Google Cloud Managed Lustre 在 Virtual Private Cloud (VPC) 中运行,可为 Compute Engine 虚拟机 (VM) 实例、Google Kubernetes Engine (GKE) 集群和无服务器工作负载提供网络功能。
在创建 Managed Lustre 实例和客户端 Compute Engine 虚拟机或 Google Kubernetes Engine 集群时,您必须指定相同的 VPC 网络。
您还必须在 VPC 中配置专用服务访问通道。
所需权限
您必须拥有以下 IAM 权限:
serviceusage.services.enablecompute.networks.createcompute.addresses.createcompute.addresses.getcompute.firewalls.createservicenetworking.services.addPeering
您可以通过添加以下所有预定义角色来授予这些权限:
- Service Usage Admin (
roles/serviceusage.serviceUsageAdmin) - Compute Network Admin (
roles/compute.networkAdmin) - Compute Security Admin (
roles/compute.securityAdmin)
或者,创建包含特定权限的自定义角色。
如需将角色授予用户,请执行以下操作:
gcloud projects add-iam-policy-binding PROJECT_ID \
--member="user:EMAIL_ADDRESS"
--role=ROLE
创建和配置 VPC
启用服务网络。
gcloud services enable servicenetworking.googleapis.com创建 VPC 网络。
gcloud compute networks create NETWORK_NAME \ --subnet-mode=auto \ --mtu=8896创建 IP 范围。
每个 Managed Lustre 实例都需要一个前缀长度为 24 的连续 CIDR 块。以下命令会创建一个更大的 IP 范围,以便创建多个 Managed Lustre 实例。
gcloud compute addresses create IP_RANGE_NAME \ --global \ --purpose=VPC_PEERING \ --prefix-length=20 \ --description="Managed Lustre VPC Peering" \ --network=NETWORK_NAME获取与您在上一步中创建的范围关联的 CIDR 块。
CIDR_BLOCK=$( gcloud compute addresses describe IP_RANGE_NAME \ --global \ --format="value[separator=/](address, prefixLength)" )创建一条防火墙规则,以允许来自您创建的 IP 范围的 TCP 流量。
gcloud compute firewall-rules create FIREWALL_NAME \ --allow=tcp:988,tcp:6988 \ --network=NETWORK_NAME \ --source-ranges=$CIDR_BLOCK连接对等互连。
gcloud services vpc-peerings connect \ --network=NETWORK_NAME \ --ranges=IP_RANGE_NAME \ --service=servicenetworking.googleapis.com
VPC Service Controls
托管式 Lustre 支持 VPC Service Controls (VPC-SC)。 如需了解详情,请参阅通过服务边界保护实例。