Activer l'accès privé aux services

Cette page vous explique comment créer les plages d'adresses IP du cloud privé virtuel (VPC) dont AlloyDB pour PostgreSQL a besoin pour l'accès privé aux services. Pour obtenir une présentation de la façon dont AlloyDB utilise l'accès aux services privés pour permettre à ses ressources internes de communiquer entre elles, consultez À propos de l'accès aux services privés.

Pour créer une configuration d'accès aux services privés dans un réseau de cloud privé virtuel (VPC) qui réside dans le même projetGoogle Cloud que votre cluster AlloyDB, vous devez effectuer deux opérations :

  • Créez une plage d'adresses IP allouée dans le réseau VPC.

  • Créez une connexion privée entre le réseau VPC et le réseau VPC Google Cloud sous-jacent. Vous pouvez également configurer l'accès aux services privés pour connecter votre cluster AlloyDB à des ressources résidant dans un projetGoogle Cloud distinct. Pour ce faire, vous devez fusionner les réseaux VPC des deux projets à l'aide du VPC partagé.

Avant de commencer

  • Le projet Google Cloud que vous utilisez doit avoir été activé pour accéder à AlloyDB.
  • Vous devez disposer de l'un des rôles IAM suivants dans le projet Google Cloud que vous utilisez :
    • roles/alloydb.admin (rôle IAM prédéfini "Administrateur AlloyDB")
    • roles/owner (rôle IAM de base "Propriétaire")
    • roles/editor (rôle IAM de base Éditeur)

    Si vous ne disposez d'aucun de ces rôles, contactez l'administrateur de votre organisation pour demander l'accès.

  • Pour créer une configuration d'accès aux services privés, vous devez également disposer des autorisations IAM suivantes :
    • compute.networks.list
    • compute.addresses.create
    • compute.addresses.list
    • servicenetworking.services.addPeering

Créer des plages d'adresses IP de VPC

Console

  1. Accédez à la page des réseaux VPC.

    Accéder aux réseaux VPC

  2. Sélectionnez le projet dans lequel résident AlloyDB et le réseau VPC.

  3. Cliquez sur le nom du réseau VPC que vous souhaitez utiliser pour l'accès aux services privés.

  4. Sur la page Détails du réseau VPC, faites défiler la liste des onglets jusqu'à l'onglet Accès aux services privés, puis cliquez dessus.

  5. Dans l'onglet Accès aux services privés, cliquez sur l'onglet Plages d'adresses IP allouées pour les services.

  6. Cliquez sur Allouer une plage d'adresses IP.

  7. Dans les champs Nom et Description, saisissez un nom et une description pour la plage allouée.

  8. Spécifiez une valeur de plage d'adresses IP pour l'allocation :

    • Pour spécifier une plage d'adresses IP, cliquez sur Personnalisée, puis saisissez un bloc CIDR, tel que 192.168.0.0/16.

      Pour fournir un espace d'adressage suffisant pour AlloyDB, nous vous recommandons une longueur de préfixe inférieure ou égale à 16.

    • Pour spécifier une longueur de préfixe et laisser Google sélectionner une plage disponible :

      1. Cliquez sur Automatique.

      2. Saisissez une longueur de préfixe sous forme de nombre simple, par exemple 16.

  9. Cliquez sur Allouer pour créer la plage allouée.

  10. Dans l'onglet Accès aux services privés, cliquez sur l'onglet Connexions privées aux services.

  11. Cliquez sur Créer une connexion pour créer une connexion privée entre votre réseau et un producteur de services.

  12. Assurez-vous que Google Cloud Platform est le producteur de services connectés.

  13. Pour l'allocation attribuée, sélectionnez la plage d'adresses IP allouée que vous avez créée précédemment.

  14. Cliquez sur Connecter pour créer la connexion.

gcloud

Pour utiliser gcloud CLI, vous pouvez installer et initialiser Google Cloud CLI, ou utiliser Cloud Shell.

  1. Utilisez la commande gcloud config set pour définir le projet par défaut sur celui où résident AlloyDB et le réseau VPC.

    gcloud config set project PROJECT_ID

    Remplacez PROJECT_ID par l'ID du projet dans lequel résident AlloyDB et le réseau VPC.

  2. Utilisez la commande gcloud compute addresses create pour créer une plage d'adresses IP attribuées.

    Pour fournir suffisamment d'espace d'adressage à AlloyDB, nous vous recommandons une longueur de préfixe inférieure ou égale à 16.

    • Pour spécifier une plage d'adresses et une longueur de préfixe (masque de sous-réseau), utilisez les options --addresses et --prefix-length. Par exemple, pour allouer le bloc CIDR 192.168.0.0/16, spécifiez 192.168.0.0 pour l'adresse et 16 pour la longueur du préfixe.

          gcloud compute addresses create RESERVED_RANGE_NAME \
        --global \
        --purpose=VPC_PEERING \
        --addresses=192.168.0.0 \
        --prefix-length=16 \
        --description="DESCRIPTION" \
        --network=VPC_NETWORK

      Remplacez les éléments suivants :

      • RESERVED_RANGE_NAME : nom de la plage allouée, par exemple my-allocated-range

      • DESCRIPTION : description de la plage, par exemple allocated for my-service

      • VPC_NETWORK : nom de votre réseau VPC. Exemple : my-vpc-network. Dans le cas d'un réseau VPC partagé, définissez le chemin d'accès complet au réseau VPC (par exemple, projects/cymbal-project/global/networks/shared-vpc-network).

    • Pour spécifier uniquement une longueur de préfixe (masque de sous-réseau), utilisez l'option --prefix-length. Si vous ne spécifiez pas de plage d'adresses,Google Cloud sélectionne automatiquement une plage d'adresses non utilisée sur votre réseau VPC.

      L'exemple suivant choisit une plage d'adresses IP non utilisée avec une longueur de préfixe de 16 bits :

          gcloud compute addresses create RESERVED_RANGE_NAME \
        --global \
        --purpose=VPC_PEERING \
        --prefix-length=16 \
        --description="DESCRIPTION" \
        --network=VPC_NETWORK

    L'exemple suivant crée une connexion privée à Google afin que les instances de VM du réseau VPC default puissent accéder aux services Google compatibles avec l'accès aux services privés.

        gcloud compute addresses create google-managed-services-default \
        --global \
        --purpose=VPC_PEERING \
        --prefix-length=16 \
        --description="peering range for Google" \
        --network=default

  3. Utilisez la commande gcloud services vpc-peerings connect pour créer une connexion privée.

        gcloud services vpc-peerings connect \
        --service=servicenetworking.googleapis.com \
        --ranges=RESERVED_RANGE_NAME \
        --network=VPC_NETWORK

    Remplacez les éléments suivants :

    • RESERVED_RANGE_NAME : nom de la plage d'adresses IP allouée que vous avez créée

    • VPC_NETWORK : nom de votre réseau VPC

    La commande lance une opération de longue durée et renvoie un nom d'opération.

  4. Vérifiez si l'opération a réussi.

        gcloud services vpc-peerings operations describe
    --name=OPERATION_NAME

    Remplacez OPERATION_NAME par le nom d'opération renvoyé à l'étape précédente.

Étape suivante