启用专用服务访问通道

本页介绍了如何创建 AlloyDB for PostgreSQL 需要的 Virtual Private Cloud (VPC) IP 地址范围,以便获得专用服务访问权限。如需概要了解 AlloyDB 如何使用专用服务访问权限让其内部资源相互通信,请参阅专用服务访问权限简介

如需在与 AlloyDB 集群位于同一 Google Cloud 项目中的 Virtual Private Cloud (VPC) 网络中创建专用服务访问配置,您需要执行以下两项操作:

  • 在 VPC 网络中创建已分配的 IP 地址范围。

  • 在 VPC 网络与底层 VPC 网络之间创建专用连接。 Google Cloud 您还可以配置专用服务访问通道,将 AlloyDB 集群连接到位于单独 Google Cloud 项目中的资源。为此,您必须使用共享 VPC 合并这两个项目的 VPC 网络。

准备工作

  • 您使用的 Google Cloud 项目必须已启用对 AlloyDB 的访问权限
  • 您必须在所使用的 Google Cloud 项目中拥有以下 IAM 角色之一:
    • roles/alloydb.admin(AlloyDB 管理员预定义 IAM 角色)
    • roles/owner(Owner 基本 IAM 角色)
    • roles/editor(Editor 基本 IAM 角色)

    如果您不具备上述任何角色,请与您的组织管理员联系以请求访问权限。

  • 如需创建专用服务访问配置,您还必须具有以下 IAM 权限:
    • compute.networks.list
    • compute.addresses.create
    • compute.addresses.list
    • servicenetworking.services.addPeering

过程

控制台

  1. 前往“VPC 网络”页面。

    进入 VPC 网络页面

  2. 选择 AlloyDB 和 VPC 网络所在的项目。

  3. 点击您要用于专用服务访问的 VPC 网络的名称。

  4. VPC 网络详情页面上,滚动标签页列表,找到专用服务连接标签页,然后点击该标签页。

  5. 专用服务连接标签页中,点击为服务分配的 IP 范围标签页。

  6. 点击分配 IP 范围

  7. 名称说明字段中,输入分配的范围的名称和说明。

  8. 为分配指定 IP 范围值:

    • 如需指定 IP 地址范围,请点击自定义,然后输入 CIDR 地址块,例如 192.168.0.0/16

      为了为 AlloyDB 提供足够的地址空间,我们建议前缀长度不超过 16

    • 如需指定前缀长度并让 Google 选择可用地址范围,请按以下步骤操作:

      1. 点击自动

      2. 请输入前缀长度(以纯数字表示),例如 16

  9. 点击分配以创建分配的范围。

  10. 专用服务连接标签页中,点击连到服务的专用连接标签页。

  11. 点击创建连接以在您的网络与服务提供方之间创建专用连接。

  12. 确保 Google Cloud Platform 是关联的服务生产方

  13. 对于指定的分配范围,请选择您之前创建的分配 IP 范围。

  14. 点击连接以创建连接。

gcloud

如需使用 gcloud CLI,您可以安装并初始化 Google Cloud CLI,也可以使用 Cloud Shell

  1. 使用 gcloud config set 命令将默认项目设置为 AlloyDB 和 VPC 网络所在的项目。

    gcloud config set project PROJECT_ID

    PROJECT_ID 替换为 AlloyDB 和 VPC 网络所在项目的 ID。

  2. 使用 gcloud compute addresses create 命令创建已分配的 IP 地址范围。

    为了为 AlloyDB 提供足够的地址空间,我们建议前缀长度不超过 16

    • 如需指定地址范围和前缀长度(子网掩码),请使用 --addresses--prefix-length 标志。例如,如需分配 CIDR 地址块 192.168.0.0/16,请将地址指定为 192.168.0.0,并将前缀长度指定为 16

          gcloud compute addresses create RESERVED_RANGE_NAME \
        --global \
        --purpose=VPC_PEERING \
        --addresses=192.168.0.0 \
        --prefix-length=16 \
        --description="DESCRIPTION" \
        --network=VPC_NETWORK

      替换以下内容:

      • RESERVED_RANGE_NAME:已分配范围的名称,例如 my-allocated-range

      • DESCRIPTION:对该范围的描述,例如 allocated for my-service

      • VPC_NETWORK:您的 VPC 网络的名称,例如 my-vpc-network

    • 如需仅指定前缀长度(子网掩码),请使用 --prefix-length 标志。如果您省略地址范围,Google Cloud 会自动选择您的 VPC 网络中未使用的地址范围。

      以下示例选择的是前缀长度为 16 位的未使用的 IP 地址范围:

          gcloud compute addresses create RESERVED_RANGE_NAME \
        --global \
        --purpose=VPC_PEERING \
        --prefix-length=16 \
        --description="DESCRIPTION" \
        --network=VPC_NETWORK

    以下示例展示了如何创建与 Google 的专用连接,以便 default VPC 网络中的虚拟机实例可以使用专用服务访问通道来访问支持专用连接的 Google 服务。

        gcloud compute addresses create google-managed-services-default \
        --global \
        --purpose=VPC_PEERING \
        --prefix-length=16 \
        --description="peering range for Google" \
        --network=default

  3. 使用 gcloud services vpc-peerings connect 命令创建专用连接。

        gcloud services vpc-peerings connect \
        --service=servicenetworking.googleapis.com \
        --ranges=RESERVED_RANGE_NAME \
        --network=VPC_NETWORK

    替换以下内容:

    • RESERVED_RANGE_NAME:您创建的已分配 IP 地址范围的名称

    • VPC_NETWORK:您的 VPC 网络的名称

    该命令会启动一个长时间运行的操作,并返回操作名称。

  4. 检查操作是否成功。

        gcloud services vpc-peerings operations describe
    --name=OPERATION_NAME

    OPERATION_NAME 替换为从上一步返回的操作名称。

后续步骤