Zugriff auf private Dienste aktivieren

Auf dieser Seite erfahren Sie, wie Sie die IP-Adressbereiche der Virtual Private Cloud (VPC) erstellen, die AlloyDB for PostgreSQL für den Zugriff auf private Dienste benötigt. Eine Übersicht dazu, wie AlloyDB den Zugriff auf private Dienste verwendet, damit seine internen Ressourcen miteinander kommunizieren können, finden Sie unter Zugriff auf private Dienste.

Wenn Sie eine Konfiguration für den Zugriff auf private Dienste in einem VPC-Netzwerk (Virtual Private Cloud) erstellen möchten, das sich im selben Google Cloud-Projekt wie Ihr AlloyDB-Cluster befindet, müssen Sie zwei Vorgänge ausführen:

  • Erstellen Sie einen zugewiesenen IP-Adressbereich im VPC-Netzwerk.

  • Erstellen Sie eine private Verbindung zwischen dem VPC-Netzwerk und dem zugrunde liegenden VPC-Netzwerk. Google Cloud Sie können den Zugriff auf private Dienste auch so konfigurieren, dass Ihr AlloyDB-Cluster mit Ressourcen in einem separaten Google Cloud-Projekt verbunden wird. Dazu müssen Sie die VPC-Netzwerke der beiden Projekte mithilfe von Shared VPC zusammenführen.

Hinweise

  • Für das von Ihnen verwendete Google Cloud-Projekt muss der Zugriff auf AlloyDB aktiviert sein.
  • Sie benötigen eine der folgenden IAM-Rollen im verwendeten Google Cloud-Projekt:
    • roles/alloydb.admin (die vordefinierte IAM-Rolle „AlloyDB Admin“)
    • roles/owner (die einfache IAM-Rolle „Inhaber“)
    • roles/editor (einfache IAM-Rolle „Bearbeiter“)

    Wenn Sie keine dieser Rollen haben, wenden Sie sich an den Administrator Ihrer Organisation, um Zugriff anzufordern.

  • Zum Erstellen einer Konfiguration für den Zugriff auf private Dienste benötigen Sie außerdem die folgenden IAM-Berechtigungen:
    • compute.networks.list
    • compute.addresses.create
    • compute.addresses.list
    • servicenetworking.services.addPeering

Prozedur

Console

  1. Rufen Sie die Seite "VPC-Netzwerke" auf.

    Zur Seite VPC-Netzwerke

  2. Wählen Sie das Projekt aus, in dem sich AlloyDB und das VPC-Netzwerk befinden.

  3. Klicken Sie auf den Namen des VPC-Netzwerks, das Sie für den Zugriff auf private Dienste verwenden möchten.

  4. Scrollen Sie auf der Seite VPC-Netzwerkdetails durch die Liste der Tabs und klicken Sie auf den Tab Private Dienstverbindung.

  5. Klicken Sie auf dem Tab Private Dienstverbindung auf den Tab Diensten zugewiesene IP-Bereiche.

  6. Klicken Sie auf IP-Bereich zuweisen.

  7. Geben Sie in den Feldern Name und Beschreibung einen Namen und eine Beschreibung für den zugewiesenen Bereich ein.

  8. Geben Sie einen Wert für den IP-Bereich für die Zuweisung an:

    • Wenn Sie einen IP-Adressbereich festlegen möchten, klicken Sie auf Benutzerdefiniert und geben Sie einen CIDR-Block ein, z. B. 192.168.0.0/16.

      Um AlloyDB ausreichend Adressraum zur Verfügung zu stellen, empfehlen wir eine Präfixlänge von maximal 16.

    • So legen Sie eine Präfixlänge fest und lassen Google einen verfügbaren Bereich auswählen:

      1. Klicken Sie auf Automatisch.

      2. Geben Sie die Präfixlänge als einfache Zahl ein, z. B. 16.

  9. Klicken Sie auf Zuweisen, um den zugewiesenen Bereich zu erstellen.

  10. Klicken Sie auf dem Tab Private Dienstverbindung auf den Tab Private Verbindungen zu Diensten.

  11. Klicken Sie auf Verbindung erstellen, um eine private Verbindung zwischen Ihrem Netzwerk und einem Dienstersteller herzustellen.

  12. Die Google Cloud Platform muss der Anbieter des verbundenen Dienstes sein.

  13. Wählen Sie unter Zugewiesene Bereiche den zugewiesenen IP-Bereich aus, den Sie zuvor erstellt haben.

  14. Klicken Sie auf Verbinden, um die Verbindung zu erstellen.

gcloud

Wenn Sie die gcloud CLI verwenden möchten, können Sie die Google Cloud CLI installieren und initialisieren oder Cloud Shell verwenden.

  1. Verwenden Sie den Befehl gcloud config set, um das Standardprojekt auf das Projekt festzulegen, in dem sich AlloyDB und das VPC-Netzwerk befinden.

    gcloud config set project PROJECT_ID

    Ersetzen Sie PROJECT_ID durch die ID des Projekts, in dem sich AlloyDB und das VPC-Netzwerk befinden.

  2. Verwenden Sie den Befehl gcloud compute addresses create, um einen zugewiesenen IP‑Adressbereich zu erstellen.

    Um AlloyDB ausreichend Adressraum zur Verfügung zu stellen, empfehlen wir eine Präfixlänge von maximal 16.

    • Legen Sie einen Adressbereich und eine Präfixlänge (Subnetzmaske) mit den Flags --addresses und --prefix-length fest. Wenn Sie beispielsweise den CIDR-Block 192.168.0.0/16 zuordnen möchten, geben Sie 192.168.0.0 für die Adresse und 16 für die Präfixlänge an.

          gcloud compute addresses create RESERVED_RANGE_NAME \
        --global \
        --purpose=VPC_PEERING \
        --addresses=192.168.0.0 \
        --prefix-length=16 \
        --description="DESCRIPTION" \
        --network=VPC_NETWORK

      Ersetzen Sie Folgendes:

      • RESERVED_RANGE_NAME: ein Name für den zugewiesenen Bereich, z. B. my-allocated-range

      • DESCRIPTION: eine Beschreibung für den Bereich, z. B. allocated for my-service

      • VPC_NETWORK: der Name Ihres VPC-Netzwerks, z. B. my-vpc-network

    • Wenn Sie nur eine Präfixlänge (Subnetzmaske) angeben möchten, verwenden Sie einfach das Flag --prefix-length. Wenn Sie den Adressbereich weglassen, wähltGoogle Cloud automatisch einen nicht verwendeten Adressbereich in Ihrem VPC-Netzwerk aus.

      In diesem Beispiel wird ein nicht verwendeter IP-Adressbereich mit einer Präfixlänge von 16 Bit ausgewählt:

          gcloud compute addresses create RESERVED_RANGE_NAME \
        --global \
        --purpose=VPC_PEERING \
        --prefix-length=16 \
        --description="DESCRIPTION" \
        --network=VPC_NETWORK

    Im folgenden Beispiel wird eine private Verbindung zu Google erstellt, damit die VM-Instanzen im VPC-Netzwerk default den Zugriff auf private Dienste verwenden können, um die Google-Dienste zu erreichen, die sie unterstützen.

        gcloud compute addresses create google-managed-services-default \
        --global \
        --purpose=VPC_PEERING \
        --prefix-length=16 \
        --description="peering range for Google" \
        --network=default

  3. Verwenden Sie den Befehl gcloud services vpc-peerings connect, um eine private Verbindung zu erstellen.

        gcloud services vpc-peerings connect \
        --service=servicenetworking.googleapis.com \
        --ranges=RESERVED_RANGE_NAME \
        --network=VPC_NETWORK

    Ersetzen Sie Folgendes:

    • RESERVED_RANGE_NAME: der Name des von Ihnen erstellten zugewiesenen IP-Adressbereichs

    • VPC_NETWORK: Der Name Ihres VPC-Netzwerks

    Der Befehl initiiert einen Vorgang mit langer Ausführungszeit und gibt einen Vorgangsnamen zurück.

  4. Prüfen Sie, ob der Vorgang erfolgreich war.

        gcloud services vpc-peerings operations describe
    --name=OPERATION_NAME

    Ersetzen Sie OPERATION_NAME durch den Vorgangsnamen, der im vorherigen Schritt zurückgegeben wurde.

Weitere Informationen