Google Cloud Managed Lustre は Virtual Private Cloud(VPC)内で実行されます。VPC は、 ネットワーキング機能を Compute Engine 仮想マシン(VM)インスタンス、 Google Kubernetes Engine(GKE)クラスタ、および サーバーレス ワークロードに提供します。
Managed Lustre インスタンスとクライアント Compute Engine VM または Google Kubernetes Engine クラスタを作成するときは、同じ VPC ネットワークを指定する必要があります。
必要な権限
次の IAM 権限を付与されている必要があります。
serviceusage.services.enablecompute.networks.createcompute.addresses.createcompute.addresses.getcompute.firewalls.createservicenetworking.services.addPeering
これらの権限は、次の事前定義ロールをすべて追加することで付与できます。
- Service Usage 管理者 (
roles/serviceusage.serviceUsageAdmin) - Compute ネットワーク管理者 (
roles/compute.networkAdmin) - Compute セキュリティ管理者 (
roles/compute.securityAdmin)
または、特定の権限 を含むカスタムロールを作成します。
ユーザーにロールを付与するには:
gcloud projects add-iam-policy-binding PROJECT_ID \
--member="user:EMAIL_ADDRESS"
--role=ROLE
VPC を作成して構成する
サービス ネットワーキングを有効にする。
gcloud services enable servicenetworking.googleapis.comカスタムモードで VPC ネットワークを作成します。
gcloud compute networks create NETWORK_NAME \ --subnet-mode=custom \ --mtu=8896GKE または Compute Engine リソースのプライマリ サブネットを作成します。
gcloud compute networks subnets create SUBNET_NAME \ --network=NETWORK_NAME \ --range=10.128.0.0/20 \ --region=REGIONプライベート サービス アクセス用の IP 範囲を割り振ります。
この内部 IP 範囲は、限定公開サービスへのアクセス接続に使用されます。この接続により、VPC ネットワークと、Managed Lustre リソースがプロビジョニングされる Google マネージド ネットワークがピアリングされます。割り振られた範囲は、Managed Lustre インスタンスに IP を提供するために使用されます。VPC ネットワーク内のサブネットと重複することはできません。
各 Managed Lustre インスタンスには、接頭辞の長さが 23 以上の連続する CIDR ブロックが必要です。
複数の Managed Lustre インスタンスを作成する場合や、他の Google Cloud サービスを使用する場合は、 作成を許可するために、/20 の大きな IP 範囲を作成することをおすすめします。
gcloud compute addresses create IP_RANGE_NAME \ --global \ --purpose=VPC_PEERING \ --prefix-length=20 \ --description="Managed Lustre VPC Peering" \ --network=NETWORK_NAME前の手順で作成した範囲に関連付けられている CIDR ブロックを取得します。
CIDR_BLOCK=$( gcloud compute addresses describe IP_RANGE_NAME \ --global \ --format="value[separator=/](address, prefixLength)" )作成した IP 範囲からの TCP トラフィックを許可するファイアウォール ルールを作成します。
gcloud compute firewall-rules create FIREWALL_NAME \ --allow=tcp:988,tcp:6988 \ --network=NETWORK_NAME \ --source-ranges=$CIDR_BLOCKピアリングを接続します。
gcloud services vpc-peerings connect \ --network=NETWORK_NAME \ --ranges=IP_RANGE_NAME \ --service=servicenetworking.googleapis.com
multi-NIC 用に追加のサブネットを作成する
複数のネットワーク インターフェース カード(multi-NIC)を使用して帯域幅を集約する場合は、NIC ごとに VPC ネットワーク内に個別のサブネットを作成する必要があります。
multi-NIC のメリットを得るには、通常の VPC に接続された複数の物理 NIC を持つ Compute Engine マシンタイプを使用する必要があります。RDMA ネットワーク プロファイルを使用して VPC に接続する NIC は、一般的なネットワーク帯域幅の増加には使用できません。詳細については、 ネットワーキングと GPU マシンをご覧ください。
追加の物理 NIC のサブネットを作成するには:
gcloud compute networks subnets create SUBNET_NAME_2 \
--network=NETWORK_NAME \
--range=10.130.0.0/20 \
--region=REGION
追加の NIC ごとにこの手順を繰り返します。各サブネットの IP 範囲が重複しないようにしてください。
VPC Service Controls
Managed Lustre は VPC Service Controls(VPC-SC)をサポートしています。 詳細については、サービス境界を使用してインスタンスを保護する をご覧ください。