Sie können Filestore-Instanzen in einem freigegebenen VPC-Netzwerk entweder im Hostprojekt oder in einem der zugehörigen Dienstprojekte erstellen. Beim Erstellen einer Instanz im Hostprojekt können Sie das freigegebene VPC-Netzwerk wie gewohnt auswählen und Dienstprojektclients können eine Verbindung zur Instanz herstellen. Wenn Sie die Instanz jedoch in einem Dienstprojekt erstellen möchten, müssen Sie zuerst den Zugriff auf private Dienste im freigegebenen VPC-Netzwerk vom Hostprojekt aus aktivieren.
Ziele
- Aktivieren Sie den Zugriff auf private Dienste im freigegebenen VPC-Netzwerk.
- Erstellen Sie eine Instanz im freigegebenen VPC-Netzwerk.
- Stellen Sie die Instanz bereit.
Kosten
In diesem Dokument verwenden Sie die folgenden kostenpflichtigen Komponenten von Google Cloud:
Mit dem Preisrechner können Sie eine Kostenschätzung für Ihre voraussichtliche Nutzung vornehmen.
Nach Abschluss der in diesem Dokument beschriebenen Aufgaben können Sie weitere Kosten vermeiden, indem Sie die erstellten Ressourcen löschen. Weitere Informationen finden Sie unter Bereinigen.
Hinweise
-
Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein.
- Erstellen Sie ein freigegebenes VPC-Netzwerk mit einem Hostprojekt und einem verbundenen Dienstprojekt.
-
Enable the Filestore and Service Networking APIs.
Zugriff auf private Dienste im freigegebenen VPC-Netzwerk aktivieren
Zum Erstellen einer Filestore-Instanz in einem Dienstprojekt, das einen freigegebenes VPC-Netzwerk muss das freigegebene VPC-Netzwerk Zugriff auf private Dienste (PSA) aktiviert. Weitere Informationen finden Sie unter Reservierten IP-Adressbereich konfigurieren für bestimmte Filestore-Anforderungen.
Prüfen, ob der Zugriff auf private Dienste für das freigegebene VPC-Netzwerk aktiviert ist
Prüfen Sie mit einer der folgenden Methoden, ob der Zugriff auf private Dienste bereits für das freigegebene VPC-Netzwerk aktiviert ist:
Google Cloud Console
Rufen Sie in der Google Cloud Console die Seite „Filestore-Instanzen“ auf.
Klicken Sie auf Instanz erstellen.
Wählen Sie das freigegebene VPC-Netzwerk aus, das Sie verwenden möchten.
Klicken Sie auf Erweiterte Netzwerkoptionen.
Im Abschnitt Verbindung für den Zugriff auf private Dienste wird angezeigt, ob der Zugriff auf private Dienste aktiviert ist.
gcloud-CLI
Führen Sie dazu den Befehl services vpc-peerings list
aus.
gcloud beta services vpc-peerings list \
--network=SHARED_VPC_NAME \
--project=HOST_PROJECT_ID
Ersetzen Sie Folgendes:
- SHARED_VPC_NAME durch den Namen des freigegebenen VPC-Netzwerks, das Sie für Ihre Filestore-Instanz verwenden möchten.
- HOST_PROJECT_ID durch die Projekt-ID des Hostprojekts, das das freigegebene VPC-Netzwerk enthält.
Wenn der Zugriff auf private Dienste bereits aktiviert ist, zeigt die Antwort, dass ein Peering für servicenetworking-googleapis-com
eingerichtet wurde:
network: projects/PROJECT_NUMBER/global/networks/SHARED_VPC_NAME
peering: servicenetworking-googleapis-com
reservedPeeringRanges: RANGES
Wenn der Zugriff auf private Dienste für das freigegebene VPC-Netzwerk aktiviert ist, können Sie dort Filestore-Instanzen erstellen. Andernfalls müssen Sie zuerst den Zugriff auf private Dienste aktivieren.
Zugriff auf private Dienste aktivieren
Sie müssen die Rolle "Inhaber" (roles/owner
), "Bearbeiter" (roles/editor
) oder "Administrator für die Netzwerkverwaltung" (roles/networkmanagement.admin
) haben, um zugewiesene IP-Adressbereiche erstellen und private Verbindungen verwalten zu können. Wenden Sie sich an Ihren Netzwerkadministrator, wenn Sie diese Berechtigungen nicht haben. Weitere Informationen finden Sie unter Informationen zu Rollen.
Aktivieren Sie den Zugriff auf private Dienste in einem freigegebenen VPC-Netzwerk mit einer der folgenden Methoden:
Google Cloud Console
IP-Adressbereich im freigegebenen VPC-Netzwerk für von Google verwaltete Dienste reservieren
Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.
Wählen Sie das Hostprojekt aus, das das freigegebene VPC-Netzwerk enthält, das Sie verwenden möchten.
Klicken Sie auf den Namen des freigegebenen VPC-Netzwerks, in dem Sie Ihre Filestore-Instanz erstellen möchten.
Wählen Sie den Tab Private Dienstverbindung aus.
Wählen Sie auf dem Tab Private Dienstverbindung den Tab Diensten zugewiesene IP-Bereiche aus.
Klicken Sie auf IP-Bereich zuweisen und konfigurieren Sie ihn so:
- Name:
google-service-range
- Description:
Peering range for Google managed services
IP-Bereich:
- Wählen Sie Automatisch aus.
- Geben Sie in das Textfeld
20
für das Präfix ein. Dieser Bereich wird von allen von Google Cloud verwalteten Diensten verwendet. In der Praxis muss er also möglicherweise etwas größer sein. Instanzen der Basisstufe erfordern das Präfix /29 und Instanzen der zonalen Stufe mit einem höheren Kapazitätsbereich (zuvor hoch) skalierten SSD) und zonalen Instanzen mit einem niedrigeren Kapazitätsbereich erfordern ein /26-Präfix.
- Name:
Klicken Sie auf Zuweisen, um den zugewiesenen Bereich zu erstellen.
Private Verbindung für das freigegebene VPC-Netzwerk und das Netzwerk der von Google verwalteten Dienste erstellen
Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.
Wählen Sie das Hostprojekt aus, das das freigegebene VPC-Netzwerk enthält, das Sie verwenden möchten.
Klicken Sie auf den Namen des freigegebenen VPC-Netzwerks, in dem Sie Ihre Filestore-Instanz erstellen möchten.
Wählen Sie den Tab Private Dienstverbindung aus.
Wählen Sie auf dem Tab Private Dienstverbindung den Tab Private Verbindungen zu Diensten aus.
Klicken Sie auf Verbindung erstellen.
Wählen Sie für Zugewiesene Zuordnung die Option
google-service-range
aus.Klicken Sie auf Verbinden, um die Verbindung zu erstellen.
gcloud-CLI
Reservieren Sie einen IP-Adressbereich im freigegebenen VPC-Netzwerk für von Google verwaltete Dienste, indem Sie den folgenden
compute addresses create
-Befehl ausführen:gcloud compute addresses create google-service-range \ --global \ --purpose=VPC_PEERING \ --prefix-length=PREFIX \ --description="Peering range for Google managed services" \ --network=SHARED_VPC_NAME \ --project=PROJECT_ID
Ersetzen Sie Folgendes:
- PREFIX durch eine Präfixlänge. Instanzen der Basic-Stufe erfordern das Präfix /29 und Instanzen der zonalen Stufe benötigen das Präfix /26. Dieser Bereich wird jedoch von allen von Google Cloud verwalteten Diensten verwendet. Wenn Sie mehrere Filestore-Instanzen oder andere von Google Cloud verwaltete Dienste verwenden möchten, benötigen Sie ein größeres Präfix, z. B. /20.
- SHARED_VPC_NAME durch den Namen des freigegebenen VPC-Netzwerks, in dem Sie Ihre Filestore-Instanz erstellen möchten.
- PROJECT_ID durch die Projekt-ID des Hostprojekts, das das freigegebene VPC-Netzwerk enthält.
Erstellen Sie eine private Verbindung für das freigegebene VPC-Netzwerk und den Zum Netzwerk der verwalteten Google-Dienste führen Sie den Befehl
services vpc-peerings connect
aus:gcloud services vpc-peerings connect \ --service=servicenetworking.googleapis.com \ --ranges=google-service-range \ --network=SHARED_VPC_NAME \ --project=HOST_PROJECT_ID
Ersetzen Sie Folgendes:
- SHARED_VPC_NAME durch den Namen des freigegebenen VPC-Netzwerks, in dem Sie Ihre Filestore-Instanz erstellen möchten.
- HOST_PROJECT_ID durch die Projekt-ID des Hostprojekts, das das freigegebene VPC-Netzwerk enthält.
Der Befehl initiiert einen Vorgang mit langer Ausführungszeit und gibt einen Vorgangsnamen zurück.
Überprüfen Sie mit dem
services vpc-peerings operations describe
Befehl:gcloud services vpc-peerings operations describe \ --name=OPERATION_NAME
Ersetzen Sie OPERATION_NAME durch den Vorgangsnamen, der im vorherigen Schritt zurückgegeben wurde.
Weitere Informationen zum Zuweisen von IP-Adressbereichen und zum Erstellen privater Verbindungen finden Sie unter Zugriff auf private Dienste konfigurieren.
Optional: VPC Service Controls aktivieren
Sobald der Zugriff auf private Dienste aktiviert ist, können Sie optional VPC Service Controls aktivieren. Führen Sie dazu den
services vpc-peerings enable-vpc-service-controls
-Befehl:
gcloud beta services vpc-peerings enable-vpc-service-controls \
--network=SHARED_VPC_NAME \
--project=HOST_PROJECT_ID \
--service=servicenetworking.googleapis.com
Ersetzen Sie Folgendes:
- SHARED_VPC_NAME durch den Namen des freigegebenen VPC-Netzwerks, in dem Sie Ihre Filestore-Instanz erstellen möchten.
- HOST_PROJECT_ID durch die Projekt-ID des Hostprojekts, das das freigegebene VPC-Netzwerk enthält.
Weitere Informationen zur Verwendung von Filestore mit VPC Service Controls finden Sie unter Instanzen mit einem Dienstperimeter sichern.
Filestore-Instanz im freigegebenen VPC-Netzwerk erstellen
Sobald in Ihrem freigegebenen VPC-Netzwerk der Zugriff auf private Dienste aktiviert ist, können Sie darin Filestore-Instanzen aus einem Dienstprojekt erstellen.
Google Cloud Console
Rufen Sie in der Google Cloud Console die Seite „Filestore-Instanzen“ auf.
Klicken Sie auf Instanz erstellen und konfigurieren Sie die Instanz wie folgt.
- Legen Sie als Instanz-ID
nfs-server
fest. - Wählen Sie als Instanztyp die Option Basis aus.
- Legen Sie Speichertyp auf HDD fest.
- Setzen Sie Kapazität zuweisen auf 1
TB
. - Legen Sie für Region den Wert us-central1 und für Zone den Wert us-central1-a fest.
- Legen Sie für VPC-Netzwerk das freigegebene VPC-Netzwerk fest, das im Format „projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME“ angezeigt wird.
- Legen Sie Fileshare-Name auf
vol1
fest. - Setzen Sie Zugewiesener IP-Bereich auf Automatisch zugewiesenen IP-Bereich verwenden.
- Setzen Sie Zugriffssteuerungen auf Zugriff auf alle Clients gewähren.
- Legen Sie als Instanz-ID
Klicken Sie auf Erstellen.
gcloud-CLI
Führen Sie dazu den Befehl instances create
aus.
gcloud filestore instances create nfs-server \
--project=SERVICE_PROJECT_ID \
--zone=us-central1-c \
--tier=BASIC_HDD \
--file-share=name="vol1",capacity=1TiB \
--network=name="projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME",connect-mode=PRIVATE_SERVICE_ACCESS
Ersetzen Sie Folgendes:
- SERVICE_PROJECT_ID durch die Projekt-ID des Dienstprojekts, in dem Sie eine Filestore-Instanz erstellen möchten.
- HOST_PROJECT_ID durch die Projekt-ID des Hostprojekts, das das freigegebene VPC-Netzwerk enthält.
- SHARED_VPC_NAME durch den Namen des freigegebenen VPC-Netzwerks, in dem Sie Ihre Filestore-Instanz erstellen möchten.
Optional: Subnetzrouten importieren
Wenn Ihre Filestore-Instanzen öffentliche IP-Adressen (nicht RFC 1918-IP-Adressen) verwenden und Sie PSA aktivieren, müssen Sie die Subnetzrouten der öffentlichen IP-Adressen der Instanz in das freigegebene VPC-Netzwerk importieren. Aktualisieren Sie dazu das VPC-Peering des Dienstnetzwerks, damit Subnetzrouten mit öffentlichen IP-Adressen importiert werden können. Weitere Informationen finden Sie unter Peering aktualisieren Verbindung.
Instanz auf einem Dienstprojektclient bereitstellen
Nachdem Sie eine Filestore-Instanz in einem freigegebenen VPC-Netzwerk erstellt haben, können Sie diese Instanz für jeden Client im selben Netzwerk bereitstellen. Eine Anleitung zum Bereitstellen finden Sie unter Dateifreigaben auf Compute Engine-Clients bereitstellen.
Bereinigen
Damit Ihrem Google Cloud-Konto die in dieser Anleitung verwendeten Ressourcen nicht in Rechnung gestellt werden, löschen Sie entweder das Projekt, das die Ressourcen enthält, oder Sie behalten das Projekt und löschen die einzelnen Ressourcen.
Filestore-Instanz löschen
Google Cloud Console
Rufen Sie in der Google Cloud Console die Seite „Filestore-Instanzen“ auf.
Klicken Sie auf die Instanz-ID
nfs-server
, um die Detailseite der Instanz zu öffnen.Klicken Sie auf Löschen delete.
Geben Sie bei Aufforderung die Instanz-ID ein.
Klicken Sie auf Löschen.
gcloud-CLI
Löschen Sie die nfs-server
-Instanz mit dem Befehl instances delete
:
gcloud filestore instances delete nfs-server --zone=us-central1-c