Configure o ambiente para usar pools privados numa rede VPC

Esta página mostra como configurar o seu ambiente de rede para usar pools privados numa rede VPC. Se não conhece os pools privados, leia o artigo Vista geral dos pools privados.

Compreender as opções de configuração de rede

Os pools privados são alojados numa rede de nuvem virtual privada pertencente à Google denominada rede do produtor de serviços. Ao configurar um pool privado, pode optar por usar a rede do produtor de serviços ou configurar uma ligação privada entre a rede do produtor de serviços e a rede VPC que contém os seus recursos.

Escolha um dos seguintes esquemas de configuração de rede consoante as necessidades da sua organização:

  • Usar a rede do produtor de serviços por si só: use esta opção se:

    Esta é a opção de rede predefinida para criar o pool privado e não requer nenhuma configuração de rede. Se tiver interesse nesta opção, avance para a criação do conjunto privado.

  • Configure uma ligação privada entre a rede do produtor de serviços e a sua rede VPC: a ligação privada permite que as instâncias de VM na sua rede VPC e nos pools privados comuniquem exclusivamente através de endereços IP internos. Use esta opção se:

    • Quiser que as compilações acedam a recursos na sua rede VPC
    • quer tipos e tamanhos de máquinas configuráveis

Configurar uma ligação privada entre a sua rede VPC e a rede do produtor de serviços

  1. Tem de ter uma rede VPC existente que vai usar para estabelecer ligação à rede do produtor de serviços.

  2. Para usar os exemplos de linhas de comando neste guia, instale e configure a CLI Google Cloud.

  3. Ativar API:

    Consola


    Enable the Cloud Build and the Service Networking APIs.

    Enable the APIs

    gcloud

    Ative as APIs Cloud Build e Service Networking:

    gcloud services enable cloudbuild.googleapis.com servicenetworking.googleapis.com

  4. Para receber as autorizações de que precisa para configurar uma ligação privada, peça ao seu administrador para lhe conceder a função do IAM de administrador de rede do Compute Engine (roles/compute.networkAdmin) no projeto Google Cloud em que a rede VPC reside. Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

    Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.

  5. Na rede de VPC, atribua um intervalo de IPs internos com nome:

    O intervalo de IP especificado aqui está sujeito a regras de firewall definidas na rede de VPC.

    O Cloud Build reserva os intervalos de IP 192.168.10.0/24 e 172.17.0.0/16 para a rede de ponte Docker. Quando atribuir os intervalos de IP aos recursos nos seus projetos, recomendamos que selecione um intervalo fora de 192.168.10.0/24 e 172.17.0.0/16 nos casos em que os criadores do Cloud Build devem aceder a estes recursos.

    Por exemplo, o intervalo de endereços do plano de controlo do Google Kubernetes Engine 192.168.10.96/28 não estaria acessível a partir do criador do Cloud Build gke-deploy devido à sobreposição.

    Consola

    1. Aceda à página Redes VPC na Google Cloud consola.

      Aceda à página Redes de VPC

    2. Selecione a rede de VPC que se vai ligar à rede de VPC do conjunto privado.

    3. Selecione o separador Acesso privado ao serviço.

    4. No separador Acesso privado ao serviço, selecione o separador Intervalos de IP atribuídos para serviços.

    5. Clique em Atribuir intervalo de IPs.

    6. Introduza um Nome e uma Descrição para o intervalo atribuído.

    7. Especifique um intervalo de IPs para a atribuição:

      • Para especificar um intervalo de endereços IP, selecione Personalizado e, de seguida, introduza um bloco CIDR.
      • Para especificar um comprimento do prefixo e permitir que a Google selecione um intervalo disponível, selecione Automático e, em seguida, introduza um comprimento do prefixo. O comprimento do prefixo tem de ser igual ou inferior a /24, como /22, /21, etc.

    8. Clique em Atribuir para criar o intervalo atribuído.

    gcloud

    Para especificar um intervalo de endereços e um comprimento do prefixo (máscara de sub-rede), use as flags addresses e prefix-length. O comprimento do prefixo tem de ser /24 ou inferior, como /22, /21, etc. Por exemplo, para atribuir o bloco CIDR 192.168.0.0/16, especifique 192.168.0.0 para o endereço e 16 para o comprimento do prefixo.

      gcloud compute addresses create RESERVED_RANGE_NAME \
      --global \
      --purpose=VPC_PEERING \
      --addresses=192.168.0.0 \
      --prefix-length=16 \
      --description=DESCRIPTION \
      --network=VPC_NETWORK

    Para especificar apenas um comprimento do prefixo (máscara de sub-rede), basta usar a flag prefix-length. Quando omite o intervalo de endereços, Google Cloud seleciona automaticamente um intervalo de endereços não usado na sua rede VPC. O exemplo seguinte seleciona um intervalo de endereços IP não usado com um comprimento do prefixo de 16 bits.

      gcloud compute addresses create RESERVED_RANGE_NAME \
      --global \
      --purpose=VPC_PEERING \
      --prefix-length=16 \
      --description=DESCRIPTION \
      --network=VPC_NETWORK

    Substitua os valores dos marcadores de posição no comando pelo seguinte:

    • RESERVED_RANGE_NAME: um nome para o intervalo atribuído, como my-allocated-range.
    • DESCRIPTION: uma descrição do intervalo, como allocated for my-service.

    • VPC_NETWORK: o nome da sua rede VPC, como my-vpc-network.

  6. Crie uma ligação privada entre a rede do produtor de serviços e a sua rede VPC:

    Consola

    1. Aceda à página Redes VPC na Google Cloud consola.

      Aceda à página Redes de VPC

    2. Selecione a rede de VPC que se vai ligar à rede de VPC do conjunto privado.

    3. Selecione o separador Acesso privado ao serviço.

    4. No separador Acesso privado ao serviço, selecione o separador Ligações privadas a serviços.

    5. Clique em Criar ligação para criar uma ligação privada entre a sua rede e a rede do produtor de serviços.

    6. Para a Atribuição atribuída, selecione o intervalo atribuído que criou no passo anterior.

    7. Clique em Associar para criar a associação.

    gcloud

    1. Crie uma ligação privada:

      gcloud services vpc-peerings connect \
    --service=servicenetworking.googleapis.com \
    --ranges=ALLOCATED_RANGE_NAME \
    --network=VPC_NETWORK \
    --project=PROJECT_ID

      Substitua os valores dos marcadores de posição no comando pelo seguinte:

      • ALLOCATED_RANGE_NAME: o intervalo de nomes que criou no passo anterior.
      • VPC_NETWORK: o nome da sua rede VPC.
      • PROJECT_ID: o ID do projeto que contém a sua rede VPC.

      O comando inicia uma operação de longa duração, devolvendo um nome de operação.

    2. Verifique se a operação foi bem-sucedida, substituindo OPERATION_NAME pelo nome da operação devolvido no passo anterior.

      gcloud services vpc-peerings operations describe \
    --name=OPERATION_NAME

  7. [OPCIONAL: Cenário de VPC partilhada]. Se estiver a usar a VPC partilhada, crie o intervalo de IP alocado e a ligação privada no projeto anfitrião. Normalmente, um administrador de rede no projeto anfitrião tem de realizar estas tarefas. Depois de o projeto anfitrião ser configurado com a ligação privada, as instâncias de VM nos projetos de serviço podem usar a ligação privada com a rede do produtor de serviços. O projeto que aloja a ligação VPC e o projeto que contém o pool privado têm de fazer parte da mesma organização.

  8. [OPCIONAL: usar regras de firewall]. Se estiver a criar uma regra de firewall de entrada na rede VPC, especifique o mesmo intervalo de IP que atribui aqui no filtro de origem para a regra de entrada.

O que se segue?