创建实例

本页面介绍了如何使用 Google Cloud 控制台或 gcloud CLI 创建 Filestore 实例。

创建实例的说明

Google Cloud 控制台

  1. 在 Google Cloud 控制台中,转到“Filestore 实例”页面。

    转到“Filestore 实例”页面

  2. 点击创建实例

  3. 根据本页面以下部分中的说明,根据需要输入所有必填字段和选填字段。

  4. 点击创建

gcloud

准备工作

如需使用 gcloud CLI,您必须安装 gcloud CLI 或使用 Google Cloud 控制台内置的 Cloud Shell

转到 Google Cloud 控制台

用于创建 Filestore 实例的 gcloud 命令

您可以通过运行 filestore instances create 命令来创建 Filestore 实例。实例的配额因区域和层级而异。如需了解详情,请参阅配额申请增加配额

gcloud filestore instances create instance-id \
    [--project=project-id] \
    [--location=location] \
    --tier=tier \
    --file-share=name="file-share-name",capacity=file-share-size \
    --network=name="vpc-network",[connect-mode=connect-mode],[reserved-ip-range="reserved-ip-address"]
    [--labels=key=value,[key=value,…]]
    [--kms-key=kms-key]

替换以下内容:

  • instance-id 替换为您要创建的 Filestore 实例的 ID。请参阅为实例命名
  • project-id 替换为包含 Filestore 实例的 Google Cloud 项目的 ID。如果 Filestore 实例位于 gcloud 默认项目中,则可以跳过此标志。您可以通过运行 config set project 命令来设置默认项目:

      gcloud config set project project-id
    
  • location 替换为您希望 Filestore 实例所在的位置。请参阅选择位置。 如果 Filestore 实例位于 gcloud 默认位置,则可以跳过此标志。您可以通过运行 config set filestore/zone 命令来设置默认位置:

      gcloud config set filestore/zone zone
    

    对于企业层级,请使用 config set filestore/region 命令:

      gcloud config set filestore/region region
    
  • tier 替换为您要使用的服务层级

  • file-share-name 替换为您为从实例提供的 NFS 文件共享所指定的名称。请参阅为文件共享命名

  • file-share-size 替换为文件共享所需的大小。请参阅分配容量

  • vpc-network 替换为您希望实例使用的 VPC 网络的名称。请参阅选择 VPC 网络。如果您要在服务项目中指定共享 VPC,则必须指定完全限定的网络名称(格式为 projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME),并且必须指定 connect-mode=PRIVATE_SERVICE_ACCESS。例如:

    --network=name=projects/host/global/networks/shared-vpc-1,connect-mode=PRIVATE_SERVICE_ACCESS
    

    您不能指定旧版网络作为 vpc-network 值。如有必要,请按照创建新的自动模式 VPC 网络中的说明创建要使用的新 VPC 网络。

  • connect-mode 替换为 DIRECT_PEERINGPRIVATE_SERVICE_ACCESS。如果您指定共享 VPC 作为网络,则还必须指定 PRIVATE_SERVICE_ACCESS 作为连接模式。

  • reserved-ip-address 替换为 Filestore 实例的 IP 地址范围。如果您指定 connect-mode=PRIVATE_SERVICE_ACCESS,并且您希望使用预留的 IP 地址范围,则必须指定已分配的地址范围(而不是 CIDR 范围)的名称。请参阅配置预留 IP 地址。我们建议您跳过此标志,以允许 Filestore 自动查找可用的 IP 地址范围并将其分配给实例。

  • key 是您要添加的标签。创建 Filestore 实例时不需要添加标签。您也可以在创建实例后添加、删除或更新标签。如需了解详情,请参阅管理标签

  • value 替换为标签的值。

  • kms-key 是您要在管理自己的数据加密时使用的 Cloud KMS 加密密钥的完全限定名称。格式如下所示:

    projects/KMS_PROJECT_ID/locations/REGION/keyRings/KEY_RING/cryptoKeys/KEY
    

示例

以下命令将创建一个具有以下特征的实例:

  • ID 为 render1
  • 项目为 myproject
  • 地区为 us-central1-c
  • 层级为 BASIC_HDD
  • 文件共享名称为 my_vol
  • 文件共享大小为 2 TiB。
  • VPC 网络为 default
  • 预留 IP 地址范围为 10.0.7.0/29
  • 使用 IP 地址 10.0.2.0 向客户端授予根压缩的读取和写入访问权限。
gcloud filestore instances create render1 \
  --project=myproject \
  --zone=us-central1-c \
  --tier=BASIC_HDD \
  --network=name="default",reserved-ip-range="10.0.7.0/29"
  --flags-file=nfs-export-options.json

nfs-export-options.json 文件内容:

 {
"--file-share":
  {
    "capacity": "2048",
    "name": "my_vol",
    "nfs-export-options": [
      {
        "access-mode": "READ_WRITE",
        "ip-ranges": [
          "10.0.0.0/29",
          "10.2.0.0/29"
        ],
        "squash-mode": "ROOT_SQUASH",
        "anon_uid": 1003,
        "anon_gid": 1003
      },
      {
        "access-mode": "READ_ONLY",
        "ip-ranges": [
          "192.168.0.0/26"
        ],
        "squash-mode": "NO_ROOT_SQUASH"
      }
    ]
  }
}

了解实例和共享

Filestore 实例表示物理存储容量。

共享表示该存储空间的分配部分,其中包含单独的唯一接入点。

所有服务层级都提供具有 1:1 共享与实例比率的存储方案。另外,适用于 GKE 的 Filestore 多共享功能仅适用于企业级实例,它支持访问单个实例上的多个共享。

管理员使用实例名称或实例 ID 来管理实例。 客户端使用文件共享名称连接到从这些实例导出的共享。

指定实例名称

您的 Filestore 实例的名称(或实例 ID)用于标识实例并在 gcloud 命令中使用。实例 ID 必须符合 RFC 1035 的 <label> 元素。具体而言,他们必须:

  • 长度在 1-63 个字符之间。
  • 以小写字母开头。
  • 由短划线、小写字母或数字组成。
  • 以小写字母或数字结尾。

此实例 ID 在其所在的 Google Cloud 项目和可用区中必须是唯一的。创建实例后,其实例 ID 便无法更改。

选择服务层级

Filestore 实例的服务层级是其实例类型存储类型的组合。创建实例后,其服务层级便无法更改。

实例类型

选择最符合您的需求的实例类型。下表重点介绍了基本可用区级企业版实例类型之间的区别:

能力 基本 可用区级 Enterprise
容量 1 TiB 至 63.9 TiB 1 TiB 到 100 TiB 1 TiB 到 10 TiB
可伸缩性 以 1 GiB 或其倍数为增量纵向扩容
  • 可用区级低容量频段:以 256 GiB 或 1 的倍数为增量纵向扩容或缩容
  • 可用区级高容量频段:以 2.5 TiB 或其倍数为增量向上或缩小
以 256 GiB 或其倍数为增量向上或缩小
性能
  • 基本 HDD:静态
  • 基本 SSD:10 TiB 的性能步骤
根据容量线性扩缩,
在所选容量带宽的限制范围内
根据容量线性扩缩
协议 NFSv3 NFSv3、NFSv4.1 NFSv3、NFSv4.1

可用区级和企业实例的 Create 操作可能需要 15 分钟到一小时才能完成,具体取决于实例大小。

当实例创建开始时,即会消耗 Filestore 配额,但在此期间您无需为该实例付费。

如需详细了解服务层级支持的功能,请参阅服务层级页面。

存储类型

如需创建实例,请根据您的性能需求选择存储类型。例如,为性能关键型工作负载选择基本 SSD 服务层级。

下表重点介绍了服务层级之间的性能差异:

规范 基本 HDD 基本 SSD 容量频段较低的
可用区
具有更高
容量频段的可用区
Enterprise
读取 IOPS
  • 1–10 TiB 容量:600
  •  10+ TiB 容量:1000
60000 9200-89700 92,000-920,000 12,000-117,000
写入 IOPS
  • 1–10 TiB 容量:1000
  • 10+ TiB 容量:5000
25,000 2600-25350 26,000-260,000 4000-40000
读取吞吐量 (MB/s)
  • 1-10 TiB 容量:100
  • 10+ TiB 容量:180
1200 260-2535 2600-26000 120-1200
写入吞吐量 (MB/s)
  • 1–10 TiB 容量:100
  • 10+ TiB 容量:120
350 88-858 880-8800 100-1000

如需详细了解性能,请参阅性能服务层级页面。

分配容量

在创建实例时,根据需要分配容量。在接近容量限制时,您可以根据需要扩增容量,而不会影响运行时。如需了解如何监控实例的容量,请参阅监控实例

在 gcloud CLI 中,您可以使用 GiBTiB 以整数形式指定容量。默认单位是 GiB

下表显示了每个层级可用的实例大小:

层级 大小下限 大小上限 增量步长
基本 HDD 1 TiB 63.9 TiB 1 GiB
基本 SSD 2.5 TiB 63.9 TiB 1 GiB
容量频段较低的可用区级 1 TiB 9.75 TiB 256 GiB
具有更高容量频段的可用区级 10 TiB 100 TiB 2.5 TiB
大型企业 1 TiB 10 TiB 256 GiB

实例的大小可以是任何整数吉比字节值,也可以是介于最小和最大实例大小之间的任意整数吉比字节值,并且可被其增量步长整除。例如,具有更高容量频段的可用区级实例的有效大小包括 10 TiB、12.5 TiB 和 15 TiB。

创建后,基本层级实例只能纵向扩容。所有其他服务层级都可以增加或减少容量。如需了解详情,请参阅修改实例扩缩容量

总容量配额

对于每个项目,每个项目都为每个区域的基本层级、可用区级和企业级实例分配单独的容量配额。达到配额限制后,您将无法创建更多 Filestore 实例,也无法增加现有实例的容量。如需查看可用配额,请前往 Google Cloud 控制台中的“配额”页面:

进入“配额”页面

如需了解如何申请更多配额,请参阅申请增加配额

为文件共享命名

文件共享是存储所有共享文件的 Filestore 实例上的目录。它也是您在客户端虚拟机上装载或映射到的内容。

文件共享的名称必须符合以下要求:

  • 对于可用区级和企业层级,长度介于 1-32 个字符之间;对于基本层级,长度为 1-16 个字符。
  • 以字母开头。
  • 由大写或小写字母、数字和下划线组成。
  • 必须以字母或数字结尾。

选择 VPC 网络

选择用于 Filestore 的网络可以是标准 VPC 网络,也可以是共享 VPC 网络。在这两种情况下,您选择的网络都必须具有足够的可用 IP 资源来专用于 Filestore 实例,否则该实例将无法创建

客户端必须与 Filestore 实例位于同一网络中,才能访问存储在该实例上的文件。创建实例后,此网络选择便无法更改。

共享 VPC 网络

如需在服务项目中的共享 VPC 网络上创建实例,网络管理员必须先为该共享 VPC 网络启用专用服务访问通道。如果您要在宿主项目中创建实例,则不需要专用服务访问通道。

共享 VPC 网络在 Google Cloud 控制台中按以下格式显示:

projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME

如需详细了解过程,请参阅在共享 VPC 网络上创建实例

NFS 文件锁定

如果您计划与此 Filestore 实例搭配使用的应用需要 NFS 文件锁定,并且您选择了以下任一选项,则可能需要在您选择的网络中打开 Filestore 使用的端口:

  • 除默认网络以外的 VPC 网络。
  • 防火墙规则已改变的默认 VPC 网络。

如需了解详情,请参阅配置防火墙规则

选择位置

位置是指 Filestore 实例所在的地区区域。为获得最佳性能并避免跨地区网络费用,请确保 Filestore 实例与需要访问实例的 Compute Engine 虚拟机位于同一地区。

如需详细了解地区和区域,请参阅地理位置和地区

配置基于 IP 的访问权限控制

默认情况下,Filestore 实例会向共享同一 Google Cloud 项目和 VPC 网络的所有客户端(包括 Compute Engine 虚拟机和 GKE 集群)授予根级读写权限。如果要限制访问权限,您需要创建适当的规则,以根据客户端的 IP 地址向客户端授予特定的访问权限级别。添加规则后,规则中未指定的所有 IP 地址和范围都将被撤消访问权限。可用区级和企业级实例支持对重叠的 IP 地址范围的配置设置。如需了解详情,请参阅重叠权限

下表介绍了各个访问权限级别的权限。这些访问权限级别仅在 Google Cloud 控制台中使用。在 gcloud CLI 和 API 中,您必须直接指定规则配置。

访问权限级别 规则配置 说明
admin
  • 读—写
  • 无根用户废除
客户端可以以根用户身份查看和修改所有文件、文件夹和元数据。它还可以通过设置其 uidgid 来授予文件或文件夹的所有权,从而向没有文件共享根级访问权限的客户端授予访问权限。
admin-viewer
  • 只读
  • 无根用户废除
客户端可以以根用户身份查看所有文件、文件夹和元数据,但无法修改它们。
编辑者
  • 读—写
  • 根用户废除
客户端可以根据其分配的 uidgid 查看和修改文件、文件夹和元数据。
查看者
  • 只读
  • 根用户废除
客户端可以根据其分配的 uidgid 查看文件、文件夹和元数据。

root-squash 会将来自 uid 0gid 0 的所有请求分别映射到 anon_uidanon_gid。此配置会从尝试以根用户身份访问文件共享的客户端中移除根级访问权限。

创建基于 IP 的访问规则时:

  • 您必须指定内部 IP 地址或范围以及授予的访问权限级别。
  • 在创建实例时,必须至少有一条规则授予 admin 访问权限。创建实例后,此规则即可移除。
  • 可用区级和企业级实例支持对重叠的 IP 地址范围进行配置设置。不支持基本层级实例。如需了解详情,请参阅重叠权限

在 Google Cloud 控制台中,您最多可以创建 4 条不同的规则(管理员、管理员、编辑者、查看者),最多涉及 64 个不同的 IP 地址或范围。

在 gcloud CLI 中,您最多可以为每个 Filestore 实例配置 64 个不同的 IP 地址或 CIDR 地址块(基于最多 10 条不同的规则)。规则定义为 access-modesquash-modeanon_uid/anon_gid 配置的组合。anon_uidanon_gid 字段的默认值为 65534,只能通过 API 和 gcloud CLI 进行配置。

示例

下面是三个不同的基于 IP 的访问规则的示例:

  • access-mode=READ_ONLYsquash-mode=ROOT_SQUASHanon_uid=10000
  • access-mode=READ_WRITEsquash-mode=ROOT_SQUASHanon_gid=150
  • access-mode=READ_WRITEsquash-mode=NO_ROOT_SQUASH

如需使用 gcloud CLI 创建基于 IP 的访问权限控制规则,请将 --flags-file 标志与 instances createinstances update 命令搭配使用,并将其指向 JSON 配置文件。例如,如果 JSON 配置文件名为 nfs-export-options.json,该标志将为:

--flags-file=nfs-export-options.json

JSON 配置文件示例:

   {
  "--file-share":
    {
      "capacity": "2048",
      "name": "my_vol",
      "nfs-export-options": [
        {
          "access-mode": "READ_WRITE",
          "ip-ranges": [
            "10.0.0.0/29",
            "10.2.0.0/29"
          ],
          "squash-mode": "ROOT_SQUASH",
          "anon_uid": 1003,
          "anon_gid": 1003
        },
         {
          "access-mode": "READ_ONLY",
          "ip-ranges": [
            "192.168.0.0/26"
          ],
          "squash-mode": "NO_ROOT_SQUASH"
        }
      ]
    }
}
  • ip-ranges 是授予访问权限的 IP 地址或范围。您可以指定多个 IP 地址或范围,只需用英文逗号分隔即可。只有可用区级和企业级实例支持针对重叠 IP 地址范围的配置设置。如需了解详情,请参阅重叠权限
  • access-mode 是授予 IP 地址在 ip-range 范围内的客户端的访问权限级别。它可以有值 READ_WRITEREAD_ONLY。默认值为 READ_WRITE
  • squash-mode 可以具有值 ROOT_SQUASHNO_ROOT_SQUASHROOT_SQUASH 移除 IP 地址在 ip-range 范围内的客户端的根级访问权限,而 NO_ROOT_SQUASH 启用根访问权限。默认值为 NO_ROOT_SQUASH
  • anon_uid 是您要映射到 anon_uid 的用户 ID 值。默认值为 65534
  • anon_gid 是您要映射到 anon_gid 的群组 ID 值。默认值为 65534

非 RFC 1918 范围内的客户端

如果您计划将非 RFC 1918 客户端连接到 Filestore 实例,则必须使用基于 IP 的访问权限控制明确授予其对 Filestore 实例的访问权限。

可选字段

以下部分介绍了可选字段。

添加实例说明

通过实例说明,您可以为自己和其他用户编写说明、备注或简单说明。例如,您可以添加以下信息:

  • 实例中存储的文件类型。
  • 谁有权访问该实例。
  • 关于如何访问实例的说明。
  • 实例的用途。

实例说明的长度上限为 2048 个字符。对允许的字符没有任何限制。创建 Filestore 实例后,您可以根据需要随时更新其实例说明。如需了解如何更新实例说明,请参阅修改实例

添加标签

标签采用键值对形式,可用于对相关实例进行分组并存储实例的相关元数据。 您可以随时添加、删除或修改标签。如需了解详情,请参阅管理标签

配置预留的 IP 地址范围

每个 Filestore 实例都必须具有与之关联的 IP 地址范围。RFC 1918 和非 RFC 1918 IP 地址范围 (GA) 均受支持。

建议用户让 Filestore 自动确定免费 IP 地址范围并将其分配给实例。选择自己的范围时,请考虑以下 Filestore IP 资源要求:

  • 必须使用 CIDR 表示法。

  • 必须是有效的 VPC 子网范围

  • 基本层级实例需要的块大小为 29。例如 10.123.123.0/29

  • 可用区级和企业级实例需要的块大小为 26。例如,172.16.123.0/26

  • IP 地址范围不得与以下地址重叠:

    • Filestore 实例使用的 VPC 网络中的现有子网。

    • 与 Filestore 实例使用的网络对等互连的 VPC 网络中的现有子网。如需了解详情,请参阅在对等互连时重叠子网

    • 分配给该网络中任何其他现有 Filestore 实例的 IP 地址范围。

    • 172.17.0.0/16 地址范围,专为内部组件预留。如需了解详情,请参阅已知问题

  • 每个 VPC 必须至少有一个 VPC 网络对等互连或专用服务访问通道连接。

您可以转到 Google Cloud Console 中的“VPC 网络”页面,查看网络子网的 IP 地址范围:

转到“VPC 网络”页面

您可以在 Google Cloud 控制台的“Filestore 实例”页面上获取任何 Filestore 实例的预留 IP 地址范围:

转到“Filestore 实例”页面

如果要使用专用服务访问通道并指定预留的 IP 地址范围,则必须为连接指定分配的地址范围的名称。如果未指定范围名称,则 Filestore 会自动使用与专用服务访问通道连接关联的任何已分配范围。

使用客户管理的加密密钥

默认情况下,Google Cloud 会使用 Google 管理的加密密钥自动加密静态数据。如果您需要更好地控制用于保护数据的密钥,则可以为 Filestore 使用客户管理的加密密钥 (CMEK)。如需了解详情,请参阅使用客户管理的加密密钥加密数据

后续步骤