Sie können Filestore-Instanzen in einem freigegebenen VPC-Netzwerk entweder im Hostprojekt oder in einem der zugehörigen Dienstprojekte erstellen. Beim Erstellen einer Instanz im Hostprojekt können Sie das freigegebene VPC-Netzwerk wie gewohnt auswählen und Dienstprojektclients können eine Verbindung zur Instanz herstellen. Wenn Sie die Instanz jedoch in einem Dienstprojekt erstellen möchten, müssen Sie zuerst den Zugriff auf private Dienste im freigegebenen VPC-Netzwerk vom Hostprojekt aus aktivieren.
Lernziele
- Aktivieren Sie den Zugriff auf private Dienste im freigegebenen VPC-Netzwerk.
- Erstellen Sie eine Instanz im freigegebenen VPC-Netzwerk.
- Stellen Sie die Instanz bereit.
Kosten
In diesem Dokument verwenden Sie die folgenden kostenpflichtigen Komponenten von Google Cloud:
Mit dem Preisrechner können Sie eine Kostenschätzung für Ihre voraussichtliche Nutzung vornehmen.
Nach Abschluss der in diesem Dokument beschriebenen Aufgaben können Sie weitere Kosten vermeiden, indem Sie die erstellten Ressourcen löschen. Weitere Informationen finden Sie unter Bereinigen.
Hinweise
-
Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein.
- Erstellen Sie ein freigegebenes VPC-Netzwerk mit einem Hostprojekt und einem verbundenen Dienstprojekt.
-
Filestore and Service Networking APIs aktivieren.
Zugriff auf private Dienste im freigegebenen VPC-Netzwerk aktivieren
Zum Erstellen einer Filestore-Instanz in einem Dienstprojekt, das ein freigegebenes VPC-Netzwerk verwendet, muss für das freigegebene VPC-Netzwerk der Zugriff auf private Dienste aktiviert sein. Informationen zu bestimmten Filestore-Anforderungen finden Sie unter Reservierten IP-Adressbereich konfigurieren.
Prüfen, ob der Zugriff auf private Dienste für das freigegebene VPC-Netzwerk aktiviert ist
Prüfen Sie mit einer der folgenden Methoden, ob der Zugriff auf private Dienste bereits für das freigegebene VPC-Netzwerk aktiviert ist:
Google Cloud Console
Rufen Sie in der Google Cloud Console die Seite Filestore-Instanzen auf.
Klicken Sie auf Instanz erstellen.
Wählen Sie das freigegebene VPC-Netzwerk aus, das Sie verwenden möchten.
Klicken Sie auf Erweiterte Netzwerkoptionen.
Im Abschnitt Verbindung für den Zugriff auf private Dienste wird angezeigt, ob der Zugriff auf private Dienste aktiviert ist.
gcloud-CLI
Führen Sie dazu den Befehl services vpc-peerings list aus.
gcloud beta services vpc-peerings list \
--network=SHARED_VPC_NAME \
--project=HOST_PROJECT_ID
Ersetzen Sie Folgendes:
- SHARED_VPC_NAME durch den Namen des freigegebenen VPC-Netzwerks, das Sie für Ihre Filestore-Instanz verwenden möchten.
- HOST_PROJECT_ID durch die Projekt-ID des Hostprojekts, das das freigegebene VPC-Netzwerk enthält.
Wenn der Zugriff auf private Dienste bereits aktiviert ist, zeigt die Antwort, dass ein Peering für servicenetworking-googleapis-com eingerichtet wurde:
network: projects/PROJECT_NUMBER/global/networks/SHARED_VPC_NAME
peering: servicenetworking-googleapis-com
reservedPeeringRanges: RANGES
Wenn der Zugriff auf private Dienste für das freigegebene VPC-Netzwerk aktiviert ist, können Sie dort Filestore-Instanzen erstellen. Andernfalls müssen Sie zuerst den Zugriff auf private Dienste aktivieren.
Zugriff auf private Dienste aktivieren
Sie müssen die Rolle "Inhaber" (roles/owner), "Bearbeiter" (roles/editor) oder "Administrator für die Netzwerkverwaltung" (roles/networkmanagement.admin) haben, um zugewiesene IP-Adressbereiche erstellen und private Verbindungen verwalten zu können. Wenden Sie sich an Ihren Netzwerkadministrator, wenn Sie diese Berechtigungen nicht haben. Weitere Informationen finden Sie unter Informationen zu Rollen.
Aktivieren Sie den Zugriff auf private Dienste in einem freigegebenen VPC-Netzwerk mit einer der folgenden Methoden:
Google Cloud Console
IP-Adressbereich im freigegebenen VPC-Netzwerk für von Google verwaltete Dienste reservieren
Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.
Wählen Sie das Hostprojekt aus, das das freigegebene VPC-Netzwerk enthält, das Sie verwenden möchten.
Klicken Sie auf den Namen des freigegebenen VPC-Netzwerks, in dem Sie Ihre Filestore-Instanz erstellen möchten.
Wählen Sie den Tab Private Dienstverbindung aus.
Wählen Sie auf dem Tab Private Dienstverbindung den Tab Diensten zugewiesene IP-Bereiche aus.
Klicken Sie auf IP-Bereich zuweisen und konfigurieren Sie ihn so:
- Name:
google-service-range - Description:
Peering range for Google managed services IP-Bereich:
- Wählen Sie Automatisch aus.
- Geben Sie in das Textfeld
20für das Präfix ein. Dieser Bereich wird von allen von Google Cloud verwalteten Diensten verwendet. In der Praxis muss er also möglicherweise etwas größer sein. Instanzen der Basisstufe benötigen ein Präfix von /29 und zonale Instanzen mit einem höheren Kapazitätsbereich (zuvor hochskalierte SSD) und zonale Instanzen mit einem niedrigeren Kapazitätsbereich benötigen ein /26-Präfix.
- Name:
Klicken Sie auf Zuweisen, um den zugewiesenen Bereich zu erstellen.
Private Verbindung für das freigegebene VPC-Netzwerk und das Netzwerk der von Google verwalteten Dienste erstellen
Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.
Wählen Sie das Hostprojekt aus, das das freigegebene VPC-Netzwerk enthält, das Sie verwenden möchten.
Klicken Sie auf den Namen des freigegebenen VPC-Netzwerks, in dem Sie Ihre Filestore-Instanz erstellen möchten.
Wählen Sie den Tab Private Dienstverbindung aus.
Wählen Sie auf dem Tab Private Dienstverbindung den Tab Private Verbindungen zu Diensten aus.
Klicken Sie auf Verbindung erstellen.
Wählen Sie für Zugewiesene Zuordnung die Option
google-service-rangeaus.Klicken Sie auf Verbinden, um die Verbindung zu erstellen.
gcloud-CLI
Reservieren Sie einen IP-Adressbereich im freigegebene VPC-Netzwerk für von Google verwaltete Dienste. Führen Sie dazu den folgenden
compute addresses create-Befehl aus:gcloud compute addresses create google-service-range \ --global \ --purpose=VPC_PEERING \ --prefix-length=PREFIX \ --description="Peering range for Google managed services" \ --network=SHARED_VPC_NAME \ --project=PROJECT_IDErsetzen Sie Folgendes:
- PREFIX durch eine Präfixlänge. Instanzen der Basisstufe benötigen ein /29-Präfix und zonale Instanzen ein /26-Präfix. Dieser Bereich wird jedoch von allen von Google Cloud verwalteten Diensten verwendet. Wenn Sie mehrere Filestore-Instanzen oder andere von Google Cloud verwaltete Dienste verwenden möchten, benötigen Sie ein größeres Präfix, z. B. /20.
- SHARED_VPC_NAME durch den Namen des freigegebenen VPC-Netzwerks, in dem Sie Ihre Filestore-Instanz erstellen möchten.
- PROJECT_ID durch die Projekt-ID des Hostprojekts, das das freigegebene VPC-Netzwerk enthält.
Erstellen Sie mit dem Befehl
services vpc-peerings connecteine private Verbindung für das freigegebene VPC-Netzwerk und das Netzwerk der von Google verwalteten Dienste:gcloud services vpc-peerings connect \ --service=servicenetworking.googleapis.com \ --ranges=google-service-range \ --network=SHARED_VPC_NAME \ --project=HOST_PROJECT_IDErsetzen Sie Folgendes:
- SHARED_VPC_NAME durch den Namen des freigegebenen VPC-Netzwerks, in dem Sie Ihre Filestore-Instanz erstellen möchten.
- HOST_PROJECT_ID durch die Projekt-ID des Hostprojekts, das das freigegebene VPC-Netzwerk enthält.
Der Befehl initiiert einen Vorgang mit langer Ausführungszeit und gibt einen Vorgangsnamen zurück.
Prüfen Sie mit dem Befehl
services vpc-peerings operations describe, ob der Vorgang erfolgreich war:gcloud services vpc-peerings operations describe \ --name=OPERATION_NAMEErsetzen Sie OPERATION_NAME durch den Vorgangsnamen, der im vorherigen Schritt zurückgegeben wurde.
Weitere Informationen zum Zuweisen von IP-Adressbereichen und zum Erstellen privater Verbindungen finden Sie unter Zugriff auf private Dienste konfigurieren.
Optional: VPC Service Controls aktivieren
Sobald der Zugriff auf private Dienste aktiviert ist, können Sie optional VPC Service Controls aktivieren. Führen Sie dazu den Befehl services vpc-peerings enable-vpc-service-controls aus:
gcloud beta services vpc-peerings enable-vpc-service-controls \
--network=SHARED_VPC_NAME \
--project=HOST_PROJECT_ID \
--service=servicenetworking.googleapis.com
Ersetzen Sie Folgendes:
- SHARED_VPC_NAME durch den Namen des freigegebenen VPC-Netzwerks, in dem Sie Ihre Filestore-Instanz erstellen möchten.
- HOST_PROJECT_ID durch die Projekt-ID des Hostprojekts, das das freigegebene VPC-Netzwerk enthält.
Weitere Informationen zur Verwendung von Filestore mit VPC Service Controls finden Sie unter Instanzen mit einem Dienstperimeter sichern.
Filestore-Instanz im freigegebenen VPC-Netzwerk erstellen
Sobald in Ihrem freigegebenen VPC-Netzwerk der Zugriff auf private Dienste aktiviert ist, können Sie darin Filestore-Instanzen aus einem Dienstprojekt erstellen.
Google Cloud Console
Rufen Sie in der Google Cloud Console die Seite Filestore-Instanzen auf.
Klicken Sie auf Instanz erstellen und konfigurieren Sie die Instanz wie folgt.
- Legen Sie als Instanz-ID
nfs-serverfest. - Wählen Sie als Instanztyp die Option Basis aus.
- Legen Sie Speichertyp auf HDD fest.
- Setzen Sie Kapazität zuweisen auf 1
TB. - Legen Sie für Region den Wert us-central1 und für Zone den Wert us-central1-a fest.
- Legen Sie unter VPC-Netzwerk das freigegebene VPC-Netzwerk fest. Dieses wird im Format „projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME“ angezeigt.
- Legen Sie Fileshare-Name auf
vol1fest. - Setzen Sie Zugewiesener IP-Bereich auf Automatisch zugewiesenen IP-Bereich verwenden.
- Setzen Sie Zugriffssteuerungen auf Zugriff auf alle Clients gewähren.
- Legen Sie als Instanz-ID
Klicken Sie auf Erstellen.
gcloud-CLI
Führen Sie dazu den Befehl instances create aus.
gcloud filestore instances create nfs-server \
--project=SERVICE_PROJECT_ID \
--zone=us-central1-c \
--tier=BASIC_HDD \
--file-share=name="vol1",capacity=1TiB \
--network=name="projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME",connect-mode=PRIVATE_SERVICE_ACCESS
Ersetzen Sie Folgendes:
- SERVICE_PROJECT_ID durch die Projekt-ID des Dienstprojekts, in dem Sie eine Filestore-Instanz erstellen möchten.
- HOST_PROJECT_ID durch die Projekt-ID des Hostprojekts, das das freigegebene VPC-Netzwerk enthält.
- SHARED_VPC_NAME durch den Namen des freigegebenen VPC-Netzwerks, in dem Sie Ihre Filestore-Instanz erstellen möchten.
Optional: Subnetzrouten importieren
Wenn Ihre Filestore-Instanzen öffentliche IP-Adressen verwenden (IP-Adressen außerhalb von RFC 1918) und Sie PSA aktivieren möchten, müssen Sie die öffentlichen IP-Subnetzrouten der Instanz in das freigegebene VPC-Netzwerk importieren. Aktualisieren Sie dazu das VPC-Peering des Dienstnetzwerks, um das Importieren von Subnetzrouten mit öffentlichen IP-Adressen zu ermöglichen. Weitere Informationen finden Sie unter Peering-Verbindung aktualisieren.
Instanz auf einem Dienstprojektclient bereitstellen
Nachdem Sie eine Filestore-Instanz in einem freigegebenen VPC-Netzwerk erstellt haben, können Sie diese Instanz für jeden Client im selben Netzwerk bereitstellen. Eine Anleitung zum Bereitstellen finden Sie unter Dateifreigaben auf Compute Engine-Clients bereitstellen.
Bereinigen
Damit Ihrem Google Cloud-Konto die in dieser Anleitung verwendeten Ressourcen nicht in Rechnung gestellt werden, löschen Sie entweder das Projekt, das die Ressourcen enthält, oder Sie behalten das Projekt und löschen die einzelnen Ressourcen.
Filestore-Instanz löschen
Google Cloud Console
Rufen Sie in der Google Cloud Console die Seite Filestore-Instanzen auf.
Klicken Sie auf die Instanz-ID
nfs-server, um die Detailseite der Instanz zu öffnen.Klicken Sie auf Löschen delete.
Geben Sie bei Aufforderung die Instanz-ID ein.
Klicken Sie auf Löschen.
gcloud-CLI
Löschen Sie die Instanz nfs-server mit dem Befehl instances delete:
gcloud filestore instances delete nfs-server --zone=us-central1-c