VMware Engine で Google Cloud Filestore ボリュームを vSphere データストアとして使用する

このドキュメントでは、Google Cloud VMware Engine の ESXi ホストの外部データストアとして Filestore を使用する方法について説明します。容量が 10 TiB 以上の Filestore Zonal ティアと Regional ティアのインスタンスは、VMware Engine データストアでの使用が VMware から認定されているため、すべての VMware Engine リージョンで使用できます。

前提条件やメリットなど、NFS データストアの概要については、NFS データストアの概要をご覧ください。

制限事項

NFS データストアの概要で説明されている制限事項に加えて、Filestore データストアには次の制限事項が適用されます。

  • サポートされている階層: VMware Engine は、容量が 10 TiB 以上のゾーン階層インスタンスとリージョン階層インスタンスをサポートしています。基本 SSD および基本 HDD ティアのインスタンスはサポートされていません。
  • 接続モード: VMware Engine は、プライベート サービス アクセス(PSA)を使用して接続されたインスタンスのみをサポートします。直接ピアリングまたは Private Service Connect(PSC)で接続されたインスタンスをデータストアとしてマウントすることはできません。詳細については、ネットワーク構成と IP リソースの要件をご覧ください。
  • VAAI: コピー オフロード(VAAI)は使用できません。

始める前に

外部 NFS ボリュームをデータストアとしてマウントする前に、次の前提条件を満たす必要があります。

  • Filestore インスタンス: 外部データストアとして使用する Filestore インスタンスを作成します。手順については、インスタンスを作成するをご覧ください。インスタンスを作成するときに、ゾーンまたはリージョン ティアを選択してください。
  • 削除保護: 誤った削除やデータ損失を防ぐため、ボリュームで削除保護を有効にする必要があります。
  • VPC ピアリング: Filestore テナント プロジェクトの VPC と、Datastore をマウントする予定のプライベート クラウドの VMware Engine ネットワーク(VEN)の間に、アクティブな VPC ネットワーク ピアリング接続が存在する必要があります。

VPC ネットワークの詳細を取得する

VMware Engine と Filestore の間にピアリング接続を作成する場合は、Filestore で使用される VPC ネットワークの詳細が必要になります。これらの詳細を取得する手順は次のとおりです。

  1. Google Cloud コンソールで、[Filestore インスタンス] ページに移動します。

    [Filestore インスタンス] に移動

  2. Filestore インスタンスの名前をクリックします。

  3. [インスタンスの詳細] ページで、[VPC ネットワーク] に表示されている VPC ネットワーク名をメモします。

  4. [VPC ネットワーク] ページに移動します。

    [VPC ネットワーク] に移動

  5. 手順 3 でメモした VPC ネットワークの名前をクリックします。

  6. [VPC ネットワーク ピアリング] タブをクリックします。

  7. servicenetworking-googleapis-com という名前のピアリング接続を選択します。

  8. [ピアリングされたプロジェクト ID] と [ピアリングされた VPC ネットワーク] の名前をコピーします。これらの値は、ピアリング接続を作成するときに必要になります。

レガシー ネットワークのプライベート接続を作成する

VMware Engine プロジェクトとプライベート クラウドを 2023 年 11 月 12 日より前に作成した場合、以前のバージョンの VMware Engine ネットワーク(レガシー VEN)を使用しています。以前の VMware Engine ネットワークを使用する環境では、プライベート接続を使用して Filestore に接続します。Filestore インスタンスとプライベート クラウドが異なるプロジェクトにある場合は、このプライベート接続を手動で作成する必要があります。同じプロジェクトにある場合は、プライベート接続がすでに存在している可能性があります。

レガシー ネットワークのプライベート接続を作成するには:

  1. Google Cloud コンソールで、[プライベート接続] ページに移動します。

    プライベート接続に移動

  2. [プロジェクトを選択] をクリックし、ピアリング接続を作成する組織、フォルダ、またはプロジェクトを選択します。

  3. [作成] をクリックします。

  4. [プライベート接続名] に、ピアリングの名前を入力します(例: peering-2-filestore)。

  5. [VMware Engine ネットワーク] で、ピアリングする VMware Engine ネットワークを指定します(例: us-central1-default)。

  6. [プライベート接続タイプ] で [プライベート サービス アクセス] を選択します。

  7. [ピアリングされたプロジェクト ID] に、前の手順で取得した Filestore のピアリングされたプロジェクト ID を入力します。

  8. [ルーティング モード] で、[グローバル] を選択します。

  9. [作成] をクリックします。

VMware Engine がピアリング リクエストを利用可能にして検証する間、新しいプライベート接続の VPC ピアリング ステータスは、最大 72 時間 Inactive の状態のままになります。

以前のネットワークの場合は、Datastore のマウントを試みる前に、Filestore テナント プロジェクトへのプライベート接続がアクティブであることを確認してください。接続がないか、非アクティブな場合、マウント オペレーションは失敗します。また、マウントされた Datastore で使用されているプライベート接続を削除すると、Datastore へのアクセスが中断される可能性があるため、削除しないでください。

ピアリング接続を作成する

2023 年 11 月 12 日以降に VMware Engine プロジェクトとプライベート クラウドが作成された場合、次の手順を実施してください。このような環境の VPC ピアリングを作成する方法については、VPC ネットワークのピアリングをご覧ください。

  1. Google Cloud コンソールで、[VPC ネットワーク ピアリング] ページに移動します。

    VPC ネットワーク ピアリングに移動

  2. [プロジェクトを選択] をクリックし、ピアリング接続を作成する組織、フォルダ、またはプロジェクトを選択します。

  3. [作成] をクリックします。

  4. [名前] フィールドに、ネットワーク ピアリングの名前を入力します。例: peering-2-filestore

  5. [VMware Engine ネットワーク] セクションで、デフォルトの [現在のプロジェクト内] を選択したままにして、ピアリングする VMware Engine ネットワークを指定します(例: ven1)。

  6. [ピアリング] で [プライベート サービス アクセス] を選択します。

  7. [サービス ネットワーキング テナント プロジェクト ID] フィールドに、前のセクションで取得したピアリングされたプロジェクト ID を入力します。

  8. [サービス ネットワーキング テナント VPC 名] フィールドに、前のセクションで取得したピアリングされた VPC ネットワークの名前を入力します。

  9. [ルート交換] セクションで、デフォルト設定をそのまま使用します。

  10. [作成] をクリックします。

VPC ピアリングが確立された後、vSphere ノードへのルート伝播には最大 20 分かかることがあります。

ピアリングは 2 つのネットワークを接続します。ピアリングでは動的ルートの重複を防ぐことはできないため、重複するルートを回避するのはユーザーの責任です。

  • サービス サブネット: NFS トラフィックに使用する IP CIDR 範囲をサービス サブネットで構成する必要があります。このサブネットは、NFS データストア専用にする必要があります。
  • NFS ボリュームのアクセス制御: サービス サブネット用に予約された CIDR 割り当てを NFS ボリュームの許可されたクライアントのリストに追加する必要があります。Filestore の場合は、インスタンスの [アクセス制御] セクションで、サービス サブネットの CIDR 範囲へのアクセス権を付与するルールを追加します。

  • 必要なロール: Filestore ボリュームを外部データストアとしてマウントするには、VMware Engine サービス エージェントに特定の IAM ロールが必要です。サービス エージェントに次のロールを付与します。

    • roles/file.viewer: VMware Engine が Filestore インスタンスにアクセスできるようにします。
    • roles/compute.networkViewer: VMware Engine がネットワーク ピアリングを表示できるようにします。

    次の gcloud CLI コマンドを使用して、これらのロールを付与します。

    gcloud projects add-iam-policy-binding FILESTORE_PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-vmwareengine.iam.gserviceaccount.com \
    --role=roles/file.viewer

gcloud projects add-iam-policy-binding FILESTORE_PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-vmwareengine.iam.gserviceaccount.com \
    --role=roles/compute.networkViewer

    次のように置き換えます。

    • FILESTORE_PROJECT_ID: Filestore インスタンスが存在するプロジェクト ID。
    • PROJECT_NUMBER: VMware Engine が有効になっているプロジェクト番号。

Filestore インスタンスをデータストアとしてマウントする

Filestore インスタンスを作成して前提条件を構成したら、VMware Engine API を使用してボリュームを Datastore としてマウントできます。

VMware Engine が NFS データストアを特定のクラスタ内のすべてのホストにマウントして利用可能になったら、vCenter コンソールで、その外部データストアに対して VM をプロビジョニングし、その外部データストアに対して実行された I/O オペレーションに関連する指標とログを表示できます。

API と gcloud CLI のワークフロー

API または gcloud CLI を使用してデータストアを管理する方法については、VMware Engine で NFS ボリュームを vSphere データストアとして管理するをご覧ください。

次のステップ