Creare un'istanza su una rete VPC condiviso nei progetti di servizio

Questo tutorial illustra il processo di creazione di un'istanza Filestore su una rete VPC condiviso da un progetto di servizio.

Puoi creare istanze Filestore su una rete VPC condiviso nel progetto host o in uno dei progetti di servizio associati. Quando crei un'istanza nel progetto host, puoi selezionare la rete VPC condiviso normalmente e i client del progetto di servizio possono connettersi all'istanza. Tuttavia, per creare l'istanza in un progetto di servizio, devi prima abilitare l'accesso privato ai servizi sulla rete VPC condiviso dal progetto host.

Obiettivi

Abilitare l'accesso privato ai servizi sulla rete VPC condiviso.
Crea un'istanza sulla rete VPC condiviso.
Monta l'istanza.

Costi

In questo documento vengono utilizzati i seguenti componenti fatturabili di Google Cloud:

Archivio

Per generare una stima dei costi in base all'utilizzo previsto, utilizza il Calcolatore prezzi. I nuovi utenti di Google Cloud possono essere idonei a una prova senza costi aggiuntivi.

Una volta completate le attività descritte in questo documento, puoi evitare la fatturazione continua eliminando le risorse che hai creato. Per ulteriori informazioni, consulta la pagina Pulizia.

Prima di iniziare

Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.
Crea una rete VPC condivisa con un progetto host e un progetto di servizio connesso.
Abilita le API Filestore and Service Networking.
Abilita le API

Abilita l'accesso privato ai servizi sulla rete VPC condiviso

Per creare un'istanza Filestore in un progetto di servizio che utilizza una rete VPC condiviso, la rete VPC condiviso deve avere abilitato l'accesso privato ai servizi (PSA). Consulta Configurazione di un intervallo di indirizzi IP riservati per requisiti specifici di Filestore.

Verifica se l'accesso privato ai servizi è abilitato per la rete VPC condiviso

Controlla se l'accesso privato ai servizi è già abilitato per la rete VPC condiviso utilizzando uno dei seguenti metodi:

Console Google Cloud

Nella console Google Cloud, vai alla pagina Istanze Filestore.

Vai alla pagina Istanze Filestore
Fai clic su Crea istanza.
Seleziona la rete VPC condiviso che vuoi utilizzare.
Fai clic su Opzioni di rete avanzate.
La sezione Connessione di accesso privato ai servizi indica se l'accesso privato ai servizi è abilitato.

Interfaccia a riga di comando gcloud

Esegui questo comando services vpc-peerings list:

gcloud beta services vpc-peerings list \
    --network=SHARED_VPC_NAME \
    --project=HOST_PROJECT_ID

Sostituisci quanto segue:

SHARED_VPC_NAME con il nome della rete VPC condiviso che vuoi utilizzare per la tua istanza Filestore.
HOST_PROJECT_ID con l'ID del progetto host che contiene la rete VPC condiviso.

Se l'accesso privato ai servizi è già abilitato, la risposta mostra che è stato stabilito un peering per servicenetworking-googleapis-com:

network: projects/PROJECT_NUMBER/global/networks/SHARED_VPC_NAME
peering: servicenetworking-googleapis-com
reservedPeeringRanges: RANGES

Se l'accesso privato ai servizi è abilitato per la rete VPC condiviso, puoi iniziare a creare istanze Filestore sulla rete VPC condivisa. In caso contrario, devi prima abilitare l'accesso privato ai servizi.

Abilitare l'accesso privato ai servizi

Per creare intervalli di indirizzi IP allocati e gestire le connessioni private, devi disporre del ruolo Proprietario (roles/owner), Editor (roles/editor) o Amministratore gestione rete (roles/networkmanagement.admin). Se non disponi di questi privilegi, contatta l'amministratore di rete. Per ulteriori informazioni, consulta Informazioni sui ruoli.

Abilita l'accesso privato ai servizi su una rete VPC condiviso utilizzando uno dei seguenti metodi:

Console Google Cloud

Prenota un intervallo di indirizzi IP nella rete VPC condiviso per i servizi gestiti da Google

Vai alla pagina Reti VPC nella console Google Cloud.

Vai alla pagina Reti VPC
Seleziona il progetto host che contiene la rete VPC condiviso da utilizzare.
Fai clic sul nome della rete VPC condiviso in cui vuoi creare l'istanza Filestore.
Seleziona la scheda Connessione ai servizi privati.
Nella scheda Connessione privata ai servizi, seleziona la scheda Intervalli IP allocati per i servizi.
Fai clic su Assegna intervallo IP e configuralo come segue:
- Nome: google-service-range
- Descrizione: Peering range for Google managed services
- Intervallo IP:
  - Seleziona Automatico.
  - Nel campo di testo, inserisci 20 come prefisso. Questo intervallo è utilizzato da tutti i servizi gestiti di Google Cloud, quindi, in pratica, potresti aver bisogno di qualcosa di più grande. Le istanze di livello base richiedono un prefisso /29 e le istanze di livello di zona con un intervallo di capacità più elevato (in precedenza SSD ad alta scalabilità) e le istanze di livello di zona con un intervallo di capacità inferiore richiedono un prefisso /26.
Fai clic su Assegna per creare l'intervallo allocato.

Crea una connessione privata per la rete VPC condiviso e la rete di servizi gestiti da Google

Vai alla pagina Reti VPC nella console Google Cloud.

Vai alla pagina Reti VPC
Seleziona il progetto host che contiene la rete VPC condiviso da utilizzare.
Fai clic sul nome della rete VPC condiviso in cui vuoi creare l'istanza Filestore.
Seleziona la scheda Connessione ai servizi privati.
Nella scheda Connessione privata ai servizi, seleziona la scheda Connessioni private ai servizi.
Fai clic su Crea connessione.
Per Allocazione assegnata, seleziona google-service-range.
Fai clic su Connetti per creare la connessione.

Interfaccia a riga di comando gcloud

Prenota un intervallo di indirizzi IP nella rete VPC condiviso per i servizi gestiti da Google eseguendo questo comando compute addresses create:
```
gcloud compute addresses create google-service-range \
    --global \
    --purpose=VPC_PEERING \
    --prefix-length=PREFIX \
    --description="Peering range for Google managed services" \
    --network=SHARED_VPC_NAME \
    --project=PROJECT_ID
```
Sostituisci quanto segue:
- PREFIX con una lunghezza del prefisso. Le istanze di livello base richiedono un prefisso /29, mentre le istanze di livello di zona richiedono un prefisso /26. Tuttavia, questo intervallo viene utilizzato da tutti i servizi gestiti da Google Cloud. Se prevedi di utilizzare più istanze Filestore o altri servizi gestiti da Google Cloud, hai bisogno di un prefisso più grande, ad esempio /20.
- SHARED_VPC_NAME con il nome della rete VPC condiviso su cui vuoi creare l'istanza Filestore.
- PROJECT_ID con l'ID del progetto host che contiene la rete VPC condiviso.
Crea una connessione privata per la rete VPC condiviso e la rete dei servizi gestiti Google eseguendo il comando services vpc-peerings connect:
```
gcloud services vpc-peerings connect \
    --service=servicenetworking.googleapis.com \
    --ranges=google-service-range \
    --network=SHARED_VPC_NAME \
    --project=HOST_PROJECT_ID
```
Sostituisci quanto segue:
- SHARED_VPC_NAME con il nome della rete VPC condiviso su cui vuoi creare l'istanza Filestore.
- HOST_PROJECT_ID con l'ID del progetto host che contiene la rete VPC condiviso.
Il comando avvia un'operazione a lunga esecuzione e restituisce il nome di un'operazione.
Controlla se l'operazione è riuscita utilizzando il comando services vpc-peerings operations describe:
```
gcloud services vpc-peerings operations describe \
    --name=OPERATION_NAME
```
Sostituisci OPERATION_NAME con il nome dell'operazione restituito nel passaggio precedente.

Per saperne di più sull'allocazione degli intervalli di indirizzi IP e sulla creazione di connessioni private, consulta Configurare l'accesso privato ai servizi.

(Facoltativo) Abilita Controlli di servizio VPC

Dopo aver abilitato l'accesso privato ai servizi, puoi facoltativamente abilitare i Controlli di servizio VPC. Per farlo, esegui il comando services vpc-peerings enable-vpc-service-controls:

gcloud beta services vpc-peerings enable-vpc-service-controls \
    --network=SHARED_VPC_NAME \
    --project=HOST_PROJECT_ID \
    --service=servicenetworking.googleapis.com

Sostituisci quanto segue:

SHARED_VPC_NAME con il nome della rete VPC condiviso in cui vuoi creare l'istanza Filestore.
HOST_PROJECT_ID con l'ID del progetto host che contiene la rete VPC condiviso.

Per ulteriori informazioni sull'utilizzo di Filestore con i Controlli di servizio VPC, consulta Protezione delle istanze con un perimetro di servizio.

Crea un'istanza Filestore sulla rete VPC condiviso

Dopo aver abilitato l'accesso privato ai servizi per la tua rete VPC condiviso, puoi iniziare a creare istanze Filestore da un progetto di servizio.

Console Google Cloud

Nella console Google Cloud, vai alla pagina Istanze Filestore.

Vai alla pagina Istanze Filestore
Fai clic su Crea istanza e configura l'istanza nel seguente modo:
- Imposta ID istanza su nfs-server.
- Imposta Tipo di istanza su Di base.
- Imposta Tipo di archiviazione su HDD.
- Imposta Alloca capacità su 1TB.
- Imposta Regione su us-central1 e Zona su us-central1-c.
- Imposta Rete VPC sulla rete VPC condiviso, visualizzata nel formato "projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME".
- Imposta Nome condivisione file su vol1.
- Imposta Intervallo IP allocato su Utilizza un intervallo IP allocato automaticamente.
- Imposta Controlli dell'accesso su Concedi l'accesso a tutti i clienti.
Fai clic su Crea.

Interfaccia a riga di comando gcloud

Esegui questo comando instances create:

gcloud filestore instances create nfs-server \
    --project=SERVICE_PROJECT_ID \
    --zone=us-central1-c \
    --tier=BASIC_HDD \
    --file-share=name="vol1",capacity=1TiB \
    --network=name="projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME",connect-mode=PRIVATE_SERVICE_ACCESS

Sostituisci quanto segue:

SERVICE_PROJECT_ID con l'ID del progetto di servizio in cui vuoi creare un'istanza Filestore.
HOST_PROJECT_ID con l'ID del progetto host che contiene la rete VPC condiviso.
SHARED_VPC_NAME con il nome della rete VPC condiviso in cui vuoi creare l'istanza Filestore.

(Facoltativo) Importa route di subnet

Se le tue istanze Filestore utilizzano IP pubblici (indirizzi IP non RFC 1918) e se scegli di abilitare PSA, devi importare le route di subnet IP pubbliche dell'istanza nella rete VPC condiviso aggiornando il peering VPC di rete dei servizi per consentire l'importazione di route di subnet con IP pubblici. Per ulteriori informazioni, consulta Aggiornare una connessione in peering.

Monta l'istanza su un client del progetto di servizio

Dopo aver creato un'istanza Filestore su una rete VPC condivisa, puoi montarla su qualsiasi client che si trova sulla stessa rete. Per istruzioni sul montaggio, consulta Installazione delle condivisioni file sui client Compute Engine.

Esegui la pulizia

Per evitare che al tuo Account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questo tutorial, elimina il progetto che contiene le risorse oppure mantieni il progetto ed elimina le singole risorse.

Elimina l'istanza Filestore

Console Google Cloud

Nella console Google Cloud, vai alla pagina Istanze Filestore.

Vai alla pagina Istanze Filestore
Fai clic sull'ID istanza nfs-server per aprire la pagina dei dettagli dell'istanza.
Fai clic su Elimina .
Quando richiesto, digita l'ID istanza.
Fai clic su Elimina.

Interfaccia a riga di comando gcloud

Elimina l'istanza nfs-server utilizzando il comando instances delete:

gcloud filestore instances delete nfs-server --zone=us-central1-c

Passaggi successivi

Scopri come copiare i dati nella condivisione file montata.
Scopri come montare le condivisioni file sui client in una rete remota.
Risolvi i problemi comuni di Filestore.