本页介绍了 Filestore 的网络配置和 IP 资源要求。
连接支持
Filestore 使用 VPC 网络对等互连或专用服务访问通道连接到您的 VPC 网络。下图显示了哪种连接方法支持哪些场景:
场景 | VPC 网络对等互连 | 专用服务访问通道 |
---|---|---|
使用独立 VPC 网络创建实例。 | ✓ | ✓ |
通过宿主项目在共享 VPC 网络上创建实例。 | ✓ | ✓ |
通过服务项目在共享 VPC 网络中创建实例。 | ✓ | |
对多个 Google 服务使用集中式 IP 地址范围管理。 | ✓ | |
使用 Cloud VPN 或 Cloud Interconnect 从本地网络访问实例。 | ✓ | ✓ |
Filestore 支持以下连接场景:
- 大多数 Compute Engine 虚拟机或 GKE 集群都可以访问同一 VPC 网络上的任何 Filestore 实例。除非使用基于 IP 地址的访问权限控制来限制访问权限,否则选定 VPC 网络中的所有内部 IP 地址都可以连接到 Filestore 实例。
- IP 地址在
172.17.0.0/16
范围内的客户端无法连接到 Filestore 实例。如需了解详情,请参阅已知问题。
- IP 地址在
- 您可以使用 Cloud VPN 或 Cloud Interconnect 将 Filestore 实例连接到远程网络中的客户端,包括来自其他项目的客户端或本地客户端。
- 您可以将非 RFC 1918 客户端连接到 Filestore。在这种情况下,您必须使用基于 IP 的访问权限控制明确授予他们对 Filestore 实例的访问权限。
Filestore 不支持传递性对等互连。例如,如果 VPC 网络 N1 与 Filestore 的内部网络对等互连,而另一个 VPC 网络 N2 与 N1 对等互连,则 N2 将无法与 Filestore 实例建立连接。只有 N1 上的客户端可以访问 Filestore 实例。
防火墙规则
在以下情况下,您可能需要创建防火墙规则:
- 如需启用 NFS 文件锁定,您可能需要打开
statd
和nlockmgr
守护程序使用的端口。如需了解详情,请参阅配置防火墙规则。 - 默认情况下,在共享 VPC 场景中,NFS 访问权限不限于服务项目。您可以设置防火墙规则或使用基于 IP 的访问权限控制来限制访问权限,但这些解决方案并未明确强制执行项目边界。
旧版网络支持
不能将旧版网络用于 Filestore 实例。如有必要,请按照创建带有自定义子网的新 VPC 网络中的说明创建要使用的新 VPC 网络。
IP 资源要求
每个 Filestore 实例都必须具有与之关联的 IP 地址范围。同时支持 RFC 1918 和非 RFC 1918 IP 地址范围 (GA)。
我们建议用户让 Filestore 自动确定可用的 IP 地址范围并将其分配给实例。如果选择自己的范围,请参阅配置预留 IP 地址范围,了解具体的 Filestore 要求。
后续步骤
- 获取使用 Filestore 所需的 Identity and Access Management 角色和权限。
- 试用其中一个 Filestore 快速入门:
- 详细了解 Virtual Private Cloud (VPC) 网络和子网。
- 排查常见的 Filestore 网络问题。
- 在服务项目中的共享 VPC 网络上创建 Filestore 实例。