יצירת מופע

בדף הזה מוסבר איך ליצור מופע Filestore באמצעות המסוף או ה-CLI של gcloud. Google Cloud

הוראות ליצירת מכונה

מסוף Google Cloud

לפני שמתחילים

  • מפעילים את Filestore API. יכול להיות שיחלפו כמה דקות עד ש-Filestore API יופיע ברשימה Service בקטע Quotas & System Limits.

  • המכסה של מופע אזורי או מופע בתחום מתחילה ב-0. כדי להשתמש ביכולות האלה, קודם צריך ליצור בקשה להגדלת מכסה ולקבל אישור לפני שיוצרים מכונה.

  • אם אתם צריכים ליצור מופע באמצעות רמת SSD ארגונית או ברמה גבוהה, אתם צריכים להפעיל את הפעולות ישירות דרך Filestore API או באמצעות gcloud. אי אפשר לבצע את הפעולות הבאות ב-create דרך מסוף Google Cloud .

    מידע נוסף זמין במאמר בנושא מסלולי שירות.

Google Cloud הוראות

  1. נכנסים לדף Instances של Filestore במסוף Google Cloud .

    כניסה לדף Instances

  2. לוחצים על Create Instance.

  3. ממלאים את כל שדות החובה ואת השדות האופציונליים לפי הצורך, בהתאם להוראות שבקטעים הבאים בדף הזה.

  4. לוחצים על יצירה.

gcloud

לפני שמתחילים

פקודת gcloud ליצירת מכונת Filestore

כדי ליצור מופע Filestore, מריצים את הפקודה filestore instances create. המיכסה של מופעים משתנה בהתאם לפרויקט, לאזור ולרמת המינוי. מידע נוסף זמין במאמרים בנושא מכסות או שליחת בקשה להגדלת מכסה.

gcloud filestore instances create INSTANCE_ID \
    [--project=PROJECT_ID] \
    [--location=LOCATION] \
    [--description=DESCRIPTION] \
    [--performance=PERFORMANCE] \
    --tier=TIER \
    --file-share=name="FILE_SHARE_NAME",capacity=FILE_SHARE_SIZE \
    --network=name="VPC-NETWORK",[connect-mode=CONNECT_MODE],[reserved-ip-range="RESERVED_IP_ADDRESS"] \
    [--labels=KEY=VALUE,[KEY=VALUE,…]] \
    [--kms-key=KMS_KEY] \
    [--deletion-protection] \
    [--deletion-protection-reason="PROTECTION_REASON"]

כאשר:

  • INSTANCE_ID עם מספר המכונה של מכונת Filestore שרוצים ליצור. איך נותנים שם למכונה

  • PROJECT_ID עם מזהה הפרויקט של הפרויקט Google Cloud שמכיל את מופע Filestore. אפשר לדלג על ההגדרה הזו אם מופעלת ברירת המחדל של gcloud הפרויקט במופע Filestore. כדי להגדיר את פרויקט ברירת המחדל, מריצים את הפקודה config set project:

      gcloud config set project PROJECT_ID

  • LOCATION במיקום שבו רוצים שהמופע של Filestore יהיה. איך בוחרים מיקום אפשר לדלג על הדגל הזה אם מופע Filestore נמצא במיקום ברירת המחדל gcloud. כדי להגדיר את מיקום ברירת המחדל, מריצים את הפקודה config set filestore/zone:

      gcloud config set filestore/zone zone

    במהדורות אזוריות או במהדורות Enterprise, משתמשים בפקודה config set filestore/region:

      gcloud config set filestore/region region

  • DESCRIPTION תיאור של מופע Filestore.

  • PERFORMANCE אם רוצים להשתמש בדגל --performance כדי להגדיר ביצועים בהתאמה אישית, משתמשים באחת מהאפשרויות הבאות:

    • max-iops-per-tb מציין שיעור IOPS לכל TiB שמתרחב באופן לינארי עם קיבולת המופע.
    • max-iops מציין קצב IOPS שלא משנה את ה-IOPS בהתאם לקיבולת של המופע.

    הפורמט הוא כזה:

    --performance=max-iops-per-tb=17000

    חובה להשתמש בדגל --performance כשיוצרים מופעים אזוריים עם קיבולת נמוכה מ-1,024 GiB. מידע נוסף זמין במאמר בנושא מופעי Filestore עם קיבולת קטנה.

  • TIER עם רמת השירות שבה רוצים להשתמש.

  • FILE_SHARE_NAME עם השם שציינתם לשיתוף קבצים ב-NFS שמוגש מהמופע. איך נותנים שם לשיתוף הקבצים

  • FILE_SHARE_SIZE עם הגודל הרצוי לשיתוף הקבצים. איך מקצים קיבולת

  • VPC_NETWORK בשם של רשת ה-VPC שבה רוצים שהמופע ישתמש. איך בוחרים רשת VPC אם רוצים לציין VPC משותף מפרויקט שירות, צריך לציין את השם המוגדר במלואו של הרשת, בפורמט projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME, וצריך לציין connect-mode=PRIVATE_SERVICE_ACCESS. לדוגמה:

    --network=name=projects/host/global/networks/shared-vpc-1,connect-mode=PRIVATE_SERVICE_ACCESS

    אי אפשר לציין רשת מדור קודם כערך של VPC_NETWORK. במידת הצורך, יוצרים רשת VPC חדשה לשימוש לפי ההוראות במאמר יצירת רשת VPC חדשה במצב אוטומטי.

  • CONNECT_MODE עם DIRECT_PEERING או PRIVATE_SERVICE_ACCESS. אם מציינים VPC משותף כרשת, צריך לציין גם PRIVATE_SERVICE_ACCESS כמצב החיבור.

  • RESERVED_IP_ADDRESS עם טווח כתובות ה-IP של מופע Filestore. אם מציינים connect-mode=PRIVATE_SERVICE_ACCESS ורוצים להשתמש בטווח כתובות IP שמורות, צריך לציין את השם של טווח כתובות מוקצה במקום טווח CIDR. מידע נוסף זמין במאמר בנושא הגדרת כתובת IP שמורה. מומלץ לדלג על הדגל הזה כדי לאפשר ל-Filestore למצוא באופן אוטומטי טווח כתובות IP פנוי ולהקצות אותו למופע.

  • KEY עם התווית שרוצים להוסיף. לא חובה להוסיף תוויות כשיוצרים מופע Filestore. אפשר גם להוסיף, למחוק או לעדכן תוויות אחרי שיוצרים מופע. פרטים נוספים מופיעים במאמר בנושא ניהול תוויות.

  • VALUE עם הערך של התווית.

  • KMS_KEY הוא השם המוגדר במלואו של מפתח ההצפנה של Cloud KMS שבו רוצים להשתמש כשרוצים לנהל את הצפנת הנתונים בעצמכם. הפורמט נראה כך:

    projects/KMS_PROJECT_ID/locations/REGION/keyRings/KEY_RING/cryptoKeys/KEY

  • PROTECTION_REASON אם בוחרים להשתמש בדגל --deletion-protection, אפשר להוסיף הערה לגבי ההגדרה. כדי להוסיף את ההערה, משתמשים בדגל האופציונלי --deletion-protection-reason וכוללים תיאור של ההצדקה להגדרה שבחרתם. לדוגמה, "כל נתוני הגנומיקה צריכים לעמוד בדרישות של מדיניות הארגון הנוכחית". מידע נוסף זמין במאמר בנושא הגנה מפני מחיקה.

דוגמה

הפקודה הבאה יוצרת מופע עם המאפיינים הבאים:

  • המזהה הוא render1.
  • הפרויקט הוא myproject.
  • האזור הוא us-central1.
  • הרמה היא REGIONAL.
  • הפרמטר max-iops-per-tb עם הערך 17000 משמש לביצועים.
  • השם של שיתוף הקבצים הוא my_vol.
  • גודל שיתוף הקבצים הוא 2 TiB.
  • רשת ה-VPC היא default.
  • טווח כתובות ה-IP השמורות הוא 10.0.7.0/29.
  • מעניקה גישת קריאה וכתיבה עם root squashed ללקוח עם כתובת ה-IP‏ 10.0.2.0.
  • ההגנה מפני מחיקה מופעלת.
  • צריך לספק הסבר להגדרת ההגנה מפני מחיקה.
gcloud filestore instances create render1 \
  --project=myproject \
  --region=us-central1 \
  --tier=REGIONAL \
  --performance=max-iops-per-tb=17000 \
  --network=name="default",reserved-ip-range="10.0.7.0/29" \
  --flags-file=nfs-export-options.json \
  --deletion-protection \
  --deletion-protection-reason="All genomics data must adhere to current
  organization policies."

תוכן הקובץ nfs-export-options.json:

 {
"--file-share":
  {
    "capacity": "2048",
    "name": "my_vol",
    "nfs-export-options": [
      {
        "access-mode": "READ_WRITE",
        "ip-ranges": [
          "10.0.0.0/29",
          "10.2.0.0/29"
        ],
        "squash-mode": "ROOT_SQUASH",
        "anon_uid": 1003,
        "anon_gid": 1003
      },
      {
        "access-mode": "READ_ONLY",
        "ip-ranges": [
          "192.168.0.0/26"
        ],
        "squash-mode": "NO_ROOT_SQUASH"
      }
    ]
  }
}

‫API בארכיטקטורת REST

  1. התקנה והפעלה של ה-CLI של gcloud, שמאפשרות ליצור אסימון גישה לכותרת Authorization.

  2. משתמשים ב- cURL כדי להפעיל את Filestore API:

    curl --request POST \
    'https://file.googleapis.com/v1/projects/PROJECT/locations/LOCATION/instances?instanceId=NAME' \
    --header "Authorization: Bearer $(gcloud auth print-access-token)" \
    --header 'Accept: application/json' \
    --header 'Content-Type: application/json' \
    --data '{
            "tier":"TIER",
            "networks":[
                {
                "network":"NETWORK"
                }
              ],
            "performanceConfig": {"PERFORMANCE"}
            "fileShares":[
              {"capacityGb":CAPACITY,"name":"SHARE_NAME"}
              ],
            "deletionProtectionEnabled": true,
            "deletionProtectionReason": "PROTECTION_REASON"}' \
    --compressed

    כאשר:

    • PROJECT הוא שם הפרויקט שבו ימוקם המופע. לדוגמה, my-genomics-project.
    • LOCATION הוא המיקום שבו המופע יתארח. לדוגמה, us-east1 או us-central1-a.
    • NAME הוא שם המופע שרוצים ליצור. לדוגמה, my-genomics-instance.
    • TIER הוא שם רמת השירות שרוצים להשתמש בה. לדוגמה, REGIONAL.

    • PERFORMANCE הוא הגדרת הביצועים שמשמשת לציון הגדרות ביצועים בהתאמה אישית.

      אפשר להשתמש רק באחת מהאפשרויות שמופיעות.

      • PerformanceConfig.iopsPerTb.maxIopsPerTb מציין שיעור IOPS לכל TiB שמשנה את ה-IOPS באופן לינארי בהתאם לקיבולת המופע.
      • PerformanceConfig.fixedIops.maxIops מציין קצב קבוע של פעולות קלט/פלט בשנייה שלא משתנה בהתאם לקיבולת של המופע.

      הפורמט הוא כזה:

         "performanceConfig": {
      "iopsPerTb" : {
          "maxIopsPerTb":17000
      }
    }

    • NETWORK הוא שם הרשת שבה רוצים להשתמש. לדוגמה, default.

    • CAPACITY הוא הגודל ב-GiB שרוצים להקצות למופע. לדוגמה, 1024.

    • SHARE_NAME הוא שם שיתוף הקבצים. לדוגמה, vol1.

    • PROTECTION_REASON אם בוחרים להשתמש בדגל deletionProtectionEnabled, אפשר להוסיף הערה לגבי ההגדרה. כדי להוסיף את ההערה, משתמשים בדגל האופציונלי deletionProtectionReason וכוללים תיאור של ההצדקה להגדרה שבחרתם. לדוגמה, "All genomics data must adhere to current organization policies." מידע נוסף זמין במאמר בנושא הגנה מפני מחיקה.

הסבר על מופעים ועל שיתופים

מופע של Filestore מייצג את נפח האחסון הפיזי.

שיתוף מייצג חלק מוקצה מנפח האחסון הזה עם נקודת גישה ייחודית לאדם מסוים.

כל רמות השירות מציעות אפשרויות אחסון עם יחס של 1:1 בין נפח האחסון לבין המופע. לחלופין, Filestore multishares for GKE, שזמין רק למופעים ברמת Enterprise, מאפשר גישה לכמה שיתופים במופע יחיד.

האדמינים משתמשים בשמות של מופעים או במזהים של מופעים כדי לנהל את המופעים. הלקוחות משתמשים בשמות של שיתופי קבצים כדי להתחבר לשיתופים שמיוצאים מהמופעים האלה.

נותנים שם למופע

השם של מופע Filestore או מזהה המופע משמשים לזיהוי המופע ומשמשים בפקודות gcloud. מזהי מופעים צריכים להיות תואמים לרכיב <label> של RFC 1035. באופן ספציפי, הם צריכים:

  • להיות באורך של 1 עד 63 תווים.
  • להתחיל באות קטנה.
  • הוא יכול להכיל מקפים, אותיות קטנות או ספרות.
  • להסתיים באותיות קטנות או בספרות.

מזהה המופע חייב להיות ייחודי בפרויקט ובאזור שבהם הוא נמצא ב- Google Cloud . אחרי שיוצרים מופע, אי אפשר לשנות את מזהה המופע שלו.

הגדרת רמת שירות

בוחרים את רמת השירות שהכי מתאימה לצרכים שלכם. אחרי שיוצרים מופע, אי אפשר לשנות את רמת השירות שלו. בטבלה הבאה מפורטות היכולות שזמינות בכל רמת שירות:

היכולות של רמות השירות של Filestore
יכולת HDD בסיסי ו-SSD בסיסי אזורי אזורי Enterprise
קיבולת ‫1 TiB עד 63.9 TiB ‫1 TiB עד 100 TiB ‫100 GiB או 1 TiB עד 100 TiB ‫1 TiB עד 10 TiB
מדרגיות
  • כונן HDD בסיסי (‎1 TiB עד ‎63.9 TiB): הגידול הוא במרווחים של ‎1 GiB
  • Basic SSD (2.5 TiB to 63.9 TiB): Scales up only in increments of 1 GiB
  • אזורי (1 TiB עד 9.75 TiB): הגדלה או הקטנה במרווחים של 256 GiB
  • אזורי (‎10 TiB עד ‎100 TiB): ניתן להגדיל או להקטין את הנפח במרווחים של ‎2.5 TiB
  • אזורי

    בהתאם לגישה שלכם לתכונת המקרים הקטנים, תוכלו להשתמש באחת מהאפשרויות הבאות:

    • משתמשים עם גישה לתכונה של מקרים קטנים: ‫100 GiB עד 10,239 GiB. הגדלה או הקטנה של הזיכרון במרווחים של 1 GiB
    • משתמשים ללא גישה לתכונה של מקרים קטנים: 1 TiB עד 9.75 TiB. הגדלה או הקטנה במרווחים של 256 GiB
  • אזורי (‎10 TiB עד ‎100 TiB): הגדלה או הקטנה במרווחים של ‎2.5 TiB
הגדלה או הקטנה במרווחים של 256 GiB
ביצועים
  • HDD בסיסי: סטטי
  • SSD בסיסי: שלב הביצועים ב-10 TiB
 ניתן להגדרה ניתן להגדרה הגידול הוא לינארי בהתאם לקיבולת
פרוטוקול NFSv3 NFSv3, ‏ NFSv4.1 NFSv3, ‏ NFSv4.1 NFSv3, ‏ NFSv4.1

פעולות Create במכונות אזוריות, אזוריות וארגוניות יכולות להימשך בין 15 דקות לשעה, בהתאם לגודל המכונה.

המכסה של Filestore מתחילה להיגמר כשמתחילים ליצור את האינסטנס, אבל לא מחייבים אתכם על האינסטנס בזמן הזה.

לתיאור מפורט יותר של היכולות שזמינות בכל מסלול שירות, אפשר לעיין במאמר בנושא מסלולי שירות.

הקצאת קיבולת

כשיוצרים את המופע, מקצים לו את הקיבולת שצריך. ככל שמתקרבים למגבלת הקיבולת, אפשר להגדיל את הקיבולת לפי הצורך בלי להשפיע על זמן הריצה. מידע על מעקב אחרי הקיבולת של המכונות זמין במאמר מעקב אחרי מכונות.

ב-CLI של gcloud, אפשר לציין את הקיבולת במספרים שלמים באמצעות GiB או TiB. יחידת ברירת המחדל היא GiB.

בטבלה הבאה מוצגים גדלי המופעים שזמינים לכל רמה:

רמה גודל מינימלי גודל מקסימלי גודל המרווח המצטבר
אזורי ‫1 TiB ‫9.75 TiB ‫256 GiB
אזורי ‫10 TiB ‫100 TiB ‫2.5 TiB
אזורי ‫100 GiB* או 1 TiB ‫10,239 GiB* או 9.75 TiB ‫1 GiB* או 256 GiB
אזורי ‫10 TiB ‫100 TiB ‫2.5 TiB
HDD בסיסי ‫1 TiB ‫63.9 TiB ‫‎1 GiB
SSD בסיסי ‫2.5 TiB ‫63.9 TiB ‫‎1 GiB
Enterprise ‫1 TiB ‫10 TiB ‫256 GiB

* בהתאם לגישה לתכונה של מכונות בקיבולת קטנה, טווח הקיבולת הנמוך למכונות אזוריות של Filestore יכול להיות ‎100 GiB עד ‎10,239 GiB או ‎1 TiB עד ‎9.75 TiB. מידע נוסף זמין במאמר בנושא איך יוצרים אירועים קטנים של Filestore.

הגודל של המופעים יכול להיות כל ערך של גיביבייט או טביבייט, בין הגודל המינימלי לגודל המקסימלי של המופע, שמתחלק בגודל הצעד המצטבר. לדוגמה, גדלים תקינים של מופעים ברמת אזור עם טווח קיבולת גבוה יותר כוללים 10 TiB,‏ 12.5 TiB ו-15 TiB.

אחרי שיוצרים מכונות HDD בסיסיות ומכונות SSD בסיסיות, אפשר רק להגדיל את הגודל שלהן. בכל רמות השירות האחרות אפשר להגדיל או להקטין את הקיבולת. מידע נוסף מופיע במאמרים עריכת מופעים והגדלת הקיבולת.

מכסת הקיבולת הכוללת

לכל פרויקט מוקצה מכסת קיבולת נפרדת, שמוגדרת לפי אזור ורמת שירות. מגבלות המכסה משתנות בהתאם לרמת השירות.

אחרי שתגיעו למגבלת המכסה, לא תוכלו ליצור עוד מופעים של Filestore או להגדיל את הקיבולת של המופעים הקיימים. כדי לראות את המכסה הזמינה, נכנסים לדף Quotas במסוף Google Cloud :

לפתיחת הדף Quotas

למידע על בקשה להגדלת מכסה, ראו בקשה להגדלת מכסה.

הגדרת הביצועים

ביצועי המופע תלויים ברמת השירות שתבחרו.

רמות אזוריות ושל תחום מוגדר

  • בדרגות אזוריות ודרגות של אזורי זמינות, הביצועים המותאמים אישית מופעלים כברירת מחדל כשמשתמשים במסוף Google Cloud , כך שאפשר להגדיר את הביצועים על סמך עומס העבודה וההתאמה לגודל. אפשר להגדיר יחס IOPS לכל TiB, שיאפשר ל-IOPS של המופע להתרחב בהתאם לקיבולת, או ערך קבוע של IOPS שלא יתרחב בהתאם לקיבולת, אבל אפשר לשנות אותו בכל שלב אם הקיבולת משתנה. פרטים על המגבלות מופיעים במאמר בנושא מגבלות ביצועים בהתאמה אישית.

  • כדי ליצור מופעים אזוריים עם קיבולת נמוכה מ-1,024 GiB, צריך להפעיל ביצועים בהתאמה אישית. ערך ה-IOPS המינימלי למכונות האלה הוא 2,000. מידע נוסף זמין במאמר בנושא מופעי Filestore עם קיבולת נמוכה.

רמות שירות של SSD בסיסי ו-HDD בסיסי

  • בקטגוריות בסיסיות של SSD, מספר פעולות הקלט/פלט בשנייה הוא קבוע ולא משתנה כשמשנים את הגדרות הקיבולת.
  • במקרים של רמות בסיסיות של HDD, מגבלות הביצועים משתנות בהתאם לקיבולת, אם היא בטווח של 1 TiB עד 10 TiB או מ-10 TiB עד 63.9 TiB.

מידע נוסף על מגבלות ביצועים והגדרות זמין במאמר בנושא ביצועים.

הגדרת יחס IOPS לכל TiB

בביצועים מותאמים אישית אפשר לציין את היחס בשדה IOPS per TiB (פעולות קלט/פלט לשנייה לכל TiB) שבו הביצועים משתנים בהתאם לקיבולת.

אם רוצים להשתמש ב-IOPS קבוע, מבטלים את הסימון של התיבה שיפור הביצועים באמצעות קיבולת.

נניח שציינתם את ערכי הביצועים הראשוניים הבאים:

  • קיבולת: 1 TiB
  • IOPS per TiB: 6,000
  • ביצועים (כשהתיבה שיפור הביצועים בעזרת קיבולת מסומנת): 6,000 IOPS

בדוגמאות הבאות אפשר לראות איך הביצועים משתנים בהתאם לשינויים בהגדרות:

  • הגדלת IOPS לכל TiB ל-7,000 משנה את הביצועים ל-7,000 IOPS.
  • הגדלת הקיבולת ל-2 TiB משנה את הביצועים ל-14,000 IOPS.
  • הפחתה של הביצועים ל-8,000 IOPS משנה את IOPS לכל ‎TiB ל-4,000.

ציון מספר קבוע של IOPS

אם מבטלים את הסימון של התיבה שיפור הביצועים באמצעות קיבולת, בשדה ביצועים מציינים את מספר פעולות הקלט/פלט בשנייה שרוצים להשתמש בהן. המספר הזה צריך להיות בטווח הביצועים וגם כפולה של 1,000.

הגדרת מספר קבוע של פעולות קלט/פלט בשנייה באופן עצמאי, ללא קשר לקיבולת, מאפשרת לכוונן את הביצועים. עם זאת, האפשרות הזו מונעת שינוי אוטומטי של הקיבולת בהתאם לשינויים בביצועים. שינוי הקיבולת עשוי לדרוש התאמה של ערך הביצועים, ולהיפך.

לדוגמה, הגדרתם את הערכים הבאים:

  • קיבולת: ‎4 TiB
  • ביצועים 40,000 IOPS

בשלב הזה, אפשר לשפר את הביצועים עד ל-68,000 IOPS, שזהו הגבול לקיבולת של 4 TiB. אתם רוצים לשפר את הביצועים ל-70,000 IOPS, שזה מעבר לטווח הביצועים של הקיבולת של 4 TiB. כדי לשמור על תאימות, צריך להגדיל את הקיבולת ל-4.25 TiB או יותר כדי שהיא תהיה בטווח הביצועים.

בחירת מיקום

המיקום מתייחס לאזור ולתחום שבהם ממוקם מופע Filestore. כדי לקבל את הביצועים הטובים ביותר ולהימנע מחיובים על רשתות חוצות אזורים, חשוב לוודא שמופע Filestore נמצא באותו אזור שבו נמצאות המכונות הווירטואליות ב-Compute Engine שצריכות לגשת אליו.

מידע נוסף על אזורים ותחומים זמין במאמר מיקום גיאוגרפי ואזורים.

בחירת פרוטוקול של מערכת קבצים

בוחרים את הפרוטוקול של מערכת הקבצים שמתאים לצרכים שלכם. ‫Filestore תומך בפרוטוקולים NFSv3 ו-NFSv4.1.

בחירת רשת VPC

הרשת שבוחרים להשתמש בה עם Filestore יכולה להיות רשת VPC רגילה או רשת VPC משותפת.

אם אתם משתמשים ב-CLI של gcloud, אתם יכולים גם להשתמש בקישור בין רשתות VPC שכנות (peering) עם קישור ישיר בין רשתות שכנות (direct peering) או עם גישה לשירותים פרטיים. מידע נוסף זמין במאמר דרישות לגבי משאבי רשת וכתובות IP.

בשני המקרים, ברשת שתבחרו צריכים להיות מספיק משאבי IP זמינים כדי להקצות אותם למופע Filestore. אחרת, המופע לא ייווצר בגלל מיצוי של כתובות ה-IP.

לקוחות צריכים להיות באותה רשת כמו מופע Filestore כדי לגשת לקבצים שמאוחסנים במופע הזה. אחרי שיוצרים מופע, אי אפשר לשנות את בחירת הרשת הזו.

רשת VPC משותפת

כדי ליצור מכונה ברשת VPC משותף בפרויקט שירות, מנהל הרשת צריך קודם להפעיל גישה לשירותים פרטיים ברשת ה-VPC המשותף. אם יוצרים את המופע בפרויקט המארח, לא נדרשת גישה לשירותים פרטיים.

רשתות VPC משותפות מוצגות במסוף Google Cloud בפורמט:

projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME

הוראות מפורטות זמינות במאמר בנושא יצירת מכונה וירטואלית ברשת VPC משותפת.

נעילת קבצים ב-NFS

אם האפליקציות שאתם מתכננים להשתמש בהן עם מופע Filestore דורשות נעילת קבצים ב-NFS, יכול להיות שתצטרכו לפתוח את הפורטים שמשמשים את Filestore ברשת שתבחרו, אם אחד מהתרחישים הבאים רלוונטי לתרחיש השימוש שלכם:

  • רשת VPC שאינה רשת ברירת המחדל.
  • רשת ה-VPC שמוגדרת כברירת מחדל עם כללי חומת אש ששונו.

השיקול הזה רלוונטי רק למופעי Filestore שמשתמשים בשיטות גישה לשירותים פרטיים או בשיטות חיבור של קישור ישיר בין רשתות שכנות (direct peering).

מידע נוסף מופיע במאמר בנושא הגדרת כללים של חומת האש.

הגדרת שיתוף הקבצים

שיתוף קבצים הוא ספרייה במופע Filestore שבו מאוחסנים כל הקבצים המשותפים. זה גם מה שמצמידים או ממפים ב-VM של הלקוח.

שם שיתוף הקבצים צריך לעמוד בדרישות הבאות:

  • האורך צריך להיות בין 1 ל-32 תווים ברמות אזוריות, אזוריות משנה וארגוניות, ובין 1 ל-16 תווים ברמות בסיסיות.
  • מתחילים באות.
  • הן יכולות לכלול אותיות רישיות או קטנות, מספרים וקווים תחתונים.
  • להסתיים באות או במספר.

הגדרת בקרת גישה מבוססת-IP

כברירת מחדל, מופע Filestore מעניק לכל הלקוחות, כולל מכונות וירטואליות ב-Compute Engine ואשכולות GKE, גישת קריאה וכתיבה ברמת הבסיס, אם הם משתפים את אותו Google Cloud פרויקט ואת אותה רשת VPC. אם רוצים להגביל את הגישה, אפשר ליצור כללים שמעניקים רמות גישה ספציפיות ללקוחות על סמך כתובת ה-IP שלהם. אחרי שמוסיפים את הכללים, הגישה נשללת מכל כתובות ה-IP והטווחים שלא צוינו בכלל. הגדרות התצורה של טווחי כתובות IP חופפים נתמכות במופעים אזוריים, במופעים אזוריים ובמופעים של Enterprise. מידע נוסף זמין במאמר בנושא הרשאות חופפות.

בטבלה הבאה מתוארות ההרשאות של כל רמת גישה. רמות הגישה האלה משמשות רק במסוף Google Cloud . ב-CLI של gcloud וב-API, צריך לציין את הגדרות הכלל ישירות.

רמת גישה הגדרת הכלל תיאור
admin
  • קריאה-כתיבה
  • no-root-squash
 הלקוח יכול להציג ולשנות את כל הקבצים, התיקיות והמטא-נתונים כמשתמש root. היא יכולה גם להעניק בעלות על קבצים או תיקיות על ידי הגדרת uid ו-gid שלה, וכך להעניק גישה ללקוחות שאין להם גישת שורש לשיתוף הקבצים.
admin-viewer
  • לקריאה בלבד
  • no-root-squash
 הלקוח יכול להציג את כל הקבצים, התיקיות והמטא-נתונים כמשתמש root, אבל לא יכול לשנות אותם.
editor
  • קריאה-כתיבה
  • root-squash
 הלקוח יכול להציג ולשנות את הקבצים, התיקיות והמטא-נתונים בהתאם ל-uid ול-gid שהוקצו לו.
viewer
  • לקריאה בלבד
  • root-squash
 הלקוח יכול להציג את הקבצים, התיקיות והמטא-נתונים בהתאם לuid ולgid שהוקצו לו.

root-squash ממפה את כל הבקשות מ-uid 0 ומ-gid 0 ל-anon_uid ול-anon_gid, בהתאמה. ההגדרה הזו מסירה את הגישה ברמת הבסיס מלקוחות שמנסים לגשת לשיתוף הקבצים כמשתמש root.

כשיוצרים כללי גישה שמבוססים על כתובות IP:

  • צריך לציין כתובת IP פנימית או טווח כתובות IP פנימיות ואת רמת הגישה שניתנת.
  • צריך שיהיה לפחות כלל אחד שמעניק גישה admin בזמן יצירת המופע. אפשר להסיר את הכלל הזה אחרי שיוצרים את המופע.
  • במכונות וירטואליות אזוריות, אזוריות וארגוניות יש תמיכה בהגדרות של טווחי כתובות IP חופפים. אין תמיכה במופעים ברמה בסיסית. מידע נוסף זמין במאמר בנושא הרשאות חופפות.

במסוף Google Cloud , אפשר ליצור עד 4 כללים שונים (admin,‏ admin-viewer, ‏ editor, ‏ viewer) שכוללים עד 64 כתובות IP או טווחים שונים.

ב-CLI של gcloud, אפשר להגדיר עד 64 כתובות IP שונות או בלוקים של CIDR לכל מופע Filestore, במסגרת מקסימום של 10 כללים שונים. כלל מוגדר כשילוב של ההגדרות access-mode, squash-mode ו-anon_uid/anon_gid. הערכים שמוגדרים כברירת מחדל בשדות anon_uid ו-anon_gid הם 65534, ואפשר להגדיר אותם רק באמצעות ה-API וה-CLI של gcloud.

דוגמה

דוגמה לשלושה כללי גישה שונים שמבוססים על כתובות IP:

  • access-mode=READ_ONLY, squash-mode=ROOT_SQUASH, anon_uid=10000.
  • access-mode=READ_WRITE, squash-mode=ROOT_SQUASH, anon_gid=150.
  • access-mode=READ_WRITE, ‏squash-mode=NO_ROOT_SQUASH.

כדי ליצור כללי בקרת גישה מבוססי-IP באמצעות ה-CLI של gcloud, משתמשים בדגל --flags-file עם הפקודות instances create או instances update ומפנים אותו לקובץ תצורה בפורמט JSON. לדוגמה, אם קובץ ההגדרות בפורמט JSON נקרא nfs-export-options.json, הדגל יהיה:

--flags-file=nfs-export-options.json

קובץ הגדרות JSON לדוגמה:

   {
  "--file-share":
    {
      "capacity": "2048",
      "name": "my_vol",
      "nfs-export-options": [
        {
          "access-mode": "READ_WRITE",
          "ip-ranges": [
            "10.0.0.0/29",
            "10.2.0.0/29"
          ],
          "squash-mode": "ROOT_SQUASH",
          "anon_uid": 1003,
          "anon_gid": 1003
        },
         {
          "access-mode": "READ_ONLY",
          "ip-ranges": [
            "192.168.0.0/26"
          ],
          "squash-mode": "NO_ROOT_SQUASH"
        }
      ]
    }
}
  • ip-ranges היא כתובת ה-IP או טווח כתובות ה-IP שרוצים להעניק להם גישה. אפשר לציין כמה כתובות IP או טווחים של כתובות IP, ולהפריד ביניהם באמצעות פסיק. רק מכונות אזוריות, אזוריות וארגוניות תומכות בהגדרות של טווחי כתובות IP חופפים. מידע נוסף זמין במאמר בנושא חפיפה בין הרשאות.
  • access-mode היא רמת הגישה שמוענקת ללקוחות שכתובת ה-IP שלהם נמצאת בטווח ip-range. הערך יכול להיות READ_WRITE או READ_ONLY. ערך ברירת המחדל הוא READ_WRITE.
  • הערכים האפשריים של squash-mode הם ROOT_SQUASH או NO_ROOT_SQUASH. ‫ROOT_SQUASH מסיר גישת שורש ללקוחות שכתובת ה-IP שלהם נמצאת בטווח ip-range, בעוד ש-NO_ROOT_SQUASH מאפשר גישת שורש. ערך ברירת המחדל הוא NO_ROOT_SQUASH.
  • anon_uid הוא ערך מזהה המשתמש שרוצים למפות ל-anon_uid. ערך ברירת המחדל הוא 65534.
  • anon_gid הוא ערך מזהה הקבוצה שרוצים למפות אל anon_gid. ערך ברירת המחדל הוא 65534.

לקוחות בטווחים שאינם RFC 1918

אם אתם מתכננים לחבר לקוחות שאינם RFC 1918 למופע Filestore, אתם צריכים להעניק להם במפורש גישה למופע Filestore באמצעות בקרת גישה מבוססת-IP.

שדות אופציונליים

בקטעים הבאים מתוארים שדות אופציונליים.

הוספת תיאור למופע

תיאור של מופע מאפשר לכם לכתוב תיאורים, הערות או הוראות לעצמכם ולמשתמשים אחרים. לדוגמה, אתם יכולים לכלול מידע על:

  • סוגי הקבצים שמאוחסנים במופע.
  • למי יש גישה למופע.
  • הוראות לגישה למופע.
  • למה המופע משמש.

האורך של תיאורי מופעים מוגבל ל-2,048 תווים. אין הגבלות על התווים שאפשר להשתמש בהם. אחרי שיוצרים מופע Filestore, אפשר לעדכן את תיאור המופע בכל שלב לפי הצורך. במאמר עריכת מופעים מוסבר איך לעדכן את תיאורי המופעים.

הוספת תוויות

תוויות הן צמדי מפתח/ערך שבהם אפשר להשתמש כדי לקבץ מופעים קשורים ולאחסן מטא-נתונים לגבי מופע. אפשר להוסיף, למחוק או לשנות תוויות בכל שלב. מידע נוסף מופיע במאמר בנושא ניהול תוויות.

הגדרת טווח כתובות IP שמורות

לכל מופע של Filestore צריך להיות משויך טווח כתובות IP. יש תמיכה בטווחים של כתובות IP מסוג RFC 1918 וגם בטווחים של כתובות IP שהם לא RFC 1918 ‏ (GA).

אחרי שמציינים את טווח כתובות ה-IP של מופע, אי אפשר לשנות אותו.

מומלץ למשתמשים לאפשר ל-Filestore לקבוע באופן אוטומטי טווח כתובות IP פנוי ולהקצות אותו למופע. כשבוחרים טווח משלכם, צריך להביא בחשבון את הדרישות הבאות של משאבי IP ב-Filestore:

  • חובה להשתמש בסימון CIDR.

  • צריך לציין טווח תקין של רשת משנה של VPC.

  • במקרים בסיסיים, גודל הבלוק הנדרש הוא 29. לדוגמה, 10.123.123.0/29.

  • במקרים של מופעים אזוריים, אזוריים וארגוניים, נדרש גודל בלוק של 26. לדוגמה, 172.16.123.0/26.

  • טווח כתובות ה-IP לא יכול לחפוף לטווחים הבאים:

    • תת-רשתות קיימות ברשת ה-VPC שמופע Filestore משתמש בהן.

    • רשתות משנה קיימות ברשת VPC שהיא ברשת פירינג עם הרשת שמוגדרת במופע Filestore. פרטים נוספים זמינים במאמר בנושא רשתות משנה חופפות בזמן יצירת ה-Peering.

    • טווחים של כתובות IP שהוקצו למופעי Filestore קיימים אחרים ברשת הזו.

    • טווח הכתובות 172.17.0.0/16 שמור לרכיבים פנימיים של Filestore. כתוצאה מכך, חלות ההגבלות הבאות:

      • אי אפשר לחבר לקוחות בטווח הזה למופעי Filestore.

      • אי אפשר ליצור מופעי Filestore בטווח כתובות ה-IP הזה. מידע נוסף מופיע במאמר בנושא בעיות מוכרות.

  • צריך להיות לפחות חיבור אחד של VPC Network Peering או של גישה לשירותים פרטיים לכל VPC.

כדי לראות את טווחי כתובות ה-IP של רשתות המשנה ברשת שלכם, אפשר לעבור לדף 'רשתות VPC' במסוף Google Cloud :

כניסה אל VPC Networks

אפשר לראות את טווח כתובות ה-IP השמורות של כל מופע Filestore בדף Filestore instances במסוףGoogle Cloud :

כניסה לדף Filestore Instances

אם אתם רוצים להשתמש בגישה לשירותים פרטיים ולציין טווח כתובות IP שמור, אתם צריכים לציין את השם של טווח כתובות מוקצה לחיבור. אם לא מציינים שם טווח, Filestore משתמש באופן אוטומטי בכל הטווחים שהוקצו שמשויכים לחיבור של גישה לשירותים פרטיים.

שימוש במפתח הצפנה בניהול הלקוח

כברירת מחדל, Google Cloud הנתונים מוצפנים אוטומטית כשהם במצב מנוחה באמצעות מפתחות הצפנה שמנוהלים על ידי Google. אם אתם צריכים יותר שליטה במפתחות שמגנים על הנתונים שלכם, אתם יכולים להשתמש במפתחות הצפנה בניהול הלקוח (CMEK) ב-Filestore. פרטים נוספים מופיעים במאמר בנושא הצפנת נתונים באמצעות מפתחות הצפנה בניהול הלקוח.

הפעלת הגנה מפני מחיקה

מגדירים את ההגדרה של הגנה מפני מחיקה של המכונה. ההגדרה הזו מושבתת כברירת מחדל. מידע נוסף זמין במאמר בנושא הגנה מפני מחיקה.

הוספת תיאור של הגדרת הגנה מפני מחיקה

מוסיפים תיאור של ההצדקה להגדרת ההגנה מפני מחיקה שבחרתם. מידע נוסף זמין במאמר בנושא הגנה מפני מחיקה.

המאמרים הבאים