在服務專案的共用虛擬私有雲網路上建立執行個體

本教學課程會逐步說明如何從服務專案,在共用虛擬私有雲網路中建立 Filestore 執行個體。

您可以在主專案或其中一個相關聯的服務專案中,透過共用 VPC 網路建立 Filestore 執行個體。在主專案中建立執行個體時,您可以照常選取共用虛擬私有雲網路,服務專案用戶端即可連線至執行個體。不過,如要在服務專案中建立執行個體,您必須先從主專案啟用共用虛擬私有雲網路的私人服務存取權。

在共用虛擬私有雲網路上啟用私人服務存取權

如要在使用共用虛擬私有雲網路的服務專案中建立 Filestore 執行個體,共用虛擬私有雲網路必須啟用私人服務存取權 (PSA)。如需 Filestore 的具體需求,請參閱「設定保留的 IP 位址範圍」。

檢查共用虛擬私有雲網路是否已啟用私人服務存取權

使用下列其中一種方法,檢查共用虛擬私有雲網路是否已啟用私人服務存取權:

Google Cloud 控制台

  1. 前往 Google Cloud 控制台的 Filestore 執行個體頁面。

    前往 Filestore 執行個體頁面

  2. 點選「建立執行個體」

  3. 選取要使用的共用虛擬私有雲網路。

  4. 按一下「進階網路選項」

  5. 「Private services access connection」(私人服務連線) 專區會指出是否已啟用私人服務存取權。

gcloud CLI

執行下列 services vpc-peerings list 指令:

gcloud beta services vpc-peerings list \
    --network=SHARED_VPC_NAME \
    --project=HOST_PROJECT_ID

更改下列內容:

  • SHARED_VPC_NAME 替換為您要用於 Filestore 執行個體的共用 VPC 網路名稱。
  • HOST_PROJECT_ID 替換為包含共用虛擬私有雲網路的主專案 ID。

如果已啟用私人服務存取權,回應會顯示已為 servicenetworking-googleapis-com 建立對等互連:

network: projects/PROJECT_NUMBER/global/networks/SHARED_VPC_NAME
peering: servicenetworking-googleapis-com
reservedPeeringRanges: RANGES

如果共用虛擬私有雲網路已啟用私人服務存取權,您就可以開始在該網路上建立 Filestore 執行個體。否則,您必須先啟用私人服務存取權。

啟用私人服務存取權

您必須具備「擁有者」(roles/owner)、「編輯者」(roles/editor) 或「網路管理管理員」(roles/networkmanagement.admin) 角色,才能建立分配的 IP 位址範圍及管理私人連線。如果沒有這些權限,請與網路管理員聯絡。詳情請參閱「瞭解角色」。

使用下列其中一種方法,在共用虛擬私有雲網路上啟用私人服務存取權:

Google Cloud 控制台

在共用虛擬私有雲網路中,為 Google 管理的服務預留 IP 位址範圍

  1. 前往 Google Cloud 控制台的「VPC networks」(VPC 網路) 頁面。

    前往「VPC networks」(VPC 網路) 頁面

  2. 選取包含要使用共用虛擬私有雲網路的主專案。

  3. 按一下要用來建立 Filestore 執行個體的共用 VPC 網路名稱。

  4. 選取 [Private service connection] (私人服務連線) 分頁標籤。

  5. 在「Private service connection」(私人服務連線) 分頁中,選取 [Allocated IP ranges for services} (已分配的服務 IP 範圍) 分頁標籤。

  6. 按一下「分配 IP 範圍」,然後按照以下步驟進行設定:

    • Name (名稱):google-service-range
    • 說明Peering range for Google managed services

    • IP 範圍

      • 選取「自動」
      • 在文字欄位中輸入 20 做為前置字元。所有 Google Cloud 代管服務都會使用這個範圍,因此實際上您可能需要更大的範圍。基本層級執行個體需要 /29 前置字串;容量範圍較高的企業層級、可用區和區域層級執行個體 (先前為高可擴充性 SSD),以及容量範圍較低的可用區和區域層級執行個體,則需要 /26 前置字串。

  7. 按一下 [Allocate] (分配),建立已分配範圍。

為共用虛擬私有雲網路和 Google 管理的服務網路建立私人連線

  1. 前往 Google Cloud 控制台的「VPC networks」(VPC 網路) 頁面。

    前往「VPC networks」(VPC 網路) 頁面

  2. 選取包含要使用共用虛擬私有雲網路的主專案。

  3. 按一下要用來建立 Filestore 執行個體的共用 VPC 網路名稱。

  4. 選取「私人服務存取」分頁標籤。

  5. 在「Private services access」(私人服務存取權) 分頁中,選取「Private connections to services」(私人服務連線) 分頁標籤。

  6. 點選「建立連線」

  7. 在「已指派的分配範圍」部分,選取「google-service-range」。

  8. 按一下 [Connect] (連線) 建立連線。

gcloud CLI

  1. 執行下列 compute addresses create 指令,在共用虛擬私有雲網路中為 Google 管理的服務預留 IP 位址範圍:

    gcloud compute addresses create google-service-range \
    --global \
    --purpose=VPC_PEERING \
    --prefix-length=PREFIX \
    --description="Peering range for Google managed services" \
    --network=SHARED_VPC_NAME \
    --project=PROJECT_ID

    更改下列內容:

    • PREFIX,並指定前置字串長度。基礎層執行個體需要 /29 前置字串,可用區層執行個體則需要 /26 前置字串。不過,所有 Google Cloud代管服務都會使用這個範圍。如果您打算使用多個 Filestore 執行個體或其他 Google Cloud管理的服務,則需要較大的前置字元,例如 /20。
    • SHARED_VPC_NAME 替換為您要在其中建立 Filestore 執行個體的共用虛擬私有雲網路名稱。
    • PROJECT_ID 替換為包含共用虛擬私有雲網路的主專案 ID。

  2. 執行 services vpc-peerings connect 指令,為共用虛擬私有雲網路和 Google 代管服務網路建立私人連線:

    gcloud services vpc-peerings connect \
    --service=servicenetworking.googleapis.com \
    --ranges=google-service-range \
    --network=SHARED_VPC_NAME \
    --project=HOST_PROJECT_ID

    更改下列內容:

    • SHARED_VPC_NAME 替換為您要在其中建立 Filestore 執行個體的共用虛擬私有雲網路名稱。
    • HOST_PROJECT_ID 替換為包含共用虛擬私有雲網路的主專案 ID。

    這個指令會啟動長期執行作業並傳回作業名稱。

  3. 使用 services vpc-peerings operations describe 指令檢查作業是否成功:

    gcloud services vpc-peerings operations describe \
    --name=OPERATION_NAME

    OPERATION_NAME 替換為先前步驟傳回的作業名稱。

如要進一步瞭解如何分配 IP 位址範圍及建立私人連線,請參閱「設定私人服務存取權」。

啟用 VPC Service Controls (選用)

啟用私人服務存取權後,您可以選擇啟用 VPC Service Controls。如要進行這項操作,請執行 services vpc-peerings enable-vpc-service-controls 指令:

gcloud beta services vpc-peerings enable-vpc-service-controls \
    --network=SHARED_VPC_NAME \
    --project=HOST_PROJECT_ID \
    --service=servicenetworking.googleapis.com

更改下列內容:

  • SHARED_VPC_NAME 替換為您要在其中建立 Filestore 執行個體的共用 VPC 網路名稱。
  • HOST_PROJECT_ID 替換為包含共用虛擬私有雲網路的主專案 ID。

如要進一步瞭解如何搭配使用 Filestore 與 VPC Service Controls,請參閱「使用服務範圍保護執行個體」。

在共用虛擬私有雲網路上建立 Filestore 執行個體

共用虛擬私有雲網路啟用私人服務存取權後,您就能從服務專案開始在該網路上建立 Filestore 執行個體。

Google Cloud 控制台

  1. 前往 Google Cloud 控制台的 Filestore 執行個體頁面。

    前往 Filestore 執行個體頁面

  2. 按一下「建立執行個體」,然後按照下列方式設定執行個體:

    • 將「Instance ID」(執行個體 ID) 設為 nfs-server
    • 將「Instance type」(執行個體類型) 設定為「Basic」(基本)
    • 將「儲存空間類型」設為「HDD」
    • 將「Allocate capacity」(分配容量) 設為 1TB
    • 將「Region」(地區) 設為 us-central1,「Zone」(區域) 設為 us-central1-c
    • 將「VPC network」(虛擬私有雲網路) 設為共用虛擬私有雲網路,格式為「projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME」。
    • 將「File share name」(檔案共用區名稱) 設為 vol1
    • 將「已分配的 IP 範圍」設為「使用系統自動分配的 IP 範圍」
    • 將「Access controls」設為「Grant access to all clients」

  3. 點選「建立」

gcloud CLI

執行下列 instances create 指令:

gcloud filestore instances create nfs-server \
    --project=SERVICE_PROJECT_ID \
    --zone=us-central1-c \
    --tier=BASIC_HDD \
    --file-share=name="vol1",capacity=1TiB \
    --network=name="projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME",connect-mode=PRIVATE_SERVICE_ACCESS

更改下列內容:

  • SERVICE_PROJECT_ID 替換為您要在其中建立 Filestore 執行個體的服務專案 ID。
  • HOST_PROJECT_ID 替換為包含共用虛擬私有雲網路的主專案 ID。
  • SHARED_VPC_NAME 替換為您要在其中建立 Filestore 執行個體的共用 VPC 網路名稱。

選用:匯入子網路路由

如果 Filestore 執行個體使用公開 IP (非 RFC 1918 IP 位址),且選擇啟用 PSA,您必須更新服務網路虛擬私有雲對等互連,允許匯入含有公開 IP 的子網路路徑,將執行個體的公開 IP 子網路路徑匯入共用虛擬私有雲網路。詳情請參閱「更新對等互連連線」。

在服務專案用戶端上掛接執行個體

在共用 VPC 網路中建立 Filestore 執行個體後,您可以將該執行個體掛接至相同網路中的任何用戶端。如需掛接操作說明,請參閱「在 Compute Engine 用戶端掛接檔案共用區」。