ネットワークを構成する

このページでは、Google Cloud NetApp Volumes のネットワークを構成する方法について説明します。 NetApp Volumes は、プライベート サービス アクセス を使用して、高スループットで低レイテンシのデータパス プライベート接続を作成します。

考慮事項

ネットワークの構成を開始する前に、次の点を考慮してください。

  • VPC プライベート接続には 1 回限りの設定が必要: プライベート接続は VPC ごとに 1 回設定する必要があります。複数のサービス プロジェクトまたはリージョンでプライベート接続の設定を繰り返す必要はありません。

  • 共有 VPC: NetApp Volumes を 共有 VPC に接続する場合は、 共有 VPC を所有するホスト プロジェクトでプライベート サービス アクセスのピアリングを行う必要があります。ネットワーク 管理者に、プライベート サービス アクセスを構成するの手順に沿って共有 VPC へのピアリングを設定してもらいます。

  • CIDR の範囲を割り当てる: クラスレス ドメイン間ルーティング(CIDR)の範囲を使用すると、サービスで使用する IP アドレスと対応するネットワークを 表すことができます。サービスは、割り当てられた CIDR の範囲の IP アドレスを使用して、ボリュームを適切なプロトコル タイプ(ネットワーク ファイル システム(NFS)やサーバー メッセージ ブロック(SMB)など)に割り当てます。

  • 最初のストレージ プールを作成する前にプライベート サービス アクセスのピアリングを設定する: ピアリングがまだ構成されていない場合、 Google Cloud コンソールでのストレージ プールの作成プロセスでこれが検出され、 Google Cloud コンソールベースのワークフローを使用してピアリングを設定するように求められます。指定した VPC へのピアリング接続がすでに存在する場合、 Google Cloud コンソールのワークフローでその接続が使用されます。手動と コンソールベースのピアリングの両方で、CIDR を手動で 指定することも、Google ネットワークに自動的に選択させることもできます。 Google Cloud

  • オンプレミス ネットワークの CIDR の範囲と競合しない CIDR の範囲を選択する: VPN または Cloud Interconnect を介してオンプレミス ネットワークから NetApp Volumes を使用する場合は、オンプレミス ネットワークで使用されている CIDR の範囲と競合しない CIDR の範囲を選択することをおすすめします。これを行わないと、IP の衝突やルーティングの問題が発生する可能性があります。

  • NetApp Volumes のトラフィックは接続された VPC 内にとどまる: NetApp Volumes へのアクセスには、VPC ピアリングに依存するプライベート サービス アクセスを使用します。トラフィックは 2 つの連続する VPC ピアリング接続を通過できないため、クライアントからボリュームへのトラフィック、または NetApp Volumes から Active Directory サーバーへのトラフィックは、接続された VPC から離れることはできません。ネットワーク接続を有効にするには、追加のネットワークを接続します。

  • CIDR 範囲の変更: プライベート サービス アクセスを構成するときに、NetApp Volumes の CIDR 範囲を 割り当てます。最初のボリュームがプロビジョニングされた後は、これらの CIDR 範囲を変更できません。追加の CIDR 範囲を追加して、より多くの IP アドレスを提供することのみが可能です。

    既存の CIDR の範囲を変更する手順は次のとおりです。

    1. 既存のボリュームをすべて削除します。

    2. ピアリング接続を削除します。

    3. ネットワークのクリーンアップに最低 6 時間待ちます。

    4. 更新された CIDR の範囲を使用して、新しいピアリング接続を作成します。

  • ボリュームに割り当てられた IP アドレスは変更できない: NetApp Volumes は、委任されたプライベート サービス アクセス CIDR 範囲からボリュームに IP アドレスを割り当てます。ボリュームが受信する IP アドレスを制御したり、既存のボリュームの IP アドレスを変更することはできません。

プライベート サービス アクセスを構成する

ストレージ プールの作成時に UI を使用してプライベート サービス アクセスを後で設定することも、次の手順で説明するように手動で設定することもできます。プライベート サービス アクセスの詳細については、 プライベート サービス アクセスを構成するをご覧ください。

  1. CIDR の範囲を選択する: NetApp Volumes は、6.0.0.0/87.0.0.0/8 を除き、 RFC 1918 またはプライベートで使用されるパブリック IP(PUPI)アドレス範囲を使用します。Standard、Premium、Extreme、Flex File の各サービスレベルでは、NFS ボリュームまたは SMB ボリューム、およびボリュームにアクセスする NFS クライアントまたは SMB クライアントに対して PUPI がサポートされています。Flex Unified サービスレベルでは PUPI はサポートされていません。PUPI アドレスを使用する場合は、 コンソールの代わりに Google Cloud CLI コマンドを使用して Google Cloud ネットワークを設定します。

    プライベート サービス アクセスで未使用の CIDR の範囲を自動的に選択するか、手動で指定するかを選択できます。手動で選択すると、特定のアドレス範囲を選択できます。

    ボリュームとプールに対応できる十分な大きさの CIDR 範囲を選択します。 使用できる最小の CIDR の範囲は /24 です。NetApp Volumes は、次のルールセットに従って、割り当てられた CIDR からサブ範囲を使用します。

    • Standard、Premium、Extreme の各サービスレベルのボリュームは、異なるストレージ プールに配置されている場合でも、単一の IP アドレスを共有できます。そのため、多数のボリュームとプールで単一の /28 サブ範囲を共有できます。 CMEK、LDAP、Active Directory ポリシーなどのストレージ プールのパラメータに応じて、ボリュームはより多くの IP を消費します。

    • Premium または Extreme サービスレベルの大容量ボリュームでは、複数のストレージ エンドポイントをサポートするために /27 サブ範囲が必要です。

    • すべての Flex Unified 通常プールには /28 サブ範囲が必要です。これは、すべてのボリュームで共有されます。

    • Flex Unified の大容量ストレージ プールには、/27 サブ範囲が必要です。これは、すべてのボリュームで共有されます。

    • Flex File サービスレベルのストレージ プールには、独自の IP アドレスが必要です。すべてのボリュームで同じ IP アドレスを使用します。したがって、すべてのサブネットに 4 つの使用できない IP アドレスがあるため、/28 サブ範囲に 12 個のストレージ プールを設定できます。

    • 同じプロジェクト内の異なるリージョンのボリュームには、デプロイするボリュームの種類に応じて、追加の /28 または /27 範囲が必要です。

    • 同じ共有 VPC 内の異なるサービス プロジェクトのボリュームには、個別の /28 または /27 範囲が必要です。したがって、最小サイズの CIDR の範囲 /24 では、最大 16 個のリージョンとサービス プロジェクトの組み合わせに対応できます。

    • クラスタ間通信、ボリューム移行、外部レプリケーション、FlexCache には /27 IP 範囲が割り当てられます。

    • サービスは、使用されたサブ範囲からボリュームに IP アドレスを割り当てます。既存のサブ範囲で IP アドレスが不足した場合、プロジェクト、VPC、リージョンの組み合わせが同じであっても、サービスは追加のサブ範囲を使用する可能性があります。

  2. Service Networking API を有効にする: servicenetworking.googleapis.com API が有効になっていることを確認します。

    API を有効にする

  3. プライベート サービス アクセスを設定する: 次の手順に沿って、 Google Cloud CLI を使用してプライベート サービス アクセスを設定します。

    1. CIDR の静的内部 IP アドレス範囲を予約します。

      gcloud compute addresses create netapp-addresses-production-vpc1 \
 --project=PROJECT_ID \
 --global \
 --purpose=VPC_PEERING \
 --prefix-length=24 \
 --network=VPC \
 --no-user-output-enabled

      PROJECT_ID は、プライベート サービス アクセスを設定するプロジェクトの名前に置き換えます。

      このコマンドは、CIDR のベースアドレスを自動的に選択します。特定のベースアドレスを指定する場合は、次の行を追加します。

        --addresses=192.168.0.0 \

      192.168.0.0 は、プライベート サービス アクセスを設定するベースアドレスに置き換えます。

    2. 次のコマンドを実行して、ネットワークをピアリングします。

        gcloud services vpc-peerings connect \
   --project=PROJECT_ID \
   --service=netapp.servicenetworking.goog \
   --ranges=netapp-addresses-production-vpc1,ADDITIONAL_IP_RANGES \
   --network=VPC

      PROJECT_ID は、プライベート サービス アクセスを設定するプロジェクトの名前に置き換えます。

      複数のコンピューティング アドレス範囲をカンマ区切りの リストとして --ranges フラグに指定できます。NetApp Volumes は、コンピューティング アドレス範囲の /28 または /27 サブ範囲を未定義の順序で使用します。

      ADDITIONAL_IP_RANGES は、ピアリングする追加のアドレス範囲のカンマ区切りのリストに置き換えます。空のままにすると、前の手順で作成されたアドレス範囲のみでネットワークをピアリングします。

    3. カスタムルートの伝播を有効にします。プライベート接続が設定されると、NetApp Volumes は sn-netapp-prod ピアリングを作成します。

        gcloud compute networks peerings update sn-netapp-prod \
    --project=PROJECT_ID \
    --network=VPC  \
    --import-custom-routes \
    --export-custom-routes

      PROJECT_ID は、プライベート サービス アクセスを設定するプロジェクトの名前に置き換えます。PUPI を使用する場合は、代わりに import-subnet-routes-with-public-ip パラメータと export-subnet-routes-with-public-ip パラメータを使用します。

次のステップ

IAM 権限を設定します。