Cette page explique comment créer les plages d'adresses IP de cloud privé virtuel (VPC) requises par AlloyDB pour PostgreSQL pour l'accès aux services privés. Pour découvrir comment AlloyDB utilise l'accès aux services privés pour permettre à ses ressources internes de communiquer entre elles, consultez la section À propos de l'accès aux services privés.
Pour créer une configuration d'accès aux services privés dans un réseau VPC (cloud privé virtuel) qui se trouve dans le même projet Google Cloud que votre cluster AlloyDB, vous devez effectuer deux opérations:
Créez une plage d'adresses IP allouée dans le réseau VPC.
Créez une connexion privée entre le réseau VPC et le réseau VPC sous-jacent. Google Cloud Vous pouvez également configurer l'accès aux services privés pour connecter votre cluster AlloyDB à des ressources situées dans un projet Google Cloud distinct. Pour ce faire, vous devez fusionner les réseaux VPC des deux projets à l'aide du VPC partagé.
Avant de commencer
- Le projet Google Cloud que vous utilisez doit avoir été autorisé à accéder à AlloyDB.
- Vous devez disposer de l'un des rôles IAM suivants dans le projet Google Cloud que vous utilisez :
roles/alloydb.admin(rôle IAM prédéfini "AlloyDB Admin")roles/owner(rôle IAM de base Propriétaire)roles/editor(rôle IAM de base Éditeur)
Si vous ne disposez d'aucun de ces rôles, contactez l'administrateur de votre organisation pour demander l'accès.
- Pour créer une configuration d'accès aux services privés, vous devez également disposer des autorisations IAM suivantes :
compute.networks.listcompute.addresses.createcompute.addresses.listservicenetworking.services.addPeering
Procédure
Console
Accédez à la page des réseaux VPC.
Sélectionnez le projet dans lequel se trouvent AlloyDB et le réseau VPC.
Cliquez sur le nom du réseau VPC que vous souhaitez utiliser pour l'accès aux services privés.
Sur la page Détails du réseau VPC, faites défiler la liste des onglets jusqu'à l'onglet Connexion au service privé, puis cliquez dessus.
Dans l'onglet Connexion de service privée, cliquez sur l'onglet Plages d'adresses IP allouées pour les services.
Cliquez sur Allouer une plage d'adresses IP.
Dans les champs Nom et Description, saisissez un nom et une description pour la plage allouée.
Spécifiez une valeur de plage d'adresses IP pour l'allocation:
Pour spécifier une plage d'adresses IP, cliquez sur Personnalisée, puis saisissez un bloc CIDR, tel que
192.168.0.0/16.Pour fournir un espace d'adressage suffisant à AlloyDB, nous vous recommandons de choisir une longueur de préfixe de
16ou moins.Pour spécifier une longueur de préfixe et laisser Google sélectionner une plage disponible, procédez comme suit:
Cliquez sur Automatique.
Saisissez une longueur de préfixe sous la forme d'un nombre simple, par exemple
16.
Cliquez sur Allouer pour créer la plage allouée.
Dans l'onglet Connexion de service privée, cliquez sur l'onglet Connexions privées aux services.
Cliquez sur Créer une connexion pour créer une connexion privée entre votre réseau et un producteur de services.
Assurez-vous que Google Cloud Platform est le producteur de services connectés.
Pour Allocation attribuée, sélectionnez la plage d'adresses IP que vous avez allouée précédemment.
Cliquez sur Connecter pour créer la connexion.
gcloud
Pour utiliser gcloud CLI, vous pouvez installer et initialiser Google Cloud CLI ou utiliser Cloud Shell.
Utilisez la commande
gcloud config setpour définir le projet par défaut sur celui où se trouvent AlloyDB et le réseau VPC.gcloud config set project PROJECT_IDRemplacez
PROJECT_IDpar l'ID du projet dans lequel se trouvent AlloyDB et le réseau VPC.Utilisez la commande
gcloud compute addresses createpour créer une plage d'adresses IP allouée.Pour fournir un espace d'adressage suffisant à AlloyDB, nous vous recommandons de choisir une longueur de préfixe inférieure ou égale à
16.Pour spécifier une plage d'adresses et une longueur de préfixe (masque de sous-réseau), utilisez les options
--addresseset--prefix-length. Par exemple, pour allouer le bloc CIDR192.168.0.0/16, spécifiez192.168.0.0pour l'adresse et16pour la longueur du préfixe.gcloud compute addresses create RESERVED_RANGE_NAME \ --global \ --purpose=VPC_PEERING \ --addresses=192.168.0.0 \ --prefix-length=16 \ --description="DESCRIPTION" \ --network=VPC_NETWORKRemplacez les éléments suivants :
RESERVED_RANGE_NAME: nom de la plage allouée, par exemplemy-allocated-rangeDESCRIPTION: description de la plage, telle queallocated for my-serviceVPC_NETWORK: nom de votre réseau VPC, par exemplemy-vpc-network
Pour spécifier uniquement une longueur de préfixe (masque de sous-réseau), utilisez l'option
--prefix-length. Si vous ne spécifiez pas de plage d'adresses,Google Cloud sélectionne automatiquement une plage d'adresses non utilisée sur votre réseau VPC.L'exemple suivant sélectionne une plage d'adresses IP non utilisée avec une longueur de préfixe de
16bits:gcloud compute addresses create RESERVED_RANGE_NAME \ --global \ --purpose=VPC_PEERING \ --prefix-length=16 \ --description="DESCRIPTION" \ --network=VPC_NETWORK
L'exemple suivant crée une connexion privée à Google afin que les instances de VM du réseau VPC
defaultpuissent accéder aux services Google compatibles avec l'accès aux services privés.gcloud compute addresses create google-managed-services-default \ --global \ --purpose=VPC_PEERING \ --prefix-length=16 \ --description="peering range for Google" \ --network=defaultUtilisez la commande
gcloud services vpc-peerings connectpour créer une connexion privée.gcloud services vpc-peerings connect \ --service=servicenetworking.googleapis.com \ --ranges=RESERVED_RANGE_NAME \ --network=VPC_NETWORKRemplacez les éléments suivants :
RESERVED_RANGE_NAME: nom de la plage d'adresses IP allouée que vous avez crééeVPC_NETWORK: nom de votre réseau VPC
La commande lance une opération de longue durée et renvoie un nom d'opération.
Vérifiez si l'opération a réussi.
gcloud services vpc-peerings operations describe --name=OPERATION_NAMERemplacez
OPERATION_NAMEpar le nom d'opération renvoyé à l'étape précédente.