Créer une instance sur un réseau VPC partagé dans des projets de service

Ce tutoriel vous explique comment créer une instance Filestore sur un réseau VPC partagé à partir d'un projet de service.

Vous pouvez créer des instances Filestore sur un réseau VPC partagé dans le projet hôte ou l'un de ses projets de service associés. Lors de la création d'une instance dans le projet hôte, vous pouvez sélectionner le réseau VPC partagé comme d'habitude et les clients du projet de service peuvent se connecter à l'instance. Toutefois, si vous souhaitez créer l'instance dans un projet de service, vous devez d'abord activer l'accès privé aux services sur le réseau VPC partagé à partir du projet hôte.

Objectifs

Activez l'accès privé aux services sur le réseau VPC partagé.
Créez une instance sur le réseau VPC partagé.
Installez l'instance.

Coûts

Dans ce document, vous utilisez les composants facturables suivants de Google Cloud :

Filestore

Obtenez une estimation des coûts en fonction de votre utilisation prévue à l'aide du simulateur de coût. Les nouveaux utilisateurs de Google Cloud peuvent bénéficier d'un essai gratuit.

Une fois que vous avez terminé les tâches décrites dans ce document, vous pouvez éviter de continuer à payer des frais en supprimant les ressources que vous avez créées. Pour en savoir plus, consultez la section Effectuer un nettoyage.

Avant de commencer

Vérifiez que la facturation est activée pour votre projet Google Cloud.
Créez un réseau VPC partagé avec un projet hôte et un projet de service connecté.
Activer les API Filestore and Service Networking.
Activer les API

Activer l'accès privé aux services sur le réseau VPC partagé

Pour que vous puissiez créer une instance Filestore dans un projet de service utilisant un réseau VPC partagé, l'accès aux services privés (PSA) doit être activé sur ce réseau. Consultez la page Configurer une plage d'adresses IP réservée pour connaître les exigences spécifiques à Filestore.

Vérifier si l'accès privé aux services est activé pour le réseau VPC partagé

Pour vérifier si l'accès privé aux services est déjà activé pour le réseau VPC partagé, utilisez l'une des méthodes suivantes:

console Google Cloud

Dans la console Google Cloud, accédez à la page "Instances Filestore".

Accéder à la page des instances Filestore
Cliquez sur Create Instance (Créer une instance).
Sélectionnez le réseau VPC partagé que vous souhaitez utiliser.
Cliquez sur Options réseau avancées.
La section Connexion privée aux services indique si l'accès privé aux services est activé.

gcloud CLI

Exécutez la commande services vpc-peerings list suivante :

gcloud beta services vpc-peerings list \
    --network=SHARED_VPC_NAME \
    --project=HOST_PROJECT_ID

Remplacez les éléments suivants :

SHARED_VPC_NAME par le nom du réseau VPC partagé que vous souhaitez utiliser pour votre instance Filestore.
HOST_PROJECT_ID par l'ID du projet hôte qui contient le réseau VPC partagé.

Si l'accès privé aux services est déjà activé, la réponse indique qu'un appairage est établi pour servicenetworking-googleapis-com:

network: projects/PROJECT_NUMBER/global/networks/SHARED_VPC_NAME
peering: servicenetworking-googleapis-com
reservedPeeringRanges: RANGES

Si l'accès privé aux services est activé pour le réseau VPC partagé, vous pouvez y commencer à créer des instances Filestore. Sinon, vous devez d'abord activer l'accès privé aux services.

Activer l'accès privé aux services

Vous devez disposer du rôle Propriétaire (roles/owner), Éditeur (roles/editor) ou Administrateur de la gestion du réseau (roles/networkmanagement.admin) pour créer des plages d'adresses IP allouées et gérer les connexions privées. Si vous ne disposez pas de ces privilèges, contactez votre administrateur réseau. Pour en savoir plus, consultez la page Comprendre les rôles.

Activez l'accès privé aux services sur un réseau VPC partagé à l'aide de l'une des méthodes suivantes:

console Google Cloud

Réserver une plage d'adresses IP dans le réseau VPC partagé pour les services gérés par Google

Accédez à la page "Réseaux VPC" dans Google Cloud Console.

Accéder à la page Réseaux VPC
Sélectionnez le projet hôte qui contient le réseau VPC partagé que vous souhaitez utiliser.
Cliquez sur le nom du réseau VPC partagé sur lequel vous souhaitez créer votre instance Filestore.
Sélectionnez l'onglet Connexion au service privé.
Dans l'onglet Connexion de service privée, sélectionnez l'onglet Plages d'adresses IP allouées pour les services.
Cliquez sur Allouer une plage d'adresses IP et configurez-la comme suit:
- Nom : google-service-range
- Description : Peering range for Google managed services
- Plage d'adresses IP :
  - Sélectionnez Automatique.
  - Dans le champ de texte, saisissez 20 pour le préfixe. Cette plage est utilisée par tous les services gérés Google Cloud. Par conséquent, vous aurez peut-être besoin d'une valeur plus importante. Les instances de base nécessitent un préfixe /29, et les instances de niveau zonal avec une plage de capacité plus élevée (anciennement SSD à grande échelle), tandis que les instances de niveau zonal avec une plage de capacité inférieure nécessitent un préfixe /26.
Cliquez sur Allouer pour créer la plage allouée.

Créer une connexion privée pour le réseau VPC partagé et le réseau de services gérés par Google

Accédez à la page "Réseaux VPC" dans Google Cloud Console.

Accéder à la page Réseaux VPC
Sélectionnez le projet hôte qui contient le réseau VPC partagé que vous souhaitez utiliser.
Cliquez sur le nom du réseau VPC partagé sur lequel vous souhaitez créer votre instance Filestore.
Sélectionnez l'onglet Connexion au service privé.
Dans l'onglet Connexion au service privé, sélectionnez l'onglet Connexions privées aux services.
Cliquez sur Create connection (Créer une connexion).
Pour Allocation attribuée, sélectionnez google-service-range.
Cliquez sur Connecter pour créer la connexion.

gcloud CLI

Réservez une plage d'adresses IP dans le réseau VPC partagé pour les services gérés par Google en exécutant la commande compute addresses create suivante:
```
gcloud compute addresses create google-service-range \
    --global \
    --purpose=VPC_PEERING \
    --prefix-length=PREFIX \
    --description="Peering range for Google managed services" \
    --network=SHARED_VPC_NAME \
    --project=PROJECT_ID
```
Remplacez les éléments suivants :
- PREFIX avec une longueur de préfixe. Les instances de niveau de base nécessitent un préfixe /29 et les instances de niveau zonal nécessitent un préfixe /26. Cependant, cette plage est utilisée par tous les services gérés par Google Cloud. Si vous prévoyez d'utiliser plusieurs instances Filestore ou d'autres services gérés par Google Cloud, vous avez besoin d'un préfixe plus grand, par exemple /20.
- SHARED_VPC_NAME par le nom du réseau VPC partagé sur lequel vous souhaitez créer votre instance Filestore.
- PROJECT_ID par l'ID du projet hôte qui contient le réseau VPC partagé.
Créez une connexion privée pour le réseau VPC partagé et le réseau de services gérés par Google en exécutant la commande services vpc-peerings connect:
```
gcloud services vpc-peerings connect \
    --service=servicenetworking.googleapis.com \
    --ranges=google-service-range \
    --network=SHARED_VPC_NAME \
    --project=HOST_PROJECT_ID
```
Remplacez les éléments suivants :
- SHARED_VPC_NAME par le nom du réseau VPC partagé sur lequel vous souhaitez créer votre instance Filestore.
- HOST_PROJECT_ID par l'ID du projet hôte qui contient le réseau VPC partagé.
La commande lance une opération de longue durée et renvoie un nom d'opération.
Vérifiez si l'opération a réussi à l'aide de la commande services vpc-peerings operations describe:
```
gcloud services vpc-peerings operations describe \
    --name=OPERATION_NAME
```
Remplacez OPERATION_NAME par le nom de l'opération renvoyé à l'étape précédente.

Pour en savoir plus sur l'allocation des plages d'adresses IP et la création de connexions privées, consultez la page Configurer l'accès privé aux services.

Facultatif: Activer VPC Service Controls

Une fois l'accès aux services privés activé, vous pouvez éventuellement activer VPC Service Controls. Pour ce faire, exécutez la commande services vpc-peerings enable-vpc-service-controls:

gcloud beta services vpc-peerings enable-vpc-service-controls \
    --network=SHARED_VPC_NAME \
    --project=HOST_PROJECT_ID \
    --service=servicenetworking.googleapis.com

Remplacez les éléments suivants :

SHARED_VPC_NAME par le nom du réseau VPC partagé sur lequel vous souhaitez créer votre instance Filestore.
HOST_PROJECT_ID par l'ID du projet hôte qui contient le réseau VPC partagé.

Pour en savoir plus sur l'utilisation de Filestore avec VPC Service Controls, consultez la page Sécuriser des instances avec un périmètre de service.

Créer une instance Filestore sur le réseau VPC partagé

Une fois l'accès privé aux services activé sur votre réseau VPC partagé, vous pouvez commencer à créer des instances Filestore sur celui-ci à partir d'un projet de service.

console Google Cloud

Dans la console Google Cloud, accédez à la page "Instances Filestore".

Accéder à la page des instances Filestore
Cliquez sur Créer une instance et configurez l'instance comme suit :
- Définissez le paramètre ID d'instance sur nfs-server.
- Définissez Type d'instance sur De base.
- Définissez Type de stockage sur HDD.
- Définissez Allocation de la capacité sur 1 To (TB).
- Définissez la région sur us-central1 et la zone sur us-central1-a.
- Définissez Réseau VPC sur le réseau VPC partagé, qui s'affiche au format "projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME".
- Définissez le nom du partage de fichiers sur vol1.
- Définissez Plage d'adresses IP allouée sur Utiliser une plage d'adresses IP automatiquement allouée.
- Définissez Contrôles des accès sur Accorder l'accès à tous les clients.
Cliquez sur Créer.

gcloud CLI

Exécutez la commande instances create suivante :

gcloud filestore instances create nfs-server \
    --project=SERVICE_PROJECT_ID \
    --zone=us-central1-c \
    --tier=BASIC_HDD \
    --file-share=name="vol1",capacity=1TiB \
    --network=name="projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME",connect-mode=PRIVATE_SERVICE_ACCESS

Remplacez les éléments suivants :

SERVICE_PROJECT_ID par l'ID du projet de service dans lequel vous souhaitez créer une instance Filestore.
HOST_PROJECT_ID par l'ID du projet hôte qui contient le réseau VPC partagé.
SHARED_VPC_NAME par le nom du réseau VPC partagé sur lequel vous souhaitez créer votre instance Filestore.

Facultatif: Importer des routes de sous-réseau

Si vos instances Filestore utilisent des adresses IP publiques (adresses IP non-RFC 1918) et que vous choisissez d'activer les messages d'intérêt public, vous devez importer les routes de sous-réseau IP publiques de l'instance dans le réseau VPC partagé en mettant à jour l'appairage de VPC de mise en réseau de services pour permettre l'importation de routes de sous-réseau avec des adresses IP publiques. Pour en savoir plus, consultez la section Mettre à jour une connexion d'appairage.

Installer votre instance sur un client de projet de service

Une fois que vous avez créé une instance Filestore sur un réseau VPC partagé, vous pouvez installer cette instance sur n'importe quel client situé sur le même réseau. Pour obtenir des instructions sur l'installation, consultez la section Installer des partages de fichiers sur des clients Compute Engine.

Effectuer un nettoyage

Pour éviter que les ressources utilisées lors de ce tutoriel soient facturées sur votre compte Google Cloud, supprimez le projet contenant les ressources, ou conservez le projet et supprimez les ressources individuelles.

Supprimer l'instance Filestore

console Google Cloud

Dans la console Google Cloud, accédez à la page "Instances Filestore".

Accéder à la page des instances Filestore
Cliquez sur l'identifiant de l'instance nfs-server pour ouvrir la page d'informations de l'instance.
Cliquez sur Supprimer ().
Lorsque vous y êtes invité, saisissez l'ID de l'instance.
Cliquez sur Supprimer.

gcloud CLI

Supprimez l'instance nfs-server à l'aide de la commande instances delete:

gcloud filestore instances delete nfs-server --zone=us-central1-c

Étapes suivantes

Découvrez comment copier des données dans le partage de fichiers installé.
Découvrez comment installer des partages de fichiers sur des clients d'un réseau distant.
Résolvez les problèmes Filestore courants.