Crea un'istanza su una rete VPC condiviso nei progetti di servizio


Questo tutorial illustra il processo di creazione di un file Filestore su una rete VPC condiviso da un servizio progetto.

Puoi creare istanze Filestore su una rete VPC condivisa nel progetto host o in uno dei progetti di servizio associati. Quando crei un'istanza nel progetto host, puoi selezionare la rete VPC condivisa come di consueto e i client del progetto di servizio possono connettersi all'istanza. Tuttavia, se vuoi creare l'istanza in un progetto di servizio, devi prima attivare l'accesso ai servizi privati sulla rete VPC condivisa dal progetto host.

Obiettivi

Costi

In questo documento utilizzi i seguenti componenti fatturabili di Google Cloud:

Per generare una stima dei costi basata sull'utilizzo previsto, utilizza il Calcolatore prezzi. I nuovi utenti di Google Cloud potrebbero essere idonei per una prova gratuita.

Una volta completate le attività descritte in questo documento, puoi evitare la fatturazione continua eliminando le risorse che hai creato. Per ulteriori informazioni, consulta la pagina Pulizia.

Prima di iniziare

  1. Make sure that billing is enabled for your Google Cloud project.

  2. Crea una rete VPC condivisa con un host e un progetto di servizio connesso.
  3. Enable the Filestore and Service Networking APIs.

    Enable the APIs

Abilita l'accesso privato ai servizi sulla rete VPC condiviso

Per creare un'istanza Filestore in un progetto di servizio che utilizza un'istanza rete VPC condiviso, la rete VPC condiviso deve avere accesso privato ai servizi (PSA) abilitato. Consulta: Configurare un intervallo di indirizzi IP riservati per requisiti specifici di Filestore.

Verifica se l'accesso privato ai servizi è abilitato per la rete VPC condiviso

Controlla se l'accesso privato ai servizi è già abilitato per il VPC condiviso utilizzando uno dei seguenti metodi:

Console Google Cloud

  1. Nella console Google Cloud, vai a Istanze Filestore .

    Vai alla pagina delle istanze Filestore

  2. Fai clic su Crea istanza.

  3. Seleziona la rete VPC condivisa che vuoi utilizzare.

  4. Fai clic su Opzioni di rete avanzate.

  5. La sezione Connessione di accesso privato ai servizi indica se sia abilitato l'accesso privato ai servizi.

Interfaccia a riga di comando gcloud

Esegui il seguente services vpc-peerings list :

gcloud beta services vpc-peerings list \
    --network=SHARED_VPC_NAME \
    --project=HOST_PROJECT_ID

Sostituisci quanto segue:

  • SHARED_VPC_NAME con il nome della rete VPC condiviso che vuoi utilizzare per la tua istanza Filestore.
  • HOST_PROJECT_ID con l'ID progetto del progetto host che contiene la rete VPC condivisa.

Se l'accesso privato ai servizi è già abilitato, la risposta mostra che il peering è stabilito per servicenetworking-googleapis-com:

network: projects/PROJECT_NUMBER/global/networks/SHARED_VPC_NAME
peering: servicenetworking-googleapis-com
reservedPeeringRanges: RANGES

Se l'accesso privato ai servizi è abilitato per la rete VPC condiviso, lattina inizia a creare istanze Filestore . In caso contrario, devi prima abilitare l'accesso privato ai servizi.

Abilita l'accesso privato ai servizi

Per creare intervalli di indirizzi IP allocati e gestire le connessioni private, devi disporre del ruolo Proprietario (roles/owner), Editor (roles/editor) o Amministratore gestione rete (roles/networkmanagement.admin). Se non disponi di questi privilegi, contatta l'amministratore di rete. Per ulteriori informazioni, consulta Informazioni sui ruoli.

Abilita l'accesso privato ai servizi su una rete VPC condivisa utilizzando uno dei seguenti metodi:

Console Google Cloud

Prenota un intervallo di indirizzi IP nella rete VPC condiviso per i servizi gestiti da Google

  1. Vai alla pagina Reti VPC nella console Google Cloud.

    Vai alla pagina Reti VPC

  2. Seleziona il progetto host che contiene la rete VPC condiviso che che vuoi usare.

  3. Fai clic sul nome della rete VPC condivisa su cui vuoi creare l'istanza Filestore.

  4. Seleziona la scheda Connessione privata ai servizi.

  5. Nella scheda Connessione privata ai servizi, seleziona il campo IP allocato per i servizi.

  6. Fai clic su Assegna intervallo IP e configuralo nel seguente modo:

    • Nome: google-service-range
    • Descrizione: Peering range for Google managed services
    • Intervallo IP:

      • Seleziona Automatico.
      • Nel campo di testo, inserisci 20 come prefisso. Questo intervallo è utilizzato da tutti i servizi gestiti di Google Cloud, quindi in pratica potresti aver bisogno qualcosa di più grande. Le istanze di livello base richiedono un prefisso di /29, mentre le istanze di livello zonale con un intervallo di capacità più elevato (in precedenza SSD ad alta scalabilità) e le istanze di livello zonale con un intervallo di capacità inferiore richiedono un prefisso di /26.
  7. Fai clic su Alloca per creare l'intervallo allocato.

Crea una connessione privata per la rete VPC condivisa e la rete dei servizi gestiti da Google

  1. Vai alla pagina Reti VPC nella console Google Cloud.

    Vai alla pagina Reti VPC

  2. Seleziona il progetto host contenente la rete VPC condivisa che vuoi utilizzare.

  3. Fai clic sul nome della rete VPC condivisa su cui vuoi creare l'istanza Filestore.

  4. Seleziona la scheda Connessione privata ai servizi.

  5. Nella scheda Connessione privata ai servizi, seleziona la casella Privato alla scheda Connessioni ai servizi.

  6. Fai clic su Crea connessione.

  7. In Allocazione assegnata, seleziona google-service-range.

  8. Fai clic su Connetti per creare la connessione.

Interfaccia a riga di comando gcloud

  1. Prenota un intervallo di indirizzi IP nella rete VPC condivisa per i servizi gestiti da Google eseguendo il seguente comando compute addresses create:

    gcloud compute addresses create google-service-range \
        --global \
        --purpose=VPC_PEERING \
        --prefix-length=PREFIX \
        --description="Peering range for Google managed services" \
        --network=SHARED_VPC_NAME \
        --project=PROJECT_ID
    

    Sostituisci quanto segue:

    • PREFIX con una lunghezza del prefisso. Le istanze di livello base richiedono un prefisso /29 e le istanze di livello zonale richiedono un prefisso /26. Tuttavia, questo intervallo viene utilizzato da tutti i servizi gestiti da Google Cloud. Se prevedi di utilizzando più istanze Filestore o altre istanze gestite da Google Cloud ti servirà un prefisso più grande, ad esempio /20.
    • SHARED_VPC_NAME con il nome della rete VPC condivisa su cui vuoi creare l'istanza Filestore.
    • PROJECT_ID con l'ID progetto del progetto host che contiene la rete VPC condivisa.
  2. Crea una connessione privata per la rete VPC condivisa e la rete dei servizi gestiti da Google eseguendo il comando services vpc-peerings connect:

    gcloud services vpc-peerings connect \
        --service=servicenetworking.googleapis.com \
        --ranges=google-service-range \
        --network=SHARED_VPC_NAME \
        --project=HOST_PROJECT_ID
    

    Sostituisci quanto segue:

    • SHARED_VPC_NAME con il nome del VPC condiviso sulla rete su cui vuoi creare l'istanza Filestore.
    • HOST_PROJECT_ID con l'ID del progetto host che contiene la rete VPC condiviso.

    Il comando avvia un'operazione a lunga esecuzione e restituisce un'operazione nome.

  3. Controlla se l'operazione è riuscita utilizzando il metodo services vpc-peerings operations describe :

    gcloud services vpc-peerings operations describe \
        --name=OPERATION_NAME
    

    Sostituisci OPERATION_NAME con il nome dell'operazione restituito dal passaggio precedente.

Per ulteriori informazioni sull'allocazione di intervalli di indirizzi IP e sulla creazione di connessioni, consulta Configurare l'accesso privato ai servizi

(Facoltativo) Abilita i Controlli di servizio VPC

Una volta attivato l'accesso privato ai servizi, puoi attivare facoltativamente i Controlli di servizio VPC. Per farlo, esegui il comando services vpc-peerings enable-vpc-service-controls:

gcloud beta services vpc-peerings enable-vpc-service-controls \
    --network=SHARED_VPC_NAME \
    --project=HOST_PROJECT_ID \
    --service=servicenetworking.googleapis.com

Sostituisci quanto segue:

  • SHARED_VPC_NAME con il nome della rete VPC condivisa su cui vuoi creare l'istanza Filestore.
  • HOST_PROJECT_ID con l'ID progetto del progetto host che contiene la rete VPC condivisa.

Per ulteriori informazioni sull'utilizzo di Filestore con i Controlli di servizio VPC, consulta Protezione delle istanze con un perimetro di servizio.

Crea un'istanza Filestore sulla rete VPC condivisa

Una volta attivato l'accesso privato ai servizi per la rete VPC condivisa, puoi iniziare a creare istanze Filestore da un progetto di servizio.

Console Google Cloud

  1. Nella console Google Cloud, vai a Istanze Filestore .

    Vai alla pagina delle istanze Filestore

  2. Fai clic su Crea istanza e configura l'istanza come segue:

    • Imposta ID istanza su nfs-server.
    • Imposta Tipo di istanza su Di base.
    • Imposta Tipo di archiviazione su HDD.
    • Imposta Alloca capacità su 1TB.
    • Imposta Regione su us-central1 e Zona su us-central1-c.
    • Imposta Rete VPC sulla rete VPC condiviso, che appare nella nel formato "projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME".
    • Imposta Nome condivisione file su vol1.
    • Imposta Intervallo IP allocato su Utilizza un intervallo IP allocato automaticamente.
    • Imposta Controlli dell'accesso su Concedi l'accesso a tutti i client.
  3. Fai clic su Crea.

Interfaccia a riga di comando gcloud

Esegui il seguente comando instances create:

gcloud filestore instances create nfs-server \
    --project=SERVICE_PROJECT_ID \
    --zone=us-central1-c \
    --tier=BASIC_HDD \
    --file-share=name="vol1",capacity=1TiB \
    --network=name="projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME",connect-mode=PRIVATE_SERVICE_ACCESS

Sostituisci quanto segue:

  • SERVICE_PROJECT_ID con l'ID del progetto di servizio in cui vuoi creare un'istanza Filestore.
  • HOST_PROJECT_ID con l'ID del progetto host che contiene la rete VPC condiviso.
  • SHARED_VPC_NAME con il nome della rete VPC condiviso su cui vuoi creare la tua istanza Filestore.

(Facoltativo) Importa route di subnet

Se le istanze di Filestore utilizzano IP pubblici (indirizzi IP non RFC 1918), e se scegli di attivare PSA, devi importare le route della subnet IP pubblico dell'istanza nel VPC condiviso aggiornando il peering VPC della rete di servizi per consentire l'importazione di subnet con IP pubblici. Per ulteriori informazioni, consulta Aggiornare una connessione di peering.

Montare l'istanza su un client di progetto di servizio

Dopo aver creato un'istanza Filestore su una macchina rete VPC, puoi montare l'istanza su qualsiasi client sulla stessa rete. Per le istruzioni sul montaggio, consulta Montaggio delle condivisioni file sui client Compute Engine.

Esegui la pulizia

Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questo tutorial, elimina il progetto che contiene le risorse oppure mantieni il progetto ed elimina le singole risorse.

Elimina l'istanza Filestore

Console Google Cloud

  1. Nella console Google Cloud, vai alla pagina Istanze Filestore.

    Vai alla pagina delle istanze Filestore

  2. Fai clic sull'ID istanza nfs-server per aprire la pagina dei dettagli dell'istanza.

  3. Fai clic su Elimina .

  4. Quando richiesto, digita l'ID istanza.

  5. Fai clic su Elimina.

Interfaccia a riga di comando gcloud

Elimina l'istanza nfs-server utilizzando instances delete :

gcloud filestore instances delete nfs-server --zone=us-central1-c

Passaggi successivi