יצירת מכונה וירטואלית ברשת VPC משותפת בפרויקטים של שירותים

במדריך הזה נסביר איך ליצור מופע Filestore ברשת VPC משותפת מפרויקט שירות.

אפשר ליצור מופעי Filestore ברשת VPC משותפת בפרויקט המארח או באחד מפרויקטי השירות המשויכים שלו. כשיוצרים מכונה בפרויקט המארח, אפשר לבחור את רשת ה-VPC המשותפת כרגיל, ולקוחות בפרויקט השירות יכולים להתחבר למכונה. עם זאת, אם רוצים ליצור את המופע בפרויקט שירות, צריך קודם להפעיל גישה לשירותים פרטיים ברשת ה-VPC המשותפת מהפרויקט המארח.

מטרות

עלויות

במסמך הזה משתמשים ברכיבים הבאים של Google Cloud, והשימוש בהם כרוך בתשלום:

כדי להעריך את ההוצאות בהתאם לתחזית השימוש שלכם, אתם יכולים להיעזר במחשבון העלויות.

משתמשים חדשים של Google Cloud ? יכול להיות שאתם זכאים לתקופת ניסיון בחינם.

כשמסיימים את המשימות שמתוארות במסמך הזה אפשר למחוק את המשאבים שיצרתם כדי להימנע מחיובים נוספים. מידע נוסף זמין בקטע הסרת המשאבים.

לפני שמתחילים

  1. מוודאים שהחיוב מופעל בפרויקט Google Cloud .

  2. יוצרים רשת VPC משותפת עם פרויקט מארח ופרויקט שירות מחובר.

  3. מפעילים את Filestore API ואת Service Networking API.

    תפקידים שנדרשים להפעלת ממשקי API

    כדי להפעיל ממשקי API, צריך את תפקיד ה-IAM 'אדמין של Service Usage' (roles/serviceusage.serviceUsageAdmin), שכולל את ההרשאה serviceusage.services.enable. איך מקצים תפקידים

    הפעלת ממשקי ה-API

הפעלת גישה לשירותים פרטיים ברשת VPC משותפת

כדי ליצור מכונת Filestore בפרויקט שירות שמשתמש ברשת VPC משותפת, צריך להפעיל ברשת ה-VPC המשותפת גישה לשירותים פרטיים (PSA). מידע על הדרישות הספציפיות של Filestore מופיע במאמר בנושא הגדרת טווח כתובות IP שמורות.

בודקים אם הגישה לשירותים פרטיים מופעלת ברשת ה-VPC המשותפת

כדי לבדוק אם הגישה לשירות פרטי כבר מופעלת ברשת ה-VPC המשותפת, אפשר להשתמש באחת מהשיטות הבאות:

מסוף Google Cloud

  1. נכנסים לדף Filestore Instances במסוף Google Cloud .

    כניסה לדף Filestore instances

  2. לוחצים על Create Instance.

  3. בוחרים את רשת ה-VPC המשותפת שרוצים להשתמש בה.

  4. לוחצים על אפשרויות מתקדמות של רשת.

  5. בקטע Private services access connection (חיבור לגישה לשירותים פרטיים) מצוין אם הגישה לשירותים פרטיים מופעלת.

‫CLI של gcloud

מריצים את הפקודה הבאה services vpc-peerings list:

gcloud beta services vpc-peerings list \
    --network=SHARED_VPC_NAME \
    --project=HOST_PROJECT_ID

מחליפים את מה שכתוב בשדות הבאים:

  • SHARED_VPC_NAME עם השם של רשת ה-VPC המשותפת שבה רוצים להשתמש עבור מופע Filestore.
  • HOST_PROJECT_ID עם מזהה הפרויקט של הפרויקט המארח שמכיל את רשת ה-VPC המשותפת.

אם כבר מופעלת גישה פרטית לשירותים, בתגובה יופיע שהתקשרות (peering) נוצרה עבור servicenetworking-googleapis-com:

network: projects/PROJECT_NUMBER/global/networks/SHARED_VPC_NAME
peering: servicenetworking-googleapis-com
reservedPeeringRanges: RANGES

אם הגישה לשירותים פרטיים מופעלת ברשת ה-VPC המשותפת, אתם יכולים להתחיל ליצור בה אינסטנסים של Filestore. אחרת, צריך קודם להפעיל גישה לשירותים פרטיים.

הפעלת גישה לשירותים פרטיים

כדי ליצור טווחי כתובות IP מוקצים ולנהל חיבורים פרטיים, צריך להיות לכם תפקיד של בעלים (roles/owner), עריכה (roles/editor) או אדמין לניהול רשת (roles/networkmanagement.admin). אם אין לכם את ההרשאות האלה, פנו לאדמין. מידע נוסף מופיע במאמר הסבר על תפקידים.

אפשר להפעיל גישה לשירותים פרטיים ברשת VPC משותפת באחת מהשיטות הבאות:

מסוף Google Cloud

שמירת טווח כתובות IP ברשת ה-VPC המשותפת לשירותים מנוהלים של Google

  1. נכנסים לדף VPC networks במסוף Google Cloud .

    לדף VPC networks

  2. בוחרים את הפרויקט המארח שמכיל את רשת ה-VPC המשותפת שרוצים להשתמש בה.

  3. לוחצים על השם של רשת ה-VPC המשותפת שבה רוצים ליצור את מופע Filestore.

  4. לוחצים על הכרטיסייה Private service connection (חיבור שירות פרטי).

  5. בכרטיסייה Private service connection (חיבור שירות פרטי), בוחרים בכרטיסייה Allocated IP ranges for services (טווחים של כתובות IP שהוקצו לשירותים).

  6. לוחצים על הקצאת טווח כתובות IP ומגדירים אותו באופן הבא:

    • Name (שם): google-service-range
    • תיאור: Peering range for Google managed services

    • טווח כתובות IP:

      • בוחרים באפשרות אוטומטי.
      • בשדה הטקסט, מזינים 20 בתור הקידומת. הטווח הזה משמש את כל השירותים המנוהלים של Google Cloud , ולכן בפועל יכול להיות שתצטרכו טווח גדול יותר. למופעים ברמה בסיסית נדרשת קידומת של ‎ /29, ולמופעים ברמה ארגונית, ברמה אזורית וברמה אזורית עם טווח קיבולת גבוה יותר (בעבר SSD בקנה מידה גדול), ולמופעים ברמה אזורית וברמה אזורית עם טווח קיבולת נמוך יותר נדרשת קידומת של ‎ /26.

  7. לוחצים על הקצאה כדי ליצור את הטווח המוקצה.

יצירת חיבור פרטי לרשת ה-VPC המשותפת ולרשת השירותים שמנוהלים על ידי Google

  1. נכנסים לדף VPC networks במסוף Google Cloud .

    לדף VPC networks

  2. בוחרים את הפרויקט המארח שמכיל את רשת ה-VPC המשותפת שרוצים להשתמש בה.

  3. לוחצים על השם של רשת ה-VPC המשותפת שבה רוצים ליצור את מופע Filestore.

  4. לוחצים על הכרטיסייה גישה לשירותים פרטיים.

  5. בכרטיסייה גישה לשירותים פרטיים, בוחרים בכרטיסייה חיבורים פרטיים לשירותים.

  6. לוחצים על יצירת קישור.

  7. בקטע הקצאה שהוקצתה, בוחרים באפשרות google-service-range.

  8. לוחצים על Connect (חיבור) כדי ליצור את החיבור.

‫CLI של gcloud

  1. כדי להזמין טווח כתובות IP ברשת ה-VPC המשותפת לשירותים מנוהלים של Google, מריצים את הפקודה הבאה של compute addresses create:

    gcloud compute addresses create google-service-range \
    --global \
    --purpose=VPC_PEERING \
    --prefix-length=PREFIX \
    --description="Peering range for Google managed services" \
    --network=SHARED_VPC_NAME \
    --project=PROJECT_ID

    מחליפים את מה שכתוב בשדות הבאים:

    • PREFIX עם אורך קידומת. למופעים ברמת הבסיס נדרשת תחילית ‎/29 ולמופעים ברמת האזור נדרשת תחילית ‎ /26. עם זאת, הטווח הזה משמש את כל השירותים המנוהלים של Google Cloud. אם אתם מתכננים להשתמש בכמה מופעים של Filestore או בשירותים אחרים שמנוהלים על ידי Google Cloud, תצטרכו קידומת גדולה יותר, למשל ‎/20.
    • SHARED_VPC_NAME בשם של רשת ה-VPC המשותפת שרוצים ליצור בה את מופע Filestore.
    • PROJECT_ID עם מזהה הפרויקט של הפרויקט המארח שמכיל את רשת ה-VPC המשותפת.

  2. מריצים את הפקודה services vpc-peerings connect כדי ליצור חיבור פרטי לרשת ה-VPC המשותפת ולרשת השירותים המנוהלים של Google:

    gcloud services vpc-peerings connect \
    --service=servicenetworking.googleapis.com \
    --ranges=google-service-range \
    --network=SHARED_VPC_NAME \
    --project=HOST_PROJECT_ID

    מחליפים את מה שכתוב בשדות הבאים:

    • SHARED_VPC_NAME בשם של רשת ה-VPC המשותפת שרוצים ליצור בה את מופע Filestore.
    • HOST_PROJECT_ID עם מזהה הפרויקט של הפרויקט המארח שמכיל את רשת ה-VPC המשותפת.

    הפקודה מפעילה פעולה ממושכת ומחזירה שם פעולה.

  3. כדי לבדוק אם הפעולה הצליחה, משתמשים בפקודה services vpc-peerings operations describe:

    gcloud services vpc-peerings operations describe \
    --name=OPERATION_NAME

    מחליפים את OPERATION_NAME בשם הפעולה שהתקבל בשלב הקודם.

מידע נוסף על הקצאת טווחי כתובות IP ויצירת חיבורים פרטיים זמין במאמר הגדרת הגישה לשירותים פרטיים.

הפעלת VPC Service Controls‏ (לא חובה)

אחרי שתפעילו גישה לשירותים פרטיים, תוכלו להפעיל גם את השירות VPC Service Controls. כדי לעשות זאת, מריצים את הפקודה services vpc-peerings enable-vpc-service-controls:

gcloud beta services vpc-peerings enable-vpc-service-controls \
    --network=SHARED_VPC_NAME \
    --project=HOST_PROJECT_ID \
    --service=servicenetworking.googleapis.com

מחליפים את מה שכתוב בשדות הבאים:

  • SHARED_VPC_NAME בשם של רשת ה-VPC המשותפת שבה רוצים ליצור את מופע Filestore.
  • HOST_PROJECT_ID עם מזהה הפרויקט של הפרויקט המארח שמכיל את רשת ה-VPC המשותפת.

מידע נוסף על שימוש ב-Filestore עם VPC Service Controls זמין במאמר אבטחת מכונות וירטואליות באמצעות גבולות גזרה לשירות.

יצירת מכונת Filestore ברשת VPC משותפת

אחרי שמפעילים גישה לשירותים פרטיים ברשת ה-VPC המשותפת, אפשר להתחיל ליצור בה מופעי Filestore מפרויקט שירות.

מסוף Google Cloud

  1. נכנסים לדף Filestore Instances במסוף Google Cloud .

    כניסה לדף Filestore instances

  2. לוחצים על Create Instance ומגדירים את המכונה באופן הבא:

    • מגדירים את מזהה המופע לערך nfs-server.
    • מגדירים את Instance type בתור Basic.
    • מגדירים את סוג האחסון ל-HDD.
    • מגדירים את הערך הקצאת קיבולת ל-1TB.
    • מגדירים את Region ל-us-central1 ואת Zone ל-us-central1-c.
    • מגדירים את רשת ה-VPC לרשת ה-VPC המשותפת, שמופיעה בפורמט projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME.
    • מגדירים את File share name לערך vol1.
    • מגדירים את טווח כתובות ה-IP שהוקצה לשימוש בטווח כתובות IP שהוקצה באופן אוטומטי.
    • מגדירים את אמצעי בקרת הגישה להענקת גישה לכל הלקוחות.

  3. לוחצים על יצירה.

‫CLI של gcloud

מריצים את הפקודה הבאה instances create:

gcloud filestore instances create nfs-server \
    --project=SERVICE_PROJECT_ID \
    --zone=us-central1-c \
    --tier=BASIC_HDD \
    --file-share=name="vol1",capacity=1TiB \
    --network=name="projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME",connect-mode=PRIVATE_SERVICE_ACCESS

מחליפים את מה שכתוב בשדות הבאים:

  • SERVICE_PROJECT_ID עם מזהה הפרויקט של פרויקט השירות שבו רוצים ליצור מופע של Filestore.
  • HOST_PROJECT_ID עם מזהה הפרויקט של הפרויקט המארח שמכיל את רשת ה-VPC המשותפת.
  • SHARED_VPC_NAME בשם של רשת ה-VPC המשותפת שבה רוצים ליצור את מופע Filestore.

אופציונלי: ייבוא נתיבי תת-רשת

אם מופעי Filestore משתמשים בכתובות IP ציבוריות (כתובות IP שאינן RFC 1918), ואם אתם בוחרים להפעיל PSA, אתם צריכים לייבא את מסלולי רשת המשנה של כתובות ה-IP הציבוריות של המופע לרשת ה-VPC המשותפת. לשם כך, צריך לעדכן את הקישור בין רשתות שכנות (peering) ב-VPC של רשת השירות כדי לאפשר ייבוא של מסלולי רשת משנה עם כתובות IP ציבוריות. מידע נוסף זמין במאמר בנושא עדכון של חיבור פירינג.

צירוף המופע ללקוח של פרויקט שירות

אחרי שיוצרים מכונת Filestore ברשת VPC משותפת, אפשר לטעון את המכונה הזו לכל לקוח שנמצא באותה רשת. הוראות להרכבה מפורטות במאמר בנושא הרכבת שיתופי קבצים בלקוחות Compute Engine.

הסרת המשאבים

כדי להימנע מחיובים בחשבון Google Cloud בגלל השימוש במשאבים שנעשה במסגרת המדריך הזה, אפשר למחוק את הפרויקט שמכיל את המשאבים, או להשאיר את הפרויקט ולמחוק את המשאבים בנפרד.

מחיקת מופע Filestore

מסוף Google Cloud

  1. נכנסים לדף Filestore Instances במסוף Google Cloud .

    כניסה לדף Filestore instances

  2. לוחצים על מספר המכונה nfs-server כדי לפתוח את דף פרטי המכונה.

  3. לוחצים על מחיקה .

  4. כשמופיעה בקשה, מקלידים את מזהה המכונה.

  5. לוחצים על Delete.

‫CLI של gcloud

מוחקים את מכונת nfs-server באמצעות הפקודה instances delete:

gcloud filestore instances delete nfs-server --zone=us-central1-c

המאמרים הבאים