IBM Cloud Docs
Condivisione e montaggio di una condivisione di file da un altro account

Condivisione e montaggio di una condivisione di file da un altro account

Come amministratore dello storage che gestisce più account, è possibile condividere un file system NFS tra gli account, in modo che i dati da cui dipendono le applicazioni siano disponibili nei diversi sistemi. Puoi anche condividere il tuo File Storage for VPC con il servizio IBM watsonx.

L' autorizzazione cross - account service - to - service viene utilizzata per stabilire l'attendibilità tra il proprietario della condivisione e gli account di accesso. Inoltre, i ruoli della piattaforma e dei servizi IAM appropriati devono essere assegnati agli utenti in modo che possano eseguire le loro attività. Per creare una condivisione accessor all'interno dello stesso account della condivisione di origine, l'utente deve avere i ruoli Condividi broker e Editor. Per creare una condivisione accessor all'interno di un account diverso dalla condivisione di origine, l'utente deve avere i ruoli Share Remote Account Accessor e Editor. Per ulteriori informazioni, consulta Azioni e ruoli IAM.

Una volta impostata l'autorizzazione e assegnati i ruoli, puoi creare una condivisione accessor associata alla condivisione di origine. La condivisione dell'accessor eredita il profilo, la dimensione, il tipo di crittografia sia inattivi che in transito dalla condivisione di origine. L'account della condivisione di origine può vedere l'ID degli account che possono montare la condivisione NFS condivisa.

Come accessor, non puoi modificare le proprietà della condivisione di origine e non puoi eliminare la condivisione di origine. Gli accessor possono montare la condivisione creando una condivisione accessor e una destinazione di montaggio per la condivisione accessor. È quindi possibile accedere e utilizzare i dati della condivisione di origine, comprese le istantanee eventualmente presenti.

La condivisione di una condivisione di file con altri account o servizi non è supportata per le condivisioni di file con modalità di accesso a livello di VPC.

Politica di crittografia del transito

Il proprietario della condivisione ha il diritto di applicare l'uso della crittografia in transito quando l'accessor accede ai dati della condivisione file. Il proprietario della condivisione può impostare le modalità di codifica del transito consentite per consentire user_managed o none o entrambi. Quando il allowed transit encryption modes della condivisione di origine è impostata su user_managed, gli account di accesso alla condivisione devono creare tutte le relative destinazioni di montaggio con user_managed crittografia dei transiti. Se l'account accessor ha più di una destinazione di montaggio, queste destinazioni di montaggio devono avere lo stesso tipo di crittografia in transito.

Le condivisioni file create prima della release di questa funzione (18 giugno 2024) hanno un tipo di codifica di transito consentito che si basa sulle loro destinazioni di montaggio esistenti. Dopo questa data, è necessario specificare il tipo di codifica di transito consentito quando si creano le condivisioni file. Tutte le destinazioni di montaggio create per una condivisione file devono avere lo stesso tipo di codifica di transito.

Creazione di una condivisione accessoria nella console

Nella console IBM Cloud, puoi creare una condivisione accessor con o senza una destinazione di montaggio. Tuttavia, devi creare una destinazione di montaggio quando vuoi montare la condivisione su un'istanza del server virtuale.

Creazione di una condivisione accessoria nella console

  1. Nella console IBM Cloud console, fare clic sull'icona Menu di navigazione Icona menu > Infrastruttura Icona VPC Archiviazione > File Shares. Viene visualizzato un elenco di condivisioni file.

  2. Nella pagina Condivisioni file per VPC, fare clic su Crea > Crea condivisione accessor.

  3. Immettere le seguenti informazioni.

    Valori per la creazione di una condivisione di file
    Campo Valore
    Nome della condivisione accessor Specificare un nome significativo per la condivisione dell'accessor. Il nome della condivisione file può contenere fino a 63 caratteri alfanumerici minuscoli e includere il trattino (-) e deve iniziare con una lettera minuscola. Puoi modificare successivamente il nome, se lo desideri.
    CRN della condivisione remota Immettere il CRN della condivisione file di origine.

  4. Ritorni alla pagina File Storage for VPC, dove un messaggio indica che la condivisione file sta eseguendo il provisioning. Una volta completata la transazione, lo stato della condivisione diventa Attivo.

Creazione di una condivisione accessor dalla CLI

Prima di iniziare

Prima di poter utilizzare la CLI, è necessario installare la CLI IBM Cloud e il plug-in CLI VPC. Per ulteriori informazioni, vedi i Prerequisiti della CLI.

Creazione di una condivisione accessor senza una destinazione di montaggio dalla CLI

Puoi utilizzare il comando ibmcloud is share-create per eseguire il provisioning di una condivisione file nella tua zona selezionata con il CRN della condivisione di origine.

ibmcloud is share-create --name my-accessor-share --origin-share CRN

$ ibmcloud is share-create --name my-accessor-share --origin-share crn:v1:bluemix:public:is:us-south-2:a/7654321::share:r006-d73v40a6-e08f-4d07-99e1-d28cbf2188ed
Creating file share my-file-share under account Test Account as user test.user@ibm.com...

ID                               r006-b696742a-92ee-4f6a-bfd7-921d6ddf8fa6   
Name                             my-accessor-share   
CRN                              crn:v1:bluemix:public:is:us-south-2:a/1234567::share:r006-b696742a-92ee-4f6a-bfd7-921d6ddf8fa6   
Lifecycle state                  stable   
Access control mode              security_group
Accessor binding role            accessor
Allowed transit encryption modes user_managed,none
Origin share                     CRN                                                                                             Name            Remote account  Remote region
                                 crn:v1:bluemix:public:is:us-south-2:a/7654321::share:r006-d73v40a6-e08f-4d07-99e1-d28cbf2188ed  my-origin-share a7654321        -
Zone                             us-south-2   
Profile                          dp2   
Size(GB)                         1000   
IOPS                             1000   
Encryption                       provider_managed   
Mount Targets                    ID                          Name      
                                 No mounted targets found.      

Resource group                   ID                                 Name      
                                 db8e8d865a83e0aae03f25a492c5b39e   Default      

Created                          2024-06-25T22:15:15+00:00   
Replication role                 none   
Replication status               none   
Replication status reasons       Status code   Status message      
                                 -             -   
Snapshot count                   0
Snapshot size                    0
User tags

La condivisione dell'accessor eredita le seguenti caratteristiche dalla sua condivisione di origine: profilo, dimensione, tipo di crittografia sia a riposo che in transito. Se si tenta di utilizzare questo comando con la proprietà --origin-share con altre proprietà come --iops, --profile e --replica-share, la richiesta ha esito negativo.

Per ulteriori informazioni relative alle opzioni del comando, consultare ibmcloud is share-create.

Creazione di una destinazione di montaggio per una condivisione accessor dalla CLI

Per creare una destinazione di montaggio per la condivisione file, eseguire il comando share-mount-target-create. Prima di iniziare, raccogliere alcune informazioni necessarie.

Quando si crea una destinazione di montaggio, è necessario specificare la condivisione file a cui è destinata. È possibile utilizzare il nome o l'ID della condivisione file. È necessario specificare anche il VPC, con il suo ID o nome. Il VPC deve essere univoco per ciascuna destinazione di montaggio. Devi specificare anche il gruppo di accesso di sicurezza che verrà utilizzato per gestire l'accesso alla condivisione. I gruppi di sicurezza associati a una destinazione di montaggio devono consentire l'accesso in entrata per il protocollo TCP sulla porta NFS da tutti i server in cui si desidera montare la condivisione.

Infine, è necessario specificare i valori delle opzioni necessarie per creare un' interfaccia di rete virtuale per la destinazione di montaggio. Utilizza i comandi della CLI appropriati per elencare le sottoreti disponibili, gli indirizzi IP riservati in una sottorete, i gruppi di sicurezza per ottenere le informazioni di cui hai bisogno.

Il seguente esempio crea una destinazione di montaggio con un'interfaccia di rete virtuale per una condivisione file che dispone della modalità di accesso al gruppo di protezione.

$ ibmcloud is share-mount-target-create my-accessor-share --subnet my-subnet --name my-cli-share-mount-target-1 --vni-name my-share-vni-1  --vni-sgs my-sg --resource-group-name Default --vpc my-vpc
Mounting target for share r006-b696742a-92ee-4f6a-bfd7-921d6ddf8fa6 under account Test Account as user test.user@ibm.com...

ID                          r006-dd497561-c7c9-4dfb-af0a-c84eeee78b61   
Name                        my-cli-share-mount-target-1   
VPC                         ID                                          Name      
                            r006-6e8fb140-5668-45b8-b98a-d5cb0e0bf39b   my-vpc      

Access control mode         security_group
Resource type               share_mount_target   
Virtual network interface   ID                                          Name      
                            r006-13c070d8-d038-49c6-95f5-e8503c5595e3   my-share-vni-1      

Lifecycle state             pending   
Mount path                  -   
Transit Encryption          none  
Snapshot count              0
Snapshot size               0
User tags

Per ulteriori informazioni relative alle opzioni del comando, consultare ibmcloud is share-mount-target-create.

Creazione di una condivisione accessor con una destinazione di montaggio dalla CLI

È possibile creare una condivisione accessor con una o più destinazioni di montaggio in un passo utilizzando il comando ibmcloud is share-create. Devi fornire il nome della zona e il CRN della condivisione di origine. La condivisione dell'accessor eredita il profilo, la dimensione, il tipo di crittografia sia inattivi che in transito dalla condivisione di origine. Inoltre, è possibile specificare un nome, tag utente e anche l'UID proprietario iniziale. Per creare la destinazione di montaggio, devi fornire le relative informazioni in formato JSON.

Il seguente esempio mostra come creare una condivisione accessor con la destinazione di montaggio.

$ ibmcloud is share-create --name my-new-accessor-share --origin-share crn:v1:bluemix:public:is:us-south-2:a/7654321::share:r006-d73v40a6-e08f-4d07-99e1-d28cbf2188ed --mount-targets '
>[{"name":"my-new-mount-target","virtual_network_interface": {"name":"my-vni","subnet": {"id":"r006-298acd6c-e71e-4204-a04f-fe4a4dd89805"}}}]'
Creating file share my-new-file-share under account Test Account as user test.user@ibm.com...

ID                               r006-925214bc-ded5-4626-9d8e-bc4e2e579232   
Name                             my-new-accessor-share   
CRN                              crn:v1:bluemix:public:is:us-south-2:a/a1234567::share:r006-925214bc-ded5-4626-9d8e-bc4e2e579232   
Lifecycle state                  pending   
Access control mode              security_group
Accessor binding role            accessor
Allowed transit encryption modes user_managed,none
Origin share                     CRN                                                                                             Name            Remote account  Remote region
                                 crn:v1:bluemix:public:is:us-south-2:a/7654321::share:r006-d73v40a6-e08f-4d07-99e1-d28cbf2188ed  my-origin-share a7654321        -

Zone                             us-south-2   
Profile                          dp2   
Size(GB)                         500   
IOPS                             2000   
User Tags                        env:dev   
Encryption                       provider_managed   
Mount Targets                    ID                                          Name      
                                 r006-ad313f6b-ccb5-4941-a5f7-0c953f1043df   my-new-mount-target      

Resource group                   ID                                 Name      
                                 db8e8d865a83e0aae03f25a492c5b39e   Default      

Created                         2024-06-25T00:30:11+00:00   
Replication role                none   
Replication status              none   
Replication status reasons      Status code   Status message      
                                -             -     
Snapshot count                  0
Snapshot size                   0

Creazione di una condivisione accessor con l'API

È possibile creare condivisioni file e destinazioni di montaggio richiamando direttamente le API REST.

Prima di iniziare

Impostare l'ambiente API. Definisci le variabili per il token IAM, l'endpoint API e la versione API. Per le istruzioni, vedi Configurazione del tuo ambiente API e CLI.

Creazione di una condivisione accessor con l'API

Effettuare una richiesta POST /shares per creare una condivisione file.

Il seguente esempio mostra una richiesta di creare una condivisione accessor utilizzando il CRN della condivisione di origine. La condivisione dell'accessor eredita le seguenti caratteristiche dalla sua condivisione di origine: profilo, zona, dimensione, IOPS, tipo di crittografia sia a riposo che in transito. Anche i valori per initial_owner,access_control_mode e encryption_key vengono ereditati da origin_share.

curl -X POST \
"$vpc_api_endpoint/v1/shares?version=2024-06-25&generation=2"\
  -H "Authorization: Bearer $iam_token" \
  -d '{
  "name": "my-accessor-share",
  "user_tags": ["string"],
  "origin_share": {"crn": "crn:v1:bluemix:public:is:us-south-1:a/a1234567::share:0fe9e5d8-0a4d-4818-96ec-e99708644a58"}
}

Una risposta corretta si presenta come nell'esempio seguente.

  {
  "access_control_mode": "security-group",
  "allowed_transit_encryption_modes": ["none", "user-managed"],
  "created_at": "2024-05-06T23:31:59Z",
  "crn": "crn:[...]",
  "encryption": "provider_managed",
  "href": "https://us-south.iaas.cloud.ibm.com/v1/shares/ff859972-8c39-4528-91df-eb9160eae918",
  "id": "ff859972-8c39-4528-91df-eb9160eae918",
  "iops": 48000,
  "lifecycle_state": "stable",
  "name": "my-accessor-share",
  "profile": {
    "href": "https://us-south.iaas.cloud.ibm.com/v1/share/profiles/dp2",
    "name": "dp2",
    "resource_type": "share_profile"
    },
  "replication_role": "none",
  "replication_status": "none",
  "replication_status_reasons": [],
  "resource_group": {
    "crn": "crn:[...]",
    "href": "https://resource-controller.cloud.ibm.com/v2/resource_groups/6b45d0aa-e0a6-478b-a5d9-bb45b106676d",
    "id": "6b45d0aa-e0a6-478b-a5d9-bb45b106676d",
    "name": "Default"
    },
  "resource_type": "share",
  "size": 4800,
  "snapshot_count": 10,
  "snapshot_size": 10,
  "user_tags": ["string"],
  "zone": {
    "href": "https://us-south.iaas.cloud.ibm.com/v1/regions/us-south/zones/us-south-1",
    "name": "us-south-1"}
  }

Creazione di una destinazione di montaggio per una condivisione file con l'API

Se la modalità di controllo accessi della condivisione è security_group, la destinazione di montaggio deve essere creata con un' interfaccia di rete virtuale. Quando la modalità di crittografia di transito consentita della condivisione è user-managed, anche il valore transit_encryption della destinazione di montaggio deve essere user-managed.

Effettuare una richiesta POST /shares/{share_id}/mount_targets e specificare una sottorete e un gruppo di sicurezza per l'interfaccia di rete di destinazione del montaggio. I gruppi di sicurezza associati a una destinazione di montaggio devono consentire l'accesso in entrata per il protocollo TCP sulla porta NFS da tutti i server in cui si desidera montare la condivisione.

Questo esempio aggiunge una destinazione di montaggio a una condivisione accessor esistente, identificata dall'ID, e fornisce una sottorete e un gruppo di sicurezza per creare l'interfaccia di rete.

 curl -X POST "$vpc_api_endpoint/v1/shares/f1ab81ef-dd30-459a-85e0-9094164978b1/mount_targets/?version=2023-07=18&generation=2"\
 -d '{
     "virtual_network_interface": {
        "subnet": {"id": "1a0b3d75-8a62-4c78-9263-f9bcd25a8759"},
        "security_groups": [{"id": "b2599112-7027-480e-ad1b-fd917d2fcb84"}]
     },
     "transit_encryption": "user_managed"
}'

Creazione di una destinazione di montaggio e condivisione file con Terraform

Per utilizzare Terraform, scarica la CLI Terraform e configura il plug-in del provider IBM Cloud®. Per ulteriori informazioni, vedi Introduzione a Terraform.

I servizi dell'infrastruttura VPC utilizzano uno specifico endpoint regionale, che per impostazione predefinita punta a us-south. Se il tuo VPC viene creato in un'altra regione, assicurati di specificare la regione appropriata nel blocco del provider nel file provider.tf.

Vedi il seguente esempio di destinazione di una regione diversa da quella predefinita us-south.

provider "ibm" {
   region = "eu-de"
}

Creazione di una condivisione accessor con Terraform

Per creare una condivisione accessor, utilizzare la risorsa ibm_is_share. La condivisione dell'accessor eredita le seguenti caratteristiche dalla sua condivisione di origine: profilo, dimensione, tipo di crittografia sia a riposo che in transito.

resource "ibm_is_share" "example-origin" {
  allowed_transit_encryption_modes = ["user_managed", "none"]
  access_control_mode = "security_group"
  name    = "my-share"
  size    = 200
  profile = "dp2"
  zone    = "au-syd-2"
}
resource "ibm_is_share" "example-accessor" {
  origin_share {
    crn   = ibm_is_share.example-origin.crn
  }     
  name  = "my-accessor-share-1"
}

Creazione di una destinazione di montaggio con Terraform

Per creare una destinazione di montaggio per una condivisione file, utilizzare la risorsa is_share_mount_target. Il seguente esempio crea una destinazione di montaggio con modalità di controllo accessi security_group. Innanzitutto, specificare la condivisione per la quale viene creata la destinazione di montaggio. Quindi, specificare il nome della destinazione di montaggio e definire la nuova interfaccia di rete virtuale fornendo un indirizzo IP e un nome. È inoltre necessario specificare il gruppo di protezione che si desidera utilizzare per gestire l'accesso alla condivisione file a cui è associata la destinazione di montaggio. I gruppi di sicurezza associati a una destinazione di montaggio devono consentire l'accesso in entrata per il protocollo TCP sulla porta NFS da tutti i server in cui si desidera montare la condivisione. L'attributo auto_delete = true indica che l'interfaccia di rete virtuale deve essere eliminata se la destinazione di montaggio viene eliminata.

resource "ibm_is_share_mount_target" "target-with-vni" {
     share=ibm_is_share.is_share.ID
     name = <share_target_name>
     virtual_network_interface {
     name = <virtual_network_interface_name>
     primary_ip {
         address = “10.240.64.5”
         auto_delete = true
         name = <reserved_ip_name>
     }
     resource_group = <resource_group_id>
     security_groups = [<security_group_ids>]
     transit_encryption = user_managed
   }
}

Per ulteriori informazioni sugli argomenti e sugli attributi, consultare ibm_is_share_mount_target.

Creazione di una condivisione accessor con una destinazione di montaggio con la modalità di accesso del gruppo di protezione

Non è necessario creare la condivisione di file e la destinazione di montaggio separatamente. Per creare una condivisione file con una destinazione di montaggio che consente l'autenticazione basata sui gruppi di sicurezza in un VPC, utilizza la risorsa ibm_is_share. La condivisione dell'accessor eredita le seguenti caratteristiche dalla sua condivisione di origine: profilo, dimensione, tipo di crittografia sia a riposo che in transito. Specificare la modalità di controllo accessi come security_group e definire la destinazione di montaggio fornendo un nome per essa, i dettagli dell'interfaccia di rete virtuale come il nome, la sottorete o l'indirizzo IP. Inoltre, specificare i gruppi di protezione che si desidera utilizzare per controllare l'accesso alla condivisione file. I gruppi di sicurezza associati a una destinazione di montaggio devono consentire l'accesso in entrata per il protocollo TCP sulla porta NFS da tutti i server in cui si desidera montare la condivisione.

resource "ibm_is_share" "share4" {
   zone    = "us-south-2"
   name    = "my-share4"
   origin_share {
    id    = ibm_is_share.example-origin.id
  }
   access_control_mode = "security_group"
   mount_target {
       name = "target"
       virtual_network_interface {
       primary_ip {
               address = 10.240.64.5
               auto_delete = true
               name = "<reserved_ip_name>
       }
      resource_group = <resource_group_id>
      security_groups = [<security_group_ids>]
      transit_encryption = none
      }
   }
}

Per ulteriori informazioni sugli argomenti e gli attributi, vedi ibm_is_share.

Passi successivi

Montare le condivisioni file. Il montaggio è un processo mediante il quale il sistema operativo di un server rende i file e le directory sul dispositivo di memorizzazione disponibili per l'accesso da parte degli utenti attraverso il file system del server. Per ulteriori informazioni, vedi i seguenti argomenti:

La creazione di istantanee di una condivisione Accessor non è supportata. Tuttavia, se la condivisione di origine ha delle istantanee, è possibile accedere a tali istantanee nella directory .snapshot. Per ulteriori informazioni, vedere Ripristino dei file da un'istantanea.