Creare un'istanza su una rete VPC condiviso nei progetti di servizio

Questo tutorial ti guida nella procedura di creazione di un'istanza Filestore su una rete VPC condivisa da un progetto di servizio.

Puoi creare istanze Filestore su una rete VPC condiviso nel progetto host o in uno dei progetti di servizio associati. Quando crei un'istanza nel progetto host, puoi selezionare la rete VPC condiviso come di consueto e i client del progetto di servizio possono connettersi all'istanza. Tuttavia, se vuoi creare l'istanza in un progetto di servizio, devi prima abilitare l'accesso privato ai servizi sulla rete VPC condiviso dal progetto host.

Obiettivi

Costi

In questo documento vengono utilizzati i seguenti componenti fatturabili di Google Cloud:

Per generare una stima dei costi in base all'utilizzo previsto, utilizza il calcolatore prezzi.

I nuovi Google Cloud utenti potrebbero avere diritto a una prova senza costi.

Al termine delle attività descritte in questo documento, puoi evitare l'addebito di ulteriori costi eliminando le risorse che hai creato. Per saperne di più, consulta Esegui la pulizia.

Prima di iniziare

  1. Verifica che la fatturazione sia attivata per il tuo Google Cloud progetto.

  2. Crea una rete VPC condivisa con un host progetto e un progetto di servizio connesso.

  3. Abilita le API Filestore e Service Networking.

    Ruoli richiesti per abilitare le API

    Per abilitare le API, devi disporre del ruolo IAM Amministratore utilizzo servizi (roles/serviceusage.serviceUsageAdmin), che contiene l'autorizzazione serviceusage.services.enable. Scopri come concedere i ruoli.

    Abilita le API

Abilita l'accesso privato ai servizi sulla rete VPC condiviso

Per creare un'istanza Filestore in un progetto di servizio che utilizza una rete VPC condiviso, quest'ultima deve avere l' accesso privato ai servizi (PSA) abilitato. Consulta Configurare un intervallo di indirizzi IP riservato per requisiti specifici di Filestore.

Verifica se l'accesso privato ai servizi è abilitato per la rete VPC condiviso

Verifica se l'accesso privato ai servizi è già abilitato per la rete VPC condiviso utilizzando uno dei seguenti metodi:

Google Cloud Console

  1. Nella Google Cloud console, vai alla pagina Istanze Filestore.

    Vai alla pagina Istanze Filestore

  2. Fai clic su Crea istanza.

  3. Seleziona la rete VPC condiviso che vuoi utilizzare.

  4. Fai clic su Opzioni di rete avanzate.

  5. La sezione Connessione di accesso privato ai servizi indica se l'accesso privato ai servizi è abilitato.

gcloud CLI

Esegui il seguente services vpc-peerings list comando:

gcloud beta services vpc-peerings list \
    --network=SHARED_VPC_NAME \
    --project=HOST_PROJECT_ID

Sostituisci quanto segue:

  • SHARED_VPC_NAME con il nome della rete VPC condiviso che vuoi utilizzare per l'istanza Filestore.
  • HOST_PROJECT_ID con l'ID progetto del progetto host che contiene la rete VPC condiviso.

Se l'accesso privato ai servizi è già abilitato, la risposta mostra che è stato stabilito un peering per servicenetworking-googleapis-com:

network: projects/PROJECT_NUMBER/global/networks/SHARED_VPC_NAME
peering: servicenetworking-googleapis-com
reservedPeeringRanges: RANGES

Se l'accesso privato ai servizi è abilitato per la rete VPC condiviso, puoi iniziare a creare istanze Filestore. In caso contrario, devi prima abilitare l'accesso privato ai servizi.

Abilita l'accesso privato ai servizi

Devi disporre del ruolo Proprietario (roles/owner), Editor (roles/editor) o Amministratore gestione rete (roles/networkmanagement.admin) per creare intervalli di indirizzi IP allocati e gestire le connessioni private. Se non disponi di questi privilegi, contatta l'amministratore di rete. Per saperne di più, consulta Informazioni sui ruoli.

Abilita l'accesso privato ai servizi su una rete VPC condiviso utilizzando uno dei seguenti metodi:

Google Cloud Console

Riserva un intervallo di indirizzi IP nella rete VPC condiviso per i servizi gestiti da Google

  1. Vai alla pagina Reti VPC nella Google Cloud console.

    Vai alla pagina Reti VPC

  2. Seleziona il progetto host che contiene la rete VPC condiviso che vuoi utilizzare.

  3. Fai clic sul nome della rete VPC condiviso su cui vuoi creare l'istanza Filestore.

  4. Seleziona la scheda Connessione di servizi privati.

  5. Nella scheda Connessione di servizi privati, seleziona la scheda Intervalli IP allocati per i servizi.

  6. Fai clic su Alloca intervallo IP e configurarlo come segue:

    • Nome: google-service-range
    • Descrizione: Peering range for Google managed services

    • Intervallo IP:

      • Seleziona Automatico.
      • Nel campo di testo, inserisci 20 per il prefisso. Questo intervallo viene utilizzato da tutti i servizi gestiti Google Cloud , quindi in pratica potrebbe essere necessario un intervallo più grande. Le istanze di livello Basic richiedono un prefisso /29, mentre le istanze di livello Enterprise, zonale e regionale con un intervallo di capacità maggiore (in precedenza SSD a scalabilità elevata) e le istanze di livello zonale e regionale con un intervallo di capacità inferiore richiedono un prefisso /26.

  7. Fai clic su Alloca per creare l'intervallo allocato.

Crea una connessione privata per la rete VPC condiviso e la rete di servizi gestiti da Google

  1. Vai alla pagina Reti VPC nella Google Cloud console.

    Vai alla pagina Reti VPC

  2. Seleziona il progetto host che contiene la rete VPC condiviso che vuoi utilizzare.

  3. Fai clic sul nome della rete VPC condiviso su cui vuoi creare l'istanza Filestore.

  4. Seleziona la scheda Accesso privato ai servizi.

  5. Nella scheda Accesso privato ai servizi, seleziona la scheda Connessioni private ai servizi.

  6. Fai clic su Crea connessione.

  7. Per Allocazione assegnata, seleziona google-service-range.

  8. Fai clic su Connetti per creare la connessione.

gcloud CLI

  1. Riserva un intervallo di indirizzi IP nella rete VPC condiviso per i servizi gestiti da Google eseguendo il seguente compute addresses create comando:

    gcloud compute addresses create google-service-range \
    --global \
    --purpose=VPC_PEERING \
    --prefix-length=PREFIX \
    --description="Peering range for Google managed services" \
    --network=SHARED_VPC_NAME \
    --project=PROJECT_ID

    Sostituisci quanto segue:

    • PREFIX con una lunghezza del prefisso. Le istanze di livello Basic richiedono un prefisso /29, mentre le istanze di livello zonale richiedono un prefisso /26. Tuttavia, questo intervallo viene utilizzato da tutti i servizi gestiti Google Cloud. Se prevedi di utilizzare più istanze Filestore o altri Google Cloud-servizi gestiti, ti serve un prefisso più grande, ad esempio /20.
    • SHARED_VPC_NAME con il nome della rete VPC condiviso su cui vuoi creare l'istanza Filestore.
    • PROJECT_ID con l'ID progetto del progetto host che contiene la rete VPC condiviso.

  2. Crea una connessione privata per la rete VPC condiviso e la rete di servizi gestiti da Google eseguendo il services vpc-peerings connect comando:

    gcloud services vpc-peerings connect \
    --service=servicenetworking.googleapis.com \
    --ranges=google-service-range \
    --network=SHARED_VPC_NAME \
    --project=HOST_PROJECT_ID

    Sostituisci quanto segue:

    • SHARED_VPC_NAME con il nome della rete VPC condiviso su cui vuoi creare l'istanza Filestore.
    • HOST_PROJECT_ID con l'ID progetto del progetto host che contiene la rete VPC condiviso.

    Il comando avvia un'operazione a lunga esecuzione e restituisce un nome di operazione.

  3. Verifica se l'operazione è riuscita utilizzando il services vpc-peerings operations describe comando:

    gcloud services vpc-peerings operations describe \
    --name=OPERATION_NAME

    Sostituisci OPERATION_NAME con il nome dell'operazione restituito nel passaggio precedente.

Per saperne di più sull'allocazione degli intervalli di indirizzi IP e sulla creazione di connessioni private, consulta Configurare l'accesso privato ai servizi.

(Facoltativo) Abilita i Controlli di servizio VPC

Una volta abilitato l'accesso privato ai servizi, puoi facoltativamente abilitare i Controlli di servizio VPC. Per farlo, esegui il services vpc-peerings enable-vpc-service-controls comando:

gcloud beta services vpc-peerings enable-vpc-service-controls \
    --network=SHARED_VPC_NAME \
    --project=HOST_PROJECT_ID \
    --service=servicenetworking.googleapis.com

Sostituisci quanto segue:

  • SHARED_VPC_NAME con il nome della rete VPC condiviso su cui vuoi creare l'istanza Filestore.
  • HOST_PROJECT_ID con l'ID progetto del progetto host che contiene la rete VPC condiviso.

Per saperne di più sull'utilizzo di Filestore con i Controlli di servizio VPC, consulta Proteggere le istanze con un perimetro di servizio.

Crea un'istanza Filestore sulla rete VPC condiviso

Una volta abilitato l'accesso privato ai servizi sulla rete VPC condiviso, puoi iniziare a creare istanze Filestore da un progetto di servizio.

Google Cloud Console

  1. Nella Google Cloud console, vai alla pagina Istanze Filestore.

    Vai alla pagina Istanze Filestore

  2. Fai clic su Crea istanza e configura l'istanza come segue:

    • Imposta ID istanza su nfs-server.
    • Imposta Tipo di istanza su Basic.
    • Imposta Tipo di archiviazione su HDD.
    • Imposta Capacità di allocazione su 1TB.
    • Imposta Regione su us-central1 e Zona su us-central1-c.
    • Imposta Rete VPC sulla rete VPC condiviso, che viene visualizzata nel formato "projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME".
    • Imposta Nome condivisione file su vol1.
    • Imposta Intervallo IP allocato su Utilizza un intervallo IP allocato automaticamente.
    • Imposta Controlli di accesso su Concedi l'accesso a tutti i client.

  3. Fai clic su Crea.

gcloud CLI

Esegui il seguente instances create comando:

gcloud filestore instances create nfs-server \
    --project=SERVICE_PROJECT_ID \
    --zone=us-central1-c \
    --tier=BASIC_HDD \
    --file-share=name="vol1",capacity=1TiB \
    --network=name="projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME",connect-mode=PRIVATE_SERVICE_ACCESS

Sostituisci quanto segue:

  • SERVICE_PROJECT_ID con l'ID progetto del progetto di servizio in cui vuoi creare un'istanza Filestore.
  • HOST_PROJECT_ID con l'ID progetto del progetto host che contiene la rete VPC condiviso.
  • SHARED_VPC_NAME con il nome della rete VPC condiviso su cui vuoi creare l'istanza Filestore.

(Facoltativo) Importa route di subnet

Se le istanze Filestore utilizzano IP pubblici (indirizzi IP non RFC 1918), e se scegli di abilitare l'accesso privato ai servizi, devi importare le route di subnet IP pubbliche dell'istanza nella rete VPC condiviso aggiornando il peering VPC di Service Networking per consentire l'importazione di route di subnet con IP pubblici. Per saperne di più, consulta Aggiornare una connessione in peering.

Monta l'istanza su un client del progetto di servizio

Dopo aver creato un'istanza Filestore su una rete VPC condivisa, puoi montarla su qualsiasi client presente sulla stessa rete. Per istruzioni sul montaggio, consulta Montaggio delle condivisioni file sui client Compute Engine.

Libera spazio

Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questo tutorial, elimina il progetto che contiene le risorse oppure mantieni il progetto ed elimina le singole risorse.

Elimina l'istanza Filestore

Google Cloud Console

  1. Nella Google Cloud console, vai alla pagina Istanze Filestore.

    Vai alla pagina Istanze Filestore

  2. Fai clic sull'ID istanza nfs-server per aprire la pagina dei dettagli dell'istanza.

  3. Fai clic su Elimina .

  4. Quando ti viene chiesto, digita l'ID istanza.

  5. Fai clic su Elimina.

gcloud CLI

Elimina l'istanza nfs-server utilizzando il instances delete comando:

gcloud filestore instances delete nfs-server --zone=us-central1-c

Passaggi successivi