Google Cloud Managed Lustre는 Virtual Private Cloud (VPC) 내에서 실행되며, VPC는 Compute Engine 가상 머신 (VM) 인스턴스, Google Kubernetes Engine (GKE) 클러스터, 서버리스 워크로드에 네트워킹 기능을 제공합니다.
Managed Lustre 인스턴스와 클라이언트 Compute Engine VM 또는 Google Kubernetes Engine 클러스터를 만들 때 동일한 VPC 네트워크를 지정해야 합니다.
VPC 내에서 비공개 서비스 액세스도 구성해야 합니다.
필수 권한
다음 IAM 권한이 있어야 합니다.
serviceusage.services.enablecompute.networks.createcompute.addresses.createcompute.addresses.getcompute.firewalls.createservicenetworking.services.addPeering
다음 사전 정의된 역할을 모두 추가하여 이러한 권한을 부여할 수 있습니다.
- 서비스 사용량 관리자(
roles/serviceusage.serviceUsageAdmin) - Compute 네트워크 관리자(
roles/compute.networkAdmin) - Compute 보안 관리자(
roles/compute.securityAdmin)
또는 특정 권한이 포함된 커스텀 역할을 만듭니다.
사용자에게 역할을 부여하려면 다음을 실행합니다.
gcloud projects add-iam-policy-binding PROJECT_ID \
--member="user:EMAIL_ADDRESS"
--role=ROLE
VPC 만들기 및 구성
서비스 네트워킹을 사용 설정합니다.
gcloud services enable servicenetworking.googleapis.comVPC 네트워크를 만듭니다.
gcloud compute networks create NETWORK_NAME \ --subnet-mode=auto \ --mtu=8896IP 범위를 만듭니다.
각 Managed Lustre 인스턴스에는 프리픽스 길이가 24인 연속 CIDR 블록이 필요합니다. 다음 명령어는 여러 관리형 Lustre 인스턴스를 만들 수 있도록 더 큰 IP 범위를 만듭니다.
gcloud compute addresses create IP_RANGE_NAME \ --global \ --purpose=VPC_PEERING \ --prefix-length=20 \ --description="Managed Lustre VPC Peering" \ --network=NETWORK_NAME이전 단계에서 만든 범위와 연결된 CIDR 블록을 가져옵니다.
CIDR_BLOCK=$( gcloud compute addresses describe IP_RANGE_NAME \ --global \ --format="value[separator=/](address, prefixLength)" )만든 IP 범위의 TCP 트래픽을 허용하는 방화벽 규칙을 만듭니다.
gcloud compute firewall-rules create FIREWALL_NAME \ --allow=tcp:988,tcp:6988 \ --network=NETWORK_NAME \ --source-ranges=$CIDR_BLOCK피어링을 연결합니다.
gcloud services vpc-peerings connect \ --network=NETWORK_NAME \ --ranges=IP_RANGE_NAME \ --service=servicenetworking.googleapis.com
VPC 서비스 제어
관리형 Lustre는 VPC 서비스 제어 (VPC-SC)를 지원합니다. 자세한 내용은 서비스 경계로 인스턴스 보호를 참고하세요.