本页面介绍了如何使用 Google Cloud 控制台或 gcloud CLI。
创建实例的说明
Google Cloud 控制台
准备工作
可用区级(10 TiB 到 100 TiB)的配额,或 区域级(10 TiB 到 100 TiB)实例从
0
开始。接收者 要使用这些层级,您必须先创建 申请增加配额 然后才能创建实例。如果您需要使用旧版服务层级(如 企业或高容量 SSD,则必须直接通过 或使用
gcloud
。这create
项操作 不支持通过 Google Cloud 控制台进行扩缩。如需了解详情,请参阅服务层级。
Google Cloud 说明
在 Google Cloud 控制台中,前往“Filestore 实例”页面。
点击创建实例
根据本页面以下部分中的说明,根据需要输入所有必填字段和选填字段。
点击创建。
gcloud
准备工作
如需使用 gcloud CLI,您必须执行以下操作之一 安装 gcloud CLI 或使用 Cloud Shell Google Cloud 控制台中内置的以下功能:
用于创建 Filestore 实例的 gcloud
命令
您可以通过运行 filestore
instances create
命令来创建 Filestore 实例。
实例配额因项目、区域和层级而异。如需更多信息
请参阅配额或申请增加配额。
gcloud filestore instances create instance-id \
[--project=project-id] \
[--location=location] \
--tier=tier \
--file-share=name="file-share-name",capacity=file-share-size \
--network=name="vpc-network",[connect-mode=connect-mode],[reserved-ip-range="reserved-ip-address"]
[--labels=key=value,[key=value,…]]
[--kms-key=kms-key]
替换以下内容:
- 将 instance-id 替换为您要创建的 Filestore 实例的 ID。请参阅 为实例命名。
将 project-id 替换为需要执行身份验证的 Google Cloud 项目的 ID 包含 Filestore 实例。如果 Filestore 实例位于
gcloud
默认项目中,则可以跳过此标志。您可以通过运行config set project
来设置默认项目 命令:gcloud config set project project-id
将 location 替换为您希望 Filestore 实例所在的位置。请参阅 选择地点。 如果 Filestore 实例位于
gcloud
默认位置,则可以跳过此标志。您可以通过运行以下命令来设置默认位置config set filestore/zone
命令:gcloud config set filestore/zone zone
对于区域级或企业级层级,请使用
config set filestore/region
命令:gcloud config set filestore/region region
将 tier 替换为您的服务层级 资源。
将 file-share-name 替换为您为从实例提供的 NFS 文件共享所指定的名称。 请参阅 为文件共享命名。
将 file-share-size 替换为文件共享所需的大小。请参阅 分配容量。
将 vpc-network 替换为您希望实例使用的 VPC 网络的名称。请参阅 选择 VPC 网络。 如果您要在服务项目中指定共享 VPC,则必须指定完全限定的网络名称(格式为
projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME
),并且必须指定connect-mode=PRIVATE_SERVICE_ACCESS
。例如:--network=name=projects/host/global/networks/shared-vpc-1,connect-mode=PRIVATE_SERVICE_ACCESS
您不能指定 旧版网络 为 vpc-network 值。如有必要,请按照创建新的自动模式 VPC 网络中的说明创建要使用的新 VPC 网络。
将 connect-mode 替换为
DIRECT_PEERING
或PRIVATE_SERVICE_ACCESS
。如果您指定共享 VPC 作为网络,则还必须指定PRIVATE_SERVICE_ACCESS
作为连接模式。将 reserved-ip-address 替换为 Filestore 实例的 IP 地址范围。如果您指定
connect-mode=PRIVATE_SERVICE_ACCESS
,并且您希望使用预留的 IP 地址范围,则必须指定已分配的地址范围(而不是 CIDR 范围)的名称。请参阅 配置预留的 IP 地址。 我们建议您跳过此标志,以允许 Filestore 自动查找可用的 IP 地址范围并将其分配给实例。key 是您要添加的标签。创建 Filestore 实例时不需要添加标签。您也可以在创建实例后添加、删除或更新标签。如需了解详情,请参阅管理标签。
将 value 替换为标签的值。
kms-key 是您要在管理自己的数据加密时使用的 Cloud KMS 加密密钥的完全限定名称。格式如下所示:
projects/KMS_PROJECT_ID/locations/REGION/keyRings/KEY_RING/cryptoKeys/KEY
示例
以下命令将创建一个具有以下特征的实例:
- ID 为
render1
。 - 项目为
myproject
。 - 地区为
us-central1-c
。 - 层级为
BASIC_HDD
。 - 文件共享名称为
my_vol
。 - 文件共享大小为 2 TiB。
- VPC 网络为
default
。 - 预留 IP 地址范围为
10.0.7.0/29
。 - 使用 IP 地址
10.0.2.0
向客户端授予根压缩的读取和写入访问权限。
gcloud filestore instances create render1 \
--project=myproject \
--zone=us-central1-c \
--tier=BASIC_HDD \
--network=name="default",reserved-ip-range="10.0.7.0/29"
--flags-file=nfs-export-options.json
nfs-export-options.json
文件内容:
{
"--file-share":
{
"capacity": "2048",
"name": "my_vol",
"nfs-export-options": [
{
"access-mode": "READ_WRITE",
"ip-ranges": [
"10.0.0.0/29",
"10.2.0.0/29"
],
"squash-mode": "ROOT_SQUASH",
"anon_uid": 1003,
"anon_gid": 1003
},
{
"access-mode": "READ_ONLY",
"ip-ranges": [
"192.168.0.0/26"
],
"squash-mode": "NO_ROOT_SQUASH"
}
]
}
}
REST API
安装并初始化 gcloud CLI,以便为
Authorization
标头生成访问令牌。或者,您可以使用 OAuth 2.0 Playground 创建访问令牌,并将其包含在
Authorization
标头中。使用
cURL
调用 Filestore API:curl --request POST \ 'https://file.googleapis.com/v1/projects/PROJECT/locations/LOCATION/instances?instanceId=NAME' \ --header "Authorization: Bearer $(gcloud auth print-access-token)" \ --header 'Accept: application/json' \ --header 'Content-Type: application/json' \ --data '{"tier":"TIER","networks":[{"network":"NETWORK"}],"fileShares":[{"capacityGb":CAPACITY,"name":"SHARE_NAME"}]}' \ --compressed
其中:
PROJECT
是您存储的 实例将位于何处。例如my-genomics-project
。LOCATION
是实例所在的位置 存储位置。例如us-east1
或us-central1-a
。NAME
是您 资源。例如my-genomics-instance
。TIER
是所需的服务层级的名称 使用。例如REGIONAL
。NETWORK
是您要访问的网络的名称 使用。例如default
。CAPACITY
是您想要执行的大小(以 GiB 为单位) 分配例如1024
。SHARE_NAME
是文件共享的名称。例如vol1
。
了解实例和分享
Filestore 实例表示物理存储容量。
共享表示该存储空间中分配给个人、 唯一接入点
所有服务层级均提供与实例 1 对 1 共享的存储空间方案 宽高比。或者,使用适用于 GKE 的 Filestore 多共享, 仅适用于企业级实例,提供对多个共享的访问权限 管理单个实例
管理员使用实例名称或实例 ID 来管理实例。 客户端会使用文件共享名称来连接从这些文件中导出的共享。 实例。
指定实例名称
您的 Filestore 实例的名称(或实例 ID)用于标识实例并在 gcloud
命令中使用。实例 ID 必须符合
并将 <label>
元素设为
RFC 1035。
具体而言,他们必须:
- 长度在 1-63 个字符之间。
- 以小写字母开头。
- 由短划线、小写字母或数字组成。
- 以小写字母或数字结尾。
实例 ID 在其所在的 Google Cloud 项目和可用区中必须是唯一的 。创建实例后,其实例 ID 便无法更改。
选择服务层级
选择最符合您需求的服务层级。将一个实例 其服务层级无法更改。下表总结了 各项服务等级可用的功能:
能力 | 基本 HDD 和 基本 SSD |
可用区级 | 区域 | 企业 |
---|---|---|---|---|
容量 | 1 TiB 到 63.9 TiB | 1 TiB 到 100 TiB | 1 TiB 到 100 TiB | 1 TiB 到 10 TiB |
可扩缩性 | 以 1 GiB 或其倍数为增量纵向扩容 |
|
|
以 256 GiB 或其倍数为增量进行扩缩 |
性能 |
|
随容量线性扩缩, 在所选容量范围内的限制内 |
随容量线性扩缩, 在所选容量范围内的限制内 |
随容量线性扩缩 |
协议 | NFSv3 | NFSv3、NFSv4.1(预览版) | NFSv3、NFSv4.1(预览版) | NFSv3、NFSv4.1(预览版) |
Create
针对可用区级、区域级、
而企业实例可能需要 15 分钟到
一个小时才能完成,具体取决于实例大小。
当实例创建开始时,即会消耗 Filestore 配额,但在此期间您无需为该实例付费。
性能
下表更详细地比较了 服务等级:
规范 | 基本 HDD | 基本 SSD | 可用区级 | 区域 | 企业 |
---|---|---|---|---|---|
读取 IOPS |
|
60000 |
|
|
1 TiB 到 10 TiB 容量: 12,000-120,000 |
写入 IOPS |
|
25000 |
|
|
1 TiB 到 10 TiB 容量: 4,000-40,000 |
读取吞吐量 (MB/s) |
|
1200 |
|
|
1 TiB 到 10 TiB 容量: 120-1200 |
写入吞吐量 (MB/s) |
|
350 |
|
|
1 TiB 到 10 TiB 容量: 100-1,000 |
有关性能的详情,请参阅 性能。
如需详细了解各服务层级提供的功能,请参阅 服务层级。
分配容量
在创建实例时,根据需要分配容量。在接近容量限制时,您可以根据需要扩增容量,而不会影响运行时。如需了解如何监控实例的容量,请参阅监控实例。
在 gcloud CLI 中,您可以用整数指定容量
使用 GiB
或 TiB
。默认单位为 GiB
。
下表显示了每个层级可用的实例大小:
层级 | 大小下限 | 大小上限 | 增量步长 |
---|---|---|---|
基本 HDD | 1 TiB | 63.9 TiB | 1 GiB |
基本 SSD | 2.5 TiB | 63.9 TiB | 1 GiB |
可用区级 | 1 TiB | 9.75 TiB | 256 GiB |
可用区级 | 10 TiB | 100 TiB | 2.5 TiB |
区域 | 1 TiB | 9.75 TiB | 256 GiB |
区域 | 10 TiB | 100 TiB | 2.5 TiB |
大型企业 | 1 TiB | 10 TiB | 256 GiB |
实例大小可以是任意整数 GiB 值或其 TB 介于最小和最大实例大小之间且可被整除的等效值 按其增量步长的大小变化。例如,可用区级实例的有效大小 包括 10 TiB、12.5 TiB 和 15 TiB。
创建后,基本层级实例只能进行扩容。所有其他服务 可以增加或减少容量如需了解详情,请参阅 修改实例和扩缩容量。
总容量配额
每个项目都会被分配一个单独的容量配额,该配额按区域和 服务层级配额限制因服务层级而异。
达到配额上限后,您将无法再创建 Filestore 实例,或增加现有实例的容量。 如需查看可用配额,请转到 Google Cloud 控制台中的配额页面:
如需了解如何申请更多配额,请参阅申请增加配额。
为文件共享命名
文件共享是存储所有共享文件的 Filestore 实例上的目录。它也是您在客户端虚拟机上装载或映射到的内容。
文件共享的名称必须符合以下要求:
- 对于可用区级、区域级和企业级层级,长度介于 1-32 个字符之间,并且 基本层级的长度为 1-16 个字符。
- 以字母开头。
- 由大写或小写字母、数字和下划线组成。
- 必须以字母或数字结尾。
选择 VPC 网络
您选择用于 Filestore 的网络可以是 标准 VPC 网络或共享 VPC 网络。在 那么您选择的网络必须具有足够的可用 IP 资源 专用于 Filestore 实例,否则 创建失败。
客户端必须与 Filestore 位于同一网络上 实例访问存储在该实例上的文件。将一个实例 无法更改此网络选择。
共享 VPC 网络
如需在服务项目中的共享 VPC 网络上创建实例,网络管理员必须先为该共享 VPC 网络启用专用服务访问通道。如果您要在宿主项目中创建实例,则不需要专用服务访问通道。
共享 VPC 网络会显示在 Google Cloud 控制台的 格式:
projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME
如需详细了解过程,请参阅在共享 VPC 网络上创建实例。
NFS 文件锁定
如果您计划与此 Filestore 实例搭配使用的应用 需要 NFS 文件锁定, 并且您选择了以下任意一项,那么您可能需要打开 您所选网络中的 Filestore 使用的资源:
- 除默认网络以外的 VPC 网络。
- 防火墙规则已改变的默认 VPC 网络。
如需了解详情,请参阅配置防火墙规则。
选择位置
位置是指 Filestore 实例所在的地区和区域。为获得最佳性能并避免跨地区网络费用,请确保 Filestore 实例与需要访问实例的 Compute Engine 虚拟机位于同一地区。
如需详细了解地区和区域,请参阅地理位置和地区。
配置基于 IP 的访问权限控制
默认情况下,Filestore 实例会授予根级读写权限 包括 Compute Engine 虚拟机和 这些 GKE 集群共享同一个 Google Cloud 项目 VPC 网络。如果要限制访问权限,您需要创建适当的规则,以根据客户端的 IP 地址向客户端授予特定的访问权限级别。规则添加完毕后 被撤消的访问权限。可用区级、区域级和企业实例 支持针对重叠 IP 地址范围的配置设置。有关 相关信息,请参阅权限重叠。
下表介绍了各个访问权限级别的权限。这些访问权限 级别仅在 Google Cloud 控制台中使用。在 gcloud CLI 中 和 API,则必须直接指定规则配置。
访问权限级别 | 规则配置 | 说明 |
---|---|---|
admin |
|
客户端可以以根用户身份查看和修改所有文件、文件夹和元数据。它还可以通过设置文件或文件夹的 uid 和 gid 来向文件或文件夹授予所有权,并且这样做可以向没有文件共享的根级访问权限的客户端授予访问权限。 |
admin-viewer |
|
客户端可以以根用户身份查看所有文件、文件夹和元数据,但无法修改它们。 |
editor |
|
客户端可以根据其分配的 uid 和 gid 查看和修改文件、文件夹和元数据。 |
viewer |
|
客户端可以根据其分配的 uid 和 gid 查看文件、文件夹和元数据。 |
root-squash
会将来自 uid 0
和 gid 0
的所有请求分别映射到 anon_uid
和 anon_gid
。此配置会从尝试以根用户身份访问文件共享的客户端中移除根级访问权限。
创建基于 IP 的访问规则时:
- 您必须指定内部 IP 地址或范围以及授予的访问权限级别。
- 在创建实例时,必须至少有一条规则授予
admin
访问权限。 您可以在创建实例后移除此规则。 - 可用区级、区域级和企业实例支持以下各项的配置设置: 重叠的 IP 地址范围不支持基本层级实例。有关 相关信息,请参阅权限重叠。
在 Google Cloud 控制台中,您最多可以创建 4 条不同的规则(admin
、
admin-viewer
、editor
、viewer
),其中最多包含 64 个不同的 IP 地址或
范围。
在 gcloud CLI 中,您最多可以配置 64 个不同的 IP 地址
或每个 Filestore 实例的 CIDR 地址块数,最多为 10 个
不同规则规则是指由 access-mode
、
squash-mode
和 anon_uid
/anon_gid
配置。anon_uid
和
anon_gid
个字段的默认值是 65534
,只能配置
通过 API 和 gcloud CLI 访问 Cloud Storage 存储分区。
示例
下面是三个不同的基于 IP 的访问规则的示例:
access-mode=READ_ONLY
,squash-mode=ROOT_SQUASH
,anon_uid=10000
.access-mode=READ_WRITE
,squash-mode=ROOT_SQUASH
,anon_gid=150
.access-mode=READ_WRITE
、squash-mode=NO_ROOT_SQUASH
。
如需使用 gcloud CLI 创建基于 IP 的访问权限控制规则,请使用
--flags-file
标志,
instances create
或
instances update
命令
并将其指向一个 JSON 配置文件。例如,如果 JSON 文件
配置文件名为 nfs-export-options.json
,则该标志为:
--flags-file=nfs-export-options.json
JSON 配置文件示例:
{
"--file-share":
{
"capacity": "2048",
"name": "my_vol",
"nfs-export-options": [
{
"access-mode": "READ_WRITE",
"ip-ranges": [
"10.0.0.0/29",
"10.2.0.0/29"
],
"squash-mode": "ROOT_SQUASH",
"anon_uid": 1003,
"anon_gid": 1003
},
{
"access-mode": "READ_ONLY",
"ip-ranges": [
"192.168.0.0/26"
],
"squash-mode": "NO_ROOT_SQUASH"
}
]
}
}
- ip-ranges 是要向其中授予访问权限的 IP 地址或范围。您可以指定 用英文逗号分隔。仅限可用区级 区域级实例和企业实例支持 重叠的 IP 地址范围如需了解详情,请参阅 权限重叠。
- access-mode 是授予 IP 地址在 ip-range 范围内的客户端的访问权限级别。它可以有值
READ_WRITE
或READ_ONLY
。默认值为READ_WRITE
。 - squash-mode 可以具有值
ROOT_SQUASH
或NO_ROOT_SQUASH
。ROOT_SQUASH
移除 IP 地址在 ip-range 范围内的客户端的根级访问权限,而NO_ROOT_SQUASH
启用根访问权限。默认值为NO_ROOT_SQUASH
。 - anon_uid 是您要映射到
anon_uid
的用户 ID 值。默认值为65534
。 - anon_gid 是您要映射到
anon_gid
的群组 ID 值。默认值为65534
。
非 RFC 1918 范围上的客户端
如果您打算连接 非 RFC 1918 访问 Filestore 实例,则必须明确授权这些客户端, 对 Filestore 实例的访问权限 基于 IP 的访问权限控制。
可选字段
以下部分介绍了可选字段。
添加实例说明
通过实例说明,您可以撰写说明、备注或说明 和其他用户。例如,您可以添加以下信息:
- 实例中存储的文件类型。
- 谁有权访问该实例。
- 关于如何访问实例的说明。
- 实例的用途。
实例说明的长度上限为 2048 个字符。对允许的字符没有任何限制。创建 Filestore 实例后,您可以根据需要随时更新其实例说明。如需了解如何更新实例说明,请参阅修改实例。
添加标签
标签采用键值对形式,可用于对相关实例进行分组并存储实例的相关元数据。 您可以随时添加、删除或修改标签。如需了解详情,请参阅管理标签。
配置预留的 IP 地址范围
每个 Filestore 实例都必须具有与之关联的 IP 地址范围。两者 RFC 1918 和非 RFC 1918 IP 地址范围(GA) 。
一旦指定,实例的 IP 地址范围便无法再改变。
建议用户让 Filestore 自动确定 并将其分配给实例在选择自己的 请考虑以下 Filestore IP 资源要求:
必须使用 CIDR 表示法。
必须是有效的 VPC 子网范围。
基本实例要求的块大小为 29。例如
10.123.123.0/29
。可用区级实例、区域级实例和企业实例要求块大小为 26。例如,
172.16.123.0/26
。IP 地址范围不得与以下范围重叠:
Filestore 实例使用的 VPC 网络中的现有子网。
与 Filestore 实例使用的网络对等互连的 VPC 网络中的现有子网。如需了解详情,请参阅在对等互连时重叠子网。
分配给该网络中任何其他现有 Filestore 实例的 IP 地址范围。
172.17.0.0/16
地址范围已预留给内部 Filestore 组件。因此,存在以下限制:此范围内的客户端无法连接到 Filestore 实例。
无法在此 IP 范围内创建 Filestore 实例。对于 请参阅已知问题。
必须至少有一个 VPC 网络对等互连或专用服务访问通道 每个 VPC 的网络连接
您可以转到 Google Cloud Console 中的“VPC 网络”页面,查看网络子网的 IP 地址范围:
您可以获取任何 Filestore 的预留 IP 地址范围 实例 Google Cloud 控制台:
如果要使用专用服务访问通道并指定预留的 IP 地址范围,则必须为连接指定分配的地址范围的名称。如果未指定范围名称,则 Filestore 会自动使用与专用服务访问通道连接关联的任何已分配范围。
使用客户管理的加密密钥
默认情况下,Google Cloud 会使用 Google 管理的加密密钥自动加密静态数据。如果您需要更好地控制用于保护数据的密钥,则可以为 Filestore 使用客户管理的加密密钥 (CMEK)。如需了解详情,请参阅使用客户管理的加密密钥加密数据。
后续步骤
- 了解如何配置实例以使用 NFSv4.1 协议。
- 了解如何将实例连接到客户端: <ph type="x-smartling-placeholder">
- 了解如何检索实例详细信息(例如实例的 IP 地址), 可以从客户端访问 Filestore 文件共享。
- 排查与 Filestore 相关的实例创建问题。
- 详细了解 Virtual Private Cloud (VPC) 网络和子网。
- 详细了解 Filestore 的网络和 IP 资源要求。