Google Cloud Managed Lustre は Virtual Private Cloud(VPC)内で実行されます。VPC は、Compute Engine 仮想マシン(VM)インスタンス、Google Kubernetes Engine(GKE)クラスタ、サーバーレス ワークロードにネットワーキング機能を提供します。
Managed Lustre インスタンスとクライアント Compute Engine VM または Google Kubernetes Engine クラスタを作成するときに、同じ VPC ネットワークを指定する必要があります。
VPC 内でプライベート サービス アクセスも構成する必要があります。
必要な権限
次の IAM 権限が必要です。
serviceusage.services.enablecompute.networks.createcompute.addresses.createcompute.addresses.getcompute.firewalls.createservicenetworking.services.addPeering
これらの権限は、次の事前定義ロールをすべて追加することで付与できます。
- Service Usage 管理者(
roles/serviceusage.serviceUsageAdmin) - Compute ネットワーク管理者(
roles/compute.networkAdmin) - Compute セキュリティ管理者(
roles/compute.securityAdmin)
または、特定の権限を含むカスタムロールを作成します。
ユーザーにロールを付与するには:
gcloud projects add-iam-policy-binding PROJECT_ID \
--member="user:EMAIL_ADDRESS"
--role=ROLE
VPC を作成して構成する
サービス ネットワーキングを有効にします。
gcloud services enable servicenetworking.googleapis.comVPC ネットワークを作成します。
gcloud compute networks create NETWORK_NAME \ --subnet-mode=auto \ --mtu=8896IP 範囲を作成します。
各 Managed Lustre インスタンスには、接頭辞長が 24 の連続した CIDR ブロックが必要です。次のコマンドは、複数のマネージド Lustre インスタンスの作成を可能にするために、より大きな IP 範囲を作成します。
gcloud compute addresses create IP_RANGE_NAME \ --global \ --purpose=VPC_PEERING \ --prefix-length=20 \ --description="Managed Lustre VPC Peering" \ --network=NETWORK_NAME前の手順で作成した範囲に関連付けられた CIDR ブロックを取得します。
CIDR_BLOCK=$( gcloud compute addresses describe IP_RANGE_NAME \ --global \ --format="value[separator=/](address, prefixLength)" )作成した IP 範囲からの TCP トラフィックを許可するファイアウォール ルールを作成します。
gcloud compute firewall-rules create FIREWALL_NAME \ --allow=tcp:988,tcp:6988 \ --network=NETWORK_NAME \ --source-ranges=$CIDR_BLOCKピアリングを接続します。
gcloud services vpc-peerings connect \ --network=NETWORK_NAME \ --ranges=IP_RANGE_NAME \ --service=servicenetworking.googleapis.com
VPC Service Controls
マネージド Lustre は、VPC Service Controls(VPC-SC)をサポートしています。詳細については、サービス境界を使用してインスタンスを保護するをご覧ください。