如果你读了我的第一篇博客，那么你就知道我们在Google云平台上的Kubernetes集群中成功安装sapdatahub的过程中必须考虑的问题。在当前的博客中，我想向您提供一个具体的例子，德国云服务器，说明我们是如何实现部署和配置GCP资源的考虑的，这些资源是成功安装SAP Data Hub所必需的。

如果您从未使用过GCP，那么这个博客在您看来可能是一个GCP速成课程。我保证保持尽可能简单，并在必要时为您提供进一步阅读的链接。

您需要一个GCP项目您在这个GCP项目中的用户需要相当广泛的授权才能创建所有必需的资源。在下面的步骤中，我将使用googlecloudsdk在我的GCP项目中创建不同的资源。您可以在本地安装它，也可以在GCP控制台中使用cloudshell。使用gcloud config list命令，您可以检查云SDK活动配置的设置。

如果尚未设置，则使用以下命令设置项目ID、默认计算区域和默认计算区域：

在本博客中，我使用compute region europe-west3和compute zone europe-west3-a。您应该根据需要更改这些设置。

创建自定义网络

我首先创建一个名为datahub Network的新专用网络：

标志–subnet mode=Custom指定我要手动创建子网（gcloud参考了解更多选项）。

在在新的网络中，我创建了子网datahub-subnet-1，服务器云平台，主范围和两个辅助地址范围datahub svc范围和datahub pod范围：

主范围（10.0.4.0/22）用于Kubernetes集群节点，辅助范围（datahub svc range=10.0.32.0/20）用于服务IP地址，以及次要范围（datahub pod range=10.4.0.0/14）用于pod IP地址使用标志–enable private ip google access，我为没有位于该子网的公共ip地址的实例启用对google Cloud API的访问

设置Cloud NAT

首先，我保留一个静态外部ip地址。可以为NAT网关自动分配IP地址。但是，它们可能会发生变化，因此有必要对外部服务的防火墙规则进行调整。为了避免这种情况，我使用以下命令为NAT网关保留了一个静态外部IP地址：

我需要在稍后创建Kubernetes群集的同一区域（即europe-west3）中创建云路由器：

要向云路由器添加NAT配置，我使用以下命令：

您可以找到有关云的更多详细信息GCP文档中的NAT。

创建安装主机

下一步是创建SAP Data Hub安装过程中最重要的组件：安装主机。

防止安装主机在可能的重新启动后更改其外部IP地址，我首先保留一个专用的静态IP地址：

从先前创建的GCP资源中，我在创建一个名为inst host的新VM实例时使用了自定义网络和保留的静态IP地址：

我不会在这里解释上面命令中使用的所有选项。有关详细信息，请参阅gcloud参考。以下是最重要的选项：

所用命令中的一个重要选项是–tags=inst host vm。它帮助我以后将防火墙规则专门应用于这个VM实例。使用–subnet选项，我指定安装主机是子网datahub-subnet-1的一部分选项–scopes描述实例的权限。在我的例子中，我选择了完全访问范围。GCP文档中有关访问范围的更多信息。使用–metadata=block project ssh keys=true选项，我只允许特定于实例的ssh密钥，智能工厂解决方案，并阻止来自项目的继承。在我看来，最好的选择是只允许少数专用用户访问这一关键领域。

创建所需的防火墙规则

在创建自定义网络时，您会注意到以下消息：

在创建防火墙规则之前，无法访问此网络上的实例。

因此，我需要这个步骤来显式地允许SSH通信到我的安装主机。它将是我唯一能从外面接触到的主人！

使用此命令，您可以创建一个名为insthost allow ssh的新防火墙规则，配置如下：

它适用于先前创建的网络datahub network（–network datahub network）它只允许来自定义了SOURCE\u IP\u范围的IP地址的传入流量，例如来自您公司的网络内部（–SOURCE RANGES[SOURCE\u IP\u RANGES]）它适用于具有network tag inst host vm（–target tags inst host vm）的实例。在上一步的安装主机创建中，gcloud命令中使用了此标记。它只允许端口22上的TCP通信量（–allow）传输控制协议：22)

除了SSH通信，我还需要打开SAP Host Agent的HTTPS端口，即端口1129。因此，淘客是啥，我又创建了一个名为insthost allow sapha的防火墙规则：

创建一个私有Kubernetes集群

首先定义新集群的常规设置：

单击节点池框中的高级编辑按钮，维护节点池下安全部分的节点池设置：

，需要对存储API进行"读写"授权：

保存节点池的配置更改并继续进行常规群集设置。

展开高级设置并维护以下屏幕截图中的设置：

在网络部分，网站建站平台，我定义了多个与群集相关的群集参数私有集群：