Instanz erstellen

Auf dieser Seite erfahren Sie, wie Sie eine Filestore-Instanz mit einer der folgenden Methoden erstellen: über die Google Cloud Console oder die gcloud CLI.

Anleitung zum Erstellen einer Instanz

gcloud filestore instances create INSTANCE_ID \
    [--project=PROJECT_ID] \
    [--location=LOCATION] \
    [--description=DESCRIPTION] \
    --tier=TIER \
    --file-share=name="FILE_SHARE_NAME",capacity=FILE_SHARE_SIZE \
    --network=name="VPC-NETWORK",[connect-mode=CONNECT_MODE],[reserved-ip-range="RESERVED_IP_ADDRESS"] \
    [--labels=KEY=VALUE,[KEY=VALUE,…]] \
    [--kms-key=KMS_KEY] \
    [--deletion-protection] \
    [--deletion-protection-reason="PROTECTION_REASON"]

gcloud filestore instances create render1 \
  --project=myproject \
  --zone=us-central1-c \
  --tier=BASIC_HDD \
  --network=name="default",reserved-ip-range="10.0.7.0/29" \
  --flags-file=nfs-export-options.json \
  --deletion-protection \
  --deletion-protection-reason="All genomics data must adhere to current
  organization policies."

 {
"--file-share":
  {
    "capacity": "2048",
    "name": "my_vol",
    "nfs-export-options": [
      {
        "access-mode": "READ_WRITE",
        "ip-ranges": [
          "10.0.0.0/29",
          "10.2.0.0/29"
        ],
        "squash-mode": "ROOT_SQUASH",
        "anon_uid": 1003,
        "anon_gid": 1003
      },
      {
        "access-mode": "READ_ONLY",
        "ip-ranges": [
          "192.168.0.0/26"
        ],
        "squash-mode": "NO_ROOT_SQUASH"
      }
    ]
  }
}

Informationen zu Instanzen und Freigaben

Eine Filestore-Instanz steht für die physische Speicherkapazität.

Eine Freigabe stellt einen zugewiesenen Teil dieses Speichers mit einem individuellen, eindeutigen Zugriffspunkt dar.

Alle Dienststufen bieten Speicheroptionen mit einer 1:1-Freigabe an der Instanz Seitenverhältnis. Alternativ können Sie mit Filestore-Multishares für GKE, die nur für Instanzen der Enterprise-Stufe verfügbar sind, auf mehrere Freigaben auf einer einzelnen Instanz zugreifen.

Instanznamen oder Instanz-IDs werden von Administratoren zum Verwalten von Instanzen verwendet. Dateifreigabenamen werden von Clients verwendet, um eine Verbindung zu den Freigaben herzustellen, die aus diesen Instanzen.

Instanz benennen

Der Name Ihrer Filestore-Instanz oder Instanz-ID wird zur Identifizierung der Instanz verwendet und in gcloud-Befehlen verwendet. Instanz-IDs müssen den mit dem Element <label> von RFC 1035. Sie müssen insbesondere:

• Muss 1 bis 63 Zeichen lang sein
• Muss mit einem Kleinbuchstaben beginnen
• Besteht aus Bindestrichen, Kleinbuchstaben oder Ziffern.
• Beenden Sie mit Kleinbuchstaben oder Ziffern.

Die Instanz-ID muss im Google Cloud-Projekt und in der Zone, in der sie sich befindet, eindeutig sein. Nachdem eine Instanz erstellt wurde, kann die Instanz-ID nicht mehr geändert werden.

Dienststufe auswählen

Wählen Sie die Dienstebene aus, die Ihren Anforderungen am besten entspricht. Sobald eine Instanz erstellt wurde, kann seine Dienststufe nicht geändert werden. In der folgenden Tabelle erhalten Sie verfügbaren Funktionen nach Dienststufe:

Create-Vorgänge für zonale, regionale und Enterprise-Instanzen können je nach Instanzgröße zwischen 15 Minuten und einer Stunde dauern.

Das Filestore-Kontingent wird verwendet, wenn die Instanz erstellt wird, aber Ihnen während dieser Zeit keine Instanz in Rechnung gestellt wird.

Leistung

Die folgende Tabelle bietet einen detaillierteren Vergleich der Leistung der einzelnen Dienstebenen:

Weitere Informationen zur Leistung finden Sie unter Leistung.

Eine detaillierte Beschreibung der Funktionen, die je nach Dienststufe verfügbar sind, finden Sie unter Dienststufen.

Kapazität zuweisen

Weisen Sie Kapazität dem Betrag zu, den Sie beim Erstellen der Instanz benötigen. Wenn Sie die Kapazitätsgrenze erreichen, können Sie die Kapazität nach Bedarf hochskalieren, ohne die Laufzeit zu beeinträchtigen. Informationen zum Überwachen der Kapazität Ihrer Instanzen finden Sie unter Instanzen überwachen.

In der gcloud-Befehlszeile können Sie die Kapazität mit GiB oder TiB in ganzen Zahlen angeben. Die Standardeinheit ist GiB.

Die folgende Tabelle zeigt die für jede Stufe verfügbaren Instanzgrößen:

Die Größe der Instanzen kann jeder ganze Gibibyte-Wert oder dessen Tebibyte sein Äquivalent, das zwischen der minimalen und maximalen Instanzgröße liegt und teilbar ist durch die inkrementelle Schrittgröße. Gültige Größen für Instanzen der zonalen Ebene mit einem höheren Kapazitätsbereich sind beispielsweise 10 TiB, 12,5 TiB und 15 TiB.

Instanzen der Basisstufe können nach ihrer Erstellung nur noch vergrößert werden. Bei allen anderen Dienststufen kann die Kapazität erhöht oder verringert werden. Weitere Informationen finden Sie unter Instanzen bearbeiten und Kapazität skalieren.

Gesamtkapazitätskontingent

Jedem Projekt wird ein separates Kapazitätskontingent zugewiesen, das nach Region und Dienstebene definiert ist. Die Kontingentlimits variieren je nach Dienststufe.

Wenn Sie Ihr Kontingentlimit erreicht haben, können Sie keine weiteren erstellen Filestore-Instanzen oder erhöhen Sie die Kapazität Ihrer vorhandenen Instanzen. Rufen Sie in der Google Cloud Console die Seite Kontingente auf, um Ihr verfügbares Kontingent anzeigen zu lassen:

Zur Seite „Kontingente“

Informationen zum Anfordern eines höheren Kontingents finden Sie unter Kontingenterhöhungen anfordern.

Dateifreigabe benennen

Eine Dateifreigabe ist das Verzeichnis auf einer Filestore-Instanz, in dem alle freigegebenen Dateien gespeichert sind. Es ist auch das, was Sie auf der Client-VM bereitstellen oder zuordnen.

Der Name der Dateifreigabe muss folgendermaßen lauten:

• Er muss zwischen 1 und 32 Zeichen lang sein (zonale, regionale und Unternehmensstufen) und 1–16 Zeichen für die Basisstufen
• Sie müssen mit einem Buchstaben beginnen.
• Sie bestehen aus Groß- und Kleinbuchstaben, Zahlen und Unterstrichen.
• Muss mit einem Buchstaben oder einer Ziffer enden.

VPC-Netzwerk auswählen

Das Netzwerk, das Sie für Filestore verwenden möchten, kann entweder ein Standard-VPC-Netzwerk oder ein freigegebenes VPC-Netzwerk sein. In beiden Fällen muss das ausgewählte Netzwerk genügend IP-Ressourcen für die Filestore-Instanz haben, andernfalls kann die Instanz nicht erstellt werden.

Clients müssen sich im selben Netzwerk wie Filestore befinden Instanz, um auf die in dieser Instanz gespeicherten Dateien zuzugreifen. Sobald eine Instanz erstellt wurde, kann diese Netzwerkauswahl nicht geändert werden.

Freigegebenes VPC-Netzwerk

Bevor Sie eine Instanz in einem freigegebenen VPC-Netzwerk in einem Dienstprojekt erstellen können, muss der Netzwerkadministrator zuerst den Zugriff auf private Dienste für das freigegebene VPC-Netzwerk aktivieren. Wenn Sie die Instanz im Hostprojekt erstellen, ist der Zugriff auf private Dienste nicht erforderlich.

Freigegebene VPC-Netzwerke werden in der Google Cloud Console auf der Seite Format:

projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME

Eine ausführliche Anleitung finden Sie unter Instanz in einem freigegebenen VPC-Netzwerk erstellen.

NFS-Dateisperren

Wenn für die Anwendungen, die Sie mit dieser Filestore-Instanz verwenden möchten, eine NFS-Dateisperrung erforderlich ist und Sie eine der folgenden Optionen auswählen, müssen Sie möglicherweise die von Filestore verwendeten Ports im ausgewählten Netzwerk öffnen:

• ein anderes VPC-Netzwerk als das Standardnetzwerk oder
• das Standard-VPC-Netzwerk mit geänderten Firewallregeln auswählen,

Weitere Informationen finden Sie unter Firewallregeln konfigurieren.

Speicherort auswählen

"Standort" bezieht sich auf die Region und die Zone, in denen sich die Filestore-Instanz befindet. Sie sollten die Filestore-Instanz in derselben Region befinden wie die Compute Engine-VMs, die auf die Instanzen zugreifen müssen, um die Leistung zu optimieren und regionsübergreifende Netzwerkgebühren zu vermeiden.

Weitere Informationen zu Regionen und Zonen finden Sie unter Geografie und Regionen.

IP-basierte Zugriffssteuerung konfigurieren

Standardmäßig gewährt eine Filestore-Instanz Lese- und Schreibzugriff auf Stammebene auf alle Clients, einschließlich Compute Engine-VMs und GKE-Cluster, die dasselbe Google Cloud-Projekt und dasselbe VPC-Netzwerk verwenden. Wenn Sie den Zugriff beschränken möchten, erstellen Sie mithilfe von IP-Adressen Regeln, mit denen bestimmten Clients Zugriffsebenen zugewiesen werden. Sobald die Regeln hinzugefügt sind, wird allen Nutzern und IP-Adressen, die nicht in einer Regel angegeben sind, der Zugriff entzogen. Zonale, regionale und Enterprise-Instanzen unterstützen Konfigurationseinstellungen für sich überschneidende IP-Adressbereiche. Weitere Informationen finden Sie unter Überlappende Berechtigungen.

In der folgenden Tabelle werden die Berechtigungen jeder Zugriffsebene beschrieben. Diese Zugriffsebenen werden nur in der Google Cloud Console verwendet. In der gcloud CLI und in der API müssen Sie die Regelkonfigurationen direkt angeben.

root-squash ordnet alle Anfragen von uid 0 und gid 0 jeweils anon_uid und anon_gid zu. Durch diese Konfiguration wird der Zugriff auf Root-Ebene von Clients entfernt, die versuchen, als Root-Nutzer auf die Dateifreigabe zuzugreifen.

Beim Erstellen IP-basierter Zugriffsregeln:

• Sie müssen eine interne IP-Adresse oder einen internen IP-Bereich sowie die erteilte Zugriffsebene angeben.
• Beim Erstellen einer Instanz muss mindestens eine Regel admin-Zugriff gewähren. Diese Regel kann entfernt werden, sobald die Instanz erstellt wurde.
• Zonale, regionale und Enterprise-Instanzen unterstützen Konfigurationseinstellungen für und sich überschneidende IP-Adressbereiche. Instanzen der Basisstufe werden nicht unterstützt. Weitere Informationen finden Sie unter Überlappende Berechtigungen.

In der Google Cloud Console können Sie bis zu vier verschiedene Regeln erstellen (admin, admin-viewer, editor, viewer) mit bis zu 64 verschiedenen IP-Adressen oder Bereiche.

In der gcloud CLI können Sie bis zu 64 verschiedene IP-Adressen konfigurieren oder CIDR-Blöcke pro Filestore-Instanz mit maximal 10 verschiedene Regeln. Eine Regel wird als Kombination der Konfigurationen access-mode, squash-mode und anon_uid/anon_gid definiert. Die Felder anon_uid und anon_gid haben den Standardwert 65534 und können nur über die API und die gcloud-Befehlszeile konfiguriert werden.

Beispiel

Hier sehen Sie ein Beispiel für drei verschiedene IP-basierte Zugriffsregeln:

• access-mode=READ_ONLY, squash-mode=ROOT_SQUASH, anon_uid=10000.
• access-mode=READ_WRITE, squash-mode=ROOT_SQUASH, anon_gid=150.
• access-mode=READ_WRITE, squash-mode=NO_ROOT_SQUASH.

Verwenden Sie zum Erstellen von IP-basierten Zugriffssteuerungsregeln mit der gcloud CLI das Flag --flags-file mit den Befehlen instances create oder instances update und verweisen Sie es auf eine JSON-Konfigurationsdatei. Wenn die JSON-Konfigurationsdatei beispielsweise den Namen nfs-export-options.json hat, lautet das Flag:

--flags-file=nfs-export-options.json

Beispiel für eine JSON-Konfigurationsdatei:

   {
  "--file-share":
    {
      "capacity": "2048",
      "name": "my_vol",
      "nfs-export-options": [
        {
          "access-mode": "READ_WRITE",
          "ip-ranges": [
            "10.0.0.0/29",
            "10.2.0.0/29"
          ],
          "squash-mode": "ROOT_SQUASH",
          "anon_uid": 1003,
          "anon_gid": 1003
        },
         {
          "access-mode": "READ_ONLY",
          "ip-ranges": [
            "192.168.0.0/26"
          ],
          "squash-mode": "NO_ROOT_SQUASH"
        }
      ]
    }
}

• ip-ranges ist die IP-Adresse oder der Bereich, auf die bzw. den Zugriff gewährt werden soll. Sie können mehrere IP-Adressen oder Bereiche angeben, indem Sie sie durch ein Komma trennen. Nur zonale, regionale und Unternehmensinstanzen unterstützen die Konfigurationseinstellungen für und sich überschneidende IP-Adressbereiche. Weitere Informationen finden Sie unter Sich überschneidende Berechtigungen:
• access-mode ist die Zugriffsebene, die den Clients zugewiesen werden soll, deren IP-Adresse in den ip-range fällt. Sie kann die Werte READ_WRITE oder READ_ONLY haben. Der Standardwert ist READ_WRITE.
• squash-mode kann die Werte ROOT_SQUASH oder NO_ROOT_SQUASH haben. ROOT_SQUASH entfernt Root-Zugriff auf die Clients, deren IP-Adresse in ip-range fällt, während NO_ROOT_SQUASH Root-Zugriff ermöglicht. Der Standardwert ist NO_ROOT_SQUASH.
• anon_uid ist der Nutzer-ID-Wert, den Sie anon_uid zuordnen möchten. Der Standardwert ist 65534.
• anon_gid ist der Gruppen-ID-Wert, den Sie anon_gid zuordnen möchten. Der Standardwert ist 65534.

Clients in Bereichen außerhalb von RFC 1918

Wenn Sie Clients außerhalb des RFC 1918 mit Ihrer Filestore-Instanz verbinden möchten, müssen Sie ihnen explizit über die IP-basierte Zugriffssteuerung Zugriff auf die Filestore-Instanz gewähren.

Optionale Felder

In den folgenden Abschnitten werden optionale Felder beschrieben.

Instanzbeschreibung hinzufügen

Mit einer Instanzbeschreibung können Sie sich selbst und anderen Nutzern Beschreibungen, Notizen oder Anweisungen schreiben. Sie können beispielsweise folgende Informationen angeben:

• Die in der Instanz gespeicherten Dateitypen.
• Wer Zugriff auf die Instanz hat.
• Anleitung zum Zugriff auf die Instanz.
• Wofür wird die Instanz verwendet?

Instanzbeschreibungen sind auf 2048 Zeichen beschränkt. Es gibt keine Einschränkungen hinsichtlich der zulässigen Zeichen. Nachdem eine Filestore-Instanz erstellt wurde, können Sie ihre Instanzbeschreibung jederzeit nach Bedarf aktualisieren. Informationen zum Aktualisieren von Instanzbeschreibungen finden Sie unter Instanzen bearbeiten.

Labels hinzufügen

Labels sind Schlüssel/Wert-Paare, mit denen Sie verwandte Instanzen gruppieren und Metadaten zu einer Instanz speichern können. Sie können Labels jederzeit hinzufügen, löschen oder ändern. Weitere Informationen finden Sie unter Labels verwalten.

Reservierten IP-Adressbereich konfigurieren

Jeder Filestore-Instanz muss ein IP-Adressbereich zugeordnet sein. Sowohl RFC 1918 als auch IP-Adressbereiche außerhalb von RFC 1918 (GA) werden unterstützt.

Der IP-Adressbereich einer Instanz kann nach der Angabe nicht mehr geändert werden.

Wir empfehlen, Filestore automatisch einen freien IP-Adressbereich bestimmen und der Instanz zuweisen zu lassen. Berücksichtigen Sie bei der Auswahl eines eigenen Bereichs die folgenden IP-Ressourcenanforderungen für Filestore:

• Muss die CIDR-Notation verwenden.

• Muss ein gültiger VPC-Subnetzbereich sein.

• Einfache Instanzen erfordern eine Blockgröße von 29. Beispiel: 10.123.123.0/29.

• Für zonale, regionale und Enterprise-Instanzen ist eine Blockgröße von 26 erforderlich. Beispiel: 172.16.123.0/26

• Der IP-Adressbereich darf sich nicht mit Folgendem überschneiden:

  • Vorhandene Subnetze im VPC-Netzwerk, die von der Filestore-Instanz verwendet werden.

  • Vorhandene Subnetze in einem VPC-Netzwerk, das per Peering mit dem Subnetz verbunden ist, das von der Filestore-Instanz verwendet wird. Weitere Informationen finden Sie unter Sich überschneidende Subnetze zum Zeitpunkt des Peerings.

  • IP-Adressbereiche, die anderen vorhandenen Filestore-Instanzen in diesem Netzwerk zugewiesen sind.

  • Der Adressbereich 172.17.0.0/16 ist für interne Filestore-Komponenten reserviert. Deshalb gelten folgende Einschränkungen:

    • Clients in diesem Bereich können nicht mit Filestore-Instanzen verbunden werden.

    • Filestore-Instanzen können nicht in diesem IP-Bereich erstellt werden. Für Weitere Informationen finden Sie unter Bekannte Probleme.

• Es muss mindestens ein VPC-Netzwerk-Peering oder Zugriff auf private Dienste vorhanden sein Verbindungen pro VPC.

Sie können die IP-Adressbereiche für die Subnetze Ihres Netzwerks anzeigen, indem Sie auf der Seite „VPC-Netzwerke“ in der Google Cloud Console:

Zur VPC-Netzwerkseite

Sie können den reservierten IP-Adressbereich für jedes Filestore abrufen auf der Seite Filestore-Instanzen in der Google Cloud Console:

Zur Seite mit den Filestore-Instanzen

Wenn Sie den Zugriff auf private Dienste verwenden und einen reservierten IP-Adressbereich angeben, müssen Sie den Namen eines zugewiesenen Adressbereichs für die Verbindung angeben. Wenn Sie keinen Bereichsnamen angeben, verwendet Filestore automatisch einen der zugewiesenen Bereiche, die der Verbindung für den Zugriff auf private Dienste zugeordnet sind.

Vom Kunden verwalteten Verschlüsselungsschlüssel verwenden

Standardmäßig wird Google Cloud automatisch verschlüsselt ruhende Daten mit von Google verwalteten Verschlüsselungsschlüsseln. Wenn Sie mehr Kontrolle über die Schlüssel benötigen, die Ihre Daten schützen, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEKs) für Filestore verwenden. Weitere Informationen finden Sie unter Daten mit vom Kunden verwalteten Verschlüsselungsschlüsseln verschlüsseln.

Löschschutz aktivieren

Legen Sie die Einstellung für den Löschschutz der Instanz fest. Diese Einstellung ist standardmäßig deaktiviert. Weitere Informationen finden Sie unter Löschschutz.

Beschreibung der Löschschutzeinstellung hinzufügen

Begründung für die Einstellung für den Löschschutz hinzufügen die Sie ausgewählt haben. Weitere Informationen finden Sie unter Löschschutz.

Nächste Schritte

• Instanz für die Verwendung mit dem NFSv4.1-Protokoll konfigurieren
• So verbinden Sie Instanzen mit Clients:
  • Filestore-Dateifreigabe auf einer Compute Engine-VM-Instanz bereitstellen.
  • Auf Filestore-Instanzen mit dem Filestore-CSI-Treiber zugreifen
  • Filestore-Instanzen als externe Datenspeicher für VMware ESXi verwenden Hosts in VMware Engine
  • Stellen Sie Dateifreigaben auf Remote-Clients bereit.
  • Stellen Sie eine Filestore-Instanz in einem Cloud Run-Dienst bereit, um Daten zwischen Containern und Dienste.
• Instanzdetails wie die IP-Adresse der Instanz abrufen, damit dass Sie von Clients aus auf die Filestore-Dateifreigabe zugreifen können.
• Probleme beim Erstellen von Filestore-Instanzen beheben
• Weitere Informationen zu VPC-Netzwerken (Virtual Private Cloud) und Subnetzen
• Weitere Informationen zu den Netzwerk- und IP-Ressourcenanforderungen für Filestore