Crie uma instância numa rede VPC partilhada em projetos de serviço

Este tutorial explica o processo de criação de uma instância do Filestore numa rede de VPC partilhada a partir de um projeto de serviço.

Pode criar instâncias do Filestore numa rede de VPC partilhada no projeto anfitrião ou num dos respetivos projetos de serviço associados. Quando criar uma instância no projeto anfitrião, pode selecionar a rede de VPC partilhada normalmente, e os clientes do projeto de serviço podem estabelecer ligação à instância. No entanto, se quiser criar a instância num projeto de serviço, tem primeiro de ativar o acesso a serviços privados na rede de VPC partilhada a partir do projeto anfitrião.

Objetivos

Custos

Neste documento, usa os seguintes componentes faturáveis do Google Cloud:

Para gerar uma estimativa de custos com base na sua utilização projetada, use a calculadora de preços.

Os novos Google Cloud utilizadores podem ser elegíveis para uma avaliação gratuita.

Quando terminar as tarefas descritas neste documento, pode evitar a faturação contínua eliminando os recursos que criou. Para mais informações, consulte o artigo Limpe.

Antes de começar

  1. Verify that billing is enabled for your Google Cloud project.

  2. Crie uma rede VPC partilhada com um projeto anfitrião e um projeto de serviço ligado.

  3. Enable the Filestore and Service Networking APIs.

    Enable the APIs

Ative o acesso privado ao serviço na rede VPC partilhada

Para criar uma instância do Filestore num projeto de serviço que use uma rede de VPC partilhada, a rede de VPC partilhada tem de ter o acesso a serviços privados (PSA) ativado. Consulte o artigo Configurar um intervalo de endereços IP reservados para ver os requisitos específicos do Filestore.

Verifique se o acesso a serviços privados está ativado para a rede de VPC partilhada

Verifique se o acesso a serviços privados já está ativado para a rede de VPC partilhada através de um dos seguintes métodos:

Google Cloud consola

  1. Na Google Cloud consola, aceda à página Instâncias do Filestore.

    Aceda à página de instâncias do Filestore

  2. Clique em Criar instância.

  3. Selecione a rede de VPC partilhada que quer usar.

  4. Clique em Opções de rede avançadas.

  5. A secção Ligação de acesso a serviços privados indica se o acesso a serviços privados está ativado.

CLI gcloud

Execute o seguinte comando:services vpc-peerings list

gcloud beta services vpc-peerings list \
    --network=SHARED_VPC_NAME \
    --project=HOST_PROJECT_ID

Substitua o seguinte:

  • SHARED_VPC_NAME com o nome da rede VPC partilhada que quer usar para a sua instância do Filestore.
  • HOST_PROJECT_ID com o ID do projeto anfitrião que contém a rede de VPC partilhada.

Se o acesso privado ao serviço já estiver ativado, a resposta mostra que foi estabelecida uma interligação para servicenetworking-googleapis-com:

network: projects/PROJECT_NUMBER/global/networks/SHARED_VPC_NAME
peering: servicenetworking-googleapis-com
reservedPeeringRanges: RANGES

Se o acesso a serviços privados estiver ativado para a rede VPC partilhada, pode começar a criar instâncias do Filestore na mesma. Caso contrário, tem de ativar primeiro o acesso privado ao serviço.

Ative o acesso a serviços privados

Tem de ter a função de proprietário (roles/owner), editor (roles/editor) ou administrador de gestão de rede (roles/networkmanagement.admin) para criar intervalos de endereços IP atribuídos e gerir ligações privadas. Se não tiver estes privilégios, contacte o administrador de rede. Para mais informações, consulte o artigo Compreender as funções.

Ative o acesso a serviços privados numa rede VPC partilhada através de um dos seguintes métodos:

Google Cloud consola

Reserve um intervalo de endereços IP na rede de VPC partilhada para serviços geridos pela Google

  1. Aceda à página Redes VPC na Google Cloud consola.

    Aceda à página Redes de VPC

  2. Selecione o projeto anfitrião que contém a rede de VPC partilhada que quer usar.

  3. Clique no nome da rede de VPC partilhada na qual quer criar a instância do Filestore.

  4. Selecione o separador Ligação de serviço privada.

  5. No separador Ligação de serviço privado, selecione o separador Intervalos de IPs atribuídos para serviços.

  6. Clique em Atribuir intervalo de IPs e configure-o da seguinte forma:

    • Nome: google-service-range
    • Descrição: Peering range for Google managed services

    • Intervalo de IPs:

      • Selecione Automático.
      • No campo de texto, introduza 20 para o prefixo. Este intervalo é usado por todos os serviços geridos, pelo que, na prática, pode precisar de algo maior. Google Cloud As instâncias de nível básico requerem um prefixo de /29 e as instâncias de nível empresarial, de nível zonal e de nível regional com um intervalo de capacidade superior (anteriormente SSD de alta escala) e as instâncias de nível zonal e de nível regional com um intervalo de capacidade inferior requerem um prefixo /26.

  7. Clique em Atribuir para criar o intervalo atribuído.

Crie uma ligação privada para a rede da VPC partilhada e a rede de serviços geridos pela Google

  1. Aceda à página Redes VPC na Google Cloud consola.

    Aceda à página Redes de VPC

  2. Selecione o projeto anfitrião que contém a rede de VPC partilhada que quer usar.

  3. Clique no nome da rede de VPC partilhada na qual quer criar a instância do Filestore.

  4. Selecione o separador Acesso a serviços privados.

  5. No separador Acesso a serviços privados, selecione o separador Ligações privadas a serviços.

  6. Clique em Criar associação.

  7. Para a Atribuição atribuída, selecione google-service-range.

  8. Clique em Associar para criar a associação.

CLI gcloud

  1. Reserve um intervalo de endereços IP na rede VPC partilhada para serviços geridos pela Google executando o seguinte comando compute addresses create:

    gcloud compute addresses create google-service-range \
    --global \
    --purpose=VPC_PEERING \
    --prefix-length=PREFIX \
    --description="Peering range for Google managed services" \
    --network=SHARED_VPC_NAME \
    --project=PROJECT_ID

    Substitua o seguinte:

    • PREFIX com um comprimento de prefixo. As instâncias de nível básico requerem um prefixo /29 e as instâncias de nível zonal requerem um prefixo /26. No entanto, este intervalo é usado por todos os serviços geridos pela Google Cloud. Se planeia usar várias instâncias do Filestore ou outros serviços geridos pela Google, precisa de um prefixo maior, por exemplo, /20. Google Cloud
    • SHARED_VPC_NAME com o nome da rede de VPC partilhada na qual quer criar a sua instância do Filestore.
    • PROJECT_ID com o ID do projeto anfitrião que contém a rede VPC partilhada.

  2. Crie uma ligação privada para a rede VPC partilhada e a rede de serviços geridos pela Google executando o comando services vpc-peerings connect:

    gcloud services vpc-peerings connect \
    --service=servicenetworking.googleapis.com \
    --ranges=google-service-range \
    --network=SHARED_VPC_NAME \
    --project=HOST_PROJECT_ID

    Substitua o seguinte:

    • SHARED_VPC_NAME com o nome da rede de VPC partilhada na qual quer criar a sua instância do Filestore.
    • HOST_PROJECT_ID com o ID do projeto anfitrião que contém a rede VPC partilhada.

    O comando inicia uma operação de longa duração e devolve um nome da operação.

  3. Verifique se a operação foi bem-sucedida através do comando services vpc-peerings operations describe:

    gcloud services vpc-peerings operations describe \
    --name=OPERATION_NAME

    Substitua OPERATION_NAME pelo nome da operação devolvido no passo anterior.

Para mais informações sobre a atribuição de intervalos de endereços IP e a criação de ligações privadas, consulte o artigo Configurar o acesso a serviços privados.

Opcional: ative os VPC Service Controls

Depois de ativar o acesso a serviços privados, pode ativar opcionalmente os VPC Service Controls. Para o fazer, execute o comando services vpc-peerings enable-vpc-service-controls:

gcloud beta services vpc-peerings enable-vpc-service-controls \
    --network=SHARED_VPC_NAME \
    --project=HOST_PROJECT_ID \
    --service=servicenetworking.googleapis.com

Substitua o seguinte:

  • SHARED_VPC_NAME com o nome da rede de VPC partilhada na qual quer criar a instância do Filestore.
  • HOST_PROJECT_ID com o ID do projeto anfitrião que contém a rede VPC partilhada.

Para mais informações sobre a utilização do Filestore com os VPC Service Controls, consulte o artigo Proteger instâncias com um perímetro de serviço.

Crie uma instância do Filestore na rede VPC partilhada

Depois de a sua rede VPC partilhada ter o acesso a serviços privados ativado, pode começar a criar instâncias do Filestore na mesma a partir de um projeto de serviço.

Google Cloud consola

  1. Na Google Cloud consola, aceda à página Instâncias do Filestore.

    Aceda à página de instâncias do Filestore

  2. Clique em Criar instância e configure a instância da seguinte forma:

    • Defina o Instance ID como nfs-server.
    • Defina o Tipo de instância como Básico.
    • Defina o Tipo de armazenamento como HDD.
    • Defina Allocate capacity como 1TB.
    • Defina a região como us-central1 e a zona como us-central1-c.
    • Defina a rede VPC para a rede VPC partilhada, que é apresentada no formato "projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME".
    • Defina o Nome da partilha de ficheiros como vol1.
    • Defina o Intervalo de IPs atribuído como Usar um intervalo de IPs atribuído automaticamente.
    • Defina os Controlos de acesso como Conceder acesso a todos os clientes.

  3. Clique em Criar.

CLI gcloud

Execute o seguinte comando:instances create

gcloud filestore instances create nfs-server \
    --project=SERVICE_PROJECT_ID \
    --zone=us-central1-c \
    --tier=BASIC_HDD \
    --file-share=name="vol1",capacity=1TiB \
    --network=name="projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME",connect-mode=PRIVATE_SERVICE_ACCESS

Substitua o seguinte:

  • SERVICE_PROJECT_ID com o ID do projeto do projeto de serviço no qual quer criar uma instância do Filestore.
  • HOST_PROJECT_ID com o ID do projeto anfitrião que contém a rede VPC partilhada.
  • SHARED_VPC_NAME com o nome da rede de VPC partilhada na qual quer criar a instância do Filestore.

Opcional: importe encaminhamentos de sub-rede

Se as suas instâncias do Filestore usarem IPs públicos (endereços IP não RFC 1918), e se optar por ativar o PSA, tem de importar os caminhos da sub-rede IP pública da instância para a rede de VPC partilhada atualizando o peering de VPC de rede de serviços para permitir a importação de caminhos de sub-rede com IPs públicos. Para mais informações, consulte o artigo Atualize uma associação de peering.

Monte a sua instância num cliente de projeto de serviço

Depois de criar uma instância do Filestore numa rede VPC partilhada, pode montar essa instância em qualquer cliente que esteja na mesma rede. Para obter instruções sobre a montagem, consulte o artigo Montar partilhas de ficheiros em clientes do Compute Engine.

Limpar

Para evitar incorrer em custos na sua conta do Google Cloud pelos recursos usados neste tutorial, elimine o projeto que contém os recursos ou mantenha o projeto e elimine os recursos individuais.

Elimine a instância do Filestore

Google Cloud consola

  1. Na Google Cloud consola, aceda à página Instâncias do Filestore.

    Aceda à página de instâncias do Filestore

  2. Clique no ID da instância nfs-server para abrir a página de detalhes da instância.

  3. Clique em Eliminar .

  4. Quando lhe for pedido, escreva o ID da instância.

  5. Clique em Eliminar.

CLI gcloud

Elimine a instância nfs-server com o comando instances delete:

gcloud filestore instances delete nfs-server --zone=us-central1-c

O que se segue?