Configurare l'ambiente per l'utilizzo del pool privato in una rete VPC

Questa pagina mostra come configurare l'ambiente di rete per utilizzare i pool privati in una rete VPC. Se non hai familiarità con i pool privati, leggi la panoramica dei pool privati.

Informazioni sulle opzioni di configurazione della rete

I pool privati sono ospitati in una rete Virtual Private Cloud di proprietà di Google, chiamata rete del producer di servizi. Quando configuri un pool privato, puoi scegliere di utilizzare la rete del producer di servizi o configurare una connessione privata tra la rete del producer di servizi e la rete VPC contenente le risorse.

Scegli uno dei seguenti schemi di configurazione di rete in base alle esigenze della tua organizzazione:

  • Utilizza la rete del producer di servizi da sola: utilizza questa opzione se:

    Questa è l'opzione di rete predefinita per la creazione del pool privato e non richiede alcuna configurazione di rete. Se ti interessa questa opzione, passa alla creazione del pool privato.

  • Configura una connessione privata tra la rete del producer di servizi e la rete VPC: la connessione privata consente alle istanze VM nella rete VPC e nei pool privati di comunicare esclusivamente mediante indirizzi IP interni. Utilizza questa opzione se:

    • vuoi che le build accedano alle risorse nella tua rete VPC
    • vuoi tipi e macchine configurabili

Configurazione di una connessione privata tra la rete VPC e la rete del producer di servizi

  1. Devi disporre di una rete VPC esistente che utilizzerai per connetterti alla rete del producer di servizi.

  2. Per utilizzare gli esempi a riga di comando in questa guida, installa e configura l'interfaccia a riga di comando di Google Cloud.

  3. Abilita API:

    console


    Abilita le API Cloud Build and the Service Networking.

    Abilita le API

    gcloud

    Abilita le API Cloud Build e Service Networking:

    gcloud services enable cloudbuild.googleapis.com servicenetworking.googleapis.com
    
  4. Per ottenere le autorizzazioni necessarie per configurare una connessione privata, chiedi all'amministratore di concederti il ruolo IAM Amministratore di rete di Compute Engine (roles/compute.networkAdmin) nel progetto Cloud in cui si trova la rete VPC. Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestire l'accesso.

  5. Nella rete VPC, alloca un intervallo IP denominato:

    L'intervallo IP specificato qui sarà soggetto alle regole firewall definite nella rete VPC.

    Cloud Build riserva l'intervallo IP 192.168.10.0/24 per la rete bridge Docker. Quando assegni gli intervalli IP per le risorse nei progetti, ti consigliamo di selezionare un intervallo esterno a 192.168.10.0/24 nei casi in cui i builder Cloud Build abbiano accesso a tali risorse.

    Ad esempio, l'intervallo di indirizzi del piano di controllo di Google Kubernetes Engine 192.168.10.96/28 non sarebbe accessibile dal builder gke_deploy di Cloud Build a causa della sovrapposizione.

    console

    1. Vai alla pagina Reti VPC in Google Cloud Console.

      Vai alla pagina Reti VPC

    2. Seleziona la rete VPC che si connetterà alla rete VPC privata del pool.

    3. Seleziona la scheda Connessione privata ai servizi.

    4. Nella scheda Connessione a servizi privati, seleziona la scheda Intervalli IP allocati per i servizi.

    5. Fai clic su Assegna intervallo IP.

    6. Inserisci un Nome e una Descrizione per l'intervallo allocato.

    7. Specifica un intervallo IP per l'allocazione:

      • Per specificare un intervallo di indirizzi IP, seleziona Personalizzato e inserisci un blocco CIDR.
      • Per specificare una lunghezza del prefisso e consentire a Google di selezionare un intervallo disponibile, seleziona Automatico e inserisci una lunghezza del prefisso. La lunghezza del prefisso deve essere /24 o inferiore, ad esempio /22, /21 e così via.
    8. Fai clic su Assegna per creare l'intervallo assegnato.

    gcloud

    Per specificare un intervallo di indirizzi e una lunghezza del prefisso (subnet mask), utilizza i flag addresses e prefix-length. La lunghezza del prefisso deve essere /24 o inferiore, ad esempio /22, /21 e così via. Ad esempio, per allocare il blocco CIDR 192.168.0.0/16, specifica 192.168.0.0 per l'indirizzo e 16 per la lunghezza del prefisso.

      gcloud compute addresses create RESERVED_RANGE_NAME \
          --global \
          --purpose=VPC_PEERING \
          --addresses=192.168.0.0 \
          --prefix-length=16 \
          --description=DESCRIPTION \
          --network=VPC_NETWORK
    

    Per specificare solo una lunghezza del prefisso (maschera della subnet), utilizza il flag prefix-length. Se ometti l'intervallo di indirizzi, Google Cloud seleziona automaticamente un intervallo di indirizzi non utilizzato nella rete VPC. L'esempio seguente seleziona un intervallo di indirizzi IP non utilizzato con un prefisso 16 di lunghezza del bit.

      gcloud compute addresses create RESERVED_RANGE_NAME \
          --global \
          --purpose=VPC_PEERING \
          --prefix-length=16 \
          --description=DESCRIPTION \
          --network=VPC_NETWORK
    

    Sostituisci i valori segnaposto nel comando con quanto segue:

    • RESERVED_RANGE_NAME: un nome per l'intervallo allocato, ad esempio my-allocated-range.
    • DESCRIPTION: una descrizione dell'intervallo, ad esempio allocated for my-service.
    • VPC_NETWORK: il nome della rete VPC, ad esempio my-vpc-network.
  6. Crea una connessione privata tra la rete del producer di servizi e la tua rete VPC:

    console

    1. Vai alla pagina Reti VPC nella console.

      Vai alla pagina Reti VPC

    2. Seleziona la rete VPC che si connetterà alla rete VPC privata del pool.

    3. Seleziona la scheda Connessione privata ai servizi.

    4. Nella scheda Connessione privata ai servizi, seleziona la scheda Connessioni private ai servizi.

    5. Fai clic su Crea connessione per creare una connessione privata tra la tua rete e la rete del producer di servizi.

    6. Per l'allocazione assegnata, seleziona l'intervallo assegnato che hai creato nel passaggio precedente.

    7. Fai clic su Connetti per creare la connessione.

    gcloud

    1. Crea una connessione privata:

      gcloud services vpc-peerings connect \
          --service=servicenetworking.googleapis.com \
          --ranges=ALLOCATED_RANGE_NAME \
          --network=VPC_NETWORK \
          --project=PROJECT_ID
      

      Sostituisci i valori segnaposto nel comando con quanto segue:

      • ALLOCATED_RANGE_NAME: l'intervallo di nomi allocato che hai creato nel passaggio precedente.
      • VPC_NETWORK: il nome della tua rete VPC.
      • PROJECT_ID: l'ID del progetto contenente la rete VPC.

      Il comando avvia un'operazione a lunga esecuzione, restituendo un nome operazione.

    2. Verifica che l'operazione sia andata a buon fine, sostituendo OPERATION_NAME con il nome dell'operazione restituito dal passaggio precedente.

      gcloud services vpc-peerings operations describe \
          --name=OPERATION_NAME
      
  7. [FACOLTATIVO: Scenario VPC condiviso] Se utilizzi VPC condiviso, crea l'intervallo IP allocato e la connessione privata nel progetto host. In genere, queste attività devono essere eseguite da un amministratore di rete nel progetto host. Dopo che il progetto host è stato configurato con la connessione privata, le istanze VM nei progetti di servizio possono utilizzare la connessione privata con la rete del producer di servizi. Il progetto che ospita la connessione VPC e quello che contiene il pool privato deve appartenere alla stessa organizzazione.

  8. [FACOLTATIVO: utilizzare le regole firewall] Se stai creando una regola firewall in entrata nella rete VPC, specifica lo stesso intervallo IP che assegni qui nel filtro sorgente della regola in entrata.

Passaggi successivi