Configura l'ambiente per utilizzare il pool privato in una rete VPC

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Questa pagina mostra come configurare l'ambiente di rete per l'utilizzo dei pool privati in una rete VPC. Se non hai familiarità con i pool privati, leggi la panoramica dei pool privati.

Informazioni sulle opzioni di configurazione della rete

I pool privati sono ospitati in una rete Virtual Private Cloud di proprietà di Google denominata rete del producer di servizi. Quando configuri un pool privato, puoi scegliere di utilizzare la rete del producer di servizi o configurare una connessione privata tra la rete del producer di servizi e la rete VPC che contiene le tue risorse.

Scegli uno dei seguenti schemi di configurazione di rete in base alle esigenze della tua organizzazione:

  • Utilizza la rete del producer di servizi: utilizza questa opzione se:

    Questa è l'opzione di rete predefinita per creare il pool privato e non richiede alcuna configurazione di rete. Se ti interessa questa opzione, vai alla creazione del pool privato.

  • Configura una connessione privata tra la rete producer di servizi e la tua rete VPC: la connessione privata consente alle istanze VM nella tua rete VPC e nei pool privati di comunicare esclusivamente utilizzando indirizzi IP interni. Utilizza questa opzione se:

    • vuoi che le build accedano alle risorse nella tua rete VPC
    • vuoi tipi e dimensioni di macchine configurabili

Configurazione di una connessione privata tra la tua rete VPC e la rete del producer di servizi

  1. Devi avere una rete VPC esistente che utilizzerai per connetterti alla rete del producer di servizi.

  2. Per utilizzare gli esempi a riga di comando in questa guida, installa e configura Google Cloud CLI.

  3. Abilita API:

    Console


    Abilita le API Cloud Build and the Service Networking.

    Abilita le API

    gcloud

    Abilita Cloud Build e le API Service Networking:

    gcloud services enable cloudbuild.googleapis.com servicenetworking.googleapis.com
    
  4. Per ottenere le autorizzazioni necessarie per configurare una connessione privata, chiedi all'amministratore di concederti il ruolo IAM Amministratore di rete Compute Engine (roles/compute.networkAdmin) nel progetto Cloud in cui si trova la rete VPC. Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestire l'accesso.

  5. Nella rete VPC, alloca un intervallo IP denominato:

    L'intervallo IP specificato qui sarà soggetto alle regole firewall definite nella rete VPC.

    Cloud Build riserva l'intervallo IP 192.168.10.0/24 per la rete Docker bridge. Quando allochi intervalli IP per le risorse nei tuoi progetti, ti consigliamo di selezionare un intervallo al di fuori di 192.168.10.0/24 nei casi in cui i builder Cloud Build devono accedere a queste risorse.

    Ad esempio, a causa della sovrapposizione, l'intervallo di indirizzi del piano di controllo 192.168.10.96/28 di Google Kubernetes Engine non sarebbe accessibile dal generatore di gke_deploy di Cloud Build.

    Console

    1. Vai alla pagina Reti VPC nella console Google Cloud.

      Vai alla pagina Reti VPC

    2. Seleziona la rete VPC che si connetterà alla rete VPC del pool privato.

    3. Seleziona la scheda Connessione di servizio privata.

    4. Nella scheda Connessione di servizio privata, seleziona la scheda Intervalli IP allocati per i servizi.

    5. Fai clic su Alloca intervallo IP.

    6. Inserisci un Nome e una Descrizione per l'intervallo assegnato.

    7. Specifica un intervallo IP per l'allocazione:

      • Per specificare un intervallo di indirizzi IP, seleziona Personalizzato, quindi inserisci un blocco CIDR.
      • Per specificare una lunghezza del prefisso e consentire a Google di selezionare un intervallo disponibile, seleziona Automatico, quindi inserisci una lunghezza del prefisso. La lunghezza del prefisso deve essere pari a /24 o inferiore, ad esempio /22, /21 e così via.
    8. Fai clic su Alloca per creare l'intervallo assegnato.

    gcloud

    Per specificare un intervallo di indirizzi e una lunghezza prefisso (subnet mask), utilizza i flag addresses e prefix-length. La lunghezza del prefisso deve essere /24 o inferiore, ad esempio /22, /21 e così via. Ad esempio, per allocare il blocco CIDR 192.168.0.0/16, specifica 192.168.0.0 per l'indirizzo e 16 per la lunghezza del prefisso.

      gcloud compute addresses create RESERVED_RANGE_NAME \
          --global \
          --purpose=VPC_PEERING \
          --addresses=192.168.0.0 \
          --prefix-length=16 \
          --description=DESCRIPTION \
          --network=VPC_NETWORK
    

    Per specificare solo una lunghezza del prefisso (subnet mask), utilizza solo il flag prefix-length. Quando ometti l'intervallo di indirizzi, Google Cloud seleziona automaticamente un intervallo di indirizzi non utilizzato nella rete VPC. L'esempio seguente seleziona un intervallo di indirizzi IP non utilizzato con una lunghezza del prefisso di 16 bit.

      gcloud compute addresses create RESERVED_RANGE_NAME \
          --global \
          --purpose=VPC_PEERING \
          --prefix-length=16 \
          --description=DESCRIPTION \
          --network=VPC_NETWORK
    

    Sostituisci i valori segnaposto nel comando con i seguenti valori:

    • RESERVED_RANGE_NAME: un nome per l'intervallo assegnato, ad esempio my-allocated-range.
    • DESCRIPTION: una descrizione per l'intervallo, ad esempio allocated for my-service.
    • VPC_NETWORK: il nome della rete VPC, ad esempio my-vpc-network.

  6. Crea una connessione privata tra la rete producer di servizi e la rete VPC:

    Console

    1. Vai alla pagina Reti VPC nella console Google Cloud.

      Vai alla pagina Reti VPC

    2. Seleziona la rete VPC che si connetterà alla rete VPC del pool privato.

    3. Seleziona la scheda Connessione di servizio privata.

    4. Nella scheda Connessione di servizio privata, seleziona la scheda Connessioni private ai servizi.

    5. Fai clic su Crea connessione per creare una connessione privata tra la tua rete e la rete del producer di servizi.

    6. Per l'allocazione assegnata, seleziona l'intervallo assegnato che hai creato nel passaggio precedente.

    7. Fai clic su Connetti per creare la connessione.

    gcloud

    1. Crea una connessione privata:

      gcloud services vpc-peerings connect \
          --service=servicenetworking.googleapis.com \
          --ranges=ALLOCATED_RANGE_NAME \
          --network=VPC_NETWORK \
          --project=PROJECT_ID
      

      Sostituisci i valori segnaposto nel comando con i seguenti valori:

      • ALLOCATED_RANGE_NAME: l'intervallo di nome assegnato che hai creato nel passaggio precedente.
      • VPC_NETWORK: il nome della tua rete VPC.
      • PROJECT_ID: l'ID del progetto che contiene la tua rete VPC.

      Il comando avvia un'operazione a lunga esecuzione, restituendo il nome di un'operazione.

    2. Verifica se l'operazione è riuscita, sostituendo OPERATION_NAME con il nome dell'operazione restituito dal passaggio precedente.

      gcloud services vpc-peerings operations describe \
          --name=OPERATION_NAME
      
  7. [FACOLTATIVO: scenario VPC condiviso]. Se utilizzi VPC condiviso, crea l'intervallo IP allocato e la connessione privata nel progetto host. In genere, queste operazioni devono essere eseguite da un amministratore di rete nel progetto host. Una volta configurato il progetto host con la connessione privata, le istanze VM nei progetti di servizio possono utilizzare la connessione privata con la rete del producer di servizi. Il progetto che ospita la connessione VPC e il progetto che contiene il pool privato devono far parte della stessa organizzazione.

  8. [FACOLTATIVO: con le regole firewall] Se stai creando una regola firewall in entrata nella rete VPC, specifica lo stesso intervallo IP assegnato qui nel filtro sorgente della regola in entrata.

Passaggi successivi