以下指南說明如何設定 Filestore 執行個體,透過 NFSv3 或 NFSv4.1 檔案系統通訊協定使用 Private Service Connect。
關於 Private Service Connect
Private Service Connect 可讓消費者從虛擬私有雲網路內部,以私密方式存取代管服務。Private Service Connect 規定消費者必須在自己的虛擬私有雲中佈建單一內部 IP 位址,才能建立 Private Service Connect 端點,而不是分配整個 IP 位址範圍來建立連線。消費者 IP 空間只需要這個單一 IP 位址,即可存取 Filestore 執行個體。
如果是共用共用虛擬私有雲設定,且 Private Service Connect 端點是在虛擬私有雲主專案中佈建,則服務連線政策範圍必須允許主專案。
連線政策
如要在消費者目標網路上建立 Private Service Connect 端點,您必須在專案中建立服務連線政策。建立這類連線政策後,您就能分別管理建立 Filestore 執行個體和分配網路資源 (例如 Private Service Connect 資源和 IP 位址) 的權限。建立服務連線政策後,系統就會自動在子網路中建立具有私人 IP 位址的端點。
建立使用 Private Service Connect 的 Filestore 執行個體
建立使用 Private Service Connect 進行網路連線的 Filestore 執行個體。
事前準備
建立 Filestore 執行個體
使用 Google Cloud 控制台或 Google Cloud CLI 建立 Filestore 執行個體。
Google Cloud 控制台
前往 Google Cloud 控制台的 Filestore「Instances」(執行個體) 頁面。
點選「建立執行個體」。
指定執行個體的基本參數:
- 在「Instance ID」(執行個體 ID) 欄位中,輸入要用於 Filestore 執行個體的名稱。
在「執行個體類型」部分,選取「區域」或「可用區」服務層級。
如要建立企業版執行個體,請使用 Filestore API 或 Google Cloud CLI。
在「容量」部分,請先選取容量範圍,然後輸入要使用的容量。你必須使用介於 1 TB 和 10 TB 之間的值,並以 256 GiB (0.25 TiB) 為單位調整。
在「Region」(區域) 中,使用清單選取要部署執行個體的區域。
在「通訊協定」部分,根據要使用的網路通訊協定,選取「NFSv3」或「NFSv4.1」。
針對「網路 IP 堆疊類型」,選取「IPv4」或「IPv6」。支援 Private Service Connect IPv6 的 Filestore 可讓您為每個服務連結選擇 IPv4 或 IPv6 端點。如果選取 IPv6,且您也想設定存取權控管,系統會驗證 IP 位址或範圍欄位是否採用 IPv6 CIDR 標記法。
在「VPC Network」(虛擬私有雲網路) 欄位中,選取要用於 Filestore 執行個體和 NFS 用戶端的網路。所選網路必須具備有效的服務連線政策,才能使用 Private Service Connect 連線至執行個體。如果沒有這類政策,請務必建立。請按照下列操作說明建立政策。
如何建立服務連線政策
建立 Filestore 執行個體時,您必須使用已設有連線政策的 VPC 網路,或在建立執行個體的工作流程中建立連線政策。 本節說明如何為虛擬私有雲網路建立服務連線政策。
- 在「VPC Network」(虛擬私有雲網路) 中,選取網路。如果所選網路沒有連線政策,請按一下「建立服務連線政策」。
- 在「政策名稱」欄位中,新增服務連線政策的名稱。
- 選用:在「Description」(說明) 欄位中簡短說明政策。
- 「來源服務範圍」和「目標端點範圍」欄位會填入您建立執行個體時提供的資訊。
- 在「Subnetworks」(子網路) 欄位中,選取用於 Filestore 服務端點的子網路。子網路是服務可用來存取 Filestore 執行個體的 IP 位址範圍。如要進一步瞭解如何搭配使用子網路與 Private Service Connect,請參閱「子網路用途」一文。
- 選用:在「連線限制」欄位中,限制可使用這項連線政策建立的端點數量。如未指定,則代表沒有限制。
- 按一下「建立政策」即可完成。繼續建立執行個體,或在 Private Service Connect 中查看政策。
在「File share name」(檔案共用區名稱) 欄位中,輸入執行個體提供的 NFS 檔案共用區名稱。
按一下「建立」,建立執行個體。
gcloud
如果您已安裝 gcloud CLI,可以更新:
gcloud components update建立 Filestore 區域、地區或 Enterprise 執行個體:
gcloud beta filestore instances create INSTANCE-ID \ --description="DESCRIPTION" \ --region=LOCATION \ --tier=TIER \ --protocol=PROTOCOL \ --file-share=name="FILE_SHARE_NAME",capacity=CAPACITY \ --network=name="VPC_NETWORK_NAME",connect-mode=CONNECT_MODE, address-mode=ADDRESS_MODE, psc-endpoint-project="PSC_ENDPOINT_PROJECT", --project=CONSUMER_PROJECT_ID其中:
- INSTANCE_ID 是要建立的 Filestore 執行個體 ID。請參閱「為執行個體命名」。
- DESCRIPTION 是要使用的執行個體說明。
- LOCATION 是您希望 Filestore 執行個體所在的地區。
- TIER 是您要使用的服務層級。可以是可用區、區域或企業級。
- PROTOCOL 為
NFS_v3或NFS_v4_1。 - FILE_SHARE_NAME 是您指定給執行個體提供的 NFS 檔案共用區名稱。
- CAPACITY 是檔案共用的大小,介於 1 TiB 到 10 TiB 之間。
VPC_NETWORK_NAME 是您要執行個體使用的 VPC 網路名稱。如要從服務專案指定共用虛擬私有雲,必須指定完整網路名稱,格式如下:
projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME您無法將傳統網路指定為 VPC_NETWORK_NAME 值。如有需要,請按照「建立自動模式虛擬私有雲網路」一文中的操作說明,建立要使用的新虛擬私有雲網路。
CONNECT_MODE為
PRIVATE_SERVICE_CONNECT。ADDRESS_MODE 是指派給執行個體 IP 位址的網際網路通訊協定版本。支援 Private Service Connect IPv6 的 Filestore 可讓您為每個服務連結選擇 IPv4 或 IPv6 端點。
PSC_ENDPOINT_PROJECT 是服務專案的選用名稱,您可以在其中建立 Private Service Connect 端點。如果您使用 Private Service Connect 和共用虛擬私有雲,可以指定 PSC_ENDPOINT_PROJECT。詳情請參閱「在服務專案的共用虛擬私有雲網路中建立執行個體」。
CONSUMER_PROJECT_ID 是包含 Filestore 執行個體的專案 ID。
範例
下列指令建立具有下列特性的執行個體:
- 執行個體 ID 為
my-instance。 - 專案為「
my-project」。 - 區域為
us-central1。 - 級別是
REGIONAL。 - 檔案共用區名稱為「
my_vol」。 - 容量為
1024。 - 虛擬私有雲網路為
default。 - 通訊協定為
NFS_v4_1。 - 連線模式為「
PRIVATE_SERVICE_CONNECT」。 - 地址模式為
MODE_IPV6。
gcloud filestore instances create my-instance \
--project="my-project"
--region=us-central1 \
--tier=REGIONAL \
--protocol=NFS_v4_1
--file-share=name="my_vol", capacity=1024
--network=name=projects/host/global/networks/default,connect-mode="PRIVATE_SERVICE_CONNECT", address-mode="MODE_IPV6"