Google Cloud Managed Lustre は Virtual Private Cloud(VPC)内で実行されます。VPC は、Compute Engine 仮想マシン(VM)インスタンス、Google Kubernetes Engine(GKE)クラスタ、サーバーレス ワークロードにネットワーキング機能を提供します。
Managed Lustre インスタンスとクライアント Compute Engine VM または Google Kubernetes Engine クラスタを作成するときに、同じ VPC ネットワークを指定する必要があります。
必要な権限
次の IAM 権限が必要です。
serviceusage.services.enablecompute.networks.createcompute.addresses.createcompute.addresses.getcompute.firewalls.createservicenetworking.services.addPeering
これらの権限は、次の事前定義ロールをすべて追加することで付与できます。
- Service Usage 管理者(
roles/serviceusage.serviceUsageAdmin) - Compute ネットワーク管理者(
roles/compute.networkAdmin) - Compute セキュリティ管理者(
roles/compute.securityAdmin)
または、特定の権限を含むカスタムロールを作成します。
ユーザーにロールを付与するには:
gcloud projects add-iam-policy-binding PROJECT_ID \
--member="user:EMAIL_ADDRESS"
--role=ROLE
VPC を作成して構成する
サービス ネットワーキングを有効にします。
gcloud services enable servicenetworking.googleapis.comカスタムモードで VPC ネットワークを作成します。
gcloud compute networks create NETWORK_NAME \ --subnet-mode=custom \ --mtu=8896GKE リソースまたは Compute Engine リソースのプライマリ サブネットを作成します。
gcloud compute networks subnets create SUBNET_NAME \ --network=NETWORK_NAME \ --range=10.128.0.0/20 \ --region=REGIONプライベート サービス アクセス用の IP 範囲を割り振ります。
この内部 IP 範囲は、プライベート サービス アクセス接続に使用されます。この接続により、VPC ネットワークが Managed Lustre リソースがプロビジョニングされる Google 管理ネットワークとピアリングされます。この割り当てられた範囲は、Managed Lustre インスタンスの IP を提供するために使用されます。VPC ネットワーク内のサブネットと重複してはなりません。
各 Managed Lustre インスタンスには、プレフィックス長が 23 以上の連続した CIDR ブロックが必要です。
複数の Managed Lustre インスタンスを作成したり、他の Google Cloud サービスを使用したりできるように、/20 の大きな IP 範囲を作成することをおすすめします。
gcloud compute addresses create IP_RANGE_NAME \ --global \ --purpose=VPC_PEERING \ --prefix-length=20 \ --description="Managed Lustre VPC Peering" \ --network=NETWORK_NAME前の手順で作成した範囲に関連付けられた CIDR ブロックを取得します。
CIDR_BLOCK=$( gcloud compute addresses describe IP_RANGE_NAME \ --global \ --format="value[separator=/](address, prefixLength)" )作成した IP 範囲からの TCP トラフィックを許可するファイアウォール ルールを作成します。
gcloud compute firewall-rules create FIREWALL_NAME \ --allow=tcp:988,tcp:6988 \ --network=NETWORK_NAME \ --source-ranges=$CIDR_BLOCKピアリングを接続します。
gcloud services vpc-peerings connect \ --network=NETWORK_NAME \ --ranges=IP_RANGE_NAME \ --service=servicenetworking.googleapis.com
マルチ NIC 用に追加のサブネットを作成する
複数のネットワーク インターフェース カード(マルチ NIC)を使用して帯域幅を集約する場合は、NIC ごとに VPC ネットワーク内に個別のサブネットを作成する必要があります。
マルチ NIC のメリットを活かすには、通常の VPC に接続された複数の物理 NIC を備えた Compute Engine マシンタイプを使用する必要があります。RDMA ネットワーク プロファイルを持つ VPC に接続する NIC は、一般的なネットワーキング帯域幅の増加には使用できません。詳細については、ネットワーキングと GPU マシンをご覧ください。
追加の物理 NIC のサブネットを作成するには:
gcloud compute networks subnets create SUBNET_NAME_2 \
--network=NETWORK_NAME \
--range=10.130.0.0/20 \
--region=REGION
追加する NIC ごとにこの手順を繰り返します。各サブネットの IP 範囲が重複していないことを確認します。
VPC Service Controls
Managed Lustre は VPC Service Controls(VPC-SC)をサポートしています。詳細については、サービス境界を使用してインスタンスを保護するをご覧ください。