Zugriff auf private Dienste aktivieren

Auf dieser Seite wird beschrieben, wie Sie die VPC-IP-Adressbereiche (Virtual Private Cloud) erstellen, die AlloyDB for PostgreSQL für den Zugriff auf private Dienste benötigt. Eine Übersicht darüber, wie AlloyDB den Zugriff auf private Dienste verwendet, damit die internen Ressourcen miteinander kommunizieren können, finden Sie unter Zugriff auf private Dienste.

Wenn Sie eine Konfiguration für den Zugriff auf private Dienste in einem VPC-Netzwerk (Virtual Private Cloud) erstellen möchten, das sich im selbenGoogle Cloud -Projekt wie Ihr AlloyDB-Cluster befindet, führen Sie zwei Vorgänge aus:

  • Erstellen Sie einen zugewiesenen IP-Adressbereich im VPC-Netzwerk.

  • Erstellen Sie eine private Verbindung zwischen dem VPC-Netzwerk und dem zugrunde liegenden Google Cloud VPC-Netzwerk. Sie können auch den Zugriff auf private Dienste konfigurieren, um eine Verbindung zwischen Ihrem AlloyDB-Cluster und Ressourcen in einem separatenGoogle Cloud -Projekt herzustellen. Dazu müssen Sie die VPC-Netzwerke der beiden Projekte über eine freigegebene VPC zusammenführen.

Hinweise

  • Das von Ihnen verwendete Google Cloud -Projekt muss für den Zugriff auf AlloyDB aktiviert sein.
  • Sie benötigen eine der folgenden IAM-Rollen im Google Cloud Projekt, das Sie verwenden:
    • roles/alloydb.admin (die vordefinierte IAM-Rolle „AlloyDB Admin“)
    • roles/owner (einfache IAM-Rolle „Inhaber“)
    • roles/editor (einfache IAM-Rolle „Bearbeiter“)

    Wenn Sie keine dieser Rollen haben, wenden Sie sich an den Organisationsadministrator, um Zugriff anzufordern.

  • Zum Erstellen einer Konfiguration für den Zugriff auf private Dienste benötigen Sie außerdem die folgenden IAM-Berechtigungen:
    • compute.networks.list
    • compute.addresses.create
    • compute.addresses.list
    • servicenetworking.services.addPeering

VPC-IP-Adressbereiche erstellen

Console

  1. Rufen Sie die Seite "VPC-Netzwerke" auf.

    Zur Seite VPC-Netzwerke

  2. Wählen Sie das Projekt aus, in dem sich AlloyDB und das VPC-Netzwerk befinden.

  3. Klicken Sie auf den Namen des VPC-Netzwerk, das Sie für den Zugriff auf private Dienste verwenden möchten.

  4. Scrollen Sie auf der Seite VPC-Netzwerkdetails in der Liste der Tabs zum Tab Zugriff auf private Dienste und klicken Sie darauf.

  5. Klicken Sie auf dem Tab Zugriff auf private Dienste auf den Tab Diensten zugewiesene IP-Bereiche.

  6. Klicken Sie auf IP-Bereich zuweisen.

  7. Geben Sie in den Feldern Name und Beschreibung einen Namen und eine Beschreibung für den zugewiesenen Bereich ein.

  8. Geben Sie einen IP-Bereich für die Zuweisung an:

    • Wenn Sie einen IP-Adressbereich festlegen möchten, klicken Sie auf Benutzerdefiniert und geben Sie einen CIDR-Block ein, z. B. 192.168.0.0/16.

      Damit genügend Adressraum für AlloyDB zur Verfügung steht, empfehlen wir eine Präfixlänge von 16 oder weniger.

    • Wenn Sie eine Präfixlänge festlegen möchten und die Auswahl eines verfügbaren Bereichs durch Google erfolgen soll, gehen Sie so vor:

      1. Klicken Sie auf Automatisch.

      2. Geben Sie die Präfixlänge als einfache Zahl ein, z. B. 16.

  9. Klicken Sie auf Zuweisen, um den zugewiesenen Bereich zu erstellen.

  10. Klicken Sie auf dem Tab Zugriff auf private Dienste auf den Tab Private Verbindungen zu Diensten.

  11. Klicken Sie auf Verbindung erstellen, um eine private Verbindung zwischen Ihrem Netzwerk und einem Dienstersteller herzustellen.

  12. Prüfen Sie, ob Google Cloud Platform der Anbieter des verbundenen Dienstes ist.

  13. Wählen Sie unter Zugewiesene Bereiche den zugewiesenen IP-Bereich aus, den Sie zuvor erstellt haben.

  14. Klicken Sie auf Verbinden, um die Verbindung zu erstellen.

gcloud

Wenn Sie die gcloud CLI verwenden möchten, können Sie die Google Cloud CLI installieren und initialisieren oder Cloud Shell verwenden.

  1. Verwenden Sie den Befehl gcloud config set, um das Standardprojekt auf das Projekt festzulegen, in dem sich AlloyDB und das VPC-Netzwerk befinden.

    gcloud config set project PROJECT_ID

    Ersetzen Sie PROJECT_ID durch die ID des Projekts, in dem sich AlloyDB und das VPC-Netzwerk befinden.

  2. Verwenden Sie den Befehl gcloud compute addresses create, um einen zugewiesenen IP-Adressbereich zu erstellen.

    Damit genügend Adressraum für AlloyDB zur Verfügung steht, empfehlen wir eine Präfixlänge von 16 oder weniger.

    • Legen Sie einen Adressbereich und eine Präfixlänge (Subnetzmaske) mit den Flags --addresses und --prefix-length fest. Wenn Sie beispielsweise den CIDR-Block 192.168.0.0/16 zuordnen möchten, geben Sie 192.168.0.0 für die Adresse und 16 für die Präfixlänge an.

          gcloud compute addresses create RESERVED_RANGE_NAME \
        --global \
        --purpose=VPC_PEERING \
        --addresses=192.168.0.0 \
        --prefix-length=16 \
        --description="DESCRIPTION" \
        --network=VPC_NETWORK

      Ersetzen Sie Folgendes:

      • RESERVED_RANGE_NAME: ein Name für den zugewiesenen Bereich, z. B. my-allocated-range

      • DESCRIPTION: eine Beschreibung für den Bereich, z. B. allocated for my-service

      • VPC_NETWORK: der Name Ihres VPC-Netzwerks, z. B. my-vpc-network Bei einem freigegebene VPC-Netzwerk muss der vollständig qualifizierte Pfad des VPC-Netzwerks angegeben werden, z. B. projects/cymbal-project/global/networks/shared-vpc-network.

    • Wenn Sie nur eine Präfixlänge (Subnetzmaske) angeben möchten, verwenden Sie das Flag --prefix-length. Wenn Sie den Adressbereich weglassen, wähltGoogle Cloud automatisch einen nicht verwendeten Adressbereich in Ihrem VPC-Netzwerk aus.

      Im folgenden Beispiel wird ein nicht verwendeter IP-Adressbereich mit einer Präfixlänge von 16 Bit ausgewählt:

          gcloud compute addresses create RESERVED_RANGE_NAME \
        --global \
        --purpose=VPC_PEERING \
        --prefix-length=16 \
        --description="DESCRIPTION" \
        --network=VPC_NETWORK

    Im folgenden Beispiel wird eine private Verbindung zu Google erstellt, damit die VM-Instanzen im VPC-Netzwerk default den Zugriff auf private Dienste verwenden können, um die Google-Dienste zu erreichen, die sie unterstützen.

        gcloud compute addresses create google-managed-services-default \
        --global \
        --purpose=VPC_PEERING \
        --prefix-length=16 \
        --description="peering range for Google" \
        --network=default

  3. Verwenden Sie den Befehl gcloud services vpc-peerings connect, um eine private Verbindung zu erstellen.

        gcloud services vpc-peerings connect \
        --service=servicenetworking.googleapis.com \
        --ranges=RESERVED_RANGE_NAME \
        --network=VPC_NETWORK

    Ersetzen Sie Folgendes:

    • RESERVED_RANGE_NAME: der Name des zugewiesenen IP-Adressbereichs, den Sie erstellt haben

    • VPC_NETWORK: Der Name des VPC-Netzwerks

    Der Befehl initiiert einen Vorgang mit langer Ausführungszeit und gibt einen Vorgangsnamen zurück.

  4. Prüfen Sie, ob der Vorgang erfolgreich war.

        gcloud services vpc-peerings operations describe
    --name=OPERATION_NAME

    Ersetzen Sie OPERATION_NAME durch den Vorgangsnamen, der im vorherigen Schritt zurückgegeben wurde.

Weitere Informationen