Filestore CSI 드라이버로 Filestore 인스턴스에 액세스


Filestore CSI 드라이버는 Google Kubernetes Engine(GKE)에서 Filestore 인스턴스를 사용하는 기본 방법입니다. Filestore CSI 드라이버는 오픈소스 Google Cloud Filestore CSI 드라이버로 구동되는 완전 관리형 환경을 제공합니다.

Filestore CSI 드라이버 버전은 Kubernetes 부 버전 번호와 연결되어 있습니다. Filestore CSI 드라이버 버전은 일반적으로 Kubernetes 부 버전이 출시될 때 사용 가능한 최신 드라이버입니다. 클러스터가 최신 GKE 패치로 업그레이드되면 드라이버가 자동으로 업데이트됩니다.

이점

Filestore CSI 드라이버는 다음과 같은 이점이 있습니다.

  • Kubernetes API(kubectl)를 통해 완전 관리형 NFS 스토리지에 액세스할 수 있습니다.

  • GKE Filestore CSI 드라이버를 사용해서 PersistentVolume을 동적으로 프로비저닝할 수 있습니다.

  • 볼륨 스냅샷을 GKE Filestore CSI 드라이버와 함께 사용할 수 있습니다. CSI 볼륨 스냅샷을 사용하여 Filestore 백업을 만들 수 있습니다.

    Filestore 백업은 모든 파일 데이터 및 메타데이터를 포함하여 파일 공유의 차등 사본을 만들고 인스턴스와 별도의 스토리지에 저장합니다. 이 사본은 새 Filestore 인스턴스로만 복원할 수 있습니다. 기존 Filestore 인스턴스로 복원하는 것은 지원되지 않습니다. 볼륨 스냅샷 클래스type:backup 필드를 추가하면 CSI 볼륨 스냅샷 API를 사용하여 Filestore 백업을 트리거할 수 있습니다.

  • 볼륨 확장을 GKE Filestore CSI 드라이버와 함께 사용할 수 있습니다. 볼륨 확장을 사용하면 볼륨 용량의 크기를 조절할 수 있습니다.

  • Kubernetes 워크로드에서 사전 프로비저닝된 Filestore 인스턴스를 사용하여 기존 Filestore 인스턴스에 액세스할 수 있습니다. 또한 Filestore 인스턴스를 동적으로 만들거나 삭제하고 StorageClass 또는 배포를 통해 Kubernetes 워크로드에서 사용할 수 있습니다.

  • GKE용 Filestore Multishares를 지원합니다. 이 기능을 사용하면 Filestore 인스턴스를 만들고 임의 개수의 GKE 클러스터 간에 더 작은 여러 개의 NFS PersistentVolume을 동시에 할당할 수 있습니다.

요구사항

  • Filestore CSI 드라이버를 사용하려면 클러스터에서 서비스 등급에 해당하는 적절한 GKE 버전 번호를 사용해야 합니다. 다음 서비스 등급만 지원됩니다.

    • GKE 버전 1.21 이상을 사용하는 기본 HDD
    • GKE 버전 1.21 이상을 사용하는 기본 SSD
    • GKE 버전 1.27 이상을 사용하는 Zonal(10TiB~100TiB)
    • GKE 버전 1.25 이상을 사용하는 엔터프라이즈
    • Filestore Multishares 기능을 사용하려면 클러스터에서 GKE 버전 1.25 이상을 사용해야 합니다.
  • Filestore CSI 드라이버는 Linux를 사용하는 클러스터에서만 지원됩니다. Windows Server 노드는 지원되지 않습니다.

  • Filestore의 최소 인스턴스 크기는 최소 1TiB입니다. 최소 인스턴스 크기는 선택한 Filestore 서비스 등급에 따라 다릅니다. 자세한 내용은 서비스 등급을 참조하세요.

  • Filestore는 Filestore 인스턴스에서 NFSv3 파일 시스템 프로토콜을 사용하며 모든 NFSv3 호환 클라이언트를 지원합니다.

시작하기 전에

시작하기 전에 다음 태스크를 수행했는지 확인합니다.

  • Cloud Filestore API 및 Google Kubernetes Engine API를 사용 설정합니다.
  • API 사용 설정
  • 이 태스크에 Google Cloud CLI를 사용하려면 gcloud CLI를 설치한 후 초기화합니다. 이전에 gcloud CLI를 설치한 경우 gcloud components update를 실행하여 최신 버전을 가져옵니다.

새 클러스터에서 Filestore CSI 드라이버 사용 설정

새 Standard 클러스터를 만들 때 Filestore CSI 드라이버 CSI 드라이버를 사용 설정하려면 Google Cloud CLI 또는 Google Cloud 콘솔에서 다음 단계를 따르세요.

gcloud

gcloud container clusters create CLUSTER_NAME \
    --addons=GcpFilestoreCsiDriver \
    --cluster-version=VERSION

다음을 바꿉니다.

  • CLUSTER_NAME: 클러스터 이름
  • VERSION: GKE 버전 번호. 이 기능을 사용하려면 지원되는 버전 번호를 선택해야 합니다. 자세한 내용은 [#requirements] 를 참고하세요. 또는 --release-channel 플래그를 사용하고 출시 채널을 지정할 수 있습니다.

콘솔

  1. Google Cloud 콘솔에서 Google Kubernetes Engine 페이지로 이동합니다.

    Google Kubernetes Engine으로 이동

  2. 만들기를 클릭합니다.

  3. Standard 클러스터 모드를 선택한 다음 구성을 클릭합니다.

  4. 필요에 맞게 클러스터를 구성합니다.

  5. 탐색창의 클러스터에서 기능을 클릭합니다.

  6. Filestore CSI 드라이버 사용 설정 체크박스를 선택합니다.

  7. 만들기를 클릭합니다.

공유 VPC 네트워크에서 Filestore를 사용하려면 공유 VPC를 사용하여 새 클러스터에서 Filestore CSI 드라이버 사용 설정을 참조하세요.

Filestore CSI 드라이버를 사용 설정한 후에는 드라이버와 프로비저닝 도구 이름(filestore.csi.storage.gke.io)를 사용하여 Kubernetes 볼륨에서 드라이버를 사용할 수 있습니다.

기존 클러스터에서 Filestore CSI 드라이버 사용 설정

기존 클러스터에서 Filestore CSI 드라이버를 사용 설정하려면 Google Cloud CLI 또는 Google Cloud 콘솔을 사용합니다.

기존 클러스터에서 드라이버를 사용 설정하려면 다음 단계를 완료합니다.

gcloud

gcloud container clusters update CLUSTER_NAME \
   --update-addons=GcpFilestoreCsiDriver=ENABLED

CLUSTER_NAME을 기존 클러스터의 이름으로 바꿉니다.

콘솔

  1. Google Cloud 콘솔에서 Google Kubernetes Engine 페이지로 이동합니다.

    Google Kubernetes Engine으로 이동

  2. 클러스터 목록에서 수정하려는 클러스터 이름을 클릭합니다.

  3. 기능에서 Filestore CSI 드라이버 필드 옆에 있는 Filestore CSI 드라이버 수정을 클릭합니다.

  4. Filestore CSI 드라이버 사용 설정 체크박스를 선택합니다.

  5. 변경사항 저장을 클릭합니다.

Filestore CSI 드라이버 중지

Google Cloud CLI 또는 Google Cloud 콘솔을 사용하여 기존 Autopilot 또는 Standard 클러스터에서 Filestore CSI 드라이버를 사용 중지할 수 있습니다.

gcloud

gcloud container clusters update CLUSTER_NAME \
    --update-addons=GcpFilestoreCsiDriver=DISABLED \
    --region REGION

다음 값을 바꿉니다.

  • CLUSTER_NAME: 기존 클러스터의 이름입니다.
  • REGION: 클러스터에 사용할 리전입니다(예: us-central1).

콘솔

  1. Google Cloud 콘솔에서 Google Kubernetes Engine 메뉴로 이동합니다.

    Google Kubernetes Engine으로 이동

  2. 클러스터 목록에서 수정하려는 클러스터 이름을 클릭합니다.

  3. 기능에서 Filestore CSI 드라이버 필드 옆에 있는 Filestore CSI 드라이버 수정을 클릭합니다.

  4. Filestore CSI 드라이버 사용 설정 체크박스를 선택 해제합니다.

  5. 변경사항 저장을 클릭합니다.

Filestore CSI 드라이버를 사용하여 기존 Filestore 인스턴스에 액세스

이 섹션에서는 GKE에서 Filestore CSI 드라이버를 사용하여 기존 Filestore 인스턴스에 액세스하기 위해 Kubernetes 볼륨을 사용하는 일반적인 프로세스를 설명합니다.

인스턴스 액세스를 위한 PersistentVolume 및 PersistentVolumeClaim 만들기

  1. 다음 예시와 같은 매니페스트 파일을 만들고 이름을 preprov-filestore.yaml로 지정합니다.

    apiVersion: v1
    kind: PersistentVolume
    metadata:
      name: PV_NAME
    spec:
      storageClassName: ""
      capacity:
        storage: 1Ti
      accessModes:
        - ReadWriteMany
      persistentVolumeReclaimPolicy: Retain
      volumeMode: Filesystem
      csi:
        driver: filestore.csi.storage.gke.io
        volumeHandle: "modeInstance/FILESTORE_INSTANCE_LOCATION/FILESTORE_INSTANCE_NAME/FILESTORE_SHARE_NAME"
        volumeAttributes:
          ip: FILESTORE_INSTANCE_IP
          volume: FILESTORE_SHARE_NAME
    ---
    kind: PersistentVolumeClaim
    apiVersion: v1
    metadata:
      name: podpvc
    spec:
      accessModes:
        - ReadWriteMany
      storageClassName: ""
      volumeName: PV_NAME
      resources:
        requests:
          storage: 1Ti
    
  2. preprov-filestore.yaml 매니페스트 파일을 기반으로 PersistentVolumeClaimPersistentVolume 리소스를 만들기 위해 다음 명령어를 실행합니다.

    kubectl apply -f preprov-filestore.yaml
    

그런 다음 볼륨을 사용하는 배포를 만드는 단계를 진행합니다.

Filestore CSI 드라이버를 사용하여 볼륨 만들기

다음 섹션에서는 GKE에서 Filestore CSI 드라이버가 지원하는 Kubernetes 볼륨을 사용하는 일반적인 프로세스를 설명합니다.

StorageClass 만들기

Filestore CSI 드라이버를 사용 설정하면 GKE는 Filestore 인스턴스를 프로비저닝할 수 있도록 자동으로 다음 StorageClasses를 설치합니다.

각 StorageClass는 지원되는 각 GKE 버전 번호에서 실행되는 GKE 클러스터에서만 사용할 수 있습니다. 각 서비스 등급에 필요한 지원되는 버전 목록은 요구사항을 참고하세요.

다음 명령어를 실행하여 설치된 StorageClass 이름을 찾을 수 있습니다.

kubectl get sc

provisioner 필드에 filestore.csi.storage.gke.io를 추가하면 Filestore CSI 드라이버를 사용하는 다른 StorageClass를 설치할 수도 있습니다.

Filestore는 새 인스턴스를 만들 네트워크를 알아야 합니다. 자동으로 설치된 StorageClasses는 GKE 클러스터에 생성된 기본 네트워크를 사용합니다. 이 네트워크를 삭제했거나 다른 네트워크를 사용하려는 경우 다음 단계에 설명된 대로 새 StorageClass를 만들어야 합니다. 그렇지 않으면 자동으로 설치된 StorageClasses가 작동하지 않습니다.

  1. 다음 매니페스트를 filestore-example-class.yaml로 저장합니다.

    apiVersion: storage.k8s.io/v1
    kind: StorageClass
    metadata:
      name: filestore-example
    provisioner: filestore.csi.storage.gke.io
    volumeBindingMode: Immediate
    allowVolumeExpansion: true
    parameters:
      tier: standard
      network: default
    

    매니페스트에서 다음 매개변수 구성을 고려하세요.

    • volumeBindingModeImmediate로 설정하면 볼륨 프로비저닝이 즉시 시작됩니다. 이것은 모든 영역에서 Filestore 인스턴스에 액세스할 수 있기 때문에 가능합니다. 따라서 Compute Engine 영구 디스크와 GKE는 달리 포드가 예약된 영역을 알 필요가 없습니다. WaitForFirstConsumer로 설정된 경우 GKE는 포드가 예약된 다음에만 프로비저닝을 시작합니다. 자세한 내용은 VolumeBindingMode를 참조하세요.
    • 모든 지원되는 Filestore 등급tier 매개변수(예: BASIC_HDD, BASIC_SSD, ZONAL, 또는 ENTERPRISE)로 지정할 수 있습니다.
    • network 매개변수는 기본이 아닌 VPC에서 Filestore 인스턴스를 프로비저닝할 때 사용할 수 있습니다. 기본이 아닌 VPC를 사용하려면 특별한 방화벽 규칙을 설정해야 합니다.
  2. filestore-example-class.yaml 매니페스트 파일을 기반으로 StorageClass 리소스를 만들려면 다음 명령어를 실행합니다.

    kubectl create -f filestore-example-class.yaml
    

공유 VPC 네트워크에서 Filestore를 사용하려면 공유 VPC에 Filestore CSI 드라이버를 사용할 때 StorageClass 만들기를 참조하세요.

PersistentVolumeClaim을 사용하여 볼륨에 액세스

Filestore CSI 드라이버의 StorageClass를 참조하는 PersistentVolumeClaim 리소스를 만들 수 있습니다.

사전 설치 또는 커스텀 StorageClass를 사용할 수 있습니다.

다음 예시 매니페스트 파일은 filestore-example이라는 StorageClass를 참조하는 PersistentVolumeClaim을 만듭니다.

  1. 다음 매니페스트 파일을 pvc-example.yaml로 저장합니다.

    kind: PersistentVolumeClaim
    apiVersion: v1
    metadata:
      name: podpvc
    spec:
      accessModes:
      - ReadWriteMany
      storageClassName: filestore-example
      resources:
        requests:
          storage: 1Ti
    
  2. pvc-example.yaml 매니페스트 파일을 기반으로 PersistentVolume 리소스를 만들려면 다음 명령어를 실행합니다.

    kubectl create -f pvc-example.yaml
    

볼륨을 사용하는 배포 만들기

다음 예시 배포 매니페스트는 pvc-example.yaml이라는 PersistentVolume 리소스를 사용합니다.

여러 포드는 동일한 PersistentVolumeClaim 리소스를 공유할 수 있습니다.

  1. 다음 매니페스트를 filestore-example-deployment.yaml로 저장합니다.

    apiVersion: apps/v1
    kind: Deployment
    metadata:
      name: web-server-deployment
      labels:
        app: nginx
    spec:
      replicas: 3
      selector:
        matchLabels:
          app: nginx
      template:
        metadata:
          labels:
            app: nginx
        spec:
          containers:
          - name: nginx
            image: nginx
            volumeMounts:
            - mountPath: /usr/share/nginx/html
              name: mypvc
          volumes:
          - name: mypvc
            persistentVolumeClaim:
              claimName: podpvc
    ---
    kind: PersistentVolumeClaim
    apiVersion: v1
    metadata:
      name: podpvc
    spec:
      accessModes:
        - ReadWriteMany
      storageClassName: filestore-example
      resources:
        requests:
          storage: 1Ti
    
  2. filestore-example-deployment.yaml 매니페스트 파일을 기반으로 배포를 만들려면 다음 명령어를 실행합니다.

    kubectl apply -f filestore-example-deployment.yaml
    
  3. 배포가 성공적으로 생성되었는지 확인합니다.

    kubectl get deployment
    

    Filestore 인스턴스에서 프로비저닝을 완료하는 데 다소 시간이 걸릴 수 있습니다. 그 전에는 배포에서 READY 상태를 보고하지 않습니다. 다음 명령어를 실행하여 PVC 상태를 모니터링해 진행 상황을 확인할 수 있습니다.

    kubectl get pvc
    

    볼륨 프로비저닝이 완료되면 PVC가 BOUND 상태에 도달해야 합니다.

Filestore 인스턴스 라벨 지정

라벨을 사용하여 관련 인스턴스를 그룹화하고 인스턴스에 대한 메타데이터를 저장할 수 있습니다. 라벨은 Filestore 인스턴스를 구성하는 데 도움이 되는 키-값 쌍입니다. 각 리소스에 라벨을 연결한 다음 해당 라벨을 기준으로 리소스를 필터링할 수 있습니다.

StorageClass.parameterslabels 키를 사용하여 라벨을 제공할 수 있습니다. Filestore 인스턴스에는 인스턴스가 생성된 PersistentVolumeClaim/PersistentVolume에 대한 정보로 라벨을 지정할 수 있습니다. 커스텀 라벨 키와 값은 라벨 이름 지정 규칙을 준수해야 합니다. Filestore 인스턴스에 커스텀 라벨을 적용하려면 Kubernetes 스토리지 클래스 예시를 참조하세요.

Filestore 볼륨에서 fsgroup 사용

Kubernetes는 fsGroup을 사용하여 포드의 SecurityContext에서 사용자가 요청한 fsGroup와 일치하도록 볼륨의 권한과 소유권을 변경합니다. fsGroup은 포드의 모든 컨테이너에 적용되는 보조 그룹입니다. Filestore CSI 드라이버로 프로비저닝된 볼륨에 fsgroup을 적용할 수 있습니다.

Filestore 볼륨으로 IP 액세스 규칙 구성

Filestore는 볼륨에 대한 IP 기반 액세스 제어 규칙을 지원합니다. 이 기능은 버전 1.29.5 이상을 실행하는 GKE 클러스터에서 사용할 수 있습니다.

이 기능을 사용하면 관리자가 GKE를 통해 동적으로 프로비저닝된 Filestore 인스턴스에 액세스할 수 있는 IP 주소 범위를 지정할 수 있습니다. 이렇게 하면 특히 GKE 클러스터의 IP 범위가 너무 넓어 Filestore 인스턴스가 승인되지 않은 사용자나 애플리케이션에 노출될 수 있는 시나리오에서 승인된 클라이언트로만 액세스를 제한하여 보안을 강화할 수 있습니다.

이러한 규칙은 Filestore API를 통해 직접 구성하거나 볼륨이 생성될 때 Filestore CSI 드라이버를 통해 구성할 수 있습니다. nfs-export-options-on-create 매개변수를 사용하여 선택한 구성을 StorageClass에서 JSON 형식으로 제공할 수 있습니다.

다음은 구성을 지정하는 방법을 보여주는 예시 매니페스트입니다.

apiVersion: storage.k8s.io/v1
kind: StorageClass
metadata:
  name: filestore-example
provisioner: filestore.csi.storage.gke.io
volumeBindingMode: Immediate
allowVolumeExpansion: true
parameters:
  tier: "enterprise"
  nfs-export-options-on-create: '[
    {
      "accessMode": "READ_WRITE",
      "ipRanges": [
        "10.0.0.0/24"
      ],
      "squashMode": "ROOT_SQUASH",
      "anonUid": "1003",
      "anonGid": "1003"
    },
    {
      "accessMode": "READ_WRITE",
      "ipRanges": [
        "10.0.0.0/28"
      ],
      "squashMode": "NO_ROOT_SQUASH"
    }
  ]'

보안 옵션

Filestore IP 액세스 규칙을 사용하면 GKE 워크로드의 공유 파일 저장소 권한 구성을 간소화할 수 있습니다. 하지만 파일 소유권과 액세스를 관리하는 방식을 이해하려면 몇 가지 주요 개념을 파악해야 합니다.

  • NFS 및 사용자 매핑 NFS(네트워크 파일 시스템)는 Filestore에서 사용하는 프로토콜입니다. 클라이언트 시스템(GKE 포드)의 사용자를 Filestore 서버의 사용자에 매핑하여 작동합니다. 서버의 파일이 사용자 ID 1003이 소유하고 있고 클라이언트가 사용자 ID 1003으로 연결되면 클라이언트는 파일에 액세스할 수 있습니다.

  • 루트 스쿼시 및 anonUid:

    • 루트 스쿼시ROOT_SQUASH는 클라이언트가 전체 루트 권한으로 Filestore 인스턴스에 액세스하는 것을 방지하는 보안 기능입니다. 루트 스쿼시가 사용 설정되면 클라이언트 시스템의 루트 사용자가 anonUid 설정에 지정된 권한이 없는 사용자에 매핑됩니다.

    • 루트 스쿼시 없음(NO_ROOT_SQUASH)을 사용하면 클라이언트가 전체 루트 권한으로 Filestore 인스턴스에 액세스할 수 있습니다. 이는 초기 설정에는 편리하지만 일반 작업에는 보안이 취약합니다.

  • 초기 설정 및 권한: 기본적으로 새 Filestore 인스턴스는 루트 사용자가 전적으로 소유합니다. 먼저 다른 사용자의 권한을 설정하지 않고 루트 스쿼시를 사용 설정하면 액세스 권한을 잃게 됩니다. 따라서 다른 사용자 및 그룹의 액세스를 초기에 구성하려면 NO_ROOT_SQUASH가 있는 NFS 내보내기 규칙이 하나 이상 필요합니다.

권장사항

  • 초기 설정: 항상 READ_WRITE 권한이 있는 관리자 범위를 지정하고 NO_ROOT_SQUASH 액세스를 허용하는 NFS 내보내기 규칙을 하나 이상으로 시작합니다. 이 액세스 권한을 사용하여 디렉터리를 만들고, 권한을 설정하고, 필요에 따라 소유권을 할당합니다.
  • 보안: 보안을 강화하기 위해 루트 스쿼시(ROOT_SQUASH)를 사용 설정합니다. 볼륨을 만든 후에는 Filestore API를 통해서만 액세스 규칙을 수정할 수 있습니다.
  • 공유 액세스: 포드 보안 컨텍스트에서 fsGroup를 사용하여 공유 볼륨의 그룹 소유권을 관리합니다. 설정이 ROOT_SQUASH 모드와 겹치지 않도록 합니다. 이렇게 하면 Access denied 오류 메시지가 반환됩니다.

공유 VPC에 Filestore 사용

이 섹션에서는 서비스 프로젝트의 공유 VPC 네트워크에서 Filestore 인스턴스를 사용하는 방법을 설명합니다.

공유 VPC로 클러스터 설정

공유 VPC 네트워크로 클러스터를 설정하려면 다음 단계를 수행합니다.

  1. 호스트 및 서비스 프로젝트를 만듭니다.
  2. 호스트와 서비스 프로젝트 모두에서 Google Kubernetes Engine API를 사용 설정합니다.
  3. 호스트 프로젝트에서 네트워크와 서브넷을 만듭니다.
  4. 호스트 프로젝트에서 공유 VPC를 사용 설정합니다.
  5. 호스트 프로젝트에서 서비스 프로젝트의 GKE 서비스 계정에 대한 HostServiceAgent 사용자 역할 결합을 부여합니다.
  6. 공유 VPC 네트워크에서 비공개 서비스 액세스 사용 설정

공유 VPC를 사용하는 새 클러스터에서 Filestore CSI 드라이버 사용 설정

공유 VPC를 사용하여 새 클러스터에서 Filestore CSI 드라이버를 사용 설정하려면 다음 단계를 수행합니다.

  1. 사용 가능한 서브넷과 보조 범위를 확인합니다. 클러스터를 만들 때는 클러스터의 포드 및 서비스에 사용할 서브넷 및 보조 IP 주소 범위를 지정해야 합니다.

    gcloud container subnets list-usable \
       --project=SERVICE_PROJECT_ID \
       --network-project=HOST_PROJECT_ID
    

    출력은 다음과 비슷합니다.

    PROJECT                   REGION       NETWORK     SUBNET  RANGE
    HOST_PROJECT_ID  us-central1  shared-net  tier-1  10.0.4.0/22
    ┌──────────────────────┬───────────────┬─────────────────────────────┐
    │ SECONDARY_RANGE_NAME  IP_CIDR_RANGE             STATUS           │
    ├──────────────────────┼───────────────┼─────────────────────────────┤
    │ tier-1-pods           10.4.0.0/14    usable for pods or services │
    │ tier-1-services       10.0.32.0/20   usable for pods or services │
    └──────────────────────┴───────────────┴─────────────────────────────┘
    
  2. GKE 클러스터 만들기 다음 예시에서는 gcloud CLI를 사용하여 공유 VPC에 구성된 Autopilot 또는 Standard 클러스터를 만드는 방법을 보여줍니다. 다음 예시에서는 네트워크 및 2개의 서브넷 만들기의 네트워크, 서브넷, 범위 이름을 사용합니다.

    Autopilot

    gcloud container clusters create-auto tier-1-cluster \
       --project=SERVICE_PROJECT_ID \
       --region=COMPUTE_REGION \
       --network=projects/HOST_PROJECT_ID/global/networks/NETWORK_NAME \
       --subnetwork=projects/HOST_PROJECT_ID/regions/COMPUTE_REGION/subnetworks/SUBNET_NAME \
       --cluster-secondary-range-name=tier-1-pods \
       --services-secondary-range-name=tier-1-services
    

    Standard

    gcloud container clusters create tier-1-cluster \
       --project=SERVICE_PROJECT_ID \
       --zone=COMPUTE_REGION \
       --enable-ip-alias \
       --network=projects/HOST_PROJECT_ID/global/networks/NETWORK_NAME \
       --subnetwork=projects/HOST_PROJECT_ID/regions/COMPUTE_REGION/subnetworks/SUBNET_NAME \
       --cluster-secondary-range-name=tier-1-pods \
       --services-secondary-range-name=tier-1-services \
       --addons=GcpFilestoreCsiDriver
    
  3. 클러스터의 노드, 포드, 서비스 간 통신을 허용하는 방화벽 규칙을 만듭니다. 다음 예시에서는 my-shared-net-rule-2라는 방화벽 규칙을 만드는 방법을 보여줍니다.

    gcloud compute firewall-rules create my-shared-net-rule-2 \
       --project HOST_PROJECT_ID \
       --network=NETWORK_NAME \
       --allow=tcp,udp \
       --direction=INGRESS \
       --source-ranges=10.0.4.0/22,10.4.0.0/14,10.0.32.0/20
    

    이 예시에서 소스 범위 IP 값은 사용 가능한 서브넷 및 보조 범위를 확인한 이전 단계에서 가져옵니다.

공유 VPC에 Filestore CSI 드라이버를 사용할 때 StorageClass 만들기

다음 예시에서는 공유 VPC에 Filestore CSI 드라이버를 사용할 때 StorageClass를 만드는 방법을 보여줍니다.

cat <<EOF | kubectl apply -f -

apiVersion: storage.k8s.io/v1
kind: StorageClass
metadata:
  name: filestore-sharedvpc-example
provisioner: filestore.csi.storage.gke.io
parameters:
  network: "projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME"
  connect-mode: PRIVATE_SERVICE_ACCESS
  reserved-ip-range: RESERVED_IP_RANGE_NAME
allowVolumeExpansion: true

EOF

다음을 바꿉니다.

  • HOST_PROJECT_ID: 공유 VPC 네트워크 호스트 프로젝트의 ID 또는 이름입니다.
  • SHARED_VPC_NAME: 앞에서 만든 공유 VPC 네트워크의 이름입니다.
  • RESERVED_IP_RANGE_NAME: Filestore 인스턴스를 프로비저닝할 특정 예약 IP 주소 범위의 이름입니다. 이 필드는 선택사항입니다. 예약된 IP 주소 범위가 지정된 경우 이 범위는 직접 CIDR 값이 아닌 이름이 지정된 IP 주소 범위여야 합니다.

버전 1.23 이상을 실행하는 GKE 클러스터에서 Filestore Multishares가 지원하는 볼륨을 프로비저닝하려면 GKE용 Filestore Multishares로 스토리지 최적화를 참조하세요.

Filestore 단일 공유 볼륨 다시 연결

기본 HDD, 기본 SSD, 엔터프라이즈(단일 공유)에 Filestore를 사용하는 경우 다음 안내에 따라 기존 Filestore 인스턴스를 GKE 워크로드에 다시 연결할 수 있습니다.

  1. 특정 인스턴스에 대한 정보 가져오기의 안내에 따라 사전 프로비저닝된 Filestore 인스턴스의 세부정보를 찾습니다.

  2. PersistentVolume 사양을 다시 배포합니다. volumeAttributes 필드에서 1단계의 Filestore 인스턴스와 동일한 값을 사용하도록 다음 필드를 수정합니다.

    • ip: 사전 프로비저닝된 Filestore 인스턴스 IP 주소로 이 값을 수정합니다.
    • volume: 이 값을 사전 프로비저닝된 Filestore 인스턴스의 공유 이름으로 수정합니다.
  3. PersistentVolumeClaim 사양을 다시 배포합니다. volumeName에서 참조하는 PersistentVolume 이름이 2단계와 동일한지 확인합니다.

  4. kubectl get pvc를 사용하여 PersistentVolumeClaim 및 PersistentVolume의 바인딩 상태를 확인합니다.

  5. 포드 사양을 다시 배포하고 포드가 Filestore 공유에 다시 액세스할 수 있는지 확인합니다.

다음 단계