Configurar o ambiente para usar pools particulares em uma rede VPC

Nesta página, mostramos como configurar seu ambiente de rede para usar pools particulares em uma rede VPC. Se você não conhece os pools particulares, leia a Visão geral dos pools particulares.

Noções básicas sobre opções de configuração de rede

Os pools particulares são hospedados em uma rede de nuvem privada virtual do Google chamada rede do produtor de serviços. Ao configurar um pool particulares, você pode optar por usar a rede do produtor de serviços ou configurar uma conexão particular entre a rede do produtor de serviços e a Rede VPC que contém seus recursos.

Escolha um dos seguintes esquemas de configuração de rede, dependendo das necessidades da sua organização:

  • Use a rede de produtores de serviços sozinha: use essa opção se:

    Essa é a opção de rede padrão para criar o pool particular e não requer configuração de rede. Se você tiver interesse nessa opção, crie o pool particular.

  • Configurar uma conexão particular entre a rede produtora de serviços e a rede VPC: a conexão particular permite que as instâncias de VM na sua rede VPC e nos pools particulares se comuniquem exclusivamente usando endereços IP internos. Use essa opção se:

    • quiser que os builds acessem recursos em sua rede VPC.
    • quiser tipos e tamanhos de máquina configuráveis.

Como configurar uma conexão privada entre sua rede VPC e a rede do produtor de serviços

  1. Você precisa ter uma rede VPC existente para se conectar à rede do fornecedor de serviços.

  2. Para usar os exemplos de linha de comando neste guia, instale e configure a Google Cloud CLI.

  3. Ativar API:

    Console


    Ative as APIs Cloud Build and the Service Networking.

    Ative as APIs

    gcloud

    Ative as APIs Cloud Build e Service Networking:

    gcloud services enable cloudbuild.googleapis.com servicenetworking.googleapis.com
    
  4. Para ter as permissões necessárias para configurar uma conexão particular, peça ao administrador para conceder a você o papel do IAM de administrador de rede do Compute Engine (roles/compute.networkAdmin) no projeto do Google Cloud em que a rede VPC está localizada. Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.

    Talvez você também consiga receber as permissões necessárias por meio de papéis personalizados ou outros papéis predefinidos.

  5. Na rede VPC, aloque um intervalo de IP interno nomeado:

    O intervalo de IP que você especificar estará sujeito às regras de firewall definidas na rede VPC.

    O Cloud Build reserva os intervalos de IP 192.168.10.0/24 e 172.17.0.0/16 para a rede de ponte do Docker. Ao alocar os intervalos de IP para recursos nos seus projetos, recomendamos selecionar um intervalo fora de 192.168.10.0/24 e 172.17.0.0/16 nos casos em que os builders do Cloud Build podem acessar esses recursos.

    Por exemplo, o intervalo de endereços do plano de controle do Google Kubernetes Engine 192.168.10.96/28 não poderia ser acessado no builder gke-deploy do Cloud Build devido à sobreposição.

    Console

    1. Acesse a página "Redes VPC" no Console do Google Cloud.

      Acessar a página "Redes VPC"

    2. Selecione a rede VPC que se conectará à rede VPC do pool particular.

    3. Selecione a guia Acesso a serviços privados.

    4. Na guia Acesso particular a serviços, selecione Intervalos de IP alocados para serviços.

    5. Clique em Alocar intervalo de IP.

    6. Insira um Nome e uma Descrição para o intervalo alocado.

    7. Especifique um intervalo de IP para a alocação:

      • Para especificar um intervalo de endereços IP, selecione Personalizado e insira um bloco CIDR.
      • Para especificar o tamanho de um prefixo e permitir que o Google selecione um intervalo disponível, selecione Automático e insira um tamanho de prefixo. O comprimento do prefixo precisa ser /24 ou menor, como /22, /21 etc.
    8. Clique em Alocar para criar o intervalo alocado.

    gcloud

    Para especificar um intervalo de endereços e um tamanho de prefixo (máscara de sub-rede), use os sinalizadores addresses e prefix-length. O comprimento do prefixo precisa ser /24 ou menor, como /22, /21 etc. Por exemplo, para alocar o bloco CIDR 192.168.0.0/16, especifique 192.168.0.0 para o endereço e 16 para o tamanho do prefixo.

      gcloud compute addresses create RESERVED_RANGE_NAME \
          --global \
          --purpose=VPC_PEERING \
          --addresses=192.168.0.0 \
          --prefix-length=16 \
          --description=DESCRIPTION \
          --network=VPC_NETWORK
    

    Para especificar apenas um tamanho de prefixo (máscara de sub-rede), basta usar a sinalização prefix-length. Quando você omitir o intervalo de endereços, o Google Cloud selecionará automaticamente um intervalo de endereços não utilizado na sua rede VPC. No exemplo a seguir, é selecionado um intervalo de endereços IP não utilizado com um tamanho de prefixo de 16 bits.

      gcloud compute addresses create RESERVED_RANGE_NAME \
          --global \
          --purpose=VPC_PEERING \
          --prefix-length=16 \
          --description=DESCRIPTION \
          --network=VPC_NETWORK
    

    Substitua os valores de marcador no comando pelo seguinte:

    • RESERVED_RANGE_NAME: um nome para o intervalo alocado, como my-allocated-range.
    • DESCRIPTION uma descrição para o intervalo, como allocated for my-service.
    • VPC_NETWORK o nome da rede VPC, como my-vpc-network.

  6. Crie uma conexão particular entre a rede do produtor de serviço e a rede VPC:

    Console

    1. Acesse a página "Redes VPC" no Console do Google Cloud.

      Acessar a página "Redes VPC"

    2. Selecione a rede VPC que se conectará à rede VPC do pool particular.

    3. Selecione a guia Acesso a serviços privados.

    4. Na guia Acesso a serviços particulares, selecione a guia Conexões particulares com os serviços.

    5. Clique em Criar conexão para criar uma conexão particular entre sua rede e a rede do produtor de serviços.

    6. Em Alocação atribuída, selecione o intervalo alocado que você criou na etapa anterior.

    7. Clique em Conectar para criar a conexão.

    gcloud

    1. Crie uma conexão particular.

      gcloud services vpc-peerings connect \
          --service=servicenetworking.googleapis.com \
          --ranges=ALLOCATED_RANGE_NAME \
          --network=VPC_NETWORK \
          --project=PROJECT_ID
      

      Substitua os valores de marcador no comando pelo seguinte:

      • ALLOCATED_RANGE_NAME: o intervalo alocado do nome que você criou na etapa anterior.
      • VPC_NETWORK: o nome da sua rede VPC.
      • PROJECT_ID: o ID do projeto que contém sua rede VPC.

      O comando inicia uma operação de longa duração, que retorna um nome de operação.

    2. Verifique se a operação foi bem-sucedida, substituindo OPERATION_NAME pelo nome da operação retornado da etapa anterior.

      gcloud services vpc-peerings operations describe \
          --name=OPERATION_NAME
      
  7. [OPCIONAL: cenário de VPC compartilhada]. Caso você esteja usando a VPC compartilhada, crie o intervalo de IP alocado e a conexão particular no projeto host. Normalmente, o administrador de rede no projeto host é quem realiza essas tarefas. Depois que o projeto host estiver configurado com a conexão particular, as instâncias de VM em projetos de serviço poderão usar a conexão particular com a rede do produtor de serviços. O projeto que hospeda a conexão VPC e o projeto que contém o pool particular precisam fazer parte da mesma organização.

  8. [OPCIONAL: como usar regras de firewall]. Se você estiver criando uma regra de firewall de entrada na rede VPC, especifique o mesmo intervalo de IP alocado no filtro de origem. para a regra de entrada.

A seguir