Auf dieser Seite wird beschrieben, wie Sie Private Service Connect in Cloud Data Fusion.
Private Service Connect in Cloud Data Fusion
Cloud Data Fusion-Instanzen müssen möglicherweise eine Verbindung zu Ressourcen herstellen, die sich lokal, in Google Cloud oder bei anderen Cloud-Anbietern. Bei Verwendung Cloud Data Fusion mit internen IP-Adressen, Verbindungen zu externen werden über ein VPC-Netzwerk (Virtual Private Cloud) in Ihrem Google Cloud-Projekt Traffic über das Netzwerk läuft nicht über die Öffentlichkeit Internet. Wenn Cloud Data Fusion Zugriff auf Ihr VPC-Netzwerk gewährt wird bei Verwendung von VPC-Peering gibt, gibt es Einschränkungen, die bei der Verwendung von für große Netzwerke.
Mit Private Service Connect-Schnittstellen bietet Cloud Data Fusion stellt ohne VPC-Peering eine Verbindung zu Ihrer VPC her. Private Service Connect Interface ist eine Art von Private Service Connect, ermöglicht Cloud Data Fusion, private und sichere Verbindungen zu VPC-Netzwerken von Nutzern. Dies bietet nicht nur Flexibilität und einfachen Zugriff (wie VPC-Peering), bietet aber auch eine explizite Autorisierung und Kontrolle auf Nutzerseite, die Private Service Connect bietet.
Das folgende Diagramm zeigt die Private Service Connect-Schnittstelle wird in Cloud Data Fusion bereitgestellt:
Abbildung 1. Private Service Connect-Schnittstelle bereitstellen
Beschreibung von Abbildung 1:
Die virtuellen Maschinen (VMs), auf denen Cloud Data Fusion ausgeführt wird, werden in einem Google-eigenes Mandantenprojekt. Für den Zugriff auf Ressourcen in der VPC des Kunden Cloud Data Fusion-VMs verwenden die vom Private Service Connect-Netzwerkschnittstelle vom Subnetz verwendet. Dieses Subnetz wird dem Netzwerkanhang hinzugefügt, der von Cloud Data Fusion.
IP-Pakete von Private Service Connect werden ähnlich behandelt wie die einer VM im selben Subnetz. Dieses Konfiguration ermöglicht Cloud Data Fusion den direkten Zugriff auf Ressourcen in die Kunden-VPC oder eine Peer-VPC, ohne einen Proxy zu verwenden.
Internetressourcen sind verfügbar, wenn Cloud NAT in der VPC des Kunden, während lokale Ressourcen über eine Interconnect-Verbindung.
Um den ein- oder ausgehenden Traffic von Private Service Connect zu verwalten, können Sie Firewallregeln implementieren.
Hauptvorteile
Die wichtigsten Vorteile von Cloud Data Fusion mit Private Service Connect:
Bessere Kontrolle des IP-Bereichs: Sie bestimmen, welche IP-Adressen Cloud Data Fusion verwendet, um eine Verbindung zu Ihrem Netzwerk herzustellen. Sie wählen die Subnetze aus von dem die IP-Adressen Cloud Data Fusion zugewiesen werden. Alle hat Traffic von Cloud Data Fusion eine Quell-IP-Adresse aus Ihrem konfiguriertes Subnetz.
Dank Private Service Connect ist keine reservierte IP-Adresse mehr erforderlich Adressen aus einer Kunden-VPC. VPC-Peering erfordert einen CIDR-Block vom Typ /22 (1.024 IP-Adressen) pro Cloud Data Fusion-Instanz.
Verbesserte Sicherheit und Isolation. Durch die Konfiguration eines Netzwerkanhangs können Sie festlegen, welche Dienste auf Ihr Netzwerk zugreifen können.
Vereinfachte Cloud Data Fusion-Instanzeinrichtung. Netzwerk erstellen pro Kunden-VPC nur einmal an. Keine Proxy-VMs für die Verbindung erforderlich im Internet, in Peer-VPCs oder in lokalen Umgebungen.
Wichtige Konzepte
In diesem Abschnitt werden die Konzepte Private Service Connect in Cloud Data Fusion.
Netzwerkanhang
Ein Netzwerkanhang ist eine regionale Ressource zum Autorisieren Cloud Data Fusion nutzen und Netzwerkverbindungen privat für auf Ressourcen in Ihrer VPC zugreifen. Weitere Informationen finden Sie unter Netzwerkanhänge.
Freigegebene VPC
Hier ein Anwendungsfall für Private Service Connect Schnittstellen mit freigegebene VPC:
Das Netzwerk- oder Infrastrukturteam ist Inhaber der Subnetze in einem Hostprojekt. Sie lässt Die Anwendungsteams verwenden diese Subnetze aus ihrem Dienstprojekt.
Die Anwendungsteams sind Inhaber der Netzwerkanhänge in einem Dienstprojekt. Die Netzwerkanhang definiert, welcher Cloud Data Fusion-Mandant Projekte können eine Verbindung zu den Subnetzen herstellen, die mit dem Netzwerkanhang verknüpft sind.
Sie können einen Netzwerkanhang in einem Dienstprojekt erstellen. Die in einem Netzwerkanhang darf sich nur im Hostprojekt befinden.
Das folgende Diagramm veranschaulicht diesen Anwendungsfall:
Abbildung 2. Anwendungsfall für Private Service Connect-Schnittstellen mit freigegebene VPC
Beschreibung von Abbildung 2:
Der Netzwerkanhang ist im Dienstprojekt vorhanden. Das Netzwerk Anhang ein Subnetz verwendet, das zu einer freigegebene VPC im Host gehört Projekt arbeiten.
Die Cloud Data Fusion-Instanz ist im Dienstprojekt vorhanden und verwendet den Netzwerkanhang aus dem Dienstprojekt zum Einrichten eines privaten Konnektivität haben.
Der Cloud Data Fusion-Instanz werden IP-Adressen aus dem Subnetz zugewiesen in der freigegebene VPC.
Hinweise
Private Service Connect ist nur in Cloud Data Fusion verfügbar Version 6.10.0 und höher.
Sie können Private Service Connect nur aktivieren, wenn Sie eine neue Cloud Data Fusion-Instanz. Sie können die vorhandenen Instanzen nicht migrieren um Private Service Connect zu verwenden.
Preise
Über Private Service Connect ein- und ausgehende Daten sind geladen wurde. Weitere Informationen finden Sie unter Private Service Connect Preise.
Erforderliche Rollen und Berechtigungen
Berechtigungen zum Erstellen einer Cloud Data Fusion-Instanz erhalten und Netzwerkanhang enthält, bitten Sie Ihren Administrator, Ihnen Folgendes zu gewähren: IAM-Rollen (Identity and Access Management) für Ihr Projekt:
- Erstellen Sie eine Cloud Data Fusion-Instanz:
Cloud Data Fusion-Administrator (
roles/datafusion.admin) - Netzwerkanhänge erstellen, ansehen und löschen:
Compute-Netzwerkadministrator (
roles/compute.networkAdmin)
Zum Abrufen der Berechtigungen, die Cloud Data Fusion zum Validieren des Netzwerks benötigt
Konfiguration enthält, bitten Sie Ihren Administrator, dem Nutzer die folgenden IAM-Rollen zu gewähren.
Cloud Data Fusion-Dienst-Agent
(des Formats
service-CUSTOMER_PROJECT_NUMBER@gcp-sa-datafusion.iam.gserviceaccount.com):
Für die mit dem Netzwerkanhang verknüpfte VPC: Compute-Netzwerkbetrachter (
roles/compute.networkViewer)Damit Cloud Data Fusion sein Mandantenprojekt dem Ersteller hinzufügen kann, akzeptieren Sie Folgendes: Liste des Netzwerkanhangs:
compute.networkAttachments.getcompute.networkAttachments.updatecompute.networkAttachments.list
Die restriktivste Rolle mit diesen Berechtigungen ist die Compute-Netzwerkadministrator
roles/compute.networkAdmin. Diese Berechtigungen sind Teil der Cloud Data Fusion API-Dienst-Agent (roles/datafusion.serviceAgent), die dem Nutzer automatisch Cloud Data Fusion-Dienst-Agent. Daher ist keine Maßnahme erforderlich, es sei denn, die Rollenzuweisung des Dienst-Agents wurde explizit entfernt.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Weitere Informationen zu den Optionen für die Zugriffssteuerung in Cloud Data Fusion Siehe Zugriffssteuerung mit IAM.
VPC-Netzwerk oder freigegebene VPC-Netzwerk erstellen
Stellen Sie sicher, dass Sie ein VPC-Netzwerk oder ein Freigegebenes VPC-Netzwerk.
Private Service Connect konfigurieren
So konfigurieren Sie Private Service Connect in Cloud Data Fusion: müssen Sie zuerst einen Netzwerkanhang erstellen und dann einen Cloud Data Fusion-Instanz mit Private Service Connect.
Netzwerkanhang erstellen
Der Netzwerkanhang stellt eine Reihe von Subnetzwerken bereit. So erstellen Sie ein Netzwerk: führen Sie die folgenden Schritte aus:
Console
Rufen Sie in der Google Cloud Console die Seite Netzwerkanhänge auf:
Klicken Sie auf Netzwerkanhang erstellen.
Geben Sie im Feld Name einen Namen für Ihr Netzwerkanhang ein.
Wählen Sie aus der Liste Netzwerk eine VPC oder eine freigegebene VPC aus. Netzwerk.
Wählen Sie in der Liste Region eine Google Cloud-Region aus. Diese Region muss mit der Cloud Data Fusion-Instanz übereinstimmen.
Wählen Sie in der Liste Subnetzwerk einen Subnetzwerkbereich aus.
Wählen Sie unter Verbindungseinstellung die Option Verbindungen für ausgewählte Projekte akzeptieren
Cloud Data Fusion fügt automatisch den Cloud Data Fusion-Mandanten hinzu Projekt der Liste Akzeptierte Projekte hinzugefügt, wenn Sie das Cloud Data Fusion-Instanz.
Fügen Sie keine Akzeptierten Projekte oder abgelehnten Projekte hinzu.
Klicken Sie auf Netzwerkanhang erstellen.
gcloud
Erstellen Sie ein oder mehrere Subnetzwerke. Beispiel:
gcloud compute networks subnets create subnet-1 --network=network-0 --range=10.10.1.0/24 --region=REGIONDer Netzwerkanhang verwendet diese Subnetzwerke in den nachfolgenden Schritten.
Erstellen Sie eine Netzwerkanhangsressource in derselben Region wie die Cloud Data Fusion-Instanz mit dem Attribut
connection-preferencefestgelegt aufACCEPT_MANUAL:gcloud compute network-attachments create NAME --region=REGION --connection-preference=ACCEPT_MANUAL --subnets=SUBNETErsetzen Sie Folgendes:
NAME: der Name Ihres Netzwerkanhangs.REGION: der Name der Google Cloud-Region. Diese Region muss mit der Cloud Data Fusion-Instanz übereinstimmen.SUBNET: der Name des Subnetzes.
Die Ausgabe dieses Befehls ist die folgende Netzwerkanhangs-URL: Format:
projects/PROJECT/locations/REGION/network-attachments/NETWORK_ATTACHMENT_ID.Notieren Sie sich diese URL, da Cloud Data Fusion sie für benötigt. Konnektivität haben.
REST API
Erstellen Sie einen Netzwerkanhang:
alias authtoken="gcloud auth print-access-token" NETWORK_ATTACHMENT_NAME=NETWORK_ATTACHMENT_NAME REGION=REGION SUBNET=SUBNET PROJECT_ID=PROJECT_ID read -r -d '' BODY << EOM { "name": "$NETWORK_ATTACHMENT_NAME", "description": "Network attachment for private Cloud Data Fusion", "connectionPreference": "ACCEPT_MANUAL", "subnetworks": [ "projects/$PROJECT_ID/regions/$REGION/subnetworks/$SUBNET" ] } EOM curl -H "Authorization: Bearer $(authtoken)" \ -H "Content-Type: application/json" \ -X POST -d "$BODY" "https://compute.googleapis.com/compute/v1/projects/$PROJECT_ID/regions/$REGION/networkAttachments"Ersetzen Sie Folgendes:
NETWORK_ATTACHMENT_NAME: der Name Ihres Netzwerkanhang.REGION: der Name der Google Cloud-Region. Diese Region muss mit der Cloud Data Fusion-Instanz übereinstimmen.SUBNET: der Name des Subnetzes.PROJECT_ID: die Projekt-ID.
Erstellen Sie eine Cloud Data Fusion-Instanz.
Cloud Data Fusion verwendet einen /25-CIDR-Block (128 IPs) für Ressourcen in der Mandantenprojekts. Dieser Bereich wird als unerreichbarer oder reservierter Bereich bezeichnet. Sie können IP-Adressen in VPCs zugewiesen, aber Cloud Data Fusion-VMs können können Sie über diesen Bereich eine Verbindung zu Ihren Ressourcen herstellen.
In den meisten Fällen ist dies kein Problem, da der nicht erreichbare CIDR-Block nicht in einem RFC 1918-Bereich (240.0.0.0/8) liegen. Wenn Sie die nicht erreichbaren Bereich finden Sie unter Erweiterte Konfigurationen.
So erstellen Sie eine Cloud Data Fusion-Instanz mit Wenn Private Service Connect aktiviert ist, gehen Sie so vor:
Console
Rufen Sie in der Google Cloud Console die Cloud Data Fusion-Instanzen auf. und klicken Sie auf Instanz erstellen.
<ph type="x-smartling-placeholder"></ph> Instanz erstellen
Geben Sie im Feld Instanzname einen Namen für die neue Instanz ein.
Geben Sie im Feld Beschreibung eine Beschreibung für die Instanz ein.
Wählen Sie aus der Liste Region die Google Cloud-Region aus, in der Sie die Instanz erstellen möchten.
Wählen Sie in der Liste Version die Option
6.10oder höher aus.Wählen Sie eine Ausgabe aus Weitere Informationen zu den Preisen für verschiedene finden Sie in der Preisübersicht zu Cloud Data Fusion.
Maximieren Sie Erweiterte Optionen und gehen Sie so vor:
Wählen Sie Private IP-Adresse aktivieren aus.
Wählen Sie Private Service Connect als Verbindungstyp aus.
Wählen Sie im Abschnitt Netzwerkanhang den Netzwerkanhang aus. den Sie unter Netzwerkanhang erstellen erstellt haben.
Klicken Sie auf Erstellen. Es kann bis zu 30 Minuten dauern, bis die Instanz erstellt ist.
REST API
Führen Sie dazu diesen Befehl aus:
alias authtoken="gcloud auth print-access-token"
EDITION=EDITION
PROJECT_ID=PROJECT_ID
REGION=REGION
CDF_ID=INSTANCE_ID
NETWORK_ATTACHMENT_ID=NETWORK_ATTACHMENT_ID
read -r -d '' BODY << EOM
{
"description": "PSC enabled instance",
"version": "6.10",
"type": "$EDITION",
"privateInstance": "true",
"networkConfig": {
"connectionType": "PRIVATE_SERVICE_CONNECT_INTERFACES",
"privateServiceConnectConfig": {
"networkAttachment": "$NETWORK_ATTACHMENT_ID"
}
}
}
EOM
curl -H "Authorization: Bearer $(authtoken)" \
-H "Content-Type: application/json" \
-X POST -d "$BODY" "https://datafusion.googleapis.com/v1/projects/$PROJECT_ID/locations/$REGION/instances/?instanceId=$CDF_ID"
Ersetzen Sie Folgendes:
EDITION: Cloud Data Fusion Version:BASIC,DEVELOPERoderENTERPRISE.PROJECT_ID: die Projekt-ID.REGION: der Name der Google Cloud-Region. Diese Region muss mit der Cloud Data Fusion-Instanz übereinstimmen.INSTANCE_IDist die ID Ihrer Instanz.NETWORK_ATTACHMENT_ID: die ID Ihres Netzwerkanhang.
Erweiterte Konfigurationen
Um die Freigabe von Subnetzen zu ermöglichen, können Sie mehrere Cloud Data Fusion-Instanzen erstellen. Wenn Sie dagegen Subnetz für eine Cloud Data Fusion-Instanz erstellen möchten, einen bestimmten Netzwerkanhang bereitstellen, der von Cloud Data Fusion verwendet werden soll Instanz.
Empfohlen: Um eine einheitliche Firewallrichtlinie auf alle Cloud Data Fusion-Instanzen verwenden denselben Netzwerkanhang.
Wenn Sie den CIDR-Block /25 steuern möchten, der für
Cloud Data Fusion verwenden, geben Sie das Attribut unreachableCidrBlock an, wenn Sie
erstellen Sie die Instanz. Beispiel:
alias authtoken="gcloud auth print-access-token"
EDITION=EDITION
PROJECT_ID=PROJECT_ID
REGION=REGION
CDF_ID=INSTANCE_ID
NETWORK_ATTACHMENT_ID=NETWORK_ATTACHMENT_ID
UNREACHABLE_RANGE=UNREACHABLE_RANGE
read -r -d '' BODY << EOM
{
"description": "PSC enabled instance",
"version": "6.10",
"type": "$EDITION",
"privateInstance": "true",
"networkConfig": {
"connectionType": "PRIVATE_SERVICE_CONNECT_INTERFACES",
"unreachableCidrBlock": "$UNREACHABLE_RANGE"
"privateServiceConnectConfig": {
"networkAttachment": "projects/$PROJECT_ID/regions/$REGION/networkAttachments/$NETWORK_ATTACHMENT_ID"
}
}
}
EOM
curl -H "Authorization: Bearer $(authtoken)" \
-H "Content-Type: application/json" \
-X POST -d "$BODY" "https://datafusion.googleapis.com/v1/projects/$PROJECT_ID/locations/$REGION/instances/?instanceId=$CDF_ID"
Ersetzen Sie Folgendes:
EDITION: Cloud Data Fusion Version:BASIC,DEVELOPERoderENTERPRISE.PROJECT_ID: die Projekt-ID.REGION: der Name der Google Cloud-Region. Diese Region muss mit der Cloud Data Fusion-Instanz übereinstimmen.INSTANCE_IDist die ID Ihrer Instanz.NETWORK_ATTACHMENT_ID: die ID Ihres Netzwerkanhang.UNREACHABLE_RANGE: der nicht erreichbare Bereich, z. B.10.0.0.0/25.
Sicherheit
In diesem Abschnitt wird die Sicherheit zwischen Cloud Data Fusion und Nutzern beschrieben.
Cloud Data Fusion zur Sicherheit für Nutzer
Private Service Connect-Schnittstellen unterstützen Firewallregeln für ausgehenden Traffic um zu steuern, worauf Cloud Data Fusion in Ihrer VPC zugreifen kann. Weitere Informationen finden Sie unter Begrenzen Sie den Producer-to-Consumer-eingehenden Traffic.
Sicherheit von Nutzer zu Cloud Data Fusion
Cloud Data Fusion-VMs mit Private Service Connect-Schnittstelle den gesamten Traffic blockieren, der von Ihrer VPC kommt und kein Antwortpaket ist.