Instanz erstellen

Auf dieser Seite wird gezeigt, wie Sie eine Filestore-Instanz mithilfe der Google Cloud Console oder der gcloud CLI erstellen.

Anleitung zum Erstellen einer Instanz

Google Cloud Console

Hinweise

  • Filestore API aktivieren Es kann einige Minuten dauern, bis die Filestore API in der Liste Dienst unter Kontingente und Systemlimits angezeigt wird.

  • Das Kontingent für eine zonale oder regionale Instanz beginnt bei 0. Wenn Sie diese Kapazitäten nutzen möchten, müssen Sie zuerst eine Anfrage zur Kontingenterhöhung erstellen und genehmigen lassen, bevor Sie eine Instanz erstellen können.

  • Wenn Sie eine Instanz mit einem Enterprise- oder High Scale SSD-Tier erstellen müssen, müssen Sie Ihre Vorgänge direkt über die Filestore API oder mit gcloud ausführen. Diese create-Vorgänge werden über die Google Cloud Console nicht unterstützt.

    Weitere Informationen finden Sie unter Dienststufen.

Google Cloud Anleitung

  1. Rufen Sie in der Google Cloud Console die Filestore-Seite Instanzen auf.

    Zur Seite „Filestore-Instanzen“

  2. Klicken Sie auf Instanz erstellen.

  3. Füllen Sie alle erforderlichen Felder und optionalen Felder entsprechend den Anweisungen in den folgenden Abschnitten dieser Seite aus.

  4. Klicken Sie auf Erstellen.

gcloud

Hinweise

gcloud-Befehl zum Erstellen einer Filestore-Instanz

Sie können eine Filestore-Instanz mit dem Befehl filestore instances create erstellen. Das Kontingent für Instanzen variiert je nach Projekt, Region und Stufe. Weitere Informationen finden Sie unter Kontingente oder Kontingenterhöhung anfordern.

gcloud filestore instances create INSTANCE_ID \
    [--project=PROJECT_ID] \
    [--location=LOCATION] \
    [--description=DESCRIPTION] \
    [--performance=PERFORMANCE] \
    --tier=TIER \
    --file-share=name="FILE_SHARE_NAME",capacity=FILE_SHARE_SIZE \
    --network=name="VPC-NETWORK",[connect-mode=CONNECT_MODE],[reserved-ip-range="RESERVED_IP_ADDRESS"] \
    [--labels=KEY=VALUE,[KEY=VALUE,…]] \
    [--kms-key=KMS_KEY] \
    [--deletion-protection] \
    [--deletion-protection-reason="PROTECTION_REASON"]

Ersetzen Sie Folgendes:

  • INSTANCE_ID durch die Instanz-ID der Filestore-Instanz, die Sie erstellen möchten. Weitere Informationen finden Sie unter Instanz benennen.

  • PROJECT_ID durch die Projekt-ID des Google Cloud Projekts, das die Filestore-Instanz enthält. Sie können dieses Flag überspringen, wenn sich die Filestore-Instanz im Standardprojekt gcloud befindet. Sie können das Standardprojekt mit dem Befehl config set project festlegen:

      gcloud config set project PROJECT_ID

  • LOCATION durch den Standort, an dem sich die Filestore-Instanz befinden soll. Weitere Informationen finden Sie unter Standort auswählen. Sie können dieses Flag überspringen, wenn sich die Filestore-Instanz am gcloud-Standardstandort befindet. Sie können den Standardstandort mit dem Befehl config set filestore/zone festlegen:

      gcloud config set filestore/zone zone

    Verwenden Sie für die regionale oder Enterprise-Stufe den Befehl config set filestore/region:

      gcloud config set filestore/region region

  • DESCRIPTION Eine Beschreibung der Filestore-Instanz.

  • PERFORMANCE Wenn Sie das Flag --performance verwenden möchten, um benutzerdefinierte Leistung zu konfigurieren, haben Sie folgende Möglichkeiten:

    • max-iops-per-tb gibt eine IOPS-Rate pro TiB an, die IOPS linear mit der Instanzkapazität skaliert.
    • max-iops gibt eine IOPS-Rate an, bei der die IOPS nicht mit der Instanzkapazität skaliert werden.

    Das Format dafür ist:

    --performance=max-iops-per-tb=17000

  • TIER durch die Dienststufe, die Sie verwenden möchten.

  • FILE_SHARE_NAME durch den Namen, den Sie für die NFS-Dateifreigabe festlegen, der von der Instanz bereitgestellt wird. Weitere Informationen finden Sie unter Dateifreigabe benennen.

  • FILE_SHARE_SIZE durch die gewünschte Dateifreigabegröße. Siehe Kapazität zuweisen.

  • VPC-NETWORK durch den Namen des VPC-Netzwerks, das von der Instanz verwendet werden soll. Siehe VPC-Netzwerk auswählen. Wenn Sie eine freigegebene VPC über ein Dienstprojekt festlegen möchten, müssen Sie den voll qualifizierten Netzwerknamen im Format projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME und connect-mode=PRIVATE_SERVICE_ACCESS angeben. Beispiel:

    --network=name=projects/host/global/networks/shared-vpc-1,connect-mode=PRIVATE_SERVICE_ACCESS

    Sie können für den Wert VPC-NETWORK kein Legacy-Netzwerk festlegen. Erstellen Sie bei Bedarf ein neues VPC-Netzwerk, das verwendet werden soll. Folgen Sie dazu der Anleitung unter Neues VPC-Netzwerk im automatischen Modus erstellen.

  • CONNECT_MODE mit DIRECT_PEERING oder PRIVATE_SERVICE_ACCESS. Wenn Sie eine freigegebene VPC als Netzwerk angeben, müssen Sie auch PRIVATE_SERVICE_ACCESS als Verbindungsmodus angeben.

  • RESERVED_IP_ADDRESS durch den IP-Adressbereich für die Filestore-Instanz. Wenn Sie connect-mode=PRIVATE_SERVICE_ACCESS angeben und einen reservierten IP-Adressbereich verwenden möchten, müssen Sie den Namen eines zugewiesenen Adressbereichs anstelle eines CIDR-Bereichs angeben. Weitere Informationen finden Sie unter Reservierte IP-Adresse konfigurieren. Wir empfehlen, dieses Flag zu überspringen, damit Filestore automatisch einen freien IP-Adressbereich findet und der Instanz zuweist.

  • KEY durch ein Label, das Sie hinzufügen möchten. Beim Erstellen einer Filestore-Instanz müssen keine Labels hinzugefügt werden. Sie können Labels auch hinzufügen, löschen oder aktualisieren, nachdem Sie eine Instanz erstellt haben. Weitere Informationen finden Sie unter Labels verwalten.

  • VALUE durch den Wert für ein Label.

  • KMS_KEY ist der voll qualifizierte Name des Cloud KMS-Verschlüsselungsschlüssels, den Sie verwenden möchten, wenn Sie Ihre eigene Datenverschlüsselung verwalten möchten. Das Format sieht so aus:

    projects/KMS_PROJECT_ID/locations/REGION/keyRings/KEY_RING/cryptoKeys/KEY

  • PROTECTION_REASON Wenn Sie das Flag --deletion-protection verwenden, können Sie der Einstellung eine Notiz hinzufügen. Um die Notiz hinzuzufügen, verwenden Sie das optionale Flag --deletion-protection-reason und fügen Sie eine Beschreibung der Begründung für die von Ihnen gewählte Einstellung ein. Beispiel: „Alle Genomics-Daten müssen den aktuellen Organisationsrichtlinien entsprechen.“ Weitere Informationen finden Sie unter Löschschutz.

Beispiel

Mit dem folgenden Befehl wird eine Instanz mit diesen Eigenschaften erstellt:

  • ID ist render1.
  • Projekt ist myproject.
  • Die Region ist us-central1.
  • Stufe ist REGIONAL.
  • Für die Leistung wird der Parameter max-iops-per-tb mit dem Wert 17000 verwendet.
  • Der Name der Dateifreigabe lautet my_vol.
  • Die Größe der Dateifreigabe ist 2 TiB.
  • VPC-Netzwerk ist default.
  • Reservierter IP-Adressbereich ist 10.0.7.0/29.
  • Gewährt Lese- und Schreibzugriff auf den Client mit der IP-Adresse 10.0.2.0.
  • Der Löschschutz ist aktiviert.
  • Es wird eine Begründung für die Einstellung des Löschschutzes angegeben.
gcloud filestore instances create render1 \
  --project=myproject \
  --region=us-central1 \
  --tier=REGIONAL \
  --performance=max-iops-per-tb=17000 \
  --network=name="default",reserved-ip-range="10.0.7.0/29" \
  --flags-file=nfs-export-options.json \
  --deletion-protection \
  --deletion-protection-reason="All genomics data must adhere to current
  organization policies."

Inhalte der Datei nfs-export-options.json:

 {
"--file-share":
  {
    "capacity": "2048",
    "name": "my_vol",
    "nfs-export-options": [
      {
        "access-mode": "READ_WRITE",
        "ip-ranges": [
          "10.0.0.0/29",
          "10.2.0.0/29"
        ],
        "squash-mode": "ROOT_SQUASH",
        "anon_uid": 1003,
        "anon_gid": 1003
      },
      {
        "access-mode": "READ_ONLY",
        "ip-ranges": [
          "192.168.0.0/26"
        ],
        "squash-mode": "NO_ROOT_SQUASH"
      }
    ]
  }
}

REST API

  1. Die gcloud CLI installieren und initialisieren, um ein Zugriffstoken für den Header Authorization zu generieren.

  2. Verwenden Sie cURL zum Aufrufen der Filestore API:

    curl --request POST \
    'https://file.googleapis.com/v1/projects/PROJECT/locations/LOCATION/instances?instanceId=NAME' \
    --header "Authorization: Bearer $(gcloud auth print-access-token)" \
    --header 'Accept: application/json' \
    --header 'Content-Type: application/json' \
    --data '{
            "tier":"TIER",
            "networks":[
                {
                "network":"NETWORK"
                }
              ],
            "performanceConfig": {"PERFORMANCE"}
            "fileShares":[
              {"capacityGb":CAPACITY,"name":"SHARE_NAME"}
              ],
            "deletionProtectionEnabled": true,
            "deletionProtectionReason": "PROTECTION_REASON"}' \
    --compressed

    Wobei:

    • PROJECT ist der Name des Projekts, in dem sich die Instanz befindet. Beispiel: my-genomics-project.
    • LOCATION ist der Standort, an dem sich die Instanz befinden wird. Beispiel: us-east1oder us-central1-a
    • NAME ist der Name der Instanz, die Sie erstellen möchten. Beispiel: my-genomics-instance.
    • TIER ist der Name der Dienststufe, die Sie verwenden möchten. Beispiel: REGIONAL.

    • PERFORMANCE ist die Leistungskonfiguration, mit der benutzerdefinierte Leistungseinstellungen angegeben werden.

      Sie können nur eine der bereitgestellten Optionen verwenden.

      • PerformanceConfig.iopsPerTb.maxIopsPerTb gibt eine IOPS-Rate pro TiB an, die IOPS linear mit der Instanzkapazität skaliert.
      • PerformanceConfig.fixedIops.maxIops gibt eine feste IOPS-Rate an, bei der die IOPS nicht mit der Instanzkapazität skaliert werden.

      Das Format dafür ist:

         "performanceConfig": {
      "iopsPerTb" : {
          "maxIopsPerTb":17000
      }
    }

    • NETWORK ist der Name des Netzwerks, das Sie verwenden möchten. Beispiel: default.

    • CAPACITY ist die Größe in GiB, die Sie für die Instanz zuweisen möchten. Beispiel: 1024.

    • SHARE_NAME ist der Name der Dateifreigabe. Beispiel: vol1

    • PROTECTION_REASON Wenn Sie das Flag deletionProtectionEnabled verwenden, können Sie der Einstellung eine Notiz hinzufügen. Um die Notiz hinzuzufügen, verwenden Sie das optionale Flag deletionProtectionReason und fügen Sie eine Beschreibung der Begründung für die von Ihnen gewählte Einstellung ein. Beispiel: „Alle Genomdaten müssen den aktuellen Organisationsrichtlinien entsprechen.“ Weitere Informationen finden Sie unter Löschschutz.

Instanzen und Freigaben

Eine Filestore-Instanz stellt physische Speicherkapazität dar.

Ein Share ist ein zugewiesener Teil dieses Speichers mit einem individuellen, eindeutigen Zugriffspunkt.

Alle Service-Stufen bieten Speicheroptionen mit einem Verhältnis von 1:1 zwischen Freigabe und Instanz. Alternativ bietet Filestore Multishares für GKE, das nur für Instanzen der Enterprise-Stufe verfügbar ist, Zugriff auf mehrere Freigaben auf einer einzelnen Instanz.

Instanznamen oder Instanz-IDs werden von Administratoren zum Verwalten von Instanzen verwendet. Dateifreigabenamen werden von Clients verwendet, um eine Verbindung zu den von diesen Instanzen exportierten Freigaben herzustellen.

Instanz benennen

Der Name Ihrer Filestore-Instanz oder Instanz-ID wird zur Identifizierung der Instanz verwendet und in gcloud-Befehlen verwendet. Instanz-IDs müssen dem <label>-Element von RFC 1035 entsprechen. Sie müssen insbesondere:

  • Muss 1 bis 63 Zeichen lang sein
  • Muss mit einem Kleinbuchstaben beginnen
  • Besteht aus Bindestrichen, Kleinbuchstaben oder Ziffern.
  • Beenden Sie mit Kleinbuchstaben oder Ziffern.

Die Instanz-ID muss im Google Cloud Projekt und in der Zone, in der sie sich befindet, eindeutig sein. Nachdem eine Instanz erstellt wurde, kann die Instanz-ID nicht mehr geändert werden.

Dienststufe konfigurieren

Wählen Sie die Serviceebene aus, die Ihren Anforderungen am besten entspricht. Sobald eine Instanz erstellt wurde, kann ihre Dienststufe nicht mehr geändert werden. In der folgenden Tabelle sind die Funktionen nach Dienststufe zusammengefasst:

Funktionen von Filestore-Dienststufen
Leistungsvermögen Basic HDD und Basic SSD Zonal Regional Unternehmen
Kapazität 1 TiB bis 63,9 TiB 1 TiB bis 100 TiB 1 TiB bis 100 TiB 1 TiB bis 10 TiB
Skalierbarkeit
  • Basic HDD (1 TiB bis 63,9 TiB): Die Größe wird nur in Schritten von 1 GiB erhöht.
  • Basic SSD (2,5 TiB bis 63,9 TiB): Skaliert nur in Schritten von 1 GiB.
  • Zonal (1 TiB bis 9,75 TiB): Die Größe wird in Schritten von 256 GiB erhöht oder verringert.
  • Zonal (10 TiB bis 100 TiB): Die Größe wird in Schritten von 2,5 TiB erhöht oder verringert.
  • Regional (1 TiB bis 9,75 TiB): Die Kapazität wird in Schritten von 256 GiB erhöht oder verringert.
  • Regional (10 TiB bis 100 TiB): Die Größe wird in Schritten von 2,5 TiB erhöht oder verringert.
Wird in Schritten von 256 GiB hoch- oder herunterskaliert
Leistung
  • Basic HDD: Statisch
  • Basic SSD: Leistungsschritt bei 10 TiB
 Konfigurierbar* Konfigurierbar* Wird kapazitätsabhängig skaliert
Protokoll NFSv3 NFSv3, NFSv4.1 NFSv3, NFSv4.1 NFSv3, NFSv4.1

* Mit den Dienststufen „Regional“ und „Zonal“ können benutzerdefinierte Leistungseinstellungen definiert werden. Weitere Informationen finden Sie unter Benutzerdefinierte Leistung.

Create-Vorgänge für zonale, regionale und Enterprise-Instanzen können je nach Instanzgröße zwischen 15 Minuten und einer Stunde dauern.

Das Filestore-Kontingent wird verwendet, wenn die Instanz erstellt wird, aber Ihnen während dieser Zeit keine Instanz in Rechnung gestellt wird.

Eine detailliertere Beschreibung der Funktionen, die je nach Dienststufe verfügbar sind, finden Sie unter Dienststufen.

Kapazität zuweisen

Weisen Sie Kapazität dem Betrag zu, den Sie beim Erstellen der Instanz benötigen. Wenn Sie die Kapazitätsgrenze erreichen, können Sie die Kapazität nach Bedarf hochskalieren, ohne die Laufzeit zu beeinträchtigen. Informationen zum Überwachen der Kapazität Ihrer Instanzen finden Sie unter Instanzen überwachen.

In der gcloud CLI können Sie die Kapazität mit GiB oder TiB in ganzen Zahlen angeben. Die Standardeinheit ist GiB.

Die folgende Tabelle zeigt die für jede Stufe verfügbaren Instanzgrößen:

Stufe Mindestgröße Maximalgröße Inkrementelle Schrittgröße
Basic HDD 1 TiB 63,9 TiB 1 GiB
Basic SSD 2,5 TiB 63,9 TiB 1 GiB
Zonal 1 TiB 9,75 TiB 256 GiB
Zonal 10 TiB 100 TiB 2,5 TiB
Regional 1 TiB 9,75 TiB 256 GiB
Regional 10 TiB 100 TiB 2,5 TiB
Enterprise 1 TiB 10 TiB 256 GiB

Die Größe von Instanzen kann ein beliebiger Gibibyte-Wert oder ein Tebibyte-Äquivalent sein, das zwischen der minimalen und maximalen Instanzgröße liegt und durch die inkrementelle Schrittgröße teilbar ist. Gültige Größen für zonale Instanzen mit einem höheren Kapazitätsbereich sind beispielsweise 10 TiB, 12,5 TiB und 15 TiB.

Nach dem Erstellen kann die Größe von Basis-HDD- und Basis-SSD-Instanzen nur hochskaliert werden. Bei allen anderen Dienststufen kann die Kapazität erhöht oder verringert werden. Weitere Informationen finden Sie unter Instanzen bearbeiten und Kapazität skalieren.

Gesamtkapazitätskontingent

Jedem Projekt wird ein separates Kapazitätskontingent zugewiesen, das nach Region und Service-Tier definiert ist. Die Kontingentlimits variieren je nach Dienststufe.

Sobald Sie Ihr Kontingentlimit erreicht haben, können Sie keine weiteren Filestore-Instanzen erstellen oder die Kapazität Ihrer vorhandenen Instanzen erhöhen. Rufen Sie zum Anzeigen Ihres verfügbaren Kontingents in der Google Cloud Console die Seite Kontingente auf:

Zur Seite „Kontingente“

Informationen zum Anfordern eines höheren Kontingents finden Sie unter Kontingenterhöhungen anfordern.

Leistung konfigurieren

Die Instanzleistung hängt von der ausgewählten Dienststufe ab.

Regionale und zonale Stufen

  • Für regionale und zonale Ebenen können Sie ein IOPS-pro-TiB-Verhältnis festlegen, mit dem die Instanz-IOPS mit der Kapazität skaliert werden können, oder einen konstanten IOPS-Wert, der nicht mit der Kapazität skaliert wird, aber jederzeit angepasst werden kann, wenn sich die Kapazität ändert. Weitere Informationen zu Limits finden Sie unter Benutzerdefinierte Leistungslimits. Wenn Sie keine benutzerdefinierte Leistung einrichten, wird die Leistung gemäß einem vordefinierten Verhältnis linear mit der Kapazität skaliert. Weitere Informationen finden Sie unter Leistung.

Basic SSD- und Basic HDD-Stufen

  • Bei SSD-Basistypen ist die Anzahl der IOPS konstant und ändert sich nicht, wenn Sie die Kapazitätseinstellungen ändern.
  • Bei Basic-HDD-Stufen ändern sich die Leistungsgrenzen je nachdem, ob die Kapazität im Bereich von 1 TiB bis 10 TiB oder von 10 TiB bis 63,9 TiB liegt.

Weitere Informationen zu Leistungsgrenzen und ‑einstellungen finden Sie unter Leistung.

IOPS-pro-TiB-Verhältnis angeben

Wenn Sie die benutzerdefinierte Leistung aktivieren, können Sie im Feld IOPS pro TiB das Verhältnis angeben, in dem die Leistung auf Grundlage der Kapazität skaliert wird.

Wenn Sie feste IOPS verwenden möchten, entfernen Sie das Häkchen bei Leistung kapazitätsabhängig skalieren.

Angenommen, Sie haben die folgenden anfänglichen Leistungswerte angegeben:

  • Kapazität: 1 TiB
  • IOPS pro TiB: 6.000
  • Leistung (wenn das Kästchen Leistung kapazitätsabhängig skalieren ausgewählt ist): 6.000 IOPS

Die folgenden Beispiele zeigen, wie sich die Leistung je nach geänderten Einstellungen skaliert:

  • Wenn Sie IOPS pro TiB auf 7.000 erhöhen, wird die Leistung auf 7.000 IOPS angepasst.
  • Wenn Sie die Kapazität auf 2 TiB erhöhen,wird die Leistung auf 14.000 IOPS angepasst.
  • Wenn Sie die Leistung auf 8.000 IOPS verringern, wird IOPS pro TiB auf 4.000 angepasst.

Feste Anzahl von IOPS angeben

Wenn Sie das Kästchen Leistung kapazitätsabhängig skalieren deaktivieren, geben Sie im Feld Leistung die Anzahl der IOPS an, die Sie verwenden möchten. Diese Zahl muss innerhalb des Leistungsbereichs liegen und ein Vielfaches von 1.000 sein.

Wenn Sie eine feste Anzahl von IOPS unabhängig von der Kapazität festlegen, können Sie die Leistung optimieren. Diese Option verhindert jedoch die automatische Leistungsskalierung bei Kapazitätsänderungen. Wenn Sie die Kapazität ändern, müssen Sie möglicherweise den Leistungswert anpassen und umgekehrt.

Sie haben beispielsweise die folgenden Werte angegeben:

  • Speicher: 4 TiB
  • Leistung: 40.000 IOPS

An diesem Punkt können Sie die Leistung auf bis zu 68.000 IOPS steigern, was dem Limit für 4 TiB Kapazität entspricht. Sie möchten die Leistung auf 70.000 IOPS steigern. Das liegt über dem Leistungsbereich für die Kapazität von 4 TiB. Um die Kompatibilität aufrechtzuerhalten, müssen Sie die Kapazität auf mindestens 4,25 TiB erhöhen, damit sie in den Leistungsbereich fällt.

Standort auswählen

"Standort" bezieht sich auf die Region und die Zone, in denen sich die Filestore-Instanz befindet. Sie sollten die Filestore-Instanz in derselben Region befinden wie die Compute Engine-VMs, die auf die Instanzen zugreifen müssen, um die Leistung zu optimieren und regionsübergreifende Netzwerkgebühren zu vermeiden.

Weitere Informationen zu Regionen und Zonen finden Sie unter Geografie und Regionen.

Protokoll auswählen

Wählen Sie das Protokoll aus, das Ihren Anforderungen entspricht. Filestore unterstützt die Protokolle NFSv3 und NFSv4.1.

Eine Anleitung zum Erstellen von Filestore-Instanzen mit dem NFSv4.1-Protokoll finden Sie unter NFSv4.1-Protokoll konfigurieren.

VPC-Netzwerk auswählen

Das Netzwerk, das Sie für die Verwendung mit Filestore auswählen, kann entweder ein Standard-VPC-Netzwerk oder ein freigegebene VPC-Netzwerk sein. In beiden Fällen muss das von Ihnen ausgewählte Netzwerk genügend verfügbare IP-Ressourcen haben, die der Filestore-Instanz zugewiesen werden können. Andernfalls kann die Instanz aufgrund von IP-Adressenmangel nicht erstellt werden.

Clients müssen sich im selben Netzwerk wie die Filestore-Instanz befinden, um auf die auf dieser Instanz gespeicherten Dateien zugreifen zu können. Nachdem eine Instanz erstellt wurde, kann die Netzwerkauswahl nicht mehr geändert werden.

Freigegebenes VPC-Netzwerk

Bevor Sie eine Instanz in einem freigegebenen VPC-Netzwerk in einem Dienstprojekt erstellen können, muss der Netzwerkadministrator zuerst den Zugriff auf private Dienste für das freigegebene VPC-Netzwerk aktivieren. Wenn Sie die Instanz im Hostprojekt erstellen, ist der Zugriff auf private Dienste nicht erforderlich.

Freigegebene VPC-Netzwerke werden in der Google Cloud Console im folgenden Format angezeigt:

projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME

Eine ausführliche Anleitung finden Sie unter Instanz in einem freigegebenen VPC-Netzwerk erstellen.

NFS-Dateisperren

Wenn für die Anwendungen, die Sie mit dieser Filestore-Instanz verwenden möchten, eine NFS-Dateisperrung erforderlich ist und Sie eine der folgenden Optionen auswählen, müssen Sie möglicherweise die von Filestore verwendeten Ports im ausgewählten Netzwerk öffnen:

  • ein anderes VPC-Netzwerk als das Standardnetzwerk oder
  • das Standard-VPC-Netzwerk mit geänderten Firewallregeln auswählen,

Weitere Informationen finden Sie unter Firewallregeln konfigurieren.

Dateifreigabe konfigurieren

Eine Dateifreigabe ist das Verzeichnis auf einer Filestore-Instanz, in dem alle freigegebenen Dateien gespeichert sind. Es ist auch das, was Sie auf der Client-VM bereitstellen oder zuordnen.

Der Name der Dateifreigabe muss folgendermaßen lauten:

  • Er muss für zonale, regionale und Enterprise-Stufen zwischen 1 und 32 Zeichen lang sein und für Basic-Stufen zwischen 1 und 16 Zeichen.
  • Sie müssen mit einem Buchstaben beginnen.
  • Sie bestehen aus Groß- und Kleinbuchstaben, Zahlen und Unterstrichen.
  • Muss mit einem Buchstaben oder einer Ziffer enden.

IP-basierte Zugriffssteuerung konfigurieren

Standardmäßig gewährt eine Filestore-Instanz Lese- und Schreibzugriff auf Stammebene auf alle Clients, einschließlich Compute Engine-VMs und GKE-Clustern, die dasselbe Google Cloud Projekt und VPC-Netzwerk verwenden. Wenn Sie den Zugriff beschränken möchten, erstellen Sie mithilfe von IP-Adressen Regeln, mit denen bestimmten Clients Zugriffsebenen zugewiesen werden. Sobald die Regeln hinzugefügt sind, wird allen Nutzern und IP-Adressen, die nicht in einer Regel angegeben sind, der Zugriff entzogen. Zonale, regionale und Enterprise-Instanzen unterstützen Konfigurationseinstellungen für sich überschneidende IP-Adressbereiche. Weitere Informationen finden Sie unter Sich überschneidende Berechtigungen.

In der folgenden Tabelle werden die Berechtigungen jeder Zugriffsebene beschrieben. Diese Zugriffsebenen werden nur in der Google Cloud -Konsole verwendet. In der gcloud CLI und der API müssen Sie die Regelkonfigurationen direkt angeben.

Zugriffsebene Regelkonfiguration Beschreibung
admin
  • lesen/schreiben
  • No-Root-Squash
 Der Client kann alle Dateien, Ordner und Metadaten als Root-Nutzer aufrufen und ändern. Er kann auch die Eigentümerschaft für Dateien oder Ordner gewähren, indem er seine uid und gid festlegt. In diesem Fall gewährt er Clients, die keinen Root-Zugriff auf die Dateifreigabe haben, Zugriff.
admin-viewer
  • Schreibgeschützt
  • No-Root-Squash
 Der Client kann alle Dateien, Ordner und Metadaten als Root-Nutzer anzeigen, aber nicht ändern.
editor
  • lesen/schreiben
  • Root-Squash
 Der Client kann die Dateien, Ordner und Metadaten entsprechend den zugewiesenen uid und gid ansehen und ändern.
viewer
  • Schreibgeschützt
  • Root-Squash
 Der Client kann die Dateien, Ordner und Metadaten entsprechend den zugewiesenen uid und gid ansehen.

root-squash ordnet alle Anfragen von uid 0 und gid 0 jeweils anon_uid und anon_gid zu. Durch diese Konfiguration wird der Zugriff auf Root-Ebene von Clients entfernt, die versuchen, als Root-Nutzer auf die Dateifreigabe zuzugreifen.

Beim Erstellen von IP-basierten Zugriffsregeln gilt Folgendes:

  • Sie müssen eine interne IP-Adresse oder einen internen IP-Bereich sowie die erteilte Zugriffsebene angeben.
  • Beim Erstellen einer Instanz muss mindestens eine Regel admin-Zugriff gewähren. Diese Regel kann entfernt werden, sobald die Instanz erstellt wurde.
  • Zonale, regionale und Enterprise-Instanzen unterstützen Konfigurationseinstellungen für sich überschneidende IP-Adressbereiche. Instanzen der Basis-Stufe werden nicht unterstützt. Weitere Informationen finden Sie unter Sich überschneidende Berechtigungen.

In der Google Cloud -Konsole können Sie bis zu vier verschiedene Regeln (admin, admin-viewer, editor, viewer) mit bis zu 64 verschiedenen IP-Adressen oder Bereichen erstellen.

In der gcloud CLI können Sie bis zu 64 verschiedene IP-Adressen oder CIDR-Blöcke pro Filestore-Instanz mit maximal zehn verschiedenen Regeln konfigurieren. Eine Regel wird als Kombination der Konfigurationen access-mode, squash-mode und anon_uid/anon_gid definiert. Die Felder anon_uid und anon_gid haben den Standardwert 65534 und können nur über die API und die gcloud CLI konfiguriert werden.

Beispiel

Hier sehen Sie ein Beispiel für drei verschiedene IP-basierte Zugriffsregeln:

  • access-mode=READ_ONLY, squash-mode=ROOT_SQUASH, anon_uid=10000.
  • access-mode=READ_WRITE, squash-mode=ROOT_SQUASH, anon_gid=150.
  • access-mode=READ_WRITE, squash-mode=NO_ROOT_SQUASH.

Verwenden Sie zum Erstellen von IP-basierten Zugriffssteuerungsregeln mit der gcloud CLI das Flag --flags-file mit den Befehlen instances create oder instances update und verweisen Sie es auf eine JSON-Konfigurationsdatei. Wenn die JSON-Konfigurationsdatei beispielsweise den Namen nfs-export-options.json hat, lautet das Flag:

--flags-file=nfs-export-options.json

Beispiel für eine JSON-Konfigurationsdatei:

   {
  "--file-share":
    {
      "capacity": "2048",
      "name": "my_vol",
      "nfs-export-options": [
        {
          "access-mode": "READ_WRITE",
          "ip-ranges": [
            "10.0.0.0/29",
            "10.2.0.0/29"
          ],
          "squash-mode": "ROOT_SQUASH",
          "anon_uid": 1003,
          "anon_gid": 1003
        },
         {
          "access-mode": "READ_ONLY",
          "ip-ranges": [
            "192.168.0.0/26"
          ],
          "squash-mode": "NO_ROOT_SQUASH"
        }
      ]
    }
}
  • ip-ranges ist die IP-Adresse oder der Bereich, auf die bzw. den Zugriff gewährt werden soll. Sie können mehrere IP-Adressen oder Bereiche angeben, indem Sie sie durch ein Komma trennen. Nur zonale, regionale und Enterprise-Instanzen unterstützen Konfigurationseinstellungen für sich überschneidende IP-Adressbereiche. Weitere Informationen finden Sie unter Sich überschneidende Berechtigungen.
  • access-mode ist die Zugriffsebene, die den Clients zugewiesen werden soll, deren IP-Adresse in den ip-range fällt. Sie kann die Werte READ_WRITE oder READ_ONLY haben. Der Standardwert ist READ_WRITE.
  • squash-mode kann die Werte ROOT_SQUASH oder NO_ROOT_SQUASH haben. ROOT_SQUASH entfernt Root-Zugriff auf die Clients, deren IP-Adresse in ip-range fällt, während NO_ROOT_SQUASH Root-Zugriff ermöglicht. Der Standardwert ist NO_ROOT_SQUASH.
  • anon_uid ist der Nutzer-ID-Wert, den Sie anon_uid zuordnen möchten. Der Standardwert ist 65534.
  • anon_gid ist der Gruppen-ID-Wert, den Sie anon_gid zuordnen möchten. Der Standardwert ist 65534.

Clients in Bereichen außerhalb von RFC 1918

Wenn Sie Clients außerhalb des RFC 1918-Bereichs mit Ihrer Filestore-Instanz verbinden möchten, müssen Sie ihnen explizit über die IP-basierte Zugriffssteuerung Zugriff auf die Filestore-Instanz gewähren.

Optionale Felder

In den folgenden Abschnitten werden optionale Felder beschrieben.

Instanzbeschreibung hinzufügen

Mit einer Instanzbeschreibung können Sie für sich selbst und für andere Nutzer Beschreibungen, Notizen oder Anweisungen schreiben. Sie können beispielsweise folgende Informationen angeben:

  • Die in der Instanz gespeicherten Dateitypen.
  • Wer Zugriff auf die Instanz hat.
  • Anleitung zum Zugriff auf die Instanz.
  • Wofür wird die Instanz verwendet?

Instanzbeschreibungen sind auf 2048 Zeichen beschränkt. Es gibt keine Einschränkungen hinsichtlich der zulässigen Zeichen. Nachdem eine Filestore-Instanz erstellt wurde, können Sie ihre Instanzbeschreibung jederzeit nach Bedarf aktualisieren. Informationen zum Aktualisieren von Instanzbeschreibungen finden Sie unter Instanzen bearbeiten.

Labels hinzufügen

Labels sind Schlüssel/Wert-Paare, mit denen Sie verwandte Instanzen gruppieren und Metadaten zu einer Instanz speichern können. Sie können Labels jederzeit hinzufügen, löschen oder ändern. Weitere Informationen finden Sie unter Labels verwalten.

Reservierten IP-Adressbereich konfigurieren

Jeder Filestore-Instanz muss ein IP-Adressbereich zugeordnet sein. Sowohl RFC 1918- als auch Nicht-RFC 1918-IP-Adressbereiche (GA) werden unterstützt.

Nach der Angabe kann der IP-Adressbereich einer Instanz nicht mehr geändert werden.

Wir empfehlen Nutzern, Filestore automatisch einen freien IP-Adressbereich ermitteln und der Instanz zuweisen zu lassen. Berücksichtigen Sie bei der Auswahl Ihres eigenen Bereichs die folgenden Filestore-IP-Ressourcenanforderungen:

  • Sie müssen die CIDR-Notation verwenden.

  • Muss ein gültiger VPC-Subnetzbereich sein.

  • Für Basic-Instanzen ist eine Blockgröße von 29 erforderlich. Beispiel: 10.123.123.0/29.

  • Für zonale, regionale und Enterprise-Instanzen ist eine Blockgröße von 26 erforderlich. Beispiel: 172.16.123.0/26

  • Der IP-Adressbereich darf sich nicht mit Folgendem überschneiden:

    • Vorhandene Subnetze im VPC-Netzwerk, die von der Filestore-Instanz verwendet werden.

    • Vorhandene Subnetze in einem VPC-Netzwerk, das per Peering mit dem Subnetz verbunden ist, das von der Filestore-Instanz verwendet wird. Weitere Informationen finden Sie unter Sich überschneidende Subnetze zum Zeitpunkt des Peerings.

    • IP-Adressbereiche, die anderen vorhandenen Filestore-Instanzen in diesem Netzwerk zugewiesen sind.

    • Der Adressbereich 172.17.0.0/16 ist für interne Filestore-Komponenten reserviert. Deshalb gelten folgende Einschränkungen:

      • Clients in diesem Bereich können keine Verbindung zu Filestore-Instanzen herstellen.

      • Filestore-Instanzen können in diesem IP-Bereich nicht erstellt werden. Weitere Informationen finden Sie unter Bekannte Probleme.

  • Pro VPC muss es mindestens ein VPC-Netzwerk-Peering oder eine Verbindung für den Zugriff auf private Dienste geben.

Sie können die IP-Adressbereiche für die Subnetze Ihres Netzwerks in der Google Cloud -Console auf der Seite „VPC-Netzwerke“ anzeigen lassen.

Zur VPC-Netzwerkseite

Sie können den reservierten IP-Adressbereich für jede Filestore-Instanz auf der Seite „Filestore-Instanzen“ in derGoogle Cloud Console abrufen:

Zur Seite mit den Filestore-Instanzen

Wenn Sie den Zugriff auf private Dienste verwenden und einen reservierten IP-Adressbereich angeben, müssen Sie den Namen eines zugewiesenen Adressbereichs für die Verbindung angeben. Wenn Sie keinen Bereichsnamen angeben, verwendet Filestore automatisch einen der zugewiesenen Bereiche, die der Verbindung für den Zugriff auf private Dienste zugeordnet sind.

Vom Kunden verwalteten Verschlüsselungsschlüssel verwenden

Standardmäßig verschlüsselt Google Cloud Daten im inaktiven Zustand automatisch mit von Google verwalteten Verschlüsselungsschlüsseln. Wenn Sie mehr Kontrolle über die Schlüssel benötigen, die Ihre Daten schützen, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEKs) für Filestore verwenden. Weitere Informationen finden Sie unter Daten mit vom Kunden verwalteten Verschlüsselungsschlüsseln verschlüsseln.

Löschschutz aktivieren

Legen Sie die Einstellung für den Löschschutz der Instanz fest. Diese Einstellung ist standardmäßig deaktiviert. Weitere Informationen finden Sie unter Löschschutz.

Beschreibung für die Einstellung für den Löschschutz hinzufügen

Fügen Sie eine Beschreibung der Begründung für die von Ihnen gewählte Einstellung für den Löschschutz hinzu. Weitere Informationen finden Sie unter Löschschutz.

Nächste Schritte