Auf dieser Seite wird beschrieben, wie Sie Ihre Netzwerkumgebung für die Verwendung privater Pools in einem VPC-Netzwerk einrichten. Wenn Sie mit privaten Pools nicht vertraut sind, lesen Sie die Übersicht zu privaten Pools.
Informationen zu den Netzwerkkonfigurationsoptionen
Private Pools werden in einem Virtual Private Cloud-Netzwerk von Google gehostet, das als Diensterstellernetzwerk bezeichnet wird. Beim Einrichten eines privaten Pools können Sie entweder das Diensterstellernetzwerk verwenden oder eine private Verbindung zwischen dem Diensterstellernetzwerk und dem VPC-Netzwerk festlegen, das Ihre Ressourcen enthält.
Wählen Sie abhängig von den Anforderungen Ihrer Organisation eines der folgenden Konfigurationsschemas für Netzwerke aus:
Diensterstellernetzwerk allein verwenden: Verwenden Sie diese Option in folgenden Fällen:
- Sie suchen nicht nach Builds, die auf Ressourcen in Ihrem privaten Netzwerk zugreifen können
- Sie möchten konfigurierbare Maschinentypen und -größen
Dies ist die Standardnetzwerkoption zum Erstellen des privaten Pools und erfordert keine Netzwerkeinrichtung. Wenn Sie an dieser Option interessiert sind, fahren Sie mit Privaten Pool erstellen fort.
Eine private Verbindung zwischen dem Diensterstellernetzwerk und Ihrem VPC-Netzwerk einrichten: Über die private Verbindung können VM-Instanzen in Ihrem VPC-Netzwerk und private Pools ausschließlich über interne IP-Adressen kommunizieren. Verwenden Sie diese Option in folgenden Fällen:
- Sie möchten, dass Builds auf Ressourcen in Ihrem VPC-Netzwerk zugreifen
- Sie möchten konfigurierbare Maschinentypen und -größen
Private Verbindung zwischen Ihrem VPC-Netzwerk und dem Netzwerk des Diensterstellers einrichten
Sie müssen ein vorhandenes VPC-Netzwerk haben, mit dem Sie sich mit dem Netzwerk des Diensterstellers verbinden.
Wenn Sie die Befehlszeilenbeispiele in dieser Anleitung verwenden möchten, installieren und konfigurieren Sie die Google Cloud CLI.
API aktivieren:
Console
Cloud Build and the Service Networking APIs aktivieren.
gcloud
Aktivieren Sie die Cloud Build API und die Service Networking API:
gcloud services enable cloudbuild.googleapis.com servicenetworking.googleapis.com-
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Compute Engine-Netzwerkadministrator (
roles/compute.networkAdmin) für das Google Cloud-Projekt zu gewähren, in dem sich das VPC-Netzwerk befindet, um die Berechtigungen zu erhalten, die Sie zum Einrichten einer privaten Verbindung benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.Möglicherweise können Sie die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Weisen Sie im VPC-Netzwerk einen benannten internen IP-Bereich zu:
Der hier angegebene IP-Bereich unterliegt den Firewallregeln, die im VPC-Netzwerk definiert sind.
Cloud Build reserviert die IP-Bereiche
192.168.10.0/24und172.17.0.0/16für das Docker-Brückennetzwerk. Beim Zuweisen der IP-Bereiche für Ressourcen in Ihren Projekten empfiehlt es sich, einen Bereich außerhalb von192.168.10.0/24und172.17.0.0/16auszuwählen, wenn Cloud Build-Builder auf diese Ressourcen zugreifen sollen.Beispielsweise wäre der Adressbereich
192.168.10.96/28der Google Kubernetes Engine-Steuerungsebene über den Cloud Build-gke-deploy-Builder aufgrund der Überschneidung nicht zugänglich.Console
Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.
Wählen Sie das VPC-Netzwerk aus, das eine Verbindung zum VPC-Netzwerk des privaten Pools herstellt.
Wählen Sie den Tab Privater Dienstzugriff aus.
Wählen Sie auf dem Tab Privater Dienstzugriff den Tab Dienste zugewiesene IP-Bereiche aus.
Klicken Sie auf IP-Bereich zuweisen.
Geben Sie Werte für Name und Beschreibung für den zugewiesenen Bereich ein.
Geben Sie einen IP-Bereich für die Zuweisung an:
- Wenn Sie einen IP-Adressbereich festlegen möchten, wählen Sie Benutzerdefiniert aus und geben einen CIDR-Block ein.
- Wenn Sie eine Präfixlänge festlegen möchten und die Auswahl eines verfügbaren Bereichs durch Google erfolgen soll, wählen Sie Automatisch aus und geben eine Präfixlänge ein. Die Präfixlänge muss
/24oder kleiner sein, z. B./22,/21usw.
Klicken Sie auf Zuweisen, um den zugewiesenen Bereich zu erstellen.
gcloud
Legen Sie einen Adressbereich und eine Präfixlänge (Subnetzmaske) mit den Flags
addressesundprefix-lengthfest. Die Präfixlänge muss mindestens /24 betragen, z. B. /22, /21 usw. Wenn Sie beispielsweise den CIDR-Block192.168.0.0/16zuweisen möchten, geben Sie192.168.0.0für die Adresse und16für die Präfixlänge an.gcloud compute addresses create RESERVED_RANGE_NAME \ --global \ --purpose=VPC_PEERING \ --addresses=192.168.0.0 \ --prefix-length=16 \ --description=DESCRIPTION \ --network=VPC_NETWORKWenn Sie nur eine Präfixlänge (Subnetzmaske) angeben möchten, verwenden Sie einfach das Flag
prefix-length. Wenn Sie den Adressbereich weglassen, wählt Google Cloud automatisch einen nicht verwendeten Adressbereich in Ihrem VPC-Netzwerk aus. In diesem Beispiel wird ein nicht verwendeter IP-Adressbereich mit einer Präfixlänge von16Bit ausgewählt.gcloud compute addresses create RESERVED_RANGE_NAME \ --global \ --purpose=VPC_PEERING \ --prefix-length=16 \ --description=DESCRIPTION \ --network=VPC_NETWORKErsetzen Sie die Platzhalterwerte im Befehl durch Folgendes:
RESERVED_RANGE_NAMEist ein Name für den zugewiesenen Bereich, z. B.my-allocated-range.DESCRIPTIONist eine Beschreibung für den Bereich, z. B.allocated for my-service.VPC_NETWORKist der Name Ihres VPC-Netzwerks, z. B.my-vpc-network.
Erstellen Sie eine private Verbindung zwischen dem Dienstersteller-Netzwerk und Ihrem VPC-Netzwerk:
Console
Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.
Wählen Sie das VPC-Netzwerk aus, das eine Verbindung zum VPC-Netzwerk des privaten Pools herstellt.
Wählen Sie den Tab Privater Dienstzugriff aus.
Wählen Sie auf dem Tab Privater Dienstzugriff den Tab Private Verbindungen zu Diensten aus.
Klicken Sie auf Verbindung erstellen, um eine private Verbindung zwischen Ihrem Netzwerk und dem Netzwerk des Diensterstellers herzustellen.
Wählen Sie unter Zugewiesene Bereiche den zugewiesenen Bereich aus, den Sie im vorherigen Schritt erstellt haben.
Klicken Sie auf Verbinden, um die Verbindung zu erstellen.
gcloud
Erstellen Sie eine private Verbindung:
gcloud services vpc-peerings connect \ --service=servicenetworking.googleapis.com \ --ranges=ALLOCATED_RANGE_NAME \ --network=VPC_NETWORK \ --project=PROJECT_IDErsetzen Sie die Platzhalterwerte im Befehl durch Folgendes:
ALLOCATED_RANGE_NAMEist der zugewiesene Name, den Sie im vorherigen Schritt erstellt haben.VPC_NETWORKist der Name des VPC-Netzwerks.PROJECT_IDist die ID des Projekts, das Ihr VPC-Netzwerk enthält.
Der Befehl initiiert einen lange laufenden Vorgang und erstellt einen Vorgangsnamen.
Überprüfen Sie, ob der Vorgang erfolgreich war, und ersetzen Sie
OPERATION_NAMEdurch den Vorgangsnamen, der im vorherigen Schritt zurückgegeben wurde.gcloud services vpc-peerings operations describe \ --name=OPERATION_NAME
[OPTIONAL: Szenario für freigegebene VPC]. Wenn Sie eine freigegebene VPC verwenden, erstellen Sie den zugewiesenen IP-Bereich und die private Verbindung im Hostprojekt. Normalerweise muss ein Netzwerkadministrator im Hostprojekt diese Aufgaben ausführen. Nachdem das Hostprojekt mit der privaten Verbindung eingerichtet wurde, können VM-Instanzen in Dienstprojekten die private Verbindung mit dem Diensterstellernetzwerk verwenden. Das Projekt, in dem die VPC-Verbindung gehostet wird, und das Projekt, das den privaten Pool enthält, muss Teil derselben Organisation sein.
[OPTIONAL: Firewallregeln verwenden]. Wenn Sie eine Firewallregel für eingehenden Traffic im VPC-Netzwerk erstellen, geben Sie den hier zugewiesenen IP-Bereich im Quellfilter für die Regel für eingehenden Traffic ein.