Configura l'ambiente per utilizzare un pool privato in una rete VPC

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Questa pagina mostra come configurare l'ambiente di rete in modo che utilizzi pool privati in una rete VPC. Se non hai familiarità con i pool privati, leggi la panoramica sui pool privati.

Informazioni sulle opzioni di configurazione della rete

I pool privati sono ospitati in una rete Virtual Private Cloud di proprietà di Google, denominata rete di producer di servizi. Quando configuri un pool privato, puoi scegliere di utilizzare la rete del producer di servizi o configurare una connessione privata tra la rete del producer di servizi e la rete VPC contenente le tue risorse.

Scegli uno dei seguenti schemi di configurazione di rete in base alle esigenze della tua organizzazione:

  • Utilizza la rete di producer di servizi autonomamente: utilizza questa opzione se:

    Questa è l'opzione di rete predefinita per la creazione del pool privato e non richiede alcuna configurazione di rete. Se ti interessa questa opzione, vai alla creazione del pool privato.

  • Configura una connessione privata tra la rete del producer di servizi e la tua rete VPC: la connessione privata consente alle istanze VM nella tua rete VPC e nei pool privati di comunicare esclusivamente tramite indirizzi IP interni. Utilizza questa opzione se:

    • vuoi che le build accedano alle risorse nella tua rete VPC
    • vuoi tipi e dimensioni di macchine configurabili

Configurazione di una connessione privata tra la tua rete VPC e la rete del producer di servizi

  1. Devi avere una rete VPC esistente che utilizzerai per connetterti alla rete del producer di servizi.

  2. Per utilizzare gli esempi a riga di comando in questa guida, installa e configura Google Cloud CLI.

  3. Abilita API:

    console


    Abilita le API Cloud Build and the Service Networking.

    Abilita le API

    gcloud

    Abilita le API Cloud Build e Service Networking:

    gcloud services enable cloudbuild.googleapis.com servicenetworking.googleapis.com
    
  4. Per ottenere le autorizzazioni necessarie per configurare una connessione privata, chiedi al tuo amministratore di concederti il ruolo IAM Amministratore di rete Compute Engine (roles/compute.networkAdmin) nel progetto Cloud in cui si trova la rete VPC. Per maggiori informazioni sulla concessione dei ruoli, consulta Gestire l'accesso.

  5. Nella rete VPC, alloca un intervallo IP denominato:

    L'intervallo IP specificato qui sarà soggetto alle regole del firewall definite nella rete VPC.

    Cloud Build riserva l'intervallo IP 192.168.10.0/24 per la rete bridge Docker. Quando assegni gli intervalli IP per le risorse nei tuoi progetti, ti consigliamo di selezionare un intervallo al di fuori di 192.168.10.0/24 nei casi in cui i builder Cloud Build devono accedere a queste risorse.

    Ad esempio, l'intervallo di indirizzi del piano di controllo di Google Kubernetes Engine 192.168.10.96/28 non sarà accessibile dal builder gke_deploy di Cloud Build a causa della sovrapposizione.

    console

    1. Vai alla pagina Reti VPC in Google Cloud Console.

      Vai alla pagina Reti VPC

    2. Seleziona la rete VPC che si connetterà alla rete VPC privata del pool.

    3. Seleziona la scheda Private service connection (Connessione privata dei servizi).

    4. Nella scheda Connessione privata ai servizi, seleziona la scheda Intervalli IP allocati per i servizi.

    5. Fai clic su Alloca intervallo IP.

    6. Inserisci un Nome e una Descrizione per l'intervallo allocato.

    7. Specifica un intervallo IP per l'allocazione:

      • Per specificare un intervallo di indirizzi IP, seleziona Personalizzato e inserisci un blocco CIDR.
      • Per specificare una lunghezza del prefisso e consentire a Google di selezionare un intervallo disponibile, seleziona Automatico, quindi inserisci una lunghezza del prefisso. Il prefisso deve contenere /24 o meno, ad esempio /22, /21 e così via.
    8. Fai clic su Assegna per creare l'intervallo assegnato.

    gcloud

    Per specificare un intervallo di indirizzi e una lunghezza del prefisso (subnet mask), utilizza i flag addresses e prefix-length. La lunghezza del prefisso deve essere /24 o inferiore, ad esempio /22, /21 e così via. Ad esempio, per allocare il blocco CIDR 192.168.0.0/16, specifica 192.168.0.0 per l'indirizzo e 16 per la lunghezza del prefisso.

      gcloud compute addresses create RESERVED_RANGE_NAME \
          --global \
          --purpose=VPC_PEERING \
          --addresses=192.168.0.0 \
          --prefix-length=16 \
          --description=DESCRIPTION \
          --network=VPC_NETWORK
    

    Per specificare solo la lunghezza del prefisso (subnet mask), è sufficiente utilizzare il flag prefix-length. Quando ometti l'intervallo di indirizzi, Google Cloud seleziona automaticamente un intervallo di indirizzi non utilizzato nella rete VPC. L'esempio seguente seleziona un intervallo di indirizzi IP inutilizzato con una lunghezza del prefisso di 16 bit.

      gcloud compute addresses create RESERVED_RANGE_NAME \
          --global \
          --purpose=VPC_PEERING \
          --prefix-length=16 \
          --description=DESCRIPTION \
          --network=VPC_NETWORK
    

    Sostituisci i valori del segnaposto nel comando con il seguente:

    • RESERVED_RANGE_NAME: un nome per l'intervallo allocato, ad esempio my-allocated-range.
    • DESCRIPTION: una descrizione dell'intervallo, ad esempio allocated for my-service.
    • VPC_NETWORK: il nome della rete VPC, ad esempio my-vpc-network.
  6. Crea una connessione privata tra la rete del producer di servizi e la tua rete VPC:

    console

    1. Vai alla pagina Reti VPC in Google Cloud Console.

      Vai alla pagina Reti VPC

    2. Seleziona la rete VPC che si connetterà alla rete VPC privata del pool.

    3. Seleziona la scheda Private service connection (Connessione privata dei servizi).

    4. Nella scheda Connessione privata ai servizi, seleziona la scheda Connessioni private ai servizi.

    5. Fai clic su Crea connessione per creare una connessione privata tra la tua rete e la rete del producer di servizi.

    6. Nella sezione Assegnazione assegnata, seleziona l'intervallo assegnato che hai creato nel passaggio precedente.

    7. Fai clic su Connetti per creare la connessione.

    gcloud

    1. Crea una connessione privata:

      gcloud services vpc-peerings connect \
          --service=servicenetworking.googleapis.com \
          --ranges=ALLOCATED_RANGE_NAME \
          --network=VPC_NETWORK \
          --project=PROJECT_ID
      

      Sostituisci i valori del segnaposto nel comando con il seguente:

      • ALLOCATED_RANGE_NAME: l'intervallo di nome assegnato che hai creato nel passaggio precedente.
      • VPC_NETWORK: il nome della rete VPC.
      • PROJECT_ID: l'ID del progetto che contiene la rete VPC.

      Il comando avvia un'operazione a lunga esecuzione, restituisce un nome operazione.

    2. Controlla se l'operazione è stata completata correttamente sostituendo OPERATION_NAME con il nome dell'operazione restituito dal passaggio precedente.

      gcloud services vpc-peerings operations describe \
          --name=OPERATION_NAME
      
  7. [FACOLTATIVO: scenario VPC condiviso] Se utilizzi VPC condiviso, crea l'intervallo IP allocato e la connessione privata nel progetto host. In genere, un amministratore di rete nel progetto host deve eseguire queste attività. Dopo che il progetto host è stato configurato con la connessione privata, le istanze VM nei progetti di servizio possono utilizzare la connessione privata con la rete del producer di servizi. Il progetto che ospita la connessione VPC e il progetto che contiene il pool privato deve far parte della stessa organizzazione.

  8. [FACOLTATIVO: utilizzare le regole firewall] Se stai creando una regola firewall in entrata nella rete VPC, specifica lo stesso intervallo IP che assegni qui nel filtro di origine per la regola in entrata.

Passaggi successivi