ネットワーク構成と IP リソースの要件

このページでは、Filestore のネットワーク構成と IP リソースの要件について説明します。

接続サポート

Filestore は、VPC ネットワーク ピアリングまたはプライベート サービス アクセスを使用して VPC ネットワークに接続します。次の表は、どの接続方法がサポートするシナリオかを示しています。

シナリオ VPC ネットワーク ピアリング プライベート サービス アクセス
スタンドアロン VPC ネットワークを持つインスタンスを作成します。
ホスト プロジェクトから共有 VPC ネットワークにインスタンスを作成する。
サービス プロジェクトから共有 VPC ネットワークにインスタンスを作成する。
複数の Google サービスで一元化された IP 範囲の管理を使用する
Cloud VPN または Cloud Interconnect を使用して、オンプレミス ネットワークからインスタンスにアクセスする。

Filestore では、次の接続シナリオがサポートされています。

  • Compute Engine VM または GKE クラスタの多くは、同じ VPC ネットワーク上にある任意の Filestore インスタンスにアクセスできます。IP ベースのアクセス制御を使用してアクセスを制限しない限り、選択した VPC ネットワーク内のすべての内部 IP アドレスは Filestore インスタンスに接続できます。
    • 172.17.0.0/16 範囲の IP アドレスを持つクライアントは、Filestore インスタンスに接続できません。詳しくは、Known Issues をご覧ください。
  • Cloud VPN または Cloud Interconnect を使用して、Filestore インスタンスをリモート ネットワーク内のクライアントに接続できます。これには別のプロジェクトのクライアントやオンプレミス クライアントが含まれます。
  • RFC 1918 以外のクライアントを Filestore に接続できます。この場合は、IP ベースのアクセス制御を使用して Filestore インスタンスへのアクセス権を明示的に付与する必要があります。

Filestore は推移的ピアリングをサポートしていません。たとえば、VPC ネットワーク N1 が Filestore の内部ネットワークにピアリングされ、別の VPC ネットワーク N2 が N1 にピアリングされている場合、N2 は Filestore インスタンスに接続できません。Filestore インスタンスにアクセスできるのは、N1 のクライアントのみです。

ファイアウォール ルール

次のようなシナリオでは、ファイアウォール ルールの作成が必要になる場合があります。

  • NFS ファイルロックを有効にするには、statd デーモンと nlockmgr デーモンが使用するポートを開く必要があります。詳細については、ファイアウォール ルールの構成をご覧ください。
  • 共有 VPC のシナリオでは、NFS アクセスはデフォルトではサービス プロジェクトに限定されません。ファイアウォール ルールを設定するか、IP ベースのアクセス制御を使用してアクセスを制限できますが、これらのソリューションは特にプロジェクトの境界を適用しません。

レガシー ネットワークのサポート

Cloud Filestore インスタンスではレガシー ネットワークを使用できません。必要であれば、カスタム サブネットを使用して新しい VPC ネットワークを作成するの手順に沿って、使用する VPC ネットワークを新規作成します。

IP リソースの要件

Filestore インスタンスのそれぞれに、IP アドレス範囲が関連付けられている必要があります。RFC 1918 と RFC 1918 以外の IP アドレス範囲(一般提供)の両方がサポートされています。

ユーザーに、Filestore が空いている IP アドレス範囲を自動的に見つけてインスタンスに割り当てられるようにすることをおすすめします。独自の範囲を選択する場合は、特定の Filestore 要件について予約済み IP アドレスの範囲を構成するをご覧ください。

次のステップ