Questa pagina è stata tradotta dall'API Cloud Translation.

Creare un'istanza privata con Private Service Connect

Questa pagina descrive come configurare Private Service Connect in in Cloud Data Fusion.

Informazioni su Private Service Connect in Cloud Data Fusion

Le istanze Cloud Data Fusion potrebbero dover connettersi a risorse situate on-premise, su Google Cloud o su altri cloud provider. Quando si utilizza Cloud Data Fusion con indirizzi IP interni, connessioni a dispositivi esterni vengono stabilite su una rete Virtual Private Cloud (VPC) progetto Google Cloud. Il traffico sulla rete non passa attraverso il pubblico internet. Quando a Cloud Data Fusion viene fornito l'accesso alla tua rete VPC utilizzando il peering VPC, esistono dei limiti che diventano evidenti quando si utilizza reti su larga scala.

Con le interfacce Private Service Connect, Cloud Data Fusion si connette al VPC senza utilizzare il peering VPC. Private Service Connect è un tipo di Private Service Connect che consente a Cloud Data Fusion di avviare applicazioni private e sicure alle reti VPC consumer. Questo non solo offre la flessibilità facilità di accesso (come il peering VPC), ma fornisce anche autorizzazione esplicita il controllo lato consumatore offerto da Private Service Connect.

Il seguente diagramma mostra come l'interfaccia Private Service Connect con deployment in Cloud Data Fusion:

Deployment dell'interfaccia Private Service Connect.

Figura 1. Deployment dell'interfaccia Private Service Connect

Descrizione della Figura 1:

Le macchine virtuali (VM) che eseguono Cloud Data Fusion sono ospitate in un Progetto tenant di proprietà di Google. Per accedere alle risorse nel VPC del cliente, Le VM di Cloud Data Fusion utilizzano l'indirizzo IP assegnato Interfaccia di rete Private Service Connect, dall'interfaccia utente una subnet. Questa subnet viene aggiunta al collegamento di rete utilizzato da in Cloud Data Fusion.
Pacchetti IP provenienti da Private Service Connect vengono trattate in modo simile a quelle di una VM nella stessa subnet. Questo consente a Cloud Data Fusion di accedere direttamente alle risorse il VPC del cliente o un VPC peer senza bisogno di un proxy.
Le risorse internet diventano accessibili quando Cloud NAT è abilitato nella del cliente VPC, mentre le risorse on-premise sono raggiungibili interconnessione.
Per gestire il traffico in entrata o in uscita da Private Service Connect, puoi implementare le regole firewall.

Vantaggi principali

Di seguito sono riportati i principali vantaggi dell'utilizzo di Cloud Data Fusion con Private Service Connect:

Migliore controllo dello spazio IP. Hai il controllo degli indirizzi IP Cloud Data Fusion utilizza per connettersi alla tua rete. Sei tu a scegliere le subnet da cui gli indirizzi IP vengono allocati a Cloud Data Fusion. Tutti i proveniente da Cloud Data Fusion abbia un indirizzo IP di origine dal tuo nella subnet configurata.

Private Service Connect elimina la necessità di un IP riservato da un VPC del cliente. Il peering VPC richiede un blocco CIDR /22 (1024 indirizzi IP) per istanza Cloud Data Fusion.
Sicurezza e isolamento migliorati. Configurando un collegamento di rete, puoi controllare quali servizi possono accedere alla tua rete.
Configurazione semplificata delle istanze Cloud Data Fusion. Crea una rete collegamento per ciascun VPC cliente solo una volta. Non è necessario utilizzare VM proxy per connettersi di risorse su internet, VPC peer o on-premise.

Concetti fondamentali

Questa sezione illustra i concetti relativi Private Service Connect in Cloud Data Fusion.

Collegamento di rete

Il collegamento di rete è una risorsa di regione utilizzata per autorizzare Cloud Data Fusion per utilizzare e stabilire connessioni di rete in privato, per alle risorse nel tuo VPC. Per ulteriori informazioni, vedi Informazioni sui collegamenti di rete.

VPC condiviso

Di seguito è riportato un caso d'uso per Private Service Connect interfacce con VPC condiviso:

Le subnet in un progetto host sono di proprietà della rete o del team dell'infrastruttura. Hanno lasciato i team dell'applicazione usano queste subnet dal loro progetto di servizio.
I team delle applicazioni sono proprietari dei collegamenti di rete di un progetto di servizio. La collegamento di rete definisce quale tenant di Cloud Data Fusion I progetti possono connettersi alle subnet collegate al collegamento di rete.

Puoi creare un collegamento di rete in un progetto di servizio. Le subnet utilizzate in collegamento di rete può essere solo nel progetto host.

Il seguente diagramma illustra questo caso d'uso:

Caso d'uso per le interfacce Private Service Connect con VPC condiviso

Figura 2. Caso d'uso delle interfacce Private Service Connect con VPC condiviso

Descrizione della Figura 2:

Il collegamento di rete è presente nel progetto di servizio. La rete utilizza una subnet che appartiene a un VPC condiviso nell'host progetto.
L'istanza Cloud Data Fusion è presente nel progetto di servizio e utilizza il collegamento di rete del progetto di servizio per stabilire e la connettività privata.
All'istanza Cloud Data Fusion vengono assegnati indirizzi IP dalla subnet nel VPC condiviso.

Prima di iniziare

Private Service Connect è disponibile solo in Cloud Data Fusion versione 6.10.0 e successive.
Puoi abilitare Private Service Connect solo quando crei un nuova istanza di Cloud Data Fusion. Non puoi eseguire la migrazione delle istanze esistenti per utilizzare Private Service Connect.

Prezzi

I dati in entrata e in uscita tramite Private Service Connect carico. Per ulteriori informazioni, consulta Private Service Connect prezzi.

Ruoli e autorizzazioni richiesti

Per ottenere le autorizzazioni necessarie per creare un'istanza Cloud Data Fusion e un collegamento di rete, chiedi all'amministratore di concederti quanto segue Ruoli IAM (Identity and Access Management) relativi al progetto:

Crea un'istanza Cloud Data Fusion: Amministratore Cloud Data Fusion (roles/datafusion.admin)
Creare, visualizzare ed eliminare i collegamenti di rete: Amministratore rete Compute (roles/compute.networkAdmin)

Per ottenere le autorizzazioni necessarie a Cloud Data Fusion per convalidare la rete chiedi all'amministratore di concedere i seguenti ruoli IAM Agente di servizio Cloud Data Fusion (del formato service-CUSTOMER_PROJECT_NUMBER@gcp-sa-datafusion.iam.gserviceaccount.com):

Per il VPC associato al collegamento di rete: Visualizzatore di rete Compute (roles/compute.networkViewer)
Per fare in modo che Cloud Data Fusion aggiunga il proprio progetto tenant al producer, elenco dei collegamenti di rete:
- compute.networkAttachments.get
- compute.networkAttachments.update
- compute.networkAttachments.list
Il ruolo più restrittivo con queste autorizzazioni è Amministratore rete Compute (roles/compute.networkAdmin). Queste autorizzazioni fanno parte Agente di servizio API Cloud Data Fusion (roles/datafusion.serviceAgent), che viene concesso automaticamente al ruolo Agente di servizio Cloud Data Fusion. Pertanto, nessuna azione è richiesto, a meno che la concessione del ruolo di agente di servizio non sia stata rimossa esplicitamente.

Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestisci accesso.

Potresti anche riuscire a ottenere le autorizzazioni richieste ruoli personalizzati o altro ruoli predefiniti.

Per saperne di più sulle opzioni di controllo dell'accesso in Cloud Data Fusion, consulta Controllo dell'accesso con IAM.

Crea un VPC o una rete VPC condiviso

Assicurati di aver creato un'etichetta rete VPC o una Rete VPC condivisa.

Configurazione di Private Service Connect

Per configurare Private Service Connect in Cloud Data Fusion, devi prima creare un collegamento di rete, quindi Istanza Cloud Data Fusion con Private Service Connect.

Crea un collegamento di rete

Il collegamento di rete fornisce un insieme di subnet. Per creare una rete allegato, procedi nel seguente modo:

Console

Nella console Google Cloud, vai alla pagina Collegamenti di rete:

Vai a Collegamenti di rete
Fai clic su Crea collegamento di rete.
Nel campo Nome, inserisci un nome per il collegamento di rete.
Dall'elenco Rete, seleziona un VPC o un VPC condiviso in ogni rete.
Dall'elenco Regione, seleziona una regione di Google Cloud. Questa regione deve corrispondere all'istanza di Cloud Data Fusion.
Dall'elenco Subnet, seleziona un intervallo di subnet.

Nota: il provisioning di un intervallo secondario per una subnet non è necessario per Cloud Data Fusion. Ogni istanza di Cloud Data Fusion richiede fino a 32 indirizzi IP dal collegamento di rete. Assicurati che la subnet disponga di indirizzi IP sufficienti per supportare il numero di istanze Cloud Data Fusion che vuoi creare.
In Preferenza di connessione, seleziona Accetta le connessioni per i progetti selezionati.

Cloud Data Fusion aggiunge automaticamente il tenant di Cloud Data Fusion progetto nell'elenco Progetti accettati quando crei dell'istanza di Cloud Data Fusion.

Attenzione: l'opzione Accetta automaticamente le connessioni per tutti i progetti è meno sicura perché consente a qualsiasi servizio di ottenere gli indirizzi IP della subnet. Sconsigliamo di utilizzare questa opzione.
Non aggiungere progetti accettati o progetti rifiutati.
Fai clic su Crea collegamento di rete.

gcloud

Crea una o più subnet. Ad esempio:
```
gcloud compute networks subnets create subnet-1 --network=network-0 --range=10.10.1.0/24 --region=REGION
```
Il collegamento di rete utilizza queste subnet nei passaggi successivi.

Nota: il provisioning di un intervallo secondario per una subnet non è necessario per Cloud Data Fusion. Ogni istanza di Cloud Data Fusion richiede fino a 32 indirizzi IP dal collegamento di rete. Assicurati che la subnet disponga di indirizzi IP sufficienti per supportare il numero di istanze Cloud Data Fusion che vuoi creare.
Crea una risorsa per il collegamento di rete nella stessa regione della Istanza Cloud Data Fusion, con la proprietà connection-preference Imposta su ACCEPT_MANUAL:
```
gcloud compute network-attachments create NAME
--region=REGION
--connection-preference=ACCEPT_MANUAL
--subnets=SUBNET
```
Sostituisci quanto segue:
- NAME: il nome del collegamento di rete.
- REGION: il nome della regione Google Cloud. Questa regione deve essere uguale all'istanza Cloud Data Fusion.
- SUBNET: il nome della subnet.
L'output di questo comando è l'URL di un collegamento di rete del seguente formato:

projects/PROJECT/locations/REGION/network-attachments/NETWORK_ATTACHMENT_ID.

Prendi nota di questo URL perché Cloud Data Fusion ne ha bisogno per e la connettività privata.

Attenzione: se specifichi connection-preference come ACCEPT_AUTOMATIC, è meno sicura perché consente a qualsiasi servizio di ottenere gli indirizzi IP una subnet. Sconsigliamo di utilizzare questa opzione.

API REST

Crea una subnet.

Crea un collegamento di rete:

alias authtoken="gcloud auth print-access-token"
NETWORK_ATTACHMENT_NAME=NETWORK_ATTACHMENT_NAME
REGION=REGION
SUBNET=SUBNET
PROJECT_ID=PROJECT_ID

read -r -d '' BODY << EOM
{
  "name": "$NETWORK_ATTACHMENT_NAME",
  "description": "Network attachment for private Cloud Data Fusion",
  "connectionPreference": "ACCEPT_MANUAL",
  "subnetworks": [
    "projects/$PROJECT_ID/regions/$REGION/subnetworks/$SUBNET"
  ]
}
EOM

curl -H "Authorization: Bearer $(authtoken)" \
-H "Content-Type: application/json" \
-X POST   -d "$BODY" "https://compute.googleapis.com/compute/v1/projects/$PROJECT_ID/regions/$REGION/networkAttachments"

Sostituisci quanto segue:

NETWORK_ATTACHMENT_NAME: il nome del tuo collegamento di rete.
REGION: il nome della regione Google Cloud. Questa regione deve essere uguale all'istanza Cloud Data Fusion.
SUBNET: il nome della subnet.
PROJECT_ID: l'ID del progetto.

crea un'istanza Cloud Data Fusion

Cloud Data Fusion utilizza un blocco CIDR /25 (128 IP) per le risorse progetto tenant. Questo è chiamato intervallo non raggiungibile o riservato. Puoi utilizzare la modalità gli stessi indirizzi IP nei VPC, ma le VM di Cloud Data Fusion non potranno si connettono alle tue risorse utilizzando questo intervallo.

Nella maggior parte dei casi, non si tratta di un problema, perché il blocco CIDR non raggiungibile si trova in un intervallo non RFC 1918 (240.0.0.0/8), per impostazione predefinita. Se vuoi controllare non raggiungibile, consulta la sezione Configurazioni avanzate.

Per creare un'istanza Cloud Data Fusion con Private Service Connect abilitato, segui questi passaggi:

Console

Nella console Google Cloud, vai alla pagina Istanze di Cloud Data Fusion e fai clic su Crea istanza.
Crea un'istanza
Nel campo Nome istanza, inserisci un nome per la nuova istanza.
Nel campo Descrizione, inserisci una descrizione per l'istanza.
Dall'elenco Regione, seleziona la regione Google Cloud in cui vuoi creare l'istanza.
Nell'elenco Versione, seleziona 6.10 o una versione successiva.
Seleziona un'Edizione. Per ulteriori informazioni sui prezzi consulta la panoramica dei prezzi di Cloud Data Fusion.
Espandi Opzioni avanzate ed esegui le seguenti operazioni:
1. Seleziona Abilita IP privato.
2. Seleziona Private Service Connect come Tipo di connettività.
3. Nella sezione Collegamento di rete, seleziona il collegamento di rete. creato in Creare un collegamento di rete.
Fai clic su Crea. La creazione dell'istanza richiede fino a 30 minuti il processo da completare.

API REST

Esegui questo comando:

alias authtoken="gcloud auth print-access-token"

EDITION=EDITION
PROJECT_ID=PROJECT_ID
REGION=REGION
CDF_ID=INSTANCE_ID
NETWORK_ATTACHMENT_ID=NETWORK_ATTACHMENT_ID

read -r -d '' BODY << EOM
{
  "description": "PSC enabled instance",
  "version": "6.10",
  "type": "$EDITION",
  "privateInstance": "true",
  "networkConfig": {
    "connectionType": "PRIVATE_SERVICE_CONNECT_INTERFACES",
    "privateServiceConnectConfig": {
      "networkAttachment": "$NETWORK_ATTACHMENT_ID"
    }
  }
}
EOM

curl -H "Authorization: Bearer $(authtoken)" \
-H "Content-Type: application/json" \
-X POST   -d "$BODY" "https://datafusion.googleapis.com/v1/projects/$PROJECT_ID/locations/$REGION/instances/?instanceId=$CDF_ID"

Sostituisci quanto segue:

EDITION: Cloud Data Fusion versione: BASIC, DEVELOPER o ENTERPRISE.
PROJECT_ID: l'ID del progetto.
REGION: il nome della regione Google Cloud. Questa regione deve essere uguale all'istanza Cloud Data Fusion.
INSTANCE_ID: l'ID dell'istanza.
NETWORK_ATTACHMENT_ID: l'ID del tuo collegamento di rete.

Configurazioni avanzate

Per abilitare la condivisione delle subnet, puoi fornire lo stesso collegamento di rete a di più istanze di Cloud Data Fusion. Al contrario, se vuoi dedicare una subnet per una particolare istanza Cloud Data Fusion, fornisce un collegamento di rete specifico, che potrà essere utilizzato da Cloud Data Fusion in esecuzione in un'istanza Compute Engine.

Consigliato: per applicare un criterio firewall uniforme a tutti i server Per le istanze Cloud Data Fusion, utilizza lo stesso collegamento di rete.

Se vuoi controllare il blocco CIDR /25 che non è raggiungibile Cloud Data Fusion, specifica la proprietà unreachableCidrBlock quando per creare l'istanza. Ad esempio:

alias authtoken="gcloud auth print-access-token"

EDITION=EDITION
PROJECT_ID=PROJECT_ID
REGION=REGION
CDF_ID=INSTANCE_ID
NETWORK_ATTACHMENT_ID=NETWORK_ATTACHMENT_ID
UNREACHABLE_RANGE=UNREACHABLE_RANGE

read -r -d '' BODY << EOM
{
  "description": "PSC enabled instance",
  "version": "6.10",
  "type": "$EDITION",
  "privateInstance": "true",
  "networkConfig": {
    "connectionType": "PRIVATE_SERVICE_CONNECT_INTERFACES",
    "unreachableCidrBlock": "$UNREACHABLE_RANGE"
    "privateServiceConnectConfig": {
      "networkAttachment": "projects/$PROJECT_ID/regions/$REGION/networkAttachments/$NETWORK_ATTACHMENT_ID"
    }
  }
}
EOM

curl -H "Authorization: Bearer $(authtoken)" \
-H "Content-Type: application/json" \
-X POST -d "$BODY" "https://datafusion.googleapis.com/v1/projects/$PROJECT_ID/locations/$REGION/instances/?instanceId=$CDF_ID"

Sostituisci quanto segue:

EDITION: Cloud Data Fusion versione: BASIC, DEVELOPER o ENTERPRISE.
PROJECT_ID: l'ID del progetto.
REGION: il nome della regione Google Cloud. Questa regione deve essere uguale all'istanza Cloud Data Fusion.
INSTANCE_ID: l'ID dell'istanza.
NETWORK_ATTACHMENT_ID: l'ID del tuo collegamento di rete.
UNREACHABLE_RANGE: l'irraggiungibile ad esempio 10.0.0.0/25.

Sicurezza

Questa sezione descrive la sicurezza tra Cloud Data Fusion e i consumatori.

Cloud Data Fusion per la sicurezza dei consumatori

Le interfacce Private Service Connect supportano le regole firewall in uscita per controllare a quali dati Cloud Data Fusion può accedere all'interno del tuo VPC. Per ulteriori informazioni, vedi Limita il traffico in entrata da producer a consumer.

Dal consumatore alla sicurezza di Cloud Data Fusion

VM di Cloud Data Fusion con interfaccia Private Service Connect bloccare tutto il traffico che proviene dal tuo VPC e non è un pacchetto di risposta.