インスタンスを作成する

このページでは、 Google Cloud コンソールまたは gcloud CLI を使用して Filestore インスタンスを作成する方法について説明します。

インスタンスの作成手順

Google Cloud コンソール

始める前に

  • Filestore API を有効にします。Filestore API が [割り当てとシステム上限] の [サービス] リストに表示されるまでに数分かかることがあります。

  • ゾーンまたはリージョン インスタンスの割り当ては 0 から始まります。これらの容量を使用するには、インスタンスを作成する前に、割り当ての増加リクエストを作成して承認を得る必要があります。

  • エンタープライズまたは高スケール SSD ティアを使用してインスタンスを作成する必要がある場合は、Filestore API または gcloud を使用してオペレーションを直接実行する必要があります。これらの create オペレーションは、 Google Cloud コンソールではサポートされていません。

    詳細については、サービスティアをご覧ください。

Google Cloud 手順

  1. Google Cloud コンソールで、Filestore の [インスタンス] ページに移動します。

    Filestore インスタンス ページに移動

  2. [インスタンスを作成] をクリックします。

  3. このページの以降のセクションの説明に従って、必要に応じてすべての必須フィールドとオプション フィールドに入力します。

  4. [作成] をクリックします。

gcloud

始める前に

Filestore インスタンスを作成するための gcloud コマンド

Filestore インスタンスを作成するには、filestore instances create コマンドを実行します。インスタンスの割り当ては、プロジェクト、リージョンと階層によって異なります。詳細については、割り当てまたは割り当ての増加をリクエストするをご覧ください。

gcloud filestore instances create INSTANCE_ID \
    [--project=PROJECT_ID] \
    [--location=LOCATION] \
    [--description=DESCRIPTION] \
    [--performance=PERFORMANCE] \
    --tier=TIER \
    --file-share=name="FILE_SHARE_NAME",capacity=FILE_SHARE_SIZE \
    --network=name="VPC-NETWORK",[connect-mode=CONNECT_MODE],[reserved-ip-range="RESERVED_IP_ADDRESS"] \
    [--labels=KEY=VALUE,[KEY=VALUE,…]] \
    [--kms-key=KMS_KEY] \
    [--deletion-protection] \
    [--deletion-protection-reason="PROTECTION_REASON"]

ここで

  • INSTANCE_ID は作成する Filestore インスタンスのインスタンス ID に置き換えます。インスタンスに名前を付けるをご覧ください。

  • PROJECT_ID: Filestore インスタンスを含む Google Cloud プロジェクトのプロジェクト ID。Filestore インスタンスが gcloud デフォルト プロジェクトにある場合は、このフラグを省略できます。デフォルトのプロジェクトを設定するには、config set project コマンドを実行します。

      gcloud config set project PROJECT_ID

  • LOCATION は、Filestore インスタンスを配置する場所に置き換えます。場所を選択するをご覧ください。Filestore インスタンスが gcloud のデフォルトの場所にある場合は、このフラグを省略できます。デフォルトのロケーションを設定するには、config set filestore/zone コマンドを実行します。

      gcloud config set filestore/zone zone

    リージョン ティアまたはエンタープライズ ティアの場合は、config set filestore/region コマンドを使用します。

      gcloud config set filestore/region region

  • DESCRIPTION Filestore インスタンスの説明

  • --performance フラグを使用してカスタム パフォーマンスを構成する場合は、次のいずれかのオプションを使用します。PERFORMANCE

    • max-iops-per-tb は、インスタンス容量に比例して IOPS をスケーリングする 1 TiB あたりの IOPS レートを指定します。
    • max-iops は、インスタンス容量で IOPS をスケーリングしない IOPS レートを指定します。

    形式は次のとおりです。

    --performance=max-iops-per-tb=17000

    容量が 1,024 GiB 未満のリージョン インスタンスを作成する場合は、--performance フラグが必要です。詳細については、小容量の Filestore インスタンスをご覧ください。

  • TIER は、使用するサービス階層に置き換えます。

  • FILE_SHARE_NAME は、インスタンスから提供される NFS ファイル共有に指定する名前。ファイル共有に名前を付けるをご覧ください。

  • FILE_SHARE_SIZEはファイル共有に使用するサイズ。容量を割り当てるをご覧ください。

  • VPC-NETWORK には、インスタンスで使用する VPC ネットワークの名前を指定します。VPC ネットワークを選択するをご覧ください。サービス プロジェクトから共有 VPC を指定する場合は、完全修飾ネットワーク名(projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME 形式)を指定し、connect-mode=PRIVATE_SERVICE_ACCESS を指定する必要があります。例:

    --network=name=projects/host/global/networks/shared-vpc-1,connect-mode=PRIVATE_SERVICE_ACCESS

    VPC-NETWORK 値に以前のネットワークを指定することはできません。必要に応じて、自動モードの VPC ネットワークを新規に作成するの手順に従って、使用する新しい VPC ネットワークを作成します。

  • CONNECT_MODEDIRECT_PEERING または PRIVATE_SERVICE_ACCESS。 共有 VPC をネットワークとして指定する場合は、接続モードとして PRIVATE_SERVICE_ACCESS も指定する必要があります。

  • RESERVED_IP_ADDRESS には、Filestore インスタンスの IP アドレス範囲を指定します。connect-mode=PRIVATE_SERVICE_ACCESS が指定されていて、予約された IP アドレス範囲を使用する場合は、CIDR 範囲ではなく、割り当てられたアドレス範囲の名前を指定する必要があります。予約済み IP アドレスを構成するをご覧ください。このフラグを省略して、Filestore が空いている IP アドレス範囲を自動的に見つけてインスタンスに割り当てられるようにすることをおすすめします。

  • KEY は、追加するラベルです。Filestore インスタンスの作成時にラベルを追加する必要はありません。インスタンスを作成した後でラベルを追加、削除、更新することもできます。詳細については、ラベルの管理をご覧ください。

  • VALUE をラベルの値に置き換えます。

  • KMS_KEY は、独自のデータ暗号化を管理するときに使用する Cloud KMS 暗号鍵の完全修飾名です。形式は次のようになります。

    projects/KMS_PROJECT_ID/locations/REGION/keyRings/KEY_RING/cryptoKeys/KEY

  • PROTECTION_REASON --deletion-protection フラグを使用する場合は、設定に関するメモを追加できます。メモを追加するには、オプションの --deletion-protection-reason フラグを使用し、選択した設定の正当性を示す説明を含めます。たとえば、「すべてのゲノムデータは、現在の組織のポリシーに準拠する必要があります。」詳細については、削除保護をご覧ください。

次のコマンドは、以下の特性が設定されたインスタンスを作成します。

  • ID は render1
  • プロジェクトは myproject
  • リージョンは us-central1 です。
  • 階層は REGIONAL
  • パフォーマンスでは、値が 17000max-iops-per-tb パラメータを使用します。
  • ファイル共有名は my_vol
  • ファイル共有のサイズは 2 TiB。
  • VPC ネットワークは default
  • 予約済み IP アドレスの範囲は 10.0.7.0/29
  • IP アドレス 10.0.2.0 でクライアントにルート スカッシュによる読み取りと書き込みのアクセス権を付与します。
  • 削除保護が有効になっている。
  • 削除保護設定の正当な理由が提供されている。
gcloud filestore instances create render1 \
  --project=myproject \
  --region=us-central1 \
  --tier=REGIONAL \
  --performance=max-iops-per-tb=17000 \
  --network=name="default",reserved-ip-range="10.0.7.0/29" \
  --flags-file=nfs-export-options.json \
  --deletion-protection \
  --deletion-protection-reason="All genomics data must adhere to current
  organization policies."

nfs-export-options.json ファイルの内容:

 {
"--file-share":
  {
    "capacity": "2048",
    "name": "my_vol",
    "nfs-export-options": [
      {
        "access-mode": "READ_WRITE",
        "ip-ranges": [
          "10.0.0.0/29",
          "10.2.0.0/29"
        ],
        "squash-mode": "ROOT_SQUASH",
        "anon_uid": 1003,
        "anon_gid": 1003
      },
      {
        "access-mode": "READ_ONLY",
        "ip-ranges": [
          "192.168.0.0/26"
        ],
        "squash-mode": "NO_ROOT_SQUASH"
      }
    ]
  }
}

REST API

  1. gcloud CLI のインストールと初期化を行います。これにより、Authorization ヘッダーのアクセス トークンを生成できます。

  2. cURL使用 して、Filestore API を呼び出します。

    curl --request POST \
    'https://file.googleapis.com/v1/projects/PROJECT/locations/LOCATION/instances?instanceId=NAME' \
    --header "Authorization: Bearer $(gcloud auth print-access-token)" \
    --header 'Accept: application/json' \
    --header 'Content-Type: application/json' \
    --data '{
            "tier":"TIER",
            "networks":[
                {
                "network":"NETWORK"
                }
              ],
            "performanceConfig": {"PERFORMANCE"}
            "fileShares":[
              {"capacityGb":CAPACITY,"name":"SHARE_NAME"}
              ],
            "deletionProtectionEnabled": true,
            "deletionProtectionReason": "PROTECTION_REASON"}' \
    --compressed

    ここで

    • PROJECT は、インスタンスが存在するプロジェクトの名前です。例: my-genomics-project
    • LOCATION は、インスタンスが配置されるロケーションです。たとえば、us-east1us-central1-a です。
    • NAME は、作成するインスタンスの名前です。例: my-genomics-instance
    • TIER は、使用するサービス階層の名前に置き換えます。例: REGIONAL

    • PERFORMANCE は、カスタム パフォーマンス設定を指定するために使用されるパフォーマンス構成です。

      提供されたオプションは 1 つのみ使用できます。

      • PerformanceConfig.iopsPerTb.maxIopsPerTb は、インスタンス容量に比例して IOPS をスケーリングする 1 TiB あたりの IOPS レートを指定します。
      • PerformanceConfig.fixedIops.maxIops は、インスタンス容量で IOPS をスケーリングしない固定 IOPS レートを指定します。

      形式は次のとおりです。

         "performanceConfig": {
      "iopsPerTb" : {
          "maxIopsPerTb":17000
      }
    }

    • NETWORK は、使用するネットワークの名前です。例: default

    • CAPACITY は、インスタンスに割り当てるサイズ(GiB 単位)です。例: 1024

    • SHARE_NAME はファイル共有の名前です。 (例: vol1)です。

    • PROTECTION_REASON deletionProtectionEnabled フラグを使用する場合は、設定に関するメモを追加できます。メモを追加するには、オプションの deletionProtectionReason フラグを使用し、選択した設定の正当性を示す説明を含めます。たとえば、「すべてのゲノムデータは、現在の組織のポリシーに準拠する必要があります。」詳細については、削除保護をご覧ください。

インスタンスと共有を理解する

Filestore インスタンスは、物理ストレージ容量を表します。

共有は、個々の固有のアクセス ポイントを持つストレージの割り当て部分を表します。

すべてのサービス階層が、共有とインスタンスの比率が 1 対 1 のストレージ オプションを提供します。代わりに、GKE 用の Filestore マルチシェアは、エンタープライズ階層のインスタンスでのみ使用でき、単一インスタンス上の複数の共有へのアクセス権を提供します。

インスタンス名(インスタンス ID)は、管理者がインスタンスを管理するために使用されます。ファイル共有名は、クライアントがこれらのインスタンスからエクスポートされた共有に接続するために使用されます。

インスタンスの名前を指定

Filestore インスタンスの名前またはインスタンス ID は、インスタンスの識別のため、gcloud コマンドで使用されます。インスタンス ID は、RFC 1035<label> 要素に準拠させる必要があります。具体的には、以下に従う必要があります。

  • 1~63 文字にする必要があります。
  • 先頭には小文字を使用します。
  • ダッシュ、小文字、数字で構成します。
  • 末尾には小文字または数字を使用します。

インスタンス ID は、設定されている Google Cloud プロジェクトとゾーンで一意であることが必要です。インスタンスの作成後にインスタンス ID は変更できません。

サービス階層の構成

ニーズに最適なサービスティアを選択します。インスタンスの作成後にインスタンスのサービスティアを変更することはできません。次の表に、サービスティアで利用可能な機能をまとめます。

Filestore サービスティアの機能
能力 基本 HDD と基本 SSD ゾーン リージョン Enterprise
容量 1 TiB~63.9 TiB 1 TiB~100 TiB 100 GiB または 1 TiB ~ 100 TiB 1 TiB~10 TiB
スケーラビリティ
  • 基本 HDD (1 TiB ~ 63.9 TiB): 1 GiB 単位でスケールアップする
  • 基本 SSD (2.5 TiB ~ 63.9 TiB): 1 GiB 単位でのみスケールアップする
  • ゾーン (1 TiB ~ 9.75 TiB): 256 GiB 単位でスケールアップまたはスケールダウンする
  • ゾーン (10 TiB ~ 100 TiB): 2.5 TiB 単位でスケールアップまたはスケールダウンする
  • リージョン

    小規模インスタンス機能へのアクセス権に応じて、次のいずれかのオプションを使用できます。

    • 小規模インスタンス機能にアクセスできるユーザー: 100 GiB ~ 10,239 GiB。1 GiB 単位でスケールアップまたはスケールダウンする
    • 小規模インスタンス機能にアクセスできないユーザー: 1 TiB ~ 9.75 TiB。256 GiB 単位でスケールアップまたはスケールダウンする
  • リージョン (10 TiB ~ 100 TiB): 2.5 TiB 単位でスケールアップまたはスケールダウンする
 256 GiB 単位でスケールアップまたはスケールダウンする
パフォーマンス
  • 基本 HDD: 静的。
  • 基本 SSD: 10 TiB のパフォーマンス ステップ
 構成可能 構成可能 容量に応じて直線的にスケーリングします
プロトコル NFSv3 NFSv3, NFSv4.1 NFSv3, NFSv4.1 NFSv3, NFSv4.1

ゾーンインスタンスとエンタープライズ インスタンスの Create オペレーションは、インスタンスのサイズに応じて 15 分から 1 時間の間の時間がかかる可能性があります。

Filestore の割り当てはインスタンス作成の開始時に消費されますが、作成中の期間についてはインスタンスの料金は課金されません。

サービスティアで使用できる機能の詳細については、サービスティアをご覧ください。

容量の割り当て

インスタンスの作成時に必要な分に容量を割り当てます。容量の上限に近づいたら、ランタイムに影響を与えることなく、必要に応じて容量をスケールアップできます。インスタンスの容量をモニタリングする方法については、インスタンスのモニタリングをご覧ください。

gcloud CLI では、GiB または TiB を使用して容量を整数で指定できます。デフォルトの単位は GiB です。

次の表に、各階層で使用できるインスタンスのサイズを示します。

階層 最小サイズ 最大サイズ 増分ステップサイズ
ゾーン 1 TiB 9.75、TiB 256 GiB
ゾーン 10 TiB 100 TiB 2.5 TiB
リージョン 100 GiB* または 1 TiB 10,239 GiB* または 9.75 TiB 1 GiB* または 256 GiB
リージョン 10 TiB 100 TiB 2.5 TiB
基本 HDD 1 TiB 63.9 TiB 1 GiB
基本 SSD 2.5 TiB 63.9 TiB 1 GiB
Enterprise 1 TiB 10 TiB 256 GiB

* 小容量インスタンス機能へのアクセス権に応じて、Filestore リージョン インスタンスの容量範囲の下限は 100 GiB ~ 10,239 GiB または 1 TiB ~ 9.75 TiB のいずれかになります。小容量インスタンス機能にアクセスするには、 小容量インスタンスへのアクセスをリクエストするフォームに記入する必要があります。詳細については、 小容量の Filestore インスタンスをご覧ください。

インスタンスのサイズには、ギビバイト全体の値や、最小から最大の範囲にある同等のテビバイトサイズ、またはインクリメンタル ステップサイズで割り切れるテビバイト相当の値を使用できます。たとえば、高容量範囲を持つゾーン階層インスタンスの有効なサイズには、10 TiB、12.5 TiB、15 TiB があります。

作成された基本 HDD インスタンスと基本 SSD インスタンスは、スケールアップのみが可能です。他のすべてのサービスティアは、容量をスケールアップまたはスケールダウンできます。詳細については、インスタンスを編集する容量をスケーリングするをご覧ください。

合計容量の割り当て

各プロジェクトには、リージョンとサービスティアで定義された個別の容量割り当てが割り当てられます。割り当て上限はサービス階層によって異なります。

割り当て上限に達すると、追加の Filestore インスタンスを作成する、または既存のインスタンスの容量を増やすことはできません。使用可能な割り当てを確認するには、 Google Cloud コンソールの [割り当て] ページに移動します。

[割り当て] ページに移動

追加の割り当てをリクエストする方法については、割り当て量の増加のリクエストをご覧ください。

パフォーマンスを構成する

インスタンスのパフォーマンスは、選択したサービスティアによって異なります。

リージョン ティアとゾーンティア

  • リージョン ティアとゾーン ティアでは、TiB あたりの IOPS 比率を設定して、インスタンスの IOPS を容量に合わせてスケーリングできます。また、容量に合わせてスケーリングされない一定の IOPS 値を設定することもできます。この値は、容量が変更された場合にいつでも調整できます。上限の詳細については、カスタム パフォーマンスの上限をご覧ください。カスタム パフォーマンスを設定しない場合、パフォーマンスは事前定義された比率に従って容量に比例してスケーリングされます。詳細については、パフォーマンスをご覧ください。
  • 容量が 1,024 GiB 未満のリージョン インスタンスを作成するには、カスタム パフォーマンスを有効にする必要があります。これらのインスタンスの最小 IOPS 値は 2,000 です。詳細については、容量の少ない Filestore インスタンスをご覧ください。

基本 SSD ティアと基本 HDD ティア

  • 基本 SSD 階層の場合、IOPS の数は一定であり、容量設定を変更しても変化しません。
  • 基本 HDD ティアの場合、容量が 1 TiB ~ 10 TiB の範囲内か、10 TiB ~ 63.9 TiB の範囲内かによって、パフォーマンスの上限が変わります。

パフォーマンスの上限と設定の詳細については、パフォーマンスをご覧ください。

1 TiB あたりの IOPS 比率を指定する

カスタム パフォーマンスを有効にすると、容量に基づいてパフォーマンスがスケーリングされる [1 TiB あたりの IOPS] フィールドで比率を指定できます。

固定 IOPS を使用する場合は、[容量に応じてパフォーマンスをスケールする] チェックボックスをオフにします。

次の初期パフォーマンス値を指定したとします。

  • 容量: 1 TiB
  • TiB あたりの IOPS: 6,000
  • パフォーマンス([容量に応じてパフォーマンスをスケールする] チェックボックスがオンの場合): 6,000 IOPS

次の例は、設定の変更に基づいてパフォーマンスがどのようにスケーリングされるかを示しています。

  • IOPS / TiB を 7,000 に増やすと、パフォーマンスが 7,000 IOPS に調整されます。
  • 容量を 2 TiB に増やすと、パフォーマンスが 14,000 IOPS に調整されます。
  • パフォーマンスを 8,000 IOPS に減らすと、TiB あたりの IOPS が 4,000 に調整されます。

固定数の IOPS を指定する

[容量に応じてパフォーマンスをスケール] チェックボックスをオフにすると、[パフォーマンス] フィールドで、使用する IOPS の数を指定します。この数値は、パフォーマンス範囲内で 1,000 の倍数にする必要があります。

容量とは無関係に固定数の IOPS を設定すると、パフォーマンス チューニングが可能になります。ただし、このオプションを使用すると、容量の変更に伴うパフォーマンスの自動スケーリングが防止されます。容量を変更すると、パフォーマンス値を調整する必要が生じることがあります。また、その逆の場合もあります。

たとえば、次の値を指定したとします。

  • 容量: 4 TiB
  • パフォーマンス 40,000 IOPS

この時点で、パフォーマンスを 68,000 IOPS まで向上させることができます。これは 4 TiB の容量の上限です。パフォーマンスを 70,000 IOPS に増やしたいが、これは 4 TiB の容量のパフォーマンス範囲を超えています。互換性を維持するには、パフォーマンス範囲内に収まるように容量を 4.25 TiB 以上に増やす必要があります。

ロケーションを選択

ロケーションとは、Filestore インスタンスが配置されているリージョンゾーンを指します。最適なパフォーマンスを確保し、リージョン間でのネットワーク料金が発生しないようにするため、アクセスが必要な Compute Engine VM と同じリージョンに Filestore インスタンスを配置してください。

リージョンとゾーンの詳細については、地域とリージョンをご覧ください。

プロトコルを選択する

ニーズに合ったプロトコルを選択します。Filestore は、NFSv3 と NFSv4.1 プロトコルをサポートしています。

VPC ネットワークを選択する

Filestore で使用するネットワークには、標準 VPC ネットワークまたは共有 VPC ネットワークのいずれかを選択できます。いずれの場合も、選択するネットワークには、Filestore インスタンス専用の十分な IP リソースが必要です。十分な IP リソースを割り当てられていない場合は、IP アドレスの枯渇によりインスタンスの作成に失敗します

クライアントがインスタンスに保存されているファイルにアクセスするには、そのインスタンスと同じネットワーク上にある必要があります。インスタンスの作成後に、このネットワークの選択を変更することはできません。

共有 VPC ネットワーク

サービス プロジェクトの共有 VPC ネットワークでインスタンスを作成するには、まずネットワーク管理者が共有 VPC ネットワークのプライベート サービス アクセスを有効にする必要があります。ホスト プロジェクトでインスタンスを作成する場合、プライベート サービス アクセスは必要ありません。

共有 VPC ネットワークは、 Google Cloud コンソールに次の形式で表示されます。

projects/HOST_PROJECT_ID/global/networks/SHARED_VPC_NAME

詳しい手順については、共有 VPC ネットワーク上でのインスタンスの作成をご覧ください。

NFS ファイルのロック

この Filestore インスタンスで使用するアプリケーションで NFS ファイルのロックが必要であり、次のいずれかを選択している場合は、選択したネットワーク内の、Filestore で使用されているポートを開かなければならない場合があります。

  • デフォルト ネットワーク以外の VPC ネットワーク。
  • ファイアウォール ルールが変更されたデフォルトの VPC ネットワーク。

詳細については、ファイアウォール ルールの構成をご覧ください。

ファイル共有を構成する

ファイル共有は、すべての共有ファイルが保存される Filestore インスタンスのディレクトリです。また、クライアント VM でマウントまたはマッピングするものでもあります。

ファイル共有の名前は、次の条件を満たしている必要があります。

  • ゾーン階層とエンタープライズ階層では 1~32 文字、基本階層では 1~16 文字にします。
  • 文字から始まる。
  • 大文字、小文字、数字、アンダースコアで構成される。
  • 末尾には英字または数字を使用してください。

IP ベースのアクセス制御を構成する

デフォルトでは、Filestore インスタンスは、同じ Google Cloud プロジェクトと VPC ネットワークを共有するすべてのクライアント(Compute Engine VM と GKE クラスタを含む)に対するルートレベルでの読み書きアクセスを許可します。アクセスを制限する場合は、IP アドレスを基に特定のアクセスレベルをクライアントに付与するルールを作成します。ルールを追加すると、ルールで指定されていない IP アドレスと範囲はすべて取り消されます。ゾーン、リージョン、エンタープライズのインスタンスは、重複する IP アドレス範囲の構成設定をサポートしています。詳細については、権限の重複をご覧ください。

次の表に、各アクセスレベルの権限を示します。これらのアクセスレベルは Google Cloud コンソールでのみ使用されます。gcloud CLI と API では、ルール構成を直接指定する必要があります。

アクセスレベル ルールの設定 説明
admin
  • read-write
  • no-root-squash
 クライアントは root ユーザーとしてすべてのファイル、フォルダ、メタデータの表示と変更が可能です。uidgid を設定して、ファイルやフォルダの所有権を付与し、ファイル共有へのルートアクセス権限がないクライアントへのアクセスを許可することもできます。
admin-viewer
  • 読み取り専用
  • no-root-squash
 クライアントは、すべてのファイル、フォルダ、メタデータを root ユーザーとして表示できますが、変更はできません。
editor
  • read-write
  • root-squash
 クライアントは、割り当てられた uidgid に基づいて、ファイル、フォルダ、メタデータの表示と変更を行うことができます。
viewer
  • 読み取り専用
  • root-squash
 クライアントは、割り当てられた uidgid に基づいてファイル、フォルダ、メタデータを表示できます。

root-squash は、uid 0gid 0 からのすべてのリクエストをそれぞれ anon_uidanon_gid にマッピングします。これにより、root ユーザーとしてファイル共有にアクセスしようとするクライアントからルートレベルのアクセス権が削除されます。

IP ベースのアクセスルールを作成する場合:

  • 内部 IP アドレスまたは内部 IP アドレス範囲と、付与するアクセスレベルを指定する必要があります。
  • インスタンス作成時に、少なくとも 1 つのルールで admin アクセス権を付与する必要があります。このルールはインスタンスの作成後に削除できます。
  • ゾーン、リージョン、エンタープライズのインスタンスは、重複する IP アドレス範囲の構成設定をサポートしています。ベーシック ティアのインスタンスはサポートされていません。詳細については、権限の重複をご覧ください。

Google Cloud コンソールでは、最大 64 個の異なる IP アドレスまたは IP アドレス範囲を含む、最大 4 つの異なるルール(adminadmin-viewereditorviewer)を作成できます。

gcloud CLI では、最大 10 個の異なるルールにまたがって、Filestore インスタンスごとに最大 64 個の異なる IP アドレスまたは CIDR ブロックを構成できます。ルールは、access-modesquash-modeanon_uid / anon_gid 構成の組み合わせとして定義されます。anon_uid フィールドと anon_gid フィールドのデフォルト値は 65534 で、API と gcloud CLI でのみ構成できます。

異なる 3 つの IP ベースのアクセスルールの例を次に示します。

  • access-mode=READ_ONLYsquash-mode=ROOT_SQUASHanon_uid=10000
  • access-mode=READ_WRITEsquash-mode=ROOT_SQUASHanon_gid=150
  • access-mode=READ_WRITEsquash-mode=NO_ROOT_SQUASH

gcloud CLI を使用して IP ベースのアクセス制御ルールを作成するには、instances create コマンドまたは instances update コマンドで --flags-file フラグを使用して、JSON 構成ファイルを指定します。たとえば、JSON 構成ファイルの名前が nfs-export-options.json の場合、フラグは次のようになります。

--flags-file=nfs-export-options.json

JSON 構成ファイルの例:

   {
  "--file-share":
    {
      "capacity": "2048",
      "name": "my_vol",
      "nfs-export-options": [
        {
          "access-mode": "READ_WRITE",
          "ip-ranges": [
            "10.0.0.0/29",
            "10.2.0.0/29"
          ],
          "squash-mode": "ROOT_SQUASH",
          "anon_uid": 1003,
          "anon_gid": 1003
        },
         {
          "access-mode": "READ_ONLY",
          "ip-ranges": [
            "192.168.0.0/26"
          ],
          "squash-mode": "NO_ROOT_SQUASH"
        }
      ]
    }
}
  • ip-rangesは、アクセスを許可する IP アドレスまたは範囲です。複数の IP アドレスまたは IP アドレス範囲を指定するには、カンマで区切ります。ゾーン、リージョン、エンタープライズのインスタンスのみで重複する IP アドレス範囲の構成設定をサポートしています。詳細については、重複する権限をご覧ください。
  • access-mode は、IP アドレスが ip-range 内にあるクライアントに付与するアクセスレベルです。値は READ_WRITE または READ_ONLY のいずれかに設定できます。デフォルト値は READ_WRITE です。
  • squash-mode の値は ROOT_SQUASH または NO_ROOT_SQUASH に設定できます。ROOT_SQUASH では、IP アドレスが ip-range 内のクライアントへのルートレベル アクセスが排除され、NO_ROOT_SQUASH では、ルートアクセスが有効にされます。デフォルト値は NO_ROOT_SQUASH です。
  • anon_uid は、anon_uid にマッピングするユーザー ID の値です。デフォルト値は 65534 です。
  • anon_gid は、anon_gid にマッピングするグループ ID の値です。デフォルト値は 65534 です。

RFC 1918 以外の範囲のクライアント

RFC 1918 以外のクライアントを Filestore インスタンスに接続する場合は、IP-ベースのアクセス制御を使って Filestore インスタンスへのアクセス権を明示的に付与する必要があります。

任意の項目

以降のセクションでは、オプションのフィールドについて説明します。

インスタンスの説明を追加する

インスタンスの説明を使用すると、自分自身または他のユーザーの説明、メモ、または指示を作成できます。たとえば、以下に関する情報を含めることができます。

  • インスタンスに格納されているファイルの種類。
  • インスタンスにアクセスできるユーザー。
  • インスタンスにアクセスする方法に関する手順。
  • インスタンスの目的。

インスタンスの説明の最大文字数は 2,048 文字です。使用できる文字に制限はありません。Filestore インスタンスを作成したら、必要に応じていつでもインスタンスの説明を更新できます。インスタンスの説明の更新に関する詳細は、インスタンスの編集をご覧ください。

ラベルを追加

ラベルとは、関連するインスタンスをグループ化し、インスタンスに関するメタデータを保存する場合に使用できる Key-Value ペアのことです。ラベルはいつでも追加、削除、変更できます。詳細については、ラベルの管理をご覧ください。

予約済みの IP アドレス範囲を構成する

Filestore インスタンスのそれぞれに、IP アドレス範囲が関連付けられている必要があります。RFC 1918 と RFC 1918 以外の IP アドレス範囲(一般提供)の両方がサポートされています。

インスタンスの IP アドレス範囲は、指定すると変更できません。

ユーザーに、Filestore が空いている IP アドレス範囲を自動的に見つけてインスタンスに割り当てられるようにすることをおすすめします。独自の範囲を選択する場合は、次の Filestore IP リソースの要件を考慮してください。

  • CIDR 表記を使用する必要があります。

  • 有効な VPC サブネット範囲である必要があります。

  • Basic インスタンスのブロックサイズは 29 にする必要があります。たとえば、10.123.123.0/29 のようにします。

  • ゾーンインスタンス、リージョンインスタンスと Enterprise インスタンスのブロックサイズは 26 である必要があります。例: 172.16.123.0/26

  • IP アドレス範囲は、以下と重複しないようにします。

    • Filestore インスタンスが使用する VPC ネットワーク内の既存のサブネット。

    • Filestore インスタンスが使用するサブネットとピアリングされている VPC ネットワーク内の既存のサブネット。詳細については、ピアリング時にサブネットが重複している場合をご覧ください。

    • そのネットワーク内の他の既存の Filestore インスタンスに割り当てられた IP アドレス範囲

    • 172.17.0.0/16 アドレス範囲は、内部 Filestore コンポーネント用に予約されています。そのため、次の制限が適用されます。

      • この範囲のクライアントは、Filestore インスタンスに接続できません。

      • この IP 範囲内に Filestore インスタンスを作成することはできません。詳細については、既知の問題をご覧ください。

  • VPC ごとに少なくとも 1 つの VPC ネットワーク ピアリング接続または限定公開サービス アクセス接続が必要です。

Google Cloud コンソールの [VPC ネットワーク] ページに移動すると、ネットワークのサブネットの IP アドレス範囲を確認できます。

[VPC ネットワーク] ページに移動

Google Cloud コンソールの Filestore インスタンス ページで、Filestore インスタンスの予約済み IP アドレス範囲を確認できます。

Filestore インスタンス ページに移動

プライベート サービス アクセスを使用し、予約済みの IP アドレス範囲を指定する場合は、接続に割り当てられたアドレス範囲の名前を指定する必要があります。範囲名を指定しない場合、Filestore はプライベート サービス アクセス接続に関連付けられている割り当て範囲を自動的に使用します。

顧客管理の暗号鍵を使用する

デフォルトでは、 Google Cloud は、Google が管理する暗号鍵を使用して、保存されているデータを自動的に暗号化します。データを保護する鍵をより詳細に管理する必要がある場合、Filestore に顧客管理の暗号鍵(CMEK)を使用できます。詳細については、顧客管理の暗号鍵でデータを暗号化するをご覧ください。

削除からの保護の有効化

インスタンスの削除保護設定を設定します。デフォルトでは、この設定は無効になっています。詳細については、削除保護をご覧ください。

削除保護の設定の説明を追加する

選択した削除保護設定の根拠となる説明を追加します。詳細については、削除保護をご覧ください。

次のステップ