Crie uma instância

Esta página mostra como criar uma instância do Filestore através da consola Google Cloud ou da CLI gcloud.

Instruções para criar uma instância

Google Cloud consola

Antes de começar

  • Ative a API Filestore. A API Filestore pode demorar alguns minutos a aparecer na lista Serviço em Quotas e limites do sistema.

  • A quota para uma instância zonal ou regional começa em 0. Para usar estas capacidades, primeiro, tem de criar e receber aprovação para um pedido de aumento da quota antes de poder criar uma instância.

  • Se precisar de criar uma instância com um nível de SSD empresarial ou de grande escala, tem de executar as operações diretamente através da API Filestore ou usando a gcloud. Estas operações createnão são suportadas através da Google Cloud consola.

    Para mais informações, consulte Níveis de serviço.

Google Cloud instruções

  1. Na Google Cloud consola, aceda à página Instâncias do Filestore.

    Aceda à página Instâncias do Filestore

  2. Clique em Criar instância.

  3. Introduza todos os campos obrigatórios e os campos opcionais, conforme necessário, com base nas instruções nas secções seguintes desta página.

  4. Clique em Criar.

gcloud

Antes de começar

comando gcloud para criar uma instância do Filestore

Pode criar uma instância do Filestore executando o comando filestore instances create. A quota para instâncias varia consoante o projeto, a região e o nível. Para mais informações, consulte Quotas ou Peça um aumento da quota.

gcloud filestore instances create INSTANCE_ID \
    [--project=PROJECT_ID] \
    [--location=LOCATION] \
    [--description=DESCRIPTION] \
    [--performance=PERFORMANCE] \
    --tier=TIER \
    --file-share=name="FILE_SHARE_NAME",capacity=FILE_SHARE_SIZE \
    --network=name="VPC-NETWORK",[connect-mode=CONNECT_MODE],[reserved-ip-range="RESERVED_IP_ADDRESS"] \
    [--labels=KEY=VALUE,[KEY=VALUE,…]] \
    [--kms-key=KMS_KEY] \
    [--deletion-protection] \
    [--deletion-protection-reason="PROTECTION_REASON"]

Substitua o seguinte:

  • INSTANCE_ID com o ID da instância do Filestore que quer criar. Consulte a secção Atribua um nome à instância.

  • PROJECT_ID com o ID do projeto do Google Cloud projeto que contém a instância do Filestore. Pode ignorar esta flag se a instância do Filestore estiver no projeto gcloud predefinido. Pode definir o projeto predefinido executando o comando config set project 

      gcloud config set project PROJECT_ID

  • LOCATION com a localização onde quer que a instância do Filestore resida. Consulte a secção Selecione uma localização. Pode ignorar esta flag se a instância do Filestore estiver na localização predefinida.gcloud Pode definir a localização predefinida executando o comando config set filestore/zone:

      gcloud config set filestore/zone zone

    Para o nível regional ou empresarial, use o comando config set filestore/region:

      gcloud config set filestore/region region

  • DESCRIPTION Uma descrição da instância do Filestore.

  • PERFORMANCE se quiser usar a flag --performance para configurar o desempenho personalizado, use uma das seguintes opções:

    • max-iops-per-tb especifica uma taxa de IOPS por TiB que dimensiona as IOPS linearmente com a capacidade da instância.
    • max-iops especifica uma taxa de IOPS que não escala as IOPS com a capacidade da instância.

    O formato é o seguinte:

    --performance=max-iops-per-tb=17000

  • TIER com o nível de serviço que quer usar.

  • FILE_SHARE_NAME com o nome que especificar para a partilha de ficheiros NFS que é servida a partir da instância. Consulte o artigo Atribua um nome à partilha de ficheiros.

  • FILE_SHARE_SIZE com o tamanho pretendido para a partilha de ficheiros. Consulte o artigo Atribua capacidade.

  • VPC-NETWORK com o nome da rede VPC que quer que a instância use. Consulte a secção Selecione a rede de VPC. Se quiser especificar uma VPC partilhada a partir de um projeto de serviço, tem de especificar o nome da rede totalmente qualificado, que está no formato projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME e tem de especificar connect-mode=PRIVATE_SERVICE_ACCESS. Por exemplo:

    --network=name=projects/host/global/networks/shared-vpc-1,connect-mode=PRIVATE_SERVICE_ACCESS

    Não pode especificar uma rede antiga para o valor VPC-NETWORK. Se necessário, crie uma nova rede VPC para usar seguindo as instruções em Criar uma nova rede VPC no modo automático.

  • CONNECT_MODE com DIRECT_PEERING ou PRIVATE_SERVICE_ACCESS. Se estiver a especificar uma VPC partilhada como a rede, também tem de especificar PRIVATE_SERVICE_ACCESS como o modo de ligação.

  • RESERVED_IP_ADDRESS com o intervalo de endereços IP da instância do Filestore. Se estiver a especificar connect-mode=PRIVATE_SERVICE_ACCESSe quiser usar um intervalo de endereços IP reservado, tem de especificar o nome de um intervalo de endereços atribuído em vez de um intervalo CIDR. Consulte o artigo Configurar um endereço IP reservado. Recomendamos que ignore esta flag para permitir que o Filestore encontre automaticamente um intervalo de endereços IP livre e o atribua à instância.

  • KEY com uma etiqueta que quer adicionar. Não é necessário adicionar etiquetas quando cria uma instância do Filestore. Também pode adicionar, eliminar ou atualizar etiquetas depois de criar uma instância. Para ver detalhes, consulte o artigo Gerir etiquetas.

  • VALUE com o valor de uma etiqueta.

  • KMS_KEY é o nome totalmente qualificado da chave de encriptação do Cloud KMS que quer usar quando quiser gerir a sua própria encriptação de dados. O formato tem o seguinte aspeto:

    projects/KMS_PROJECT_ID/locations/REGION/keyRings/KEY_RING/cryptoKeys/KEY

  • PROTECTION_REASON se optar por usar a sinalização --deletion-protection, tem a opção de adicionar uma nota relativa à definição. Para adicionar a nota, use a flag --deletion-protection-reason opcional e inclua uma descrição da justificação para a definição que escolheu. Por exemplo, "Todos os dados genómicos têm de cumprir as políticas atuais da organização." Para mais informações, consulte o artigo Proteção contra eliminação.

Exemplo

O comando seguinte cria uma instância com as seguintes caraterísticas:

  • O ID é render1.
  • O projeto é myproject.
  • A região é us-central1.
  • O nível é REGIONAL.
  • O desempenho usa o parâmetro max-iops-per-tb com o valor 17000.
  • O nome da partilha de ficheiros é my_vol.
  • O tamanho da partilha de ficheiros é de 2 TiB.
  • A rede de VPC é default.
  • O intervalo de endereços IP reservados é 10.0.7.0/29.
  • Concede acesso de leitura e escrita com raiz comprimida ao cliente com o endereço IP 10.0.2.0.
  • A proteção contra eliminação está ativada.
  • É fornecida uma justificação para a definição de proteção contra eliminação.
gcloud filestore instances create render1 \
  --project=myproject \
  --region=us-central1 \
  --tier=REGIONAL \
  --performance=max-iops-per-tb=17000 \
  --network=name="default",reserved-ip-range="10.0.7.0/29" \
  --flags-file=nfs-export-options.json \
  --deletion-protection \
  --deletion-protection-reason="All genomics data must adhere to current
  organization policies."

Conteúdo do ficheiro nfs-export-options.json:

 {
"--file-share":
  {
    "capacity": "2048",
    "name": "my_vol",
    "nfs-export-options": [
      {
        "access-mode": "READ_WRITE",
        "ip-ranges": [
          "10.0.0.0/29",
          "10.2.0.0/29"
        ],
        "squash-mode": "ROOT_SQUASH",
        "anon_uid": 1003,
        "anon_gid": 1003
      },
      {
        "access-mode": "READ_ONLY",
        "ip-ranges": [
          "192.168.0.0/26"
        ],
        "squash-mode": "NO_ROOT_SQUASH"
      }
    ]
  }
}

API REST

  1. Ter a CLI gcloud instalada e inicializada, o que lhe permite gerar um token de acesso para o cabeçalho Authorization.

  2. Use cURL para chamar a API Filestore:

    curl --request POST \
    'https://file.googleapis.com/v1/projects/PROJECT/locations/LOCATION/instances?instanceId=NAME' \
    --header "Authorization: Bearer $(gcloud auth print-access-token)" \
    --header 'Accept: application/json' \
    --header 'Content-Type: application/json' \
    --data '{
            "tier":"TIER",
            "networks":[
                {
                "network":"NETWORK"
                }
              ],
            "performanceConfig": {"PERFORMANCE"}
            "fileShares":[
              {"capacityGb":CAPACITY,"name":"SHARE_NAME"}
              ],
            "deletionProtectionEnabled": true,
            "deletionProtectionReason": "PROTECTION_REASON"}' \
    --compressed

    Onde:

    • PROJECT é o nome do projeto onde a sua instância vai residir. Por exemplo, my-genomics-project.
    • LOCATION é a localização onde a instância vai residir. Por exemplo, us-east1 ou us-central1-a.
    • NAME é o nome da instância que quer criar. Por exemplo, my-genomics-instance.
    • TIER é o nome do nível de serviço que quer usar. Por exemplo, REGIONAL.

    • PERFORMANCE é a configuração de desempenho usada para especificar definições de desempenho personalizadas.

      Só pode usar uma das opções apresentadas.

      • PerformanceConfig.iopsPerTb.maxIopsPerTb especifica uma taxa de IOPS por TiB que dimensiona as IOPS linearmente com a capacidade da instância.
      • PerformanceConfig.fixedIops.maxIops especifica uma taxa de IOPS fixa que não dimensiona as IOPS com a capacidade da instância.

      O formato é o seguinte:

         "performanceConfig": {
      "iopsPerTb" : {
          "maxIopsPerTb":17000
      }
    }

    • NETWORK é o nome da rede que quer usar. Por exemplo, default.

    • CAPACITY é o tamanho, em GiB, que quer atribuir à instância. Por exemplo, 1024.

    • SHARE_NAME é o nome da partilha de ficheiros. Por exemplo, vol1.

    • PROTECTION_REASON se optar por usar a sinalização deletionProtectionEnabled, tem a opção de adicionar uma nota relativa à definição. Para adicionar a nota, use a flag deletionProtectionReason opcional e inclua uma descrição da justificação para a definição que escolheu. Por exemplo, "Todos os dados genómicos têm de cumprir as políticas atuais da organização." Para mais informações, consulte o artigo Proteção contra eliminação.

Compreenda as instâncias e as partilhas

Uma instância do Filestore representa a capacidade de armazenamento físico.

Uma partilha representa uma parte atribuída desse armazenamento a um indivíduo, com um ponto de acesso único.

Todos os níveis de serviço oferecem opções de armazenamento com uma relação de partilha para instância de 1:1. Em alternativa, as partilhas múltiplas do Filestore para o GKE, disponíveis apenas para instâncias de nível empresarial, oferecem acesso a várias partilhas numa única instância.

Os nomes de instâncias ou os IDs de instâncias são usados pelos administradores para gerir instâncias. Os nomes das partilhas de ficheiros são usados pelos clientes para estabelecer ligação às partilhas exportadas dessas instâncias.

Atribua um nome à instância

O nome da sua instância do Filestore ou o ID da instância é usado para identificar a instância e é usado em comandos gcloud. Os IDs das instâncias têm de estar em conformidade com o elemento <label> da RFC 1035. Especificamente, têm de:

  • Ter entre 1 e 63 carateres.
  • Começar com uma letra minúscula.
  • Ser composto por travessões, letras minúsculas ou dígitos.
  • Terminar com letras minúsculas ou dígitos.

O ID da instância tem de ser exclusivo no projeto e na zona onde está localizado. Google Cloud Depois de criar uma instância, não é possível alterar o respetivo ID.

Configure o nível de serviço

Selecione o nível de serviço que melhor se adapta às suas necessidades. Depois de criar uma instância, não é possível alterar o respetivo nível de serviço. A tabela seguinte resume as capacidades disponíveis por nível de serviço:

Capacidades dos níveis de serviço do Filestore
Capacidade HDD básico e SSD básico Zonal Regional Enterprise
Capacidade 1 TiB a 63,9 TiB 1 TiB a 100 TiB 1 TiB a 100 TiB 1 TiB a 10 TiB
Escalabilidade
  • HDD básico (1 TiB a 63,9 TiB): só é possível aumentar em incrementos de 1 GiB
  • SSD básico (2,5 TiB a 63,9 TiB): apenas é possível aumentar a capacidade em incrementos de 1 GiB
  • Zonal (1 TiB a 9,75 TiB): aumenta ou diminui em incrementos de 256 GiB
  • Zonal (10 TiB a 100 TiB): aumenta ou diminui em incrementos de 2,5 TiB
  • Regional (1 TiB a 9,75 TiB): aumenta ou diminui em incrementos de 256 GiB
  • Regional (10 TiB a 100 TiB): aumenta ou diminui em incrementos de 2,5 TiB
Aumenta ou diminui em incrementos de 256 GiB
Desempenho
  • HDD básico: estático
  • SSD básico: passo de desempenho a 10 TiB
 Configurável* Configurável* Escala linearmente com a capacidade
Protocolo NFSv3 NFSv3, NFSv4.1 NFSv3, NFSv4.1 NFSv3, NFSv4.1

* Os níveis de serviço regionais e zonais permitem definir definições de desempenho personalizadas. Para ver detalhes, consulte a secção desempenho personalizado.

As operações Create para instâncias zonais, regionais e empresariais podem demorar entre 15 minutos e 1 hora a serem concluídas, consoante o tamanho da instância.

A quota do Filestore é consumida quando a criação da instância começa, mas não lhe é faturada a instância durante este período.

Para uma descrição mais detalhada das capacidades disponíveis por nível de serviço, consulte o artigo Níveis de serviço.

Atribua capacidade

Atribua capacidade ao valor de que precisa quando cria a instância. À medida que se aproxima do limite de capacidade, pode aumentar a capacidade conforme necessário sem afetar o tempo de execução. Para saber como pode monitorizar a capacidade das suas instâncias, consulte o artigo Monitorizar instâncias.

Na CLI gcloud, pode especificar a capacidade em números inteiros usando GiB ou TiB. A unidade predefinida é GiB.

A tabela seguinte mostra os tamanhos de instâncias disponíveis para cada nível:

Nível Tamanho mínimo Tamanho máximo Tamanho do passo incremental
HDD básico 1 TiB 63,9 TiB 1 GiB
SSD básico 2,5 TiB 63,9 TiB 1 GiB
Zonal 1 TiB 9,75 TiB 256 GiB
Zonal 10 TiB 100 TiB 2,5 TiB
Regional 1 TiB 9,75 TiB 256 GiB
Regional 10 TiB 100 TiB 2,5 TiB
Enterprise 1 TiB 10 TiB 256 GiB

O tamanho das instâncias pode ser qualquer valor inteiro em gibibytes ou o respetivo equivalente em tebibytes que esteja entre o tamanho mínimo e máximo da instância e seja divisível pelo respetivo tamanho de passo incremental. Por exemplo, os tamanhos válidos para instâncias de nível zonal com um intervalo de capacidade superior incluem 10 TiB, 12, 5 TiB e 15 TiB.

Depois de criadas, as instâncias de HDD básico e SSD básico só podem aumentar de tamanho. Todos os outros níveis de serviço podem aumentar ou diminuir a capacidade. Para mais informações, consulte os artigos Edite instâncias e Aumente a capacidade.

Quota de capacidade total

Cada projeto tem uma quota de capacidade separada, definida pela região e pelo nível de serviço. Os limites de quota variam consoante o nível de serviço.

Quando atingir o limite da quota, não poderá criar mais instâncias do Filestore nem aumentar a capacidade das instâncias existentes. Para ver a sua quota disponível, aceda à página Quotas na Google Cloud consola:

Aceda à página Quotas

Para informações sobre como pedir mais quota, consulte o artigo Pedir aumentos da quota.

Configure o desempenho

O desempenho da instância depende do nível de serviço que escolher.

Níveis regionais e zonais

  • Para os níveis regionais e zonais, pode definir uma taxa de IOPS por TiB que permite que as IOPS da instância sejam dimensionadas com a capacidade, ou um valor de IOPS constante que não é dimensionado com a capacidade, mas que pode ser ajustado em qualquer altura se a capacidade mudar. Para ver detalhes sobre os limites, consulte os limites de desempenho personalizados. Se não configurar o desempenho personalizado, o desempenho é dimensionado linearmente com a capacidade de acordo com uma proporção predefinida. Para obter detalhes, consulte a secção sobre o desempenho.

Níveis de SSD básico e HDD básico

  • Para os níveis de SSD básicos, o número de IOPS é constante e não se altera quando altera as definições de capacidade.
  • Para os níveis de HDD básicos, os limites de desempenho variam consoante a capacidade se enquadre no intervalo de 1 TiB a 10 TiB ou de 10 TiB a 63,9 TiB.

Para mais informações sobre os limites e as definições de desempenho, consulte a secção desempenho.

Especifique a taxa de IOPS por TiB

A ativação do desempenho personalizado permite-lhe especificar a proporção no campo IOPS por TiB, em que o desempenho é dimensionado com base na capacidade.

Se quiser usar IOPS fixos, desmarque a caixa de verificação Aumentar o desempenho com a capacidade.

Supondo que especificou os seguintes valores de desempenho iniciais:

  • Capacidade: 1 TiB
  • IOPS por TiB: 6000
  • Desempenho (quando a caixa de verificação Aumentar o desempenho com capacidade está selecionada): 6000 IOPS

Os exemplos seguintes mostram como o desempenho é dimensionado com base nas definições alteradas:

  • Aumentar os IOPS por TiB para 7000 ajusta o desempenho para 7000 IOPS.
  • Aumentar a capacidade para 2 TiB ajusta o desempenho para 14 000 IOPS.
  • Diminuir o desempenho para 8000 IOPS ajusta os IOPS por TiB para 4000.

Especifique um número fixo de IOPS

Se desmarcar a caixa de verificação Aumentar o desempenho com capacidade, o campo Desempenho especifica o número de IOPS que quer usar. Este número tem de estar dentro do intervalo de desempenho e ser um múltiplo de 1000.

A definição de um número fixo de IOPS independentemente da capacidade permite o ajuste do desempenho. No entanto, esta opção impede o dimensionamento automático do desempenho com as alterações de capacidade. A alteração da capacidade pode exigir o ajuste do valor de desempenho e vice-versa.

Por exemplo, especificou os seguintes valores:

  • Capacidade: 4 TiB
  • Desempenho 40 000 IOPS

Neste ponto, pode aumentar o desempenho até 68 000 IOPS, que é o limite para 4 TiB de capacidade. Quer aumentar o desempenho para 70 000 IOPS,o que está além do intervalo de desempenho para a capacidade de 4 TiB. Para manter a compatibilidade, tem de aumentar a capacidade para 4,25 TiB ou superior para se enquadrar no intervalo de desempenho.

Selecionar uma localização

A localização refere-se à região e à zona onde a instância do Filestore está localizada. Para o melhor desempenho e para evitar cobranças de rede entre regiões, certifique-se de que a instância do Filestore está localizada na mesma região que as VMs do Compute Engine que precisam de aceder à mesma.

Para mais informações sobre regiões e zonas, consulte o artigo Geografia e regiões.

Selecione o protocolo

Selecione o protocolo que se adequa às suas necessidades. O Filestore suporta os protocolos NFSv3 e NFSv4.1.

Para ver instruções sobre como criar instâncias do Filestore com o protocolo NFSv4.1, consulte o artigo Configure o protocolo NFSv4.1.

Selecione a rede de VPC

A rede que selecionar para usar com o Filestore pode ser uma rede de VPC padrão ou uma rede de VPC partilhada. Em ambos os casos, a rede que escolher tem de ter recursos de IP disponíveis suficientes para dedicar à instância do Filestore. Caso contrário, a instância não é criada devido ao esgotamento de endereços IP.

Os clientes têm de estar na mesma rede que a instância do Filestore para aceder aos ficheiros armazenados nessa instância. Depois de criar uma instância, não é possível alterar esta seleção de rede.

Rede de VPC partilhada

Antes de poder criar uma instância numa rede VPC partilhada num projeto de serviço, o administrador da rede tem de ativar primeiro o acesso privado aos serviços para a rede VPC partilhada. Se estiver a criar a instância no projeto anfitrião, o acesso privado aos serviços não é necessário.

As redes VPC partilhadas são apresentadas na Google Cloud consola no formato:

projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME

Para ver procedimentos detalhados, consulte o artigo Criar uma instância numa rede de VPC partilhada.

Bloqueio de ficheiros NFS

Se as aplicações que planeia usar com esta instância do Filestore requerem bloqueio de ficheiros NFS e escolher uma das seguintes opções, pode ter de abrir as portas usadas pelo Filestore na rede que escolher:

  • Uma rede VPC diferente da rede predefinida.
  • A rede VPC predefinida com regras de firewall alteradas.

Para mais informações, consulte o artigo Configurar regras de firewall.

Configure a partilha de ficheiros

Uma partilha de ficheiros é o diretório numa instância do Filestore onde todos os ficheiros partilhados são armazenados. Também é o que monta ou mapeia na VM do cliente.

O nome da partilha de ficheiros tem de estar em conformidade com o seguinte:

  • Ter entre 1 e 32 carateres para os níveis zonais, regionais e empresariais, e entre 1 e 16 carateres para os níveis básicos.
  • Começar com uma letra.
  • Ser constituído por letras maiúsculas ou minúsculas, números e sublinhados.
  • Terminar com uma letra ou um número.

Configure o controlo de acesso baseado em IP

Por predefinição, uma instância do Filestore concede acesso de leitura e escrita ao nível da raiz a todos os clientes, incluindo VMs do Compute Engine e clusters do GKE, que partilham o mesmo Google Cloud projeto e rede da VPC. Se quiser restringir o acesso, pode fazê-lo criando regras que concedam níveis de acesso específicos aos clientes com base no respetivo endereço IP. Depois de adicionar as regras, o acesso de todos os endereços e intervalos de IP que não estejam especificados numa regra é revogado. As instâncias zonais, regionais e empresariais suportam definições de configuração para intervalos de endereços IP sobrepostos. Para mais informações, consulte o artigo Autorizações sobrepostas.

A tabela seguinte descreve os privilégios de cada nível de acesso. Estes níveis de acesso só são usados na Google Cloud consola. Na CLI gcloud e na API, tem de especificar as configurações das regras diretamente.

Nível de acesso Configuração da regra Descrição
admin
  • leitura/escrita
  • no-root-squash
 O cliente pode ver e modificar todos os ficheiros, pastas e metadados como utilizador raiz. Também pode conceder a propriedade a ficheiros ou pastas definindo o respetivo uid e gid e, ao fazê-lo, conceder acesso a clientes que não têm acesso ao nível de raiz à partilha de ficheiros.
admin-viewer
  • só de leitura
  • no-root-squash
 O cliente pode ver todos os ficheiros, pastas e metadados como utilizador raiz, mas não os pode modificar.
editor
  • leitura/escrita
  • root-squash
 O cliente pode ver e modificar os ficheiros, as pastas e os metadados de acordo com os respetivos uid e gid atribuídos.
viewer
  • só de leitura
  • root-squash
 O cliente pode ver os ficheiros, as pastas e os metadados de acordo com o respetivo uid e gid atribuídos.

root-squash mapeia todos os pedidos de uid 0 e gid 0 para anon_uid e anon_gid, respetivamente. Esta configuração remove o acesso ao nível da raiz dos clientes que tentam aceder à partilha de ficheiros como utilizador root.

Ao criar regras de acesso baseadas em IP:

  • Tem de especificar um endereço IP ou um intervalo IP interno e o nível de acesso concedido.
  • Pelo menos, uma regra tem de conceder acesso admin no momento da criação da instância. Esta regra pode ser removida assim que a instância for criada.
  • As instâncias zonais, regionais e empresariais suportam definições de configuração para intervalos de endereços IP sobrepostos. As instâncias de nível básico não são suportadas. Para mais informações, consulte o artigo Autorizações sobrepostas.

Na Google Cloud consola, pode criar até 4 regras diferentes (admin, admin-viewer, editor, viewer) que envolvam até 64 endereços IP ou intervalos diferentes.

Na CLI gcloud, pode configurar até 64 endereços IP diferentes ou blocos CIDR por instância do Filestore num máximo de 10 regras diferentes. Uma regra é definida como a combinação das configurações de access-mode, squash-mode e anon_uid/anon_gid. Os campos anon_uid e anon_gid têm valores predefinidos de 65534 e só podem ser configurados através da API e da CLI gcloud.

Exemplo

Segue-se um exemplo de três regras de acesso diferentes baseadas em IP:

  • access-mode=READ_ONLY, squash-mode=ROOT_SQUASH, anon_uid=10000.
  • access-mode=READ_WRITE, squash-mode=ROOT_SQUASH, anon_gid=150.
  • access-mode=READ_WRITE, squash-mode=NO_ROOT_SQUASH.

Para criar regras de controlo de acesso baseadas em IP através da CLI gcloud, use a flag --flags-file com os comandos instances create ou instances update e direcione-a para um ficheiro de configuração JSON. Por exemplo, se o ficheiro de configuração JSON se chamar nfs-export-options.json, a flag seria:

--flags-file=nfs-export-options.json

Exemplo de ficheiro de configuração JSON:

   {
  "--file-share":
    {
      "capacity": "2048",
      "name": "my_vol",
      "nfs-export-options": [
        {
          "access-mode": "READ_WRITE",
          "ip-ranges": [
            "10.0.0.0/29",
            "10.2.0.0/29"
          ],
          "squash-mode": "ROOT_SQUASH",
          "anon_uid": 1003,
          "anon_gid": 1003
        },
         {
          "access-mode": "READ_ONLY",
          "ip-ranges": [
            "192.168.0.0/26"
          ],
          "squash-mode": "NO_ROOT_SQUASH"
        }
      ]
    }
}
  • ip-ranges é o endereço IP ou o intervalo ao qual conceder acesso. Pode especificar vários endereços IP ou intervalos separando-os com uma vírgula. Apenas as instâncias zonais, regionais e empresariais suportam definições de configuração para intervalos de endereços IP sobrepostos. Para mais informações, consulte o artigo Autorizações sobrepostas.
  • access-mode é o nível de acesso a conceder aos clientes cujo endereço IP se enquadra no intervalo ip-range. Pode ter os valores READ_WRITE ou READ_ONLY. O valor predefinido é READ_WRITE.
  • squash-mode pode ter os valores ROOT_SQUASH ou NO_ROOT_SQUASH. ROOT_SQUASH remove o acesso ao nível da raiz dos clientes cujo endereço IP se enquadra no intervalo ip-range, enquanto NO_ROOT_SQUASH ativa o acesso à raiz. O valor predefinido é NO_ROOT_SQUASH.
  • anon_uid é o valor do ID do utilizador que quer mapear para anon_uid. O valor predefinido é 65534.
  • anon_gid é o valor do ID do grupo que quer mapear para anon_gid. O valor predefinido é 65534.

Clientes em intervalos não RFC 1918

Se planear ligar clientes que não sejam RFC 1918 à sua instância do Filestore, tem de lhes conceder explicitamente acesso à instância do Filestore através do controlo de acesso baseado em IP.

Campos opcionais

As secções seguintes descrevem os campos opcionais.

Adicione uma descrição da instância

Uma descrição da instância permite-lhe escrever descrições, notas ou instruções para si e outros utilizadores. Por exemplo, pode incluir informações sobre:

  • Os tipos de ficheiros armazenados na instância.
  • Quem tem acesso à instância.
  • Instruções sobre como obter acesso à instância.
  • Para que é usada a instância.

As descrições das instâncias estão limitadas a 2048 carateres. Não existem restrições quanto aos carateres permitidos. Depois de criar uma instância do Filestore, pode atualizar a respetiva descrição em qualquer altura, conforme necessário. Para obter informações sobre como atualizar as descrições das instâncias, consulte o artigo Editar instâncias.

Adicionar etiquetas

As etiquetas são pares de chave-valor que pode usar para agrupar instâncias relacionadas e armazenar metadados sobre uma instância. Pode adicionar, eliminar ou modificar etiquetas em qualquer altura. Para mais informações, consulte o artigo Gerir etiquetas.

Configure um intervalo de endereços IP reservados

Cada instância do Filestore tem de ter um intervalo de endereços IP associado. São suportados os intervalos de endereços IP RFC 1918 e não RFC 1918 (GA).

Depois de especificado, o intervalo de endereços IP de uma instância é imutável.

Recomendamos que os utilizadores permitam que o Filestore determine automaticamente um intervalo de endereços IP livre e o atribua à instância. Quando selecionar o seu próprio intervalo, considere os seguintes requisitos de recursos de IP do Filestore:

  • Tem de usar a notação CIDR.

  • Tem de ser um intervalo de sub-redes de VPC válido.

  • As instâncias básicas requerem um tamanho de bloco de 29. Por exemplo, 10.123.123.0/29.

  • As instâncias zonais, regionais e empresariais requerem um tamanho de bloco de 26. Por exemplo, 172.16.123.0/26.

  • O intervalo de endereços IP não se pode sobrepor ao seguinte:

    • Sub-redes existentes na rede VPC que a instância do Filestore usa.

    • Sub-redes existentes numa rede VPC com peering com a rede que a instância do Filestore usa. Para ver detalhes, consulte o artigo Sub-redes sobrepostas no momento da interligação.

    • Intervalos de endereços IP atribuídos a quaisquer outras instâncias do Filestore existentes nessa rede.

    • O intervalo de endereços 172.17.0.0/16 está reservado para componentes internos do Filestore. Como tal, aplicam-se as seguintes limitações:

      • Não é possível ligar clientes neste intervalo a instâncias do Filestore.

      • Não é possível criar instâncias do Filestore neste intervalo de IPs. Para mais informações, consulte o artigo Problemas conhecidos.

  • Tem de existir, pelo menos, um intercâmbio da rede da VPC ou ligações de acesso privado aos serviços por VPC.

Pode ver os intervalos de endereços IP das sub-redes da sua rede acedendo à página de redes VPC na Google Cloud consola:

Aceda à página Redes de VPC

Pode obter o intervalo de endereços IP reservados para qualquer instância do Filestore na página de instâncias do Filestore naGoogle Cloud consola:

Aceda à página de instâncias do Filestore

Se quiser usar o acesso a serviços privados e especificar um intervalo de endereços IP reservado, tem de especificar o nome de um intervalo de endereços atribuído para a ligação. Se não especificar um nome de intervalo, o Filestore usa automaticamente qualquer um dos intervalos alocados associados à ligação de acesso a serviços privados.

Use uma chave de encriptação gerida pelo cliente

Por predefinição, o Google Cloud Platform Google Cloud encripta automaticamente os dados quando estão em repouso, usando chaves de encriptação geridas pela Google. Se precisar de mais controlo sobre as chaves que protegem os seus dados, pode usar chaves de encriptação geridas pelo cliente (CMEK) para o Filestore. Para mais detalhes, consulte o artigo Encriptar dados com chaves de encriptação geridas pelo cliente.

Ative a proteção contra eliminação

Defina a definição de proteção contra eliminação da instância. Por predefinição, esta definição está desativada. Para mais informações, consulte o artigo Proteção contra eliminação.

Adicione uma descrição da definição de proteção contra eliminação

Adicione uma descrição da justificação da definição de proteção contra eliminação que escolheu. Para mais informações, consulte o artigo Proteção contra eliminação.

O que se segue?