Crea una instancia

En esta página se muestra cómo crear una instancia de Filestore mediante la Google Cloud consola o la CLI de gcloud.

Instrucciones para crear una instancia

Google Cloud consola

Antes de empezar

  • Habilita la API de Filestore. La API de Filestore puede tardar unos minutos en aparecer en la lista Servicio de Cuotas y límites del sistema.

  • La cuota de una instancia zonal o regional empieza en 0. Para usar estas capacidades, primero debes crear y recibir la aprobación de una solicitud de aumento de cuota antes de poder crear una instancia.

  • Si necesitas crear una instancia con un nivel de SSD de empresa o de gran escala, debes ejecutar las operaciones directamente a través de la API de Filestore o mediante gcloud. Estas operaciones de create no se admiten a través de la consola Google Cloud .

    Para obtener más información, consulta Niveles de servicio.

Google Cloud instrucciones

  1. En la Google Cloud consola, ve a la página Instancias de Filestore.

    Ve a la página Instancias de Filestore.

  2. Haz clic en Crear instancia.

  3. Rellene todos los campos obligatorios y los opcionales que necesite según las instrucciones de las siguientes secciones de esta página.

  4. Haz clic en Crear.

gcloud

Antes de empezar

Comando gcloud para crear una instancia de Filestore

Puedes crear una instancia de Filestore ejecutando el comando filestore instances create. La cuota de instancias varía según el proyecto, la región y el nivel. Para obtener más información, consulta Cuotas o Solicitar un aumento de cuota.

gcloud filestore instances create INSTANCE_ID \
    [--project=PROJECT_ID] \
    [--location=LOCATION] \
    [--description=DESCRIPTION] \
    [--performance=PERFORMANCE] \
    --tier=TIER \
    --file-share=name="FILE_SHARE_NAME",capacity=FILE_SHARE_SIZE \
    --network=name="VPC-NETWORK",[connect-mode=CONNECT_MODE],[reserved-ip-range="RESERVED_IP_ADDRESS"] \
    [--labels=KEY=VALUE,[KEY=VALUE,…]] \
    [--kms-key=KMS_KEY] \
    [--deletion-protection] \
    [--deletion-protection-reason="PROTECTION_REASON"]

Haz los cambios siguientes:

  • INSTANCE_ID con el ID de instancia de Filestore que quieras crear. Consulta Asignar un nombre a la instancia.

  • PROJECT_ID por el ID del proyecto Google Cloud que contiene la instancia de Filestore. Puedes omitir esta marca si la instancia de Filestore está en el proyecto gcloudpredeterminado. Para definir el proyecto predeterminado, ejecuta el comando config set project:

      gcloud config set project PROJECT_ID

  • LOCATION por la ubicación en la que quieras que se encuentre la instancia de Filestore. Consulta Seleccionar una ubicación. Puedes omitir esta marca si la instancia de Filestore se encuentra en la ubicación predeterminada gcloud. Para definir la ubicación predeterminada, ejecuta el comando config set filestore/zone:

      gcloud config set filestore/zone zone

    En el nivel regional o empresarial, usa el comando config set filestore/region:

      gcloud config set filestore/region region

  • DESCRIPTION Una descripción de la instancia de Filestore.

  • PERFORMANCE si quiere usar la marca --performance para configurar el rendimiento personalizado, utilice una de las siguientes opciones:

    • max-iops-per-tb especifica una tasa de IOPS por TiB que escala las IOPS de forma lineal con la capacidad de la instancia.
    • max-iops especifica una tasa de IOPS que no escala los IOPS con la capacidad de la instancia.

    El formato es el siguiente:

    --performance=max-iops-per-tb=17000

  • TIER con el nivel de servicio que quieras usar.

  • FILE_SHARE_NAME con el nombre que especifiques para el recurso compartido de archivos NFS que se sirve desde la instancia. Consulta Asignar un nombre al recurso compartido de archivos.

  • FILE_SHARE_SIZE con el tamaño que quieras para el recurso compartido de archivos. Consulta Asignar capacidad.

  • VPC-NETWORK con el nombre de la red de VPC que quieras que use la instancia. Consulta Seleccionar la red de VPC. Si quieres especificar una VPC compartida de un proyecto de servicio, debes indicar el nombre de red completo, que tiene el formato projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME, y debes especificar connect-mode=PRIVATE_SERVICE_ACCESS. Por ejemplo:

    --network=name=projects/host/global/networks/shared-vpc-1,connect-mode=PRIVATE_SERVICE_ACCESS

    No puedes especificar una red antigua para el valor VPC-NETWORK. Si es necesario, crea una red de VPC siguiendo las instrucciones de Crear una red de VPC automática.

  • CONNECT_MODE con DIRECT_PEERING o PRIVATE_SERVICE_ACCESS. Si especificas una VPC compartida como red, también debes especificar PRIVATE_SERVICE_ACCESS como modo de conexión.

  • RESERVED_IP_ADDRESS con el intervalo de direcciones IP de la instancia de Filestore. Si especificas connect-mode=PRIVATE_SERVICE_ACCESS y quieres usar un intervalo de direcciones IP reservado, debes indicar el nombre de un intervalo de direcciones asignado en lugar de un intervalo CIDR. Consulta Configurar una dirección IP reservada. Le recomendamos que omita esta marca para permitir que Filestore busque automáticamente un intervalo de direcciones IP libres y lo asigne a la instancia.

  • KEY con la etiqueta que quieras añadir. No es necesario añadir etiquetas al crear una instancia de Filestore. También puedes añadir, eliminar o actualizar etiquetas después de crear una instancia. Para obtener más información, consulta el artículo Gestionar etiquetas.

  • VALUE con el valor de una etiqueta.

  • KMS_KEY es el nombre completo de la clave de encriptado de Cloud KMS que quieres usar cuando quieras gestionar tu propio encriptado de datos. El formato es el siguiente:

    projects/KMS_PROJECT_ID/locations/REGION/keyRings/KEY_RING/cryptoKeys/KEY

  • PROTECTION_REASON Si elige usar la marca --deletion-protection, puede añadir una nota sobre el ajuste. Para añadir la nota, usa la marca opcional --deletion-protection-reason e incluye una descripción de la justificación del ajuste que has elegido. Por ejemplo, "Todos los datos genómicos deben cumplir las políticas actuales de la organización". Para obtener más información, consulta Protección contra eliminación.

Ejemplo

El siguiente comando crea una instancia con las siguientes características:

  • El ID es render1.
  • El proyecto es myproject.
  • La región es us-central1.
  • El nivel es REGIONAL.
  • El rendimiento usa el parámetro max-iops-per-tb con el valor 17000.
  • El nombre del recurso compartido de archivos es my_vol.
  • El tamaño del recurso compartido de archivos es de 2 TiB.
  • La red de VPC es default.
  • El intervalo de direcciones IP reservado es 10.0.7.0/29.
  • Concede acceso de lectura y escritura con root squashed al cliente con la dirección IP 10.0.2.0.
  • La protección contra la eliminación está habilitada.
  • Se proporciona una justificación para el ajuste de protección frente a la eliminación.
gcloud filestore instances create render1 \
  --project=myproject \
  --region=us-central1 \
  --tier=REGIONAL \
  --performance=max-iops-per-tb=17000 \
  --network=name="default",reserved-ip-range="10.0.7.0/29" \
  --flags-file=nfs-export-options.json \
  --deletion-protection \
  --deletion-protection-reason="All genomics data must adhere to current
  organization policies."

Contenido del archivo nfs-export-options.json:

 {
"--file-share":
  {
    "capacity": "2048",
    "name": "my_vol",
    "nfs-export-options": [
      {
        "access-mode": "READ_WRITE",
        "ip-ranges": [
          "10.0.0.0/29",
          "10.2.0.0/29"
        ],
        "squash-mode": "ROOT_SQUASH",
        "anon_uid": 1003,
        "anon_gid": 1003
      },
      {
        "access-mode": "READ_ONLY",
        "ip-ranges": [
          "192.168.0.0/26"
        ],
        "squash-mode": "NO_ROOT_SQUASH"
      }
    ]
  }
}

API REST

  1. Tener instalada e inicializadala CLI de gcloud, que te permite generar un token de acceso para el encabezado Authorization.

  2. Usa cURL para llamar a la API Filestore:

    curl --request POST \
    'https://file.googleapis.com/v1/projects/PROJECT/locations/LOCATION/instances?instanceId=NAME' \
    --header "Authorization: Bearer $(gcloud auth print-access-token)" \
    --header 'Accept: application/json' \
    --header 'Content-Type: application/json' \
    --data '{
            "tier":"TIER",
            "networks":[
                {
                "network":"NETWORK"
                }
              ],
            "performanceConfig": {"PERFORMANCE"}
            "fileShares":[
              {"capacityGb":CAPACITY,"name":"SHARE_NAME"}
              ],
            "deletionProtectionEnabled": true,
            "deletionProtectionReason": "PROTECTION_REASON"}' \
    --compressed

    Donde:

    • PROJECT es el nombre del proyecto en el que se ubicará tu instancia. Por ejemplo, my-genomics-project.
    • LOCATION es la ubicación en la que se alojará la instancia. Por ejemplo, us-east1 o us-central1-a.
    • NAME es el nombre de la instancia que quieres crear. Por ejemplo, my-genomics-instance.
    • TIER es el nombre del nivel de servicio que quieres usar. Por ejemplo, REGIONAL.

    • PERFORMANCE es la configuración de rendimiento que se usa para especificar ajustes de rendimiento personalizados.

      Solo puedes usar una de las opciones proporcionadas.

      • PerformanceConfig.iopsPerTb.maxIopsPerTb especifica una tasa de IOPS por TiB que escala las IOPS de forma lineal con la capacidad de la instancia.
      • PerformanceConfig.fixedIops.maxIops especifica una tasa de IOPS fija que no escala los IOPS con la capacidad de la instancia.

      El formato es el siguiente:

         "performanceConfig": {
      "iopsPerTb" : {
          "maxIopsPerTb":17000
      }
    }

    • NETWORK es el nombre de la red que quieres usar. Por ejemplo, default.

    • CAPACITY es el tamaño, en GiB, que quieres asignar a la instancia. Por ejemplo, 1024.

    • SHARE_NAME es el nombre del recurso compartido de archivos. Por ejemplo, vol1.

    • PROTECTION_REASON Si elige usar la marca deletionProtectionEnabled, puede añadir una nota sobre el ajuste. Para añadir la nota, usa la marca opcional deletionProtectionReason e incluye una descripción de la justificación del ajuste que has elegido. Por ejemplo, "Todos los datos genómicos deben cumplir las políticas actuales de la organización". Para obtener más información, consulta Protección contra eliminación.

Información sobre las instancias y las acciones

Una instancia de Filestore representa la capacidad de almacenamiento físico.

Un recurso compartido representa una parte asignada de ese almacenamiento con un punto de acceso único e individual.

Todos los niveles de servicio ofrecen opciones de almacenamiento con una proporción de 1:1 entre el almacenamiento compartido y la instancia. Por otro lado, Filestore multishares para GKE, disponible solo para instancias de nivel Enterprise, ofrece acceso a varios recursos compartidos en una sola instancia.

Los administradores usan los nombres o los IDs de las instancias para gestionarlas. Los clientes usan los nombres de los recursos compartidos para conectarse a los recursos compartidos exportados desde esas instancias.

Asigna un nombre a la instancia

El nombre o el ID de tu instancia de Filestore se usan para identificar la instancia y en los comandos gcloud. Los IDs de instancia deben cumplir el elemento <label> de la RFC 1035. En concreto, deben:

  • Tener entre 1 y 63 caracteres.
  • Empieza por una letra minúscula.
  • Estar formado por guiones, letras minúsculas o dígitos.
  • Termina con letras minúsculas o dígitos.

El ID de la instancia debe ser único en el proyecto y la zona en los que se encuentre. Google Cloud Una vez que se crea una instancia, no se puede cambiar su ID.

Configurar nivel de servicio

Selecciona el nivel de servicio que mejor se adapte a tus necesidades. Una vez creada una instancia, no se puede cambiar su nivel de servicio. En la siguiente tabla se resumen las funciones disponibles por nivel de servicio:

Funciones de los niveles de servicio de Filestore
Competencia HDD básico y SSD básico Por zonas Regional Empresa
Capacidad De 1 a 63,9 TiB De 1 TiB a 100 TiB De 1 TiB a 100 TiB De 1 a 10 TiB
Escalabilidad
  • HDD básico (de 1 TiB a 63,9 TiB): solo se puede aumentar en incrementos de 1 GiB
  • SSD básico (de 2,5 TiB a 63,9 TiB): solo se puede aumentar en incrementos de 1 GiB
  • Zonal (de 1 TiB a 9,75 TiB): se amplía o se reduce en incrementos de 256 GiB
  • Zonal (de 10 a 100 TiB): se amplía o se reduce en incrementos de 2,5 TiB.
  • Regional (de 1 TiB a 9,75 TiB): aumenta o disminuye en incrementos de 256 GiB
  • Regional (de 10 a 100 TiB): se amplía o se reduce en incrementos de 2,5 TiB
Aumenta o reduce el tamaño en incrementos de 256 GiB
Rendimiento
  • HDD básico: estático
  • SSD básico: rendimiento a los 10 TiB
 Configurable* Configurable* Se escala de forma lineal con la capacidad
Protocolo NFSv3 NFSv3 y NFSv4.1 NFSv3 y NFSv4.1 NFSv3 y NFSv4.1

* Los niveles de servicio regionales y zonales permiten definir ajustes de rendimiento personalizados. Para obtener más información, consulta Rendimiento personalizado.

Las operaciones Create de instancias zonales, regionales y empresariales pueden tardar entre 15 minutos y una hora en completarse, en función del tamaño de la instancia.

La cuota de Filestore se consume cuando empieza la creación de la instancia, pero no se te cobra por la instancia durante este tiempo.

Para obtener una descripción más detallada de las funciones disponibles en cada nivel de servicio, consulta la sección Niveles de servicio.

Asignar capacidad

Asigna la capacidad que necesites al crear la instancia. Cuando te acerques al límite de capacidad, podrás aumentar la capacidad según sea necesario sin que afecte al tiempo de ejecución. Para saber cómo puedes monitorizar la capacidad de tus instancias, consulta Monitorizar instancias.

En la CLI de gcloud, puedes especificar la capacidad con números enteros mediante GiB o TiB. La unidad predeterminada es GiB.

En la siguiente tabla se muestran los tamaños de instancia disponibles para cada nivel:

Nivel Tamaño mínimo Tamaño máximo Tamaño de paso incremental
HDD básico 1 TiB 63,9 TiB 1 GiB
SSD básico 2,5 TiB 63,9 TiB 1 GiB
Por zonas 1 TiB 9,75 TiB 256 GiB
Por zonas 10 TiB 100 TiB 2,5 TiB
Regional 1 TiB 9,75 TiB 256 GiB
Regional 10 TiB 100 TiB 2,5 TiB
Empresa 1 TiB 10 TiB 256 GiB

El tamaño de las instancias puede ser cualquier valor entero de gibibyte o su equivalente en tebibyte que esté entre el tamaño mínimo y el máximo de la instancia, y que sea divisible por el tamaño del incremento. Por ejemplo, los tamaños válidos para las instancias de nivel zonal con un intervalo de capacidad superior son 10 TiB, 12, 5 TiB y 15 TiB.

Una vez creadas, las instancias de HDD básico y SSD básico solo pueden aumentar de tamaño. El resto de los niveles de servicio pueden aumentar o reducir su capacidad. Para obtener más información, consulta Editar instancias y Escalar la capacidad.

Cuota de capacidad total

A cada proyecto se le asigna una cuota de capacidad independiente, definida por la región y el nivel de servicio. Los límites de cuota varían según el nivel de servicio.

Una vez que haya alcanzado el límite de su cuota, no podrá crear más instancias de Filestore ni aumentar la capacidad de las instancias que ya tenga. Para ver la cuota disponible, ve a la página Cuotas de la consola: Google Cloud

Ir a la página Cuotas

Para obtener información sobre cómo solicitar más cuota, consulta Solicitar aumentos de cuota.

Configurar el rendimiento

El rendimiento de la instancia depende del nivel de servicio que elijas.

Niveles regionales y zonales

  • En los niveles regionales y zonales, puedes definir una relación IOPS por TiB, que permite que las IOPS de las instancias se escalen en función de la capacidad, o un valor de IOPS constante que no se escala en función de la capacidad, pero que se puede ajustar en cualquier momento si cambia la capacidad. Para obtener más información sobre los límites, consulta Límites de rendimiento personalizados. Si no configura el rendimiento personalizado, este se ajustará de forma lineal a la capacidad según una proporción predefinida. Para obtener más información, consulta Rendimiento.

Niveles SSD básico y HDD básico

  • En los niveles de SSD básicos, el número de IOPS es constante y no cambia cuando modificas la configuración de capacidad.
  • En los niveles de HDD básicos, los límites de rendimiento cambian en función de si la capacidad está entre 1 y 10 TiB o entre 10 y 63,9 TiB.

Para obtener más información sobre los límites y ajustes de rendimiento, consulta Rendimiento.

Especificar la relación de IOPS por TiB

Si habilitas el rendimiento personalizado, puedes especificar la proporción en el campo IOPS por TiB, donde el rendimiento se ajusta en función de la capacidad.

Si quieres usar IOPS fijos, desmarca la casilla Escalar el rendimiento con la capacidad.

Supongamos que ha especificado los siguientes valores de rendimiento iniciales:

  • Capacidad: 1 TiB
  • IOPS por TiB: 6000
  • Rendimiento (cuando se selecciona la casilla Escalar el rendimiento con la capacidad): 6000 IOPS

En los siguientes ejemplos se muestra cómo se escala el rendimiento en función de los ajustes modificados:

  • Si aumentas los IOPS por TiB a 7000, el rendimiento se ajustará a 7000 IOPS.
  • Si aumentas la capacidad a 2 TiB,el rendimiento se ajustará a 14.000 IOPS.
  • Si reduces el Rendimiento a 8000 IOPS, el valor de IOPS por TiB se ajustará a 4000.

Especificar un número fijo de IOPS

Si desmarca la casilla Escalar el rendimiento con la capacidad, el campo Rendimiento especifica el número de IOPS que quiere usar. Este número debe estar dentro del intervalo de rendimiento y ser un múltiplo de 1000.

Definir un número fijo de IOPS independientemente de la capacidad permite optimizar el rendimiento. Sin embargo, esta opción impide que el rendimiento se ajuste automáticamente en función de los cambios en la capacidad. Para cambiar la capacidad, es posible que tengas que ajustar el valor de rendimiento y viceversa.

Por ejemplo, ha especificado los siguientes valores:

  • Capacidad: 4 TiB
  • Rendimiento: 40.000 IOPS

En este punto, puedes aumentar el rendimiento hasta 68.000 IOPS, que es el límite de 4 TiB de capacidad. Quieres aumentar el rendimiento a 70.000 IOPS,que supera el intervalo de rendimiento de la capacidad de 4 TiB. Para mantener la compatibilidad, debes aumentar la capacidad a 4,25 TiB o más para que esté dentro del intervalo de rendimiento.

Selecciona una ubicación

La ubicación hace referencia a la región y a la zona en las que se encuentra la instancia de Filestore. Para obtener el mejor rendimiento y evitar cargos por redes entre regiones, asegúrate de que la instancia de Filestore se encuentre en la misma región que las VMs de Compute Engine que necesiten acceder a ella.

Para obtener más información sobre las regiones y las zonas, consulta el artículo sobre geografía y regiones.

Selecciona el protocolo

Selecciona el protocolo que se adapte a tus necesidades. Filestore admite los protocolos NFSv3 y NFSv4.1.

Para obtener instrucciones sobre cómo crear instancias de Filestore con el protocolo NFSv4.1, consulta Configurar el protocolo NFSv4.1.

Selecciona la red de VPC

La red que selecciones para usar con Filestore puede ser una red de VPC estándar o una red de VPC compartida. En ambos casos, la red que elijas debe tener suficientes recursos de IP disponibles para dedicarlos a la instancia de Filestore. De lo contrario, no se podrá crear la instancia debido al agotamiento de las direcciones IP.

Los clientes deben estar en la misma red que la instancia de Filestore para acceder a los archivos almacenados en esa instancia. Una vez que se haya creado una instancia, no se podrá cambiar la red seleccionada.

Red VPC compartida

Para poder crear una instancia en una red de VPC compartida de un proyecto de servicio, el administrador de la red debe habilitar primero el acceso a servicios privados en la red de VPC compartida. Si creas la instancia en el proyecto host, no es necesario el acceso privado a servicios.

Las redes de VPC compartidas se muestran en la consola Google Cloud con el siguiente formato:

projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME

Para ver los procedimientos detallados, consulta Crear una instancia en una red de VPC compartida.

Bloqueo de archivos NFS

Si las aplicaciones que tienes previsto usar con esta instancia de Filestore requieren bloqueo de archivos de NFS y eliges una de las siguientes opciones, puede que tengas que abrir los puertos que usa Filestore en la red que elijas:

  • Una red de VPC que no sea la predeterminada.
  • La red de VPC predeterminada con reglas de cortafuegos modificadas.

Para obtener más información, consulta Configurar reglas de cortafuegos.

Configurar el sistema de archivos compartidos

Un recurso compartido de archivos es el directorio de una instancia de Filestore en el que se almacenan todos los archivos compartidos. También es lo que montas o asignas en la VM cliente.

El nombre del recurso compartido de archivos debe cumplir los siguientes requisitos:

  • Tener entre 1 y 32 caracteres en los niveles zonales, regionales y empresariales, y entre 1 y 16 caracteres en los niveles básicos.
  • Empieza por una letra.
  • Estar formado por letras mayúsculas o minúsculas, números y guiones bajos.
  • Terminar con una letra o un número.

Configurar el control de acceso basado en IP

De forma predeterminada, una instancia de Filestore concede acceso de lectura y escritura a nivel de raíz a todos los clientes, incluidas las máquinas virtuales de Compute Engine y los clústeres de GKE, que comparten el mismo Google Cloud proyecto y la misma red de VPC. Si quieres restringir el acceso, puedes hacerlo creando reglas que concedan niveles de acceso específicos a los clientes en función de su dirección IP. Una vez que se hayan añadido las reglas, se revocará el acceso a todas las direcciones y los intervalos de IP que no se hayan especificado en una regla. Las instancias zonales, regionales y empresariales admiten la configuración de rangos de direcciones IP superpuestos. Para obtener más información, consulta el artículo Permisos superpuestos.

En la siguiente tabla se describen los privilegios de cada nivel de acceso. Estos niveles de acceso solo se usan en la consola Google Cloud . En la CLI de gcloud y en la API, debes especificar las configuraciones de las reglas directamente.

Nivel de acceso Configuración de la regla Descripción
admin
  • Lectura y escritura
  • no-root-squash
 El cliente puede ver y modificar todos los archivos, carpetas y metadatos como usuario raíz. También puede conceder la propiedad de archivos o carpetas configurando sus uid y gid. De esta forma, se concede acceso a los clientes que no tienen acceso de nivel raíz al sistema de archivos compartidos.
admin-viewer
  • Solo lectura
  • no-root-squash
 El cliente puede ver todos los archivos, carpetas y metadatos como usuario raíz, pero no puede modificarlos.
editor
  • Lectura y escritura
  • root-squash
 El cliente puede ver y modificar los archivos, las carpetas y los metadatos según los uid y gid que tenga asignados.
viewer
  • Solo lectura
  • root-squash
 El cliente puede ver los archivos, las carpetas y los metadatos según los uid y gid que tenga asignados.

root-squash asigna todas las solicitudes de uid 0 y gid 0 a anon_uid y anon_gid, respectivamente. Esta configuración elimina el acceso a nivel de raíz de los clientes que intentan acceder al recurso compartido de archivos como usuario raíz.

Al crear reglas de acceso basadas en IP:

  • Debe especificar una dirección o un intervalo de direcciones IP internas y el nivel de acceso concedido.
  • Al menos una regla debe conceder acceso admin en el momento de crear la instancia. Esta regla se puede eliminar una vez que se haya creado la instancia.
  • Las instancias zonales, regionales y de empresa admiten ajustes de configuración para intervalos de direcciones IP superpuestos. No se admiten instancias de nivel básico. Para obtener más información, consulta el artículo Permisos superpuestos.

En la consola Google Cloud , puedes crear hasta cuatro reglas diferentes (admin, admin-viewer, editor y viewer) que incluyan hasta 64 direcciones o intervalos de direcciones IP diferentes.

En la CLI de gcloud, puedes configurar hasta 64 direcciones IP o bloques CIDR diferentes por instancia de Filestore en un máximo de 10 reglas diferentes. Una regla se define como la combinación de las configuraciones de access-mode, squash-mode y anon_uid/anon_gid. Los campos anon_uid y anon_gid tienen el valor predeterminado 65534 y solo se pueden configurar a través de la API y la CLI de gcloud.

Ejemplo

A continuación, se muestran tres ejemplos de reglas de acceso basadas en IP:

  • access-mode=READ_ONLY, squash-mode=ROOT_SQUASH y anon_uid=10000.
  • access-mode=READ_WRITE, squash-mode=ROOT_SQUASH y anon_gid=150.
  • access-mode=READ_WRITE, squash-mode=NO_ROOT_SQUASH.

Para crear reglas de control de acceso basadas en IP con gcloud CLI, usa la marca --flags-file con los comandos instances create o instances update y dirígela a un archivo de configuración JSON. Por ejemplo, si el archivo de configuración JSON se llama nfs-export-options.json, la marca sería la siguiente:

--flags-file=nfs-export-options.json

Ejemplo de archivo de configuración JSON:

   {
  "--file-share":
    {
      "capacity": "2048",
      "name": "my_vol",
      "nfs-export-options": [
        {
          "access-mode": "READ_WRITE",
          "ip-ranges": [
            "10.0.0.0/29",
            "10.2.0.0/29"
          ],
          "squash-mode": "ROOT_SQUASH",
          "anon_uid": 1003,
          "anon_gid": 1003
        },
         {
          "access-mode": "READ_ONLY",
          "ip-ranges": [
            "192.168.0.0/26"
          ],
          "squash-mode": "NO_ROOT_SQUASH"
        }
      ]
    }
}
  • ip-ranges es la dirección IP o el intervalo de direcciones IP al que se va a conceder acceso. Puede especificar varias direcciones o intervalos de direcciones IP separándolos con comas. Solo las instancias zonales, regionales y empresariales admiten ajustes de configuración para intervalos de direcciones IP superpuestos. Para obtener más información, consulta Permisos superpuestos.
  • access-mode es el nivel de acceso que se concederá a los clientes cuya dirección IP esté dentro de ip-range. Puede tener los valores READ_WRITE o READ_ONLY. El valor predeterminado es READ_WRITE.
  • squash-mode puede tener los valores ROOT_SQUASH o NO_ROOT_SQUASH. ROOT_SQUASH elimina el acceso de nivel raíz a los clientes cuya dirección IP se encuentre en ip-range, mientras que NO_ROOT_SQUASH habilita el acceso raíz. El valor predeterminado es NO_ROOT_SQUASH.
  • anon_uid es el valor del ID de usuario que quieres asignar a anon_uid. El valor predeterminado es 65534.
  • anon_gid es el valor del ID de grupo que quiere asignar a anon_gid. El valor predeterminado es 65534.

Clientes en intervalos que no son RFC 1918

Si tienes previsto conectar clientes que no sean RFC 1918 a tu instancia de Filestore, debes concederles acceso explícitamente a la instancia de Filestore mediante el control de acceso basado en IP.

Campos opcionales:

En las siguientes secciones se describen los campos opcionales.

Añadir una descripción de la instancia

Una descripción de la instancia te permite escribir descripciones, notas o instrucciones para ti y otros usuarios. Por ejemplo, puedes incluir información sobre lo siguiente:

  • Los tipos de archivos almacenados en la instancia.
  • Quién tiene acceso a la instancia.
  • Instrucciones sobre cómo acceder a la instancia.
  • Para qué se usa la instancia.

Las descripciones de las instancias tienen un límite de 2048 caracteres. No hay restricciones en cuanto a los caracteres que se pueden usar. Una vez que se haya creado una instancia de Filestore, podrá actualizar su descripción en cualquier momento. Para obtener información sobre cómo actualizar las descripciones de las instancias, consulta Editar instancias.

Añadir etiquetas

Las etiquetas son pares clave-valor que puedes usar para agrupar instancias relacionadas y almacenar metadatos sobre una instancia. Puedes añadir, eliminar o modificar etiquetas en cualquier momento. Para obtener más información, consulta el artículo Gestionar etiquetas.

Configurar un intervalo de direcciones IP reservado

Cada instancia de Filestore debe tener asociado un intervalo de direcciones IP. Se admiten los intervalos de direcciones IP RFC 1918 y los que no son RFC 1918 (GA).

Una vez especificado, el intervalo de direcciones IP de una instancia es inmutable.

Se recomienda a los usuarios que permitan que Filestore determine automáticamente un intervalo de direcciones IP libres y lo asigne a la instancia. Cuando selecciones tu propio intervalo, ten en cuenta los siguientes requisitos de recursos de IP de Filestore:

  • Debe usar la notación CIDR.

  • Debe ser un intervalo de subred de VPC válido.

  • Las instancias básicas requieren un tamaño de bloque de 29. Por ejemplo, 10.123.123.0/29.

  • Las instancias zonales, regionales y empresariales requieren un tamaño de bloque de 26. Por ejemplo, 172.16.123.0/26.

  • El intervalo de direcciones IP no debe solaparse con lo siguiente:

    • Subredes de la red de VPC que usa la instancia de Filestore.

    • Subredes de una red de VPC emparejada con la que usa la instancia de Filestore. Para obtener más información, consulta la sección Subredes superpuestas en el momento del emparejamiento.

    • Intervalos de direcciones IP asignados a cualquier otra instancia de Filestore que ya exista en esa red.

    • El intervalo de direcciones 172.17.0.0/16 está reservado para los componentes internos de Filestore. Por lo tanto, se aplican las siguientes limitaciones:

      • Los clientes de este intervalo no se pueden conectar a instancias de Filestore.

      • No se pueden crear instancias de Filestore en este intervalo de IPs. Para obtener más información, consulta Problemas conocidos.

  • Debe haber al menos una conexión de emparejamiento entre redes VPC o de acceso a servicios privados por VPC.

Para ver los intervalos de direcciones IP de las subredes de tu red, ve a la página de redes de VPC de la Google Cloud consola:

Ir a la página Redes de VPC

Puedes obtener el intervalo de direcciones IP reservadas de cualquier instancia de Filestore en la página de instancias de Filestore de laGoogle Cloud consola:

Ve a la página Instancias de Filestore.

Si quieres usar el acceso a servicios privados y especificar un intervalo de direcciones IP reservado, debes indicar el nombre de un intervalo de direcciones asignado para la conexión. Si no especificas un nombre de intervalo, Filestore usará automáticamente cualquiera de los intervalos asignados asociados a la conexión de acceso a servicios privados.

Usar una clave de encriptado gestionada por el cliente

De forma predeterminada, Google Cloud se encriptan automáticamentelos datos en reposo con claves de encriptado gestionadas por Google. Si necesitas más control sobre las claves que protegen tus datos, puedes usar claves de cifrado gestionadas por el cliente (CMEK) en Filestore. Para obtener más información, consulta el artículo Encriptar datos con claves de cifrado gestionadas por el cliente.

Habilitar protección contra la eliminación

Define el ajuste de protección frente a la eliminación de la instancia. Este ajuste está inhabilitado de forma predeterminada. Para obtener más información, consulta Protección contra eliminación.

Añadir una descripción del ajuste de protección frente a la eliminación

Añade una descripción de la justificación de la configuración de protección contra eliminación que has elegido. Para obtener más información, consulta Protección contra eliminación.

Siguientes pasos