Google Cloud Managed Lustre 會在虛擬私有雲 (VPC) 中執行,為 Compute Engine 虛擬機器 (VM) 執行個體、Google Kubernetes Engine (GKE) 叢集和無伺服器工作負載提供網路功能。
建立 Managed Lustre 執行個體和用戶端 Compute Engine VM 或 Google Kubernetes Engine 叢集時,必須指定相同的 VPC 網路。
您也必須在虛擬私有雲中設定私人服務存取權。
所需權限
您必須具備下列 IAM 權限:
serviceusage.services.enablecompute.networks.createcompute.addresses.createcompute.addresses.getcompute.firewalls.createservicenetworking.services.addPeering
如要授予這些權限,請新增下列所有預先定義的角色:
- 服務使用情形管理員 (
roles/serviceusage.serviceUsageAdmin) - Compute 網路管理員 (
roles/compute.networkAdmin) - Compute 安全管理員 (
roles/compute.securityAdmin)
或者,建立包含特定權限的自訂角色。
如要將角色授予使用者:
gcloud projects add-iam-policy-binding PROJECT_ID \
--member="user:EMAIL_ADDRESS"
--role=ROLE
建立及設定虛擬私有雲
啟用服務聯網。
gcloud services enable servicenetworking.googleapis.com建立虛擬私有雲網路。
gcloud compute networks create NETWORK_NAME \ --subnet-mode=auto \ --mtu=8896建立 IP 範圍。
每個 Managed Lustre 執行個體都需要前置長度為 24 的連續 CIDR 區塊。下列指令會建立較大的 IP 範圍,以便建立多個 Managed Lustre 執行個體。
gcloud compute addresses create IP_RANGE_NAME \ --global \ --purpose=VPC_PEERING \ --prefix-length=20 \ --description="Managed Lustre VPC Peering" \ --network=NETWORK_NAME取得與您在上一步建立的範圍相關聯的 CIDR 區塊。
CIDR_BLOCK=$( gcloud compute addresses describe IP_RANGE_NAME \ --global \ --format="value[separator=/](address, prefixLength)" )建立防火牆規則,允許來自您建立的 IP 範圍的 TCP 流量。
gcloud compute firewall-rules create FIREWALL_NAME \ --allow=tcp:988,tcp:6988 \ --network=NETWORK_NAME \ --source-ranges=$CIDR_BLOCK連結對等互連。
gcloud services vpc-peerings connect \ --network=NETWORK_NAME \ --ranges=IP_RANGE_NAME \ --service=servicenetworking.googleapis.com
VPC Service Controls
受管理 Lustre 支援 VPC Service Controls (VPC-SC)。詳情請參閱「使用服務範圍保護執行個體」。