Auf dieser Seite wird beschrieben, wie Sie Ihre Netzwerkumgebung für die Verwendung privater Pools einrichten in einem VPC-Netzwerk. Wenn Sie mit privaten Pools nicht vertraut sind, lesen Sie die Übersicht zu privaten Pools.
Informationen zu den Netzwerkkonfigurationsoptionen
Private Pools werden in einem Virtual Private Cloud-Netzwerk von Google gehostet, das als Diensterstellernetzwerk bezeichnet wird. Beim Einrichten eines privaten Pools können Sie entweder das Diensterstellernetzwerk verwenden oder eine private Verbindung zwischen dem Diensterstellernetzwerk und dem VPC-Netzwerk festlegen, das Ihre Ressourcen enthält.
Wählen Sie abhängig von den Anforderungen Ihrer Organisation eines der folgenden Konfigurationsschemas für Netzwerke aus:
Diensterstellernetzwerk allein verwenden: Verwenden Sie diese Option in folgenden Fällen:
- Sie suchen nicht nach Builds, die auf Ressourcen in Ihrem privaten Netzwerk zugreifen können
- Sie möchten konfigurierbare Maschinentypen und -größen
Dies ist die Standardnetzwerkoption zum Erstellen des privaten Pools. Sie müssen kein Netzwerk einrichten. Wenn Sie an dieser Option interessiert sind, fahren Sie mit Privaten Pool erstellen fort.
Eine private Verbindung zwischen dem Diensterstellernetzwerk und Ihrem VPC-Netzwerk einrichten: Über die private Verbindung können VM-Instanzen in Ihrem VPC-Netzwerk und private Pools ausschließlich über interne IP-Adressen kommunizieren. Verwenden Sie diese Option in folgenden Fällen:
- Sie möchten, dass Builds auf Ressourcen in Ihrem VPC-Netzwerk zugreifen
- Sie möchten konfigurierbare Maschinentypen und -größen
Private Verbindung zwischen Ihrem VPC-Netzwerk und dem Netzwerk des Diensterstellers einrichten
Sie müssen ein vorhandenes VPC-Netzwerk haben, mit dem Sie sich mit dem Netzwerk des Diensterstellers verbinden.
Um die Befehlszeilenbeispiele in dieser Anleitung zu verwenden, installieren und Konfigurieren Sie die Google Cloud CLI.
API aktivieren:
Console
Enable the Cloud Build and the Service Networking APIs.
gcloud
Aktivieren Sie die Cloud Build API und die Service Networking API:
gcloud services enable cloudbuild.googleapis.com servicenetworking.googleapis.com
-
Um die Berechtigungen zu erhalten, die Sie zum Einrichten einer privaten Verbindung benötigen, bitten Sie Ihren Administrator, Ihnen Die IAM-Rolle Compute Engine-Netzwerkadministrator (
roles/compute.networkAdmin
) für das Google Cloud-Projekt, in dem sich das VPC-Netzwerk befindet. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Weisen Sie im VPC-Netzwerk einen benannten internen IP-Bereich zu:
Der hier angegebene IP-Bereich unterliegt den Firewallregeln, die im VPC-Netzwerk definiert sind.
Cloud Build reserviert die IP-Bereiche
192.168.10.0/24
und172.17.0.0/16
für das Docker-Brückennetzwerk. Beim Zuweisen der IP-Adresse Bereiche für Ressourcen in Ihren Projekten zu verwenden, empfehlen wir, einen Bereich auszuwählen außerhalb von192.168.10.0/24
und172.17.0.0/16
, wenn Folgendes zutrifft: Cloud Build-Builder haben Zugriff auf diese Ressourcen.Auf den Adressbereich der Google Kubernetes Engine-Steuerungsebene
192.168.10.96/28
könnte beispielsweise aufgrund der Überlappung nicht über dengke-deploy
-Builder von Cloud Build zugegriffen werden.Console
Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.
Wählen Sie das VPC-Netzwerk aus, das eine Verbindung zum VPC-Netzwerk des privaten Pools herstellt.
Wählen Sie den Tab Zugriff auf private Dienste aus.
Wählen Sie auf dem Tab Privater Dienstzugriff die Option Zugewiesene IP-Adresse Bereiche für Dienste.
Klicken Sie auf IP-Bereich zuweisen.
Geben Sie Werte für Name und Beschreibung für den zugewiesenen Bereich ein.
Geben Sie einen IP-Bereich für die Zuweisung an:
- Wenn Sie einen IP-Adressbereich festlegen möchten, wählen Sie Benutzerdefiniert aus und geben einen CIDR-Block ein.
- Wenn Sie eine Präfixlänge festlegen möchten und die Auswahl eines verfügbaren Bereichs durch Google erfolgen soll, wählen Sie Automatisch aus und geben eine Präfixlänge ein. Die Präfixlänge muss
/24
oder niedriger sein, z. B./22
oder/21
.
Klicken Sie auf Zuweisen, um den zugewiesenen Bereich zu erstellen.
gcloud
Legen Sie einen Adressbereich und eine Präfixlänge (Subnetzmaske) mit den Flags
addresses
undprefix-length
fest. Die Präfixlänge muss /24 sein oder niedriger, z. B. /22, /21 usw. Um z. B. das CIDR Block192.168.0.0/16
, geben Sie192.168.0.0
für die Adresse und16
an für die Präfixlänge.gcloud compute addresses create RESERVED_RANGE_NAME \ --global \ --purpose=VPC_PEERING \ --addresses=192.168.0.0 \ --prefix-length=16 \ --description=DESCRIPTION \ --network=VPC_NETWORK
Wenn Sie nur eine Präfixlänge (Subnetzmaske) angeben möchten, verwenden Sie einfach das Flag
prefix-length
. Wenn Sie den Adressbereich weglassen, wählt Google Cloud automatisch einen nicht verwendeten Adressbereich in Ihrem VPC-Netzwerk aus. In diesem Beispiel wird ein nicht verwendeter IP-Adressbereich mit einer Präfixlänge von16
Bit ausgewählt.gcloud compute addresses create RESERVED_RANGE_NAME \ --global \ --purpose=VPC_PEERING \ --prefix-length=16 \ --description=DESCRIPTION \ --network=VPC_NETWORK
Ersetzen Sie die Platzhalterwerte im Befehl durch Folgendes:
RESERVED_RANGE_NAME
ist ein Name für den zugewiesenen Bereich, z. B.my-allocated-range
.DESCRIPTION
ist eine Beschreibung für den Bereich, z. B.allocated for my-service
.VPC_NETWORK
ist der Name Ihres VPC-Netzwerks, z. B.my-vpc-network
.
Erstellen Sie eine private Verbindung zwischen dem Dienstersteller-Netzwerk und Ihrem VPC-Netzwerk:
Console
Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.
Wählen Sie das VPC-Netzwerk aus, das eine Verbindung zum VPC-Netzwerk des privaten Pools herstellt.
Wählen Sie den Tab Zugriff auf private Dienste aus.
Wählen Sie auf dem Tab Zugriff auf private Dienste den Tab Private Verbindungen zu Diensten aus.
Klicken Sie auf Verbindung erstellen, um eine private Verbindung zwischen Ihrem Netzwerk und dem Netzwerk des Diensterstellers herzustellen.
Wählen Sie unter Zugewiesene Bereiche den zugewiesenen Bereich aus, den Sie im vorherigen Schritt erstellt haben.
Klicken Sie auf Verbinden, um die Verbindung zu erstellen.
gcloud
Erstellen Sie eine private Verbindung:
gcloud services vpc-peerings connect \ --service=servicenetworking.googleapis.com \ --ranges=ALLOCATED_RANGE_NAME \ --network=VPC_NETWORK \ --project=PROJECT_ID
Ersetzen Sie die Platzhalterwerte im Befehl durch Folgendes:
ALLOCATED_RANGE_NAME
ist der zugewiesene Name, den Sie im vorherigen Schritt erstellt haben.VPC_NETWORK
ist der Name des VPC-Netzwerks.PROJECT_ID
ist die ID des Projekts, das Ihr VPC-Netzwerk enthält.
Der Befehl initiiert einen lange laufenden Vorgang und erstellt einen Vorgangsnamen.
Überprüfen Sie, ob der Vorgang erfolgreich war, und ersetzen Sie
OPERATION_NAME
durch den Vorgangsnamen, der im vorherigen Schritt zurückgegeben wurde.gcloud services vpc-peerings operations describe \ --name=OPERATION_NAME
[OPTIONAL: Szenario für freigegebene VPC]. Wenn Sie eine freigegebene VPC verwenden, erstellen Sie den zugewiesenen IP-Bereich und die private Verbindung im Hostprojekt. Normalerweise muss ein Netzwerkadministrator im Hostprojekt diese Aufgaben ausführen. Nachdem das Hostprojekt mit der privaten Verbindung eingerichtet wurde, können VM-Instanzen in Dienstprojekten die private Verbindung mit dem Diensterstellernetzwerk verwenden. Das Projekt, in dem die VPC-Verbindung gehostet wird, und das Projekt, das den privaten Pool enthält, muss Teil derselben Organisation sein.
[OPTIONAL: Firewallregeln verwenden]. Wenn Sie eine Firewallregel für eingehenden Traffic im VPC-Netzwerk erstellen, geben Sie den hier zugewiesenen IP-Bereich im Quellfilter für die Regel für eingehenden Traffic ein.