Umgebung einrichten

Auf dieser Seite wird beschrieben, wie Sie Ihre Netzwerkumgebung einrichten, bevor Sie private Pools erstellen und verwenden können. Wenn Sie mit privaten Pools nicht vertraut sind, lesen Sie die Übersicht zu privaten Pools.

Informationen zu den Netzwerkkonfigurationsoptionen

Private Pools werden in einem Virtual Private Cloud-Netzwerk von Google gehostet, das als Diensterstellernetzwerk bezeichnet wird. Beim Einrichten eines privaten Pools können Sie entweder das Diensterstellernetzwerk verwenden oder eine private Verbindung zwischen dem Diensterstellernetzwerk und dem VPC-Netzwerk festlegen, das Ihre Ressourcen enthält.

Wählen Sie abhängig von den Anforderungen Ihrer Organisation eines der folgenden Konfigurationsschemas für Netzwerke aus:

  • Diensterstellernetzwerk allein verwenden: Verwenden Sie diese Option in folgenden Fällen:

    Dies ist die Standardnetzwerkoption zum Erstellen des privaten Pools und erfordert keine Netzwerkeinrichtung. Wenn Sie sich für diese Option interessieren, fahren Sie mit dem Erstellen des privaten Pools fort.

  • Eine private Verbindung zwischen dem Diensterstellernetzwerk und Ihrem VPC-Netzwerk einrichten: Über die private Verbindung können VM-Instanzen in Ihrem VPC-Netzwerk und private Pools ausschließlich über interne IP-Adressen kommunizieren. Verwenden Sie diese Option in folgenden Fällen:

    • Sie möchten, dass Builds auf Ressourcen in Ihrem VPC-Netzwerk zugreifen
    • Sie möchten konfigurierbare Maschinentypen und -größen

Private Verbindung zwischen Ihrem VPC-Netzwerk und dem Netzwerk des Diensterstellers einrichten

  1. Sie müssen ein vorhandenes VPC-Netzwerk haben, mit dem Sie sich mit dem Netzwerk des Diensterstellers verbinden.

  2. Um die Befehlszeilenbeispiele in dieser Anleitung zu verwenden, installieren und konfigurieren Sie das Cloud SDK.

  3. API aktivieren:

    Console


    Cloud Build and the Service Networking APIs aktivieren.

    Aktivieren Sie die APIs

    gcloud

    Aktivieren Sie die Cloud Build API und die Service Networking API:

    gcloud services enable cloudbuild.googleapis.com servicenetworking.googleapis.com
    
  4. Sie benötigen die IAM-Rolle Compute Engine-Netzwerkadministrator für das Projekt, in dem sich Ihr VPC-Netzwerk befindet. Diese Rolle ist erforderlich, um die private Verbindung einzurichten.

  5. Weisen Sie im VPC-Netzwerk einen benannten IP-Bereich zu.

    Der hier angegebene IP-Bereich unterliegt den Firewallregeln, die im VPC-Netzwerk definiert sind.

    Cloud Build reserviert den IP-Bereich 192.168.10.0/24 für das Docker-Brückennetzwerk. Beim Zuweisen der IP-Bereiche für Ressourcen in Ihren Projekten empfehlen wir, einen Bereich außerhalb von 192.168.10.0/24 in Fällen auszuwählen, in denen Cloud Build-Builder auf diese Ressourcen zugreifen sollen.

    Auf den Adressbereich der Google Kubernetes Engine-Steuerungsebene 192.168.10.96/28 könnte beispielsweise aufgrund der Überlappung nicht über den gke_deploy-Builder von Cloud Build zugegriffen werden.

    Console

    1. Rufen Sie in der Google Cloud Console die Seite „VPC-Netzwerke“ auf.

      Zur VPC-Netzwerkseite

    2. Wählen Sie das VPC-Netzwerk aus, das eine Verbindung zum VPC-Netzwerk des privaten Pools herstellt.

    3. Wählen Sie den Tab Private Dienstverbindung aus.

    4. Wählen Sie auf dem Tab Private Dienstverbindung den Tab Diensten zugewiesene IP-Bereiche aus.

    5. Klicken Sie auf IP-Bereich zuweisen.

    6. Geben Sie Werte für Name und Beschreibung für den zugewiesenen Bereich ein.

    7. Geben Sie einen IP-Bereich für die Zuweisung an:

      • Wenn Sie einen IP-Adressbereich festlegen möchten, wählen Sie Benutzerdefiniert aus und geben einen CIDR-Block ein.
      • Wenn Sie eine Präfixlänge festlegen möchten und die Auswahl eines verfügbaren Bereichs durch Google erfolgen soll, wählen Sie Automatisch aus und geben eine Präfixlänge ein. Die Präfixlänge muss /23 oder niedriger sein, z. B. /22, /21 usw.
    8. Klicken Sie auf Zuweisen, um den zugewiesenen Bereich zu erstellen.

    gcloud

    Legen Sie einen Adressbereich und eine Präfixlänge (Subnetzmaske) mit den Flags addresses und prefix-length fest. Die Präfixlänge muss /23 oder niedriger sein, z. B. /22, /21 usw. So können Sie beispielsweise den CIDR-Block zuordnen192.168.0.0/16 und 192.168.0.0 für die Adresse und 16 für die Präfixlänge angeben.

      gcloud compute addresses create RESERVED_RANGE_NAME \
          --global \
          --purpose=VPC_PEERING \
          --addresses=192.168.0.0 \
          --prefix-length=16 \
          --description=DESCRIPTION \
          --network=VPC_NETWORK
    

    Wenn Sie nur eine Präfixlänge (Subnetzmaske) angeben möchten, verwenden Sie einfach das Flag prefix-length. Wenn Sie den Adressbereich weglassen, wählt Google Cloud automatisch einen nicht verwendeten Adressbereich in Ihrem VPC-Netzwerk aus. In diesem Beispiel wird ein nicht verwendeter IP-Adressbereich mit einer Präfixlänge von 16 Bit ausgewählt.

      gcloud compute addresses create RESERVED_RANGE_NAME \
          --global \
          --purpose=VPC_PEERING \
          --prefix-length=16 \
          --description=DESCRIPTION \
          --network=VPC_NETWORK
    

    Ersetzen Sie die Platzhalterwerte im Befehl durch Folgendes:

    • RESERVED_RANGE_NAME ist ein Name für den zugewiesenen Bereich, z. B. my-allocated-range.
    • DESCRIPTION ist eine Beschreibung für den Bereich, z. B. allocated for my-service.
    • VPC_NETWORK ist der Name Ihres VPC-Netzwerks, z. B. my-vpc-network.
  6. Erstellen Sie eine private Verbindung zwischen dem Dienstersteller-Netzwerk und Ihrem VPC-Netzwerk:

    Console

    1. Rufen Sie in der Cloud Console die Seite VPC-Netzwerke auf.

      Zur VPC-Netzwerkseite

    2. Wählen Sie das VPC-Netzwerk aus, das eine Verbindung zum VPC-Netzwerk des privaten Pools herstellt.

    3. Wählen Sie den Tab Private Dienstverbindung aus.

    4. Wählen Sie auf dem Tab Private Dienstverbindung den Tab Private Verbindungen zu Diensten aus.

    5. Klicken Sie auf Verbindung erstellen, um eine private Verbindung zwischen Ihrem Netzwerk und dem Netzwerk des Diensterstellers herzustellen.

    6. Wählen Sie unter Zugewiesene Bereiche den zugewiesenen Bereich aus, den Sie im vorherigen Schritt erstellt haben.

    7. Klicken Sie auf Verbinden, um die Verbindung zu erstellen.

    gcloud

    1. Erstellen Sie eine private Verbindung:

      gcloud services vpc-peerings connect \
          --service=servicenetworking.googleapis.com \
          --ranges=ALLOCATED_RANGE_NAME \
          --network=VPC_NETWORK \
          --project=PROJECT_ID
      

      Ersetzen Sie die Platzhalterwerte im Befehl durch Folgendes:

      • ALLOCATED_RANGE_NAME: Der zugewiesene Namensbereich, den Sie im vorherigen Schritt erstellt haben.
      • VPC_NETWORK ist der Name des VPC-Netzwerks.
      • PROJECT_ID ist die ID des Projekts, das Ihr VPC-Netzwerk enthält.

      Der Befehl initiiert einen lange laufenden Vorgang und erstellt einen Vorgangsnamen.

    2. Überprüfen Sie, ob der Vorgang erfolgreich war, und ersetzen Sie OPERATION_NAME durch den Vorgangsnamen, der im vorherigen Schritt zurückgegeben wurde.

      gcloud services vpc-peerings operations describe \
          --name=OPERATION_NAME
      
  7. [OPTIONAL: Szenario mit freigegebener VPC] Wenn Sie eine freigegebene VPC verwenden, erstellen Sie den zugewiesenen IP-Bereich und die private Verbindung im Hostprojekt. Normalerweise muss ein Netzwerkadministrator im Hostprojekt diese Aufgaben ausführen. Nachdem das Hostprojekt mit der privaten Verbindung eingerichtet wurde, können VM-Instanzen in Dienstprojekten die private Verbindung mit dem Netzwerk des Diensterstellers verwenden. Das Projekt, das die VPC-Verbindung hostet, und das Projekt, das den privaten Pool enthält, müssen Teil derselben Organisation sein.

  8. [OPTIONAL: Firewallregeln verwenden]. Wenn Sie eine Firewallregel für eingehenden Traffic im VPC-Netzwerk erstellen, geben Sie den hier zugewiesenen IP-Bereich im Quellfilter für die Regel für eingehenden Traffic ein.

Nächste Schritte