP address contained within the Metal Gateways' IP address block."customdata"- An optional user-defined JSON object value. More on custom data fields can be found on the Custom Data documentation page."tags"- Optional list of user-defined tags. Can be used by users to provide additional details or context.
Para listar as atribuições de endereço IP reservadas do Metal Gateway, envie uma solicitar GET para o endpoint /metal-gateways/{id}/ips.
curl -X GET -H 'X-Auth-Token: <API_TOKEN>' https://api.equinix.com/metal/v1/metal-gateways/{id}/ips
Para mostrar a atribuição de um endereço IP individual, envie uma solicitar GET para o endpoint /ips/{id}.
curl -X GET -H 'X-Auth-Token: <API_TOKEN>' https://api.equinix.com/metal/v1/ips/{id}
Para remover um endereço IP reservado de um Metal Gateway, envie uma solicitar DELETE para o endpoint /ips/{id}, especificando o ID da atribuição na solicitar.
curl -X DELETE -H 'X-Auth-Token: <API_TOKEN>' https://api.equinix.com/metal/v1/ips/{id}
Isso não removerá o endereço IP do seu projeto. O endereço ou sub-rede estará disponível para uso em outros lugares.
Excluindo um Gateway de Metal
- Console
- CLI
- API
Selecione o Portal Metal que deseja excluir da lista na página Portais Metálicos. Clique em Excluir.
Para excluir um Metal Gateway, use o comando metal gateway delete. Especifique qual gateway excluir fornecendo seu UUID ao parâmetro --id.
metal gateway delete --id <gateway_uuid>
Para excluir um gateway, envie uma solicitar DELETE para o endpoint /metal-gateways/{id}.
curl -X DELETE -H 'X-Auth-Token: <API_TOKEN>' https://api.equinix.com/metal/v1/metal-gateways/{id}
Ao você um Metal Gateway, os dados do gateway e das sub-redes são removidos. Se o bloco for um bloco de endereços IPv4 públicos, ele será devolvido ao Projeto e você poderá reutilizá-lo para outra finalidade. Se o bloco de endereços IP for um bloco de endereços IPv4 privados, o bloco de endereços IP será excluído. A VLAN associada ao Gateway continuará existindo e poderá ser usada para outras finalidades.
Observação: é possível excluir um Gateway "Ativo". Certifique-se de que o Gateway não esteja processando tráfego antes de excluí-lo para evitar interrupções.