Crea un'istanza

Questa pagina mostra come creare un'istanza Filestore utilizzando la console Google Cloud o gcloud CLI.

Istruzioni per creare un'istanza

Console Google Cloud

Prima di iniziare

  • Abilita l'API Filestore. Potrebbero essere necessari alcuni minuti prima che l'API Filestore venga visualizzata nell'elenco Servizio in Quote e limiti di sistema.

  • La quota per un'istanza regionale o zonale inizia da 0. Per utilizzare queste capacità, devi prima creare e ricevere l'approvazione per una richiesta di aumento della quota prima di poter creare un'istanza.

  • Se devi creare un'istanza utilizzando un livello SSD enterprise o ad alta scalabilità, devi eseguire le operazioni direttamente tramite l'API Filestore o utilizzando gcloud. Queste operazioni create non sono supportate tramite la console Google Cloud .

    Per ulteriori informazioni, consulta Livelli di servizio.

Google Cloud istruzioni

  1. Nella console Google Cloud , vai alla pagina Istanze di Filestore.

    Vai alla pagina Istanze di Filestore

  2. Fai clic su Crea istanza.

  3. Compila tutti i campi obbligatori e facoltativi in base alle istruzioni nelle sezioni seguenti di questa pagina.

  4. Fai clic su Crea.

gcloud

Prima di iniziare

Comando gcloud per creare un'istanza di Filestore

Puoi creare un'istanza Filestore eseguendo il comando filestore instances create. La quota per le istanze varia in base a progetto, regione e livello. Per ulteriori informazioni, consulta Quote o Richiedere un aumento della quota.

gcloud filestore instances create INSTANCE_ID \
    [--project=PROJECT_ID] \
    [--location=LOCATION] \
    [--description=DESCRIPTION] \
    [--performance=PERFORMANCE] \
    --tier=TIER \
    --file-share=name="FILE_SHARE_NAME",capacity=FILE_SHARE_SIZE \
    --network=name="VPC-NETWORK",[connect-mode=CONNECT_MODE],[reserved-ip-range="RESERVED_IP_ADDRESS"] \
    [--labels=KEY=VALUE,[KEY=VALUE,…]] \
    [--kms-key=KMS_KEY] \
    [--deletion-protection] \
    [--deletion-protection-reason="PROTECTION_REASON"]

Sostituisci quanto segue:

  • INSTANCE_ID con l'ID istanza dell'istanza Filestore che vuoi creare. Consulta Assegnare un nome all'istanza.

  • PROJECT_ID con l'ID progetto del progetto Google Cloud che contiene l'istanza Filestore. Puoi ignorare questo flag se l'istanza Filestore si trova nel progetto predefinito gcloud. Puoi impostare il progetto predefinito eseguendo il comando config set project:

      gcloud config set project PROJECT_ID

  • LOCATION con la località in cui vuoi che si trovi l'istanza Filestore. Consulta Selezionare una posizione. Puoi ignorare questo flag se l'istanza Filestore si trova nella posizione predefinita di gcloud. Puoi impostare la posizione predefinita eseguendo il comando config set filestore/zone:

      gcloud config set filestore/zone zone

    Per il livello regionale o aziendale, utilizza il comando config set filestore/region:

      gcloud config set filestore/region region

  • DESCRIPTION Una descrizione dell'istanza Filestore.

  • PERFORMANCE se vuoi utilizzare il flag --performance per configurare le prestazioni personalizzate, utilizza una delle seguenti opzioni:

    • max-iops-per-tb specifica una velocità di IOPS per TiB che scala le IOPS in modo lineare con la capacità dell'istanza.
    • max-iops specifica una frequenza di IOPS che non scala le IOPS con la capacità dell'istanza.

    Il formato è il seguente:

    --performance=max-iops-per-tb=17000

  • TIER con il livello di servizio che vuoi utilizzare.

  • FILE_SHARE_NAME con il nome specificato per la condivisione di file NFS servita dall'istanza. Consulta Assegnare un nome alla condivisione file.

  • FILE_SHARE_SIZE con le dimensioni che vuoi per la condivisione del file. Vedi Allocare capacità.

  • VPC-NETWORK con il nome della rete VPC che vuoi che l'istanza utilizzi. Vedi Seleziona la rete VPC. Se vuoi specificare un VPC condiviso da un progetto di servizio, devi specificare il nome completo della rete, che è nel formato projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME e devi specificare connect-mode=PRIVATE_SERVICE_ACCESS. Ad esempio:

    --network=name=projects/host/global/networks/shared-vpc-1,connect-mode=PRIVATE_SERVICE_ACCESS

    Non puoi specificare una rete legacy per il valore VPC-NETWORK. Se necessario, crea una nuova rete VPC da utilizzare seguendo le istruzioni riportate in Creazione di una nuova rete VPC in modalità automatica.

  • CONNECT_MODE con DIRECT_PEERING o PRIVATE_SERVICE_ACCESS. Se specifichi un VPC condiviso come rete, devi specificare anche PRIVATE_SERVICE_ACCESS come modalità di connessione.

  • RESERVED_IP_ADDRESS con l'intervallo di indirizzi IP per l'istanza Filestore. Se stai specificando connect-mode=PRIVATE_SERVICE_ACCESS e vuoi utilizzare un intervallo di indirizzi IP riservato, devi specificare il nome di un intervallo di indirizzi allocato anziché un intervallo CIDR. Consulta Configura un indirizzo IP riservato. Ti consigliamo di ignorare questo flag per consentire a Filestore di trovare automaticamente un intervallo di indirizzi IP libero e assegnarlo all'istanza.

  • KEY con un'etichetta che vuoi aggiungere. L'aggiunta di etichette non è obbligatoria durante la creazione di un'istanza Filestore. Puoi anche aggiungere, eliminare o aggiornare le etichette dopo aver creato un'istanza. Per maggiori dettagli, vedi Gestire le etichette.

  • VALUE con il valore di un'etichetta.

  • KMS_KEY è il nome completo della chiave di crittografia Cloud KMS che vuoi utilizzare quando vuoi gestire la crittografia dei tuoi dati. Il formato è il seguente:

    projects/KMS_PROJECT_ID/locations/REGION/keyRings/KEY_RING/cryptoKeys/KEY

  • PROTECTION_REASON se scegli di utilizzare il flag --deletion-protection, puoi aggiungere una nota relativa all'impostazione. Per aggiungere la nota, utilizza il flag facoltativo --deletion-protection-reason e includi una descrizione della giustificazione dell'impostazione che hai scelto. Ad esempio, "Tutti i dati genomici devono rispettare le norme vigenti dell'organizzazione". Per saperne di più, consulta Protezione dall'eliminazione.

Esempio

Il seguente comando crea un'istanza con le seguenti caratteristiche:

  • L'ID è render1.
  • Il progetto è myproject.
  • La regione è us-central1.
  • Il livello è REGIONAL.
  • Il rendimento utilizza il parametro max-iops-per-tb con il valore 17000.
  • Il nome della condivisione file è my_vol.
  • La dimensione della condivisione file è 2 TiB.
  • La rete VPC è default.
  • L'intervallo di indirizzi IP riservato è 10.0.7.0/29.
  • Concede l'accesso in lettura e scrittura con root squash al client con indirizzo IP 10.0.2.0.
  • La protezione da eliminazione è abilitata.
  • Viene fornita una motivazione per l'impostazione di protezione da eliminazione.
gcloud filestore instances create render1 \
  --project=myproject \
  --region=us-central1 \
  --tier=REGIONAL \
  --performance=max-iops-per-tb=17000 \
  --network=name="default",reserved-ip-range="10.0.7.0/29" \
  --flags-file=nfs-export-options.json \
  --deletion-protection \
  --deletion-protection-reason="All genomics data must adhere to current
  organization policies."

Contenuti del file nfs-export-options.json:

 {
"--file-share":
  {
    "capacity": "2048",
    "name": "my_vol",
    "nfs-export-options": [
      {
        "access-mode": "READ_WRITE",
        "ip-ranges": [
          "10.0.0.0/29",
          "10.2.0.0/29"
        ],
        "squash-mode": "ROOT_SQUASH",
        "anon_uid": 1003,
        "anon_gid": 1003
      },
      {
        "access-mode": "READ_ONLY",
        "ip-ranges": [
          "192.168.0.0/26"
        ],
        "squash-mode": "NO_ROOT_SQUASH"
      }
    ]
  }
}

API REST

  1. Avere gcloud CLI installata e inizializzata, il che ti consente di generare un token di accesso per l'intestazione Authorization.

  2. Utilizza cURL per chiamare l'API Filestore:

    curl --request POST \
    'https://file.googleapis.com/v1/projects/PROJECT/locations/LOCATION/instances?instanceId=NAME' \
    --header "Authorization: Bearer $(gcloud auth print-access-token)" \
    --header 'Accept: application/json' \
    --header 'Content-Type: application/json' \
    --data '{
            "tier":"TIER",
            "networks":[
                {
                "network":"NETWORK"
                }
              ],
            "performanceConfig": {"PERFORMANCE"}
            "fileShares":[
              {"capacityGb":CAPACITY,"name":"SHARE_NAME"}
              ],
            "deletionProtectionEnabled": true,
            "deletionProtectionReason": "PROTECTION_REASON"}' \
    --compressed

    Dove:

    • PROJECT è il nome del progetto in cui risiederà l'istanza. Ad esempio, my-genomics-project.
    • LOCATION è la località in cui risiederà l'istanza. Ad esempio, us-east1 o us-central1-a.
    • NAME è il nome dell'istanza che vuoi creare. Ad esempio, my-genomics-instance.
    • TIER è il nome del livello di servizio che vuoi utilizzare. Ad esempio, REGIONAL.

    • PERFORMANCE è la configurazione delle prestazioni utilizzata per specificare impostazioni delle prestazioni personalizzate.

      Puoi utilizzare solo una delle opzioni fornite.

      • PerformanceConfig.iopsPerTb.maxIopsPerTb specifica una velocità di IOPS per TiB che scala le IOPS in modo lineare con la capacità dell'istanza.
      • PerformanceConfig.fixedIops.maxIops specifica una frequenza di IOPS fissa che non scala le IOPS in base alla capacità dell'istanza.

      Il formato è il seguente:

         "performanceConfig": {
      "iopsPerTb" : {
          "maxIopsPerTb":17000
      }
    }

    • NETWORK è il nome della rete che vuoi utilizzare. Ad esempio, default.

    • CAPACITY è la dimensione, in GiB, che vuoi allocare per l'istanza. Ad esempio, 1024.

    • SHARE_NAME è il nome della condivisione file. Ad esempio, vol1.

    • PROTECTION_REASON se scegli di utilizzare il flag deletionProtectionEnabled, puoi aggiungere una nota relativa all'impostazione. Per aggiungere la nota, utilizza il flag facoltativo deletionProtectionReason e includi una descrizione della giustificazione dell'impostazione che hai scelto. Ad esempio, "Tutti i dati genomici devono rispettare le norme attuali dell'organizzazione". Per ulteriori informazioni, consulta Protezione dall'eliminazione.

Informazioni su istanze e quote

Un'istanza Filestore rappresenta la capacità di archiviazione fisica.

Una condivisione rappresenta una porzione allocata di questo spazio di archiviazione con un punto di accesso individuale e unico.

Tutti i livelli di servizio offrono opzioni di archiviazione con un rapporto condivisione-istanza di 1:1. In alternativa, Filestore multishares per GKE, disponibile solo per le istanze di livello Enterprise, offre l'accesso a più condivisioni su una singola istanza.

I nomi delle istanze o gli ID istanza vengono utilizzati dagli amministratori per gestire le istanze. I nomi delle condivisioni file vengono utilizzati dai client per connettersi alle condivisioni esportate da queste istanze.

Assegna un nome all'istanza

Il nome o l'ID dell'istanza Filestore viene utilizzato per identificare l'istanza e nei comandi gcloud. Gli ID istanza devono essere conformi all'elemento <label> di RFC 1035. In particolare, devono:

  • Deve avere una lunghezza compresa tra 1 e 63 caratteri.
  • Deve iniziare con una lettera minuscola.
  • Essere composto da trattini, lettere minuscole o cifre.
  • Terminare con lettere minuscole o cifre.

L'ID istanza deve essere univoco nel progetto e nella zona in cui si trova. Google Cloud Una volta creata un'istanza, il relativo ID non può essere modificato.

Configura livello di servizio

Seleziona il livello di servizio più adatto alle tue esigenze. Una volta creata un'istanza, non è possibile modificarne il service tier. La tabella seguente riassume le funzionalità disponibili per livello di servizio:

Funzionalità dei livelli di servizio Filestore
Capacità HDD base e SSD base A livello di zona Regionale Aziende
Capacità Da 1 TiB a 63,9 TiB Da 1 TiB a 100 TiB Da 1 TiB a 100 TiB Da 1 TiB a 10 TiB
Scalabilità
  • HDD base (da 1 TiB a 63,9 TiB): scalabilità solo con incrementi di 1 GiB
  • SSD di base (da 2,5 TiB a 63,9 TiB): scalabilità solo con incrementi di 1 GiB
  • Zonale (da 1 TiB a 9,75 TiB): aumenta o diminuisce con incrementi di 256 GiB
  • Zonale (da 10 TiB a 100 TiB): aumenta o diminuisce con incrementi di 2,5 TiB
  • Regionale (da 1 TiB a 9,75 TiB): aumenta o diminuisce con incrementi di 256 GiB
  • Regionale (da 10 TiB a 100 TiB): aumenta o diminuisce con incrementi di 2,5 TiB
Aumenta o diminuisce con incrementi di 256 GiB
Prestazioni
  • HDD base: statico
  • SSD base: passaggio di prestazioni a 10 TiB
 Configurabile* Configurabile* Scalabilità lineare con la capacità
Protocollo NFSv3 NFSv3, NFSv4.1 NFSv3, NFSv4.1 NFSv3, NFSv4.1

* I livelli di servizio regionale e zonale consentono di definire impostazioni delle prestazioni personalizzate. Per maggiori dettagli, vedi Prestazioni personalizzate.

Le operazioni Create per le istanze zonali, regionali e aziendali possono richiedere da 15 minuti a un'ora per essere completate, a seconda delle dimensioni dell'istanza.

La quota Filestore viene utilizzata quando inizia la creazione dell'istanza, ma non ti viene addebitato alcun costo per l'istanza durante questo periodo.

Per una descrizione più dettagliata delle funzionalità disponibili per livello di servizio, consulta Livelli di servizio.

Alloca capacità

Alloca la capacità all'importo di cui hai bisogno quando crei l'istanza. Man mano che ti avvicini al limite di capacità, puoi aumentarla in base alle esigenze senza influire sul runtime. Per scoprire come monitorare la capacità delle tue istanze, consulta Monitoraggio delle istanze.

Nella gcloud CLI, puoi specificare la capacità in numeri interi utilizzando GiB o TiB. L'unità predefinita è GiB.

La tabella seguente mostra le dimensioni delle istanze disponibili per ogni livello:

Livello Dimensioni minime Dimensioni massime Dimensione passo incrementale
HDD base 1 TiB 63,9 TiB 1 GB
SSD base 2,5 TiB 63,9 TiB 1 GB
A livello di zona 1 TiB 9,75 TiB 256 GiB
A livello di zona 10 TiB 100 TiB 2,5 TiB
Regionale 1 TiB 9,75 TiB 256 GiB
Regionale 10 TiB 100 TiB 2,5 TiB
Aziende 1 TiB 10 TiB 256 GiB

Le dimensioni delle istanze possono essere qualsiasi valore intero di gibibyte o il suo equivalente in tebibyte compreso tra le dimensioni minime e massime dell'istanza e divisibile per le dimensioni del passo incrementale. Ad esempio, le dimensioni valide per le istanze di livello zonale con un intervallo di capacità più elevato includono 10 TiB, 12, 5 TiB e 15 TiB.

Una volta create, le istanze HDD di base e SSD di base possono essere scalate solo in termini di dimensioni. Tutti gli altri livelli di servizio possono aumentare o diminuire la capacità. Per saperne di più, vedi Modificare le istanze e Scalare la capacità.

Quota per capacità totale

A ogni progetto viene assegnata una quota di capacità separata, definita in base alla regione e al livello di servizio. I limiti di quota variano in base al service tier.

Una volta raggiunto il limite di quota, non potrai creare altre istanze Filestore o aumentare la capacità delle istanze esistenti. Per visualizzare la quota disponibile, vai alla pagina Quote nella console Google Cloud :

Vai alla pagina Quote

Per informazioni su come richiedere una quota maggiore, consulta Richiesta di aumenti di quota.

Configurare le prestazioni

Le prestazioni dell'istanza dipendono dal livello di servizio che scegli.

Livelli regionali e di zona

  • Per i livelli regionali e di zona puoi impostare un rapporto IOPS per TiB che consente alle IOPS dell'istanza di scalare in base alla capacità oppure un valore IOPS costante che non scala in base alla capacità, ma può essere modificato in qualsiasi momento se la capacità cambia. Per informazioni dettagliate sui limiti, consulta Limiti di prestazioni personalizzati. Se non configuri le prestazioni personalizzate, queste vengono scalate in modo lineare con la capacità in base a un rapporto predefinito. Per maggiori dettagli, vedi Rendimento.

Livelli SSD base e HDD base

  • Per i livelli SSD di base, il numero di IOPS è costante e non cambia quando modifichi le impostazioni di capacità.
  • Per i livelli HDD di base, i limiti di prestazioni cambiano a seconda che la capacità rientri nell'intervallo da 1 TiB a 10 TiB o da 10 TiB a 63,9 TiB.

Per ulteriori informazioni sui limiti e sulle impostazioni delle prestazioni, vedi Prestazioni.

Specifica il rapporto IOPS per TiB

L'attivazione delle prestazioni personalizzate consente di specificare il rapporto nel campo IOPS per TiB in cui le prestazioni vengono scalate in base alla capacità.

Se vuoi utilizzare IOPS fisse, deseleziona la casella di controllo Scala le prestazioni in base alla capacità.

Supponendo che tu abbia specificato i seguenti valori iniziali di rendimento:

  • Capacità: 1 TiB
  • IOPS per TiB: 6000
  • Prestazioni (quando la casella di controllo Scala le prestazioni in base alla capacità è selezionata): 6000 IOPS

I seguenti esempi mostrano come viene scalato il rendimento in base alle impostazioni modificate:

  • L'aumento delle IOPS per TiB a 7000 regola le prestazioni a 7000 IOPS.
  • Se aumenti la capacità a 2 TiB,le prestazioni vengono regolate a 14.000 IOPS.
  • Se diminuisci Prestazioni a 8000 IOPS, IOPS per TiB viene impostato su 4000.

Specifica un numero fisso di IOPS

Se deselezioni la casella di controllo Scala le prestazioni in base alla capacità, il campo Prestazioni specifica il numero di IOPS che vuoi utilizzare. Questo numero deve rientrare nell'intervallo di prestazioni ed essere un multiplo di 1000.

L'impostazione di un numero fisso di IOPS indipendentemente dalla capacità consente l'ottimizzazione delle prestazioni. Tuttavia, questa opzione impedisce la scalabilità automatica delle prestazioni con le modifiche alla capacità. La modifica della capacità potrebbe richiedere la regolazione del valore delle prestazioni e viceversa.

Ad esempio, hai specificato i seguenti valori:

  • Capacità: 4 TiB
  • Prestazioni: 40.000 IOPS

A questo punto, puoi aumentare le prestazioni fino a 68.000 IOPS, che è il limite per 4 TiB di capacità. Vuoi aumentare il rendimento a 70.000 IOPS,che supera l'intervallo di rendimento per la capacità di 4 TiB. Per mantenere la compatibilità, devi aumentare la capacità a 4,25 TiB o superiore per rientrare nell'intervallo di prestazioni.

Seleziona una località

La località si riferisce alla regione e alla zona in cui si trova l'istanza Filestore. Per ottenere le migliori prestazioni ed evitare addebiti per il networking tra regioni, assicurati che l'istanza Filestore si trovi nella stessa regione delle VM Compute Engine che devono accedervi.

Per saperne di più su regioni e zone, consulta Area geografica e regioni.

Seleziona il protocollo

Seleziona il protocollo più adatto alle tue esigenze. Filestore supporta i protocolli NFSv3 e NFSv4.1.

Per istruzioni sulla creazione di istanze Filestore con protocollo NFSv4.1, consulta Configurare il protocollo NFSv4.1.

Seleziona la rete VPC

La rete che selezioni per l'utilizzo con Filestore può essere una rete VPC standard o una rete VPC condiviso. In entrambi i casi, la rete che scegli deve avere risorse IP disponibili sufficienti da dedicare all'istanza Filestore, altrimenti l'istanza non viene creata a causa dell'esaurimento degli indirizzi IP.

I client devono trovarsi sulla stessa rete dell'istanza Filestore per accedere ai file archiviati su quell'istanza. Una volta creata un'istanza, questa selezione di rete non può essere modificata.

Rete VPC condivisa

Prima di poter creare un'istanza su una rete VPC condivisa in un progetto di servizio, l'amministratore di rete deve prima attivare l'accesso privato ai servizi per la rete VPC condiviso. Se crei l'istanza nel progetto host, l'accesso privato ai servizi non è necessario.

Le reti VPC condiviso vengono visualizzate nella console Google Cloud nel formato:

projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME

Per le procedure dettagliate, consulta Creazione di un'istanza su una VPC condiviso condivisa.

Blocco dei file NFS

Se le applicazioni che prevedi di utilizzare con questa istanza Filestore richiedono il blocco dei file NFS e scegli una delle seguenti opzioni, potresti dover aprire le porte utilizzate da Filestore nella rete che scegli:

  • Una rete VPC diversa da quella predefinita.
  • La rete VPC predefinita con regole firewall modificate.

Per ulteriori informazioni, consulta Configurazione delle regole firewall.

Configura la condivisione file

Una condivisione file è la directory di un'istanza Filestore in cui sono archiviati tutti i file condivisi. È anche l'elemento che monti o mappi sulla VM client.

Il nome della condivisione file deve rispettare i seguenti requisiti:

  • Avere una lunghezza compresa tra 1 e 32 caratteri per i livelli di zona, regione ed enterprise e tra 1 e 16 caratteri per i livelli di base.
  • Deve iniziare con una lettera.
  • Deve essere composto da lettere maiuscole o minuscole, numeri e trattini bassi.
  • Deve terminare con una lettera o un numero.

Configurare controllo dell'accesso basato su IP

Per impostazione predefinita, un'istanza Filestore concede l'accesso in lettura e scrittura a livello di root a tutti i client, incluse le VM di Compute Engine e i cluster GKE, che condividono lo stesso progetto e la stessa rete VPC. Google Cloud Se vuoi limitare l'accesso, puoi farlo creando regole che concedono livelli di accesso specifici ai client in base al loro indirizzo IP. Una volta aggiunte le regole, l'accesso viene revocato a tutti gli indirizzi IP e intervalli non specificati in una regola. Le istanze zonali, regionali ed Enterprise supportano le impostazioni di configurazione per gli intervalli di indirizzi IP sovrapposti. Per ulteriori informazioni, consulta Autorizzazioni sovrapposte.

La tabella seguente descrive i privilegi di ciascun livello di accesso. Questi livelli di accesso vengono utilizzati solo nella Google Cloud console. Nella gcloud CLI e nell'API, devi specificare direttamente le configurazioni delle regole.

Livello di accesso Configurazione della regola Descrizione
admin
  • lettura/scrittura
  • no-root-squash
 Il client può visualizzare e modificare tutti i file, le cartelle e i metadati come utente root. Può anche concedere la proprietà di file o cartelle impostando uid e gid e, in questo modo, concedere l'accesso ai client che non dispongono dell'accesso a livello di root alla condivisione file.
admin-viewer
  • sola lettura
  • no-root-squash
 Il client può visualizzare tutti i file, le cartelle e i metadati come utente root, ma non può modificarli.
editor
  • lettura/scrittura
  • root-squash
 Il client può visualizzare e modificare i file, le cartelle e i metadati in base ai uid e ai gid assegnati.
viewer
  • sola lettura
  • root-squash
 Il client può visualizzare i file, le cartelle e i metadati in base ai uid e ai gid assegnati.

root-squash mappa tutte le richieste da uid 0 e gid 0 a anon_uid e anon_gid, rispettivamente. Questa configurazione rimuove l'accesso a livello di root dai client che tentano di accedere alla condivisione file come utente root.

Quando crei regole di accesso basate su IP:

  • Devi specificare un indirizzo IP o un intervallo IP interno e il livello di accesso concesso.
  • Almeno una regola deve concedere l'accesso admin al momento della creazione dell'istanza. Questa regola può essere rimossa una volta creata l'istanza.
  • Le istanze zonali, regionali ed Enterprise supportano le impostazioni di configurazione per intervalli di indirizzi IP sovrapposti. Le istanze di livello Basic non sono supportate. Per ulteriori informazioni, consulta Autorizzazioni sovrapposte.

Nella console Google Cloud , puoi creare fino a 4 regole diverse (admin, admin-viewer, editor, viewer) che coinvolgono fino a 64 indirizzi IP o intervalli diversi.

Nell'interfaccia alla gcloud CLI, puoi configurare fino a 64 indirizzi IP o blocchi CIDR per istanza Filestore in un massimo di 10 regole diverse. Una regola è definita come la combinazione delle configurazioni access-mode, squash-mode e anon_uid/anon_gid. I campi anon_uid e anon_gid hanno valori predefiniti pari a 65534 e possono essere configurati solo tramite l'API e gcloud CLI.

Esempio

Ecco un esempio di tre diverse regole di accesso basate sull'IP:

  • access-mode=READ_ONLY, squash-mode=ROOT_SQUASH, anon_uid=10000.
  • access-mode=READ_WRITE, squash-mode=ROOT_SQUASH, anon_gid=150.
  • access-mode=READ_WRITE, squash-mode=NO_ROOT_SQUASH.

Per creare regole di controllo dell'accesso basate su IP utilizzando gcloud CLI, utilizza il flag --flags-file con i comandi instances create o instances update e indirizzalo a un file di configurazione JSON. Ad esempio, se il file di configurazione JSON si chiama nfs-export-options.json, il flag sarà:

--flags-file=nfs-export-options.json

Esempio di file di configurazione JSON:

   {
  "--file-share":
    {
      "capacity": "2048",
      "name": "my_vol",
      "nfs-export-options": [
        {
          "access-mode": "READ_WRITE",
          "ip-ranges": [
            "10.0.0.0/29",
            "10.2.0.0/29"
          ],
          "squash-mode": "ROOT_SQUASH",
          "anon_uid": 1003,
          "anon_gid": 1003
        },
         {
          "access-mode": "READ_ONLY",
          "ip-ranges": [
            "192.168.0.0/26"
          ],
          "squash-mode": "NO_ROOT_SQUASH"
        }
      ]
    }
}
  • ip-ranges è l'indirizzo o l'intervallo IP a cui concedere l'accesso. Puoi specificare più indirizzi o intervalli IP separandoli con una virgola. Solo le istanze zonali, regionali e aziendali supportano le impostazioni di configurazione per intervalli di indirizzi IP sovrapposti. Per ulteriori informazioni, consulta la sezione Autorizzazioni sovrapposte.
  • access-mode è il livello di accesso da concedere ai client il cui indirizzo IP rientra in ip-range. Può avere i valori READ_WRITE o READ_ONLY. Il valore predefinito è READ_WRITE.
  • squash-mode può avere i valori ROOT_SQUASH o NO_ROOT_SQUASH. ROOT_SQUASH rimuove l'accesso a livello di root ai client il cui indirizzo IP rientra in ip-range, mentre NO_ROOT_SQUASH abilita l'accesso root. Il valore predefinito è NO_ROOT_SQUASH.
  • anon_uid è il valore dello User-ID che vuoi mappare a anon_uid. Il valore predefinito è 65534.
  • anon_gid è il valore dell'ID gruppo che vuoi mappare a anon_gid. Il valore predefinito è 65534.

Client sugli intervalli non conformi a RFC 1918

Se prevedi di connettere client non RFC 1918 all'istanza Filestore, devi concedere esplicitamente l'accesso all'istanza Filestore utilizzando il controllo dell'accesso basato su IP.

Campi facoltativi

Le sezioni seguenti descrivono i campi facoltativi.

Aggiungere una descrizione dell'istanza

Una descrizione dell'istanza ti consente di scrivere descrizioni, note o istruzioni per te e per altri utenti. Ad esempio, puoi includere informazioni su:

  • I tipi di file archiviati nell'istanza.
  • Chi ha accesso all'istanza.
  • Istruzioni su come ottenere l'accesso all'istanza.
  • Per cosa viene utilizzata l'istanza.

Le descrizioni delle istanze sono limitate a 2048 caratteri. Non sono previste limitazioni sui caratteri consentiti. Una volta creata un'istanza Filestore, puoi aggiornarne la descrizione in qualsiasi momento, in base alle esigenze. Per informazioni sull'aggiornamento delle descrizioni delle istanze, consulta Modifica delle istanze.

Aggiungi etichette

Le etichette sono coppie chiave-valore che puoi utilizzare per raggruppare le istanze correlate e archiviare i metadati di un'istanza. Puoi aggiungere, eliminare o modificare le etichette in qualsiasi momento. Per saperne di più, consulta Gestire le etichette.

Configura un intervallo di indirizzi IP riservato

A ogni istanza Filestore deve essere associato un intervallo di indirizzi IP. Sono supportati sia gli intervalli di indirizzi IP RFC 1918 sia quelli non RFC 1918 (GA).

Una volta specificato, l'intervallo di indirizzi IP di un'istanza è immutabile.

Gli utenti sono invitati a consentire a Filestore di determinare automaticamente un intervallo di indirizzi IP libero e assegnarlo all'istanza. Quando selezioni il tuo intervallo, tieni presente i seguenti requisiti delle risorse IP di Filestore:

  • Deve utilizzare la notazione CIDR.

  • Deve essere un intervallo di subnet VPC valido.

  • Le istanze di base richiedono una dimensione del blocco di 29. Ad esempio, 10.123.123.0/29.

  • Le istanze zonali, regionali e aziendali richiedono una dimensione del blocco di 26. Ad esempio, 172.16.123.0/26.

  • L'intervallo di indirizzi IP non deve sovrapporsi a quanto segue:

    • Le subnet esistenti nella rete VPC utilizzata dall'istanza Filestore.

    • Le subnet esistenti in una rete VPC in peering con quella utilizzata dall'istanza Filestore. Per maggiori dettagli, vedi Subnet sovrapposte al momento del peering.

    • Intervalli di indirizzi IP assegnati a qualsiasi altra istanza Filestore esistente in quella rete.

    • L'intervallo di indirizzi 172.17.0.0/16 è riservato ai componenti interni di Filestore. Di conseguenza, si applicano le seguenti limitazioni:

      • I client in questo intervallo non possono essere connessi alle istanze Filestore.

      • Non è possibile creare istanze Filestore all'interno di questo intervallo IP. Per maggiori informazioni, consulta Problemi noti.

  • Deve essere presente almeno una connessione di peering di rete VPC o di accesso privato ai servizi per VPC.

Puoi visualizzare gli intervalli di indirizzi IP per le subnet della tua rete andando alla pagina Reti VPC nella console Google Cloud :

Vai alla pagina Reti VPC

Puoi ottenere l'intervallo di indirizzi IP riservati per qualsiasi istanza Filestore nella pagina delle istanze Filestore nella consoleGoogle Cloud :

Vai alla pagina Istanze di Filestore

Se vuoi utilizzare l'accesso ai servizi privati e specificare un intervallo di indirizzi IP riservato, devi specificare il nome di un intervallo di indirizzi allocato per la connessione. Se non specifichi un nome di intervallo, Filestore utilizza automaticamente uno degli intervalli allocati associati alla connessione di accesso ai servizi privati.

Utilizzare una chiave di crittografia gestita dal cliente

Per impostazione predefinita, Google Cloud cripta automaticamente i dati quando sono at-rest utilizzando chiavi di crittografia gestite da Google. Se hai bisogno di un maggiore controllo sulle chiavi che proteggono i tuoi dati, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) per Filestore. Per maggiori dettagli, vedi Criptare i dati con chiavi di crittografia gestite dal cliente.

Attiva la protezione da eliminazione

Imposta l'impostazione di protezione da eliminazione dell'istanza. Per impostazione predefinita, questa impostazione è disattivata. Per ulteriori informazioni, consulta Protezione dall'eliminazione.

Aggiungi una descrizione dell'impostazione di protezione da eliminazione

Aggiungi una descrizione della motivazione alla base dell'impostazione di protezione da eliminazione che hai scelto. Per ulteriori informazioni, consulta Protezione dall'eliminazione.

Passaggi successivi