Auf dieser Seite wird beschrieben, wie Sie die VPC-IP-Adressbereiche (Virtual Private Cloud) erstellen, die AlloyDB for PostgreSQL für den Zugriff auf private Dienste benötigt. Eine Übersicht darüber, wie AlloyDB den Zugriff auf private Dienste verwendet, damit die internen Ressourcen miteinander kommunizieren können, finden Sie unter Zugriff auf private Dienste.
Wenn Sie eine Konfiguration für den Zugriff auf private Dienste in einem VPC-Netzwerk (Virtual Private Cloud) erstellen möchten, das sich im selbenGoogle Cloud -Projekt wie Ihr AlloyDB-Cluster befindet, führen Sie zwei Vorgänge aus:
Erstellen Sie einen zugewiesenen IP-Adressbereich im VPC-Netzwerk.
Erstellen Sie eine private Verbindung zwischen dem VPC-Netzwerk und dem zugrunde liegenden Google Cloud VPC-Netzwerk. Sie können auch den Zugriff auf private Dienste konfigurieren, um eine Verbindung zwischen Ihrem AlloyDB-Cluster und Ressourcen in einem separatenGoogle Cloud -Projekt herzustellen. Dazu müssen Sie die VPC-Netzwerke der beiden Projekte über eine freigegebene VPC zusammenführen.
Hinweise
- Das von Ihnen verwendete Google Cloud -Projekt muss für den Zugriff auf AlloyDB aktiviert sein.
- Sie benötigen eine der folgenden IAM-Rollen im Google Cloud Projekt, das Sie verwenden:
roles/alloydb.admin
(die vordefinierte IAM-Rolle „AlloyDB Admin“)roles/owner
(einfache IAM-Rolle „Inhaber“)roles/editor
(einfache IAM-Rolle „Bearbeiter“)
Wenn Sie keine dieser Rollen haben, wenden Sie sich an den Organisationsadministrator, um Zugriff anzufordern.
- Zum Erstellen einer Konfiguration für den Zugriff auf private Dienste benötigen Sie außerdem die folgenden IAM-Berechtigungen:
compute.networks.list
compute.addresses.create
compute.addresses.list
servicenetworking.services.addPeering
VPC-IP-Adressbereiche erstellen
Console
Rufen Sie die Seite "VPC-Netzwerke" auf.
Wählen Sie das Projekt aus, in dem sich AlloyDB und das VPC-Netzwerk befinden.
Klicken Sie auf den Namen des VPC-Netzwerk, das Sie für den Zugriff auf private Dienste verwenden möchten.
Scrollen Sie auf der Seite VPC-Netzwerkdetails in der Liste der Tabs zum Tab Zugriff auf private Dienste und klicken Sie darauf.
Klicken Sie auf dem Tab Zugriff auf private Dienste auf den Tab Diensten zugewiesene IP-Bereiche.
Klicken Sie auf IP-Bereich zuweisen.
Geben Sie in den Feldern Name und Beschreibung einen Namen und eine Beschreibung für den zugewiesenen Bereich ein.
Geben Sie einen IP-Bereich für die Zuweisung an:
Wenn Sie einen IP-Adressbereich festlegen möchten, klicken Sie auf Benutzerdefiniert und geben Sie einen CIDR-Block ein, z. B.
192.168.0.0/16
.Damit genügend Adressraum für AlloyDB zur Verfügung steht, empfehlen wir eine Präfixlänge von
16
oder weniger.Wenn Sie eine Präfixlänge festlegen möchten und die Auswahl eines verfügbaren Bereichs durch Google erfolgen soll, gehen Sie so vor:
Klicken Sie auf Automatisch.
Geben Sie die Präfixlänge als einfache Zahl ein, z. B.
16
.
Klicken Sie auf Zuweisen, um den zugewiesenen Bereich zu erstellen.
Klicken Sie auf dem Tab Zugriff auf private Dienste auf den Tab Private Verbindungen zu Diensten.
Klicken Sie auf Verbindung erstellen, um eine private Verbindung zwischen Ihrem Netzwerk und einem Dienstersteller herzustellen.
Prüfen Sie, ob Google Cloud Platform der Anbieter des verbundenen Dienstes ist.
Wählen Sie unter Zugewiesene Bereiche den zugewiesenen IP-Bereich aus, den Sie zuvor erstellt haben.
Klicken Sie auf Verbinden, um die Verbindung zu erstellen.
gcloud
Wenn Sie die gcloud CLI verwenden möchten, können Sie die Google Cloud CLI installieren und initialisieren oder Cloud Shell verwenden.
Verwenden Sie den Befehl
gcloud config set
, um das Standardprojekt auf das Projekt festzulegen, in dem sich AlloyDB und das VPC-Netzwerk befinden.gcloud config set project PROJECT_ID
Ersetzen Sie
PROJECT_ID
durch die ID des Projekts, in dem sich AlloyDB und das VPC-Netzwerk befinden.Verwenden Sie den Befehl
gcloud compute addresses create
, um einen zugewiesenen IP-Adressbereich zu erstellen.Damit genügend Adressraum für AlloyDB zur Verfügung steht, empfehlen wir eine Präfixlänge von
16
oder weniger.Legen Sie einen Adressbereich und eine Präfixlänge (Subnetzmaske) mit den Flags
--addresses
und--prefix-length
fest. Wenn Sie beispielsweise den CIDR-Block192.168.0.0/16
zuordnen möchten, geben Sie192.168.0.0
für die Adresse und16
für die Präfixlänge an.gcloud compute addresses create RESERVED_RANGE_NAME \ --global \ --purpose=VPC_PEERING \ --addresses=192.168.0.0 \ --prefix-length=16 \ --description="DESCRIPTION" \ --network=VPC_NETWORK
Ersetzen Sie Folgendes:
RESERVED_RANGE_NAME
: ein Name für den zugewiesenen Bereich, z. B.my-allocated-range
DESCRIPTION
: eine Beschreibung für den Bereich, z. B.allocated for my-service
VPC_NETWORK
: der Name Ihres VPC-Netzwerks, z. B.my-vpc-network
Bei einem freigegebene VPC-Netzwerk muss der vollständig qualifizierte Pfad des VPC-Netzwerks angegeben werden, z. B.projects/cymbal-project/global/networks/shared-vpc-network
.
Wenn Sie nur eine Präfixlänge (Subnetzmaske) angeben möchten, verwenden Sie das Flag
--prefix-length
. Wenn Sie den Adressbereich weglassen, wähltGoogle Cloud automatisch einen nicht verwendeten Adressbereich in Ihrem VPC-Netzwerk aus.Im folgenden Beispiel wird ein nicht verwendeter IP-Adressbereich mit einer Präfixlänge von
16
Bit ausgewählt:gcloud compute addresses create RESERVED_RANGE_NAME \ --global \ --purpose=VPC_PEERING \ --prefix-length=16 \ --description="DESCRIPTION" \ --network=VPC_NETWORK
Im folgenden Beispiel wird eine private Verbindung zu Google erstellt, damit die VM-Instanzen im VPC-Netzwerk
default
den Zugriff auf private Dienste verwenden können, um die Google-Dienste zu erreichen, die sie unterstützen.gcloud compute addresses create google-managed-services-default \ --global \ --purpose=VPC_PEERING \ --prefix-length=16 \ --description="peering range for Google" \ --network=default
Verwenden Sie den Befehl
gcloud services vpc-peerings connect
, um eine private Verbindung zu erstellen.gcloud services vpc-peerings connect \ --service=servicenetworking.googleapis.com \ --ranges=RESERVED_RANGE_NAME \ --network=VPC_NETWORK
Ersetzen Sie Folgendes:
RESERVED_RANGE_NAME
: der Name des zugewiesenen IP-Adressbereichs, den Sie erstellt habenVPC_NETWORK
: Der Name des VPC-Netzwerks
Der Befehl initiiert einen Vorgang mit langer Ausführungszeit und gibt einen Vorgangsnamen zurück.
Prüfen Sie, ob der Vorgang erfolgreich war.
gcloud services vpc-peerings operations describe --name=OPERATION_NAME
Ersetzen Sie
OPERATION_NAME
durch den Vorgangsnamen, der im vorherigen Schritt zurückgegeben wurde.