Esta página foi traduzida pela API Cloud Translation.

Criar uma instância particular com o Private Service Connect

Nesta página, descrevemos como configurar o Private Service Connect no o Cloud Data Fusion.

Sobre o Private Service Connect no Cloud Data Fusion

As instâncias do Cloud Data Fusion podem precisar se conectar a recursos localizados no local, no Google Cloud ou em outros provedores de nuvem. Ao usar Cloud Data Fusion com endereços IP internos, conexões com os recursos são estabelecidos em uma rede de nuvem privada virtual (VPC) projeto do Google Cloud. O tráfego pela rede não passa pelo público Internet. Quando o Cloud Data Fusion recebe acesso à sua rede VPC usando peering de VPC, há limitações que ficam evidentes quando você usa em redes de grande escala.

Com as interfaces do Private Service Connect, o Cloud Data Fusion se conecta à VPC sem usar peering de VPC. Private Service Connect interface é um tipo de Private Service Connect, que oferece ao Cloud Data Fusion uma maneira de iniciar conexões a redes VPC de consumo. Isso não apenas fornece flexibilidade e facilidade de acesso (como peering de VPC), mas também fornece autorização explícita e o controle do lado do consumidor que o Private Service Connect oferece.

O diagrama a seguir mostra como a interface do Private Service Connect é implantado no Cloud Data Fusion:

Implantação da interface do Private Service Connect.

Figura 1. Implantação da interface do Private Service Connect

Descrição da Figura 1:

As máquinas virtuais (VM) que executam o Cloud Data Fusion estão hospedadas em um Projeto de locatário do Google. Para acessar recursos na VPC do cliente, As VMs do Cloud Data Fusion usam o endereço IP atribuído pelo da interface de rede do Private Service Connect do cliente sub-rede. Essa sub-rede é adicionada ao anexo de rede usado pelo o Cloud Data Fusion.
Pacotes IP originários do Private Service Connect são tratados da mesma forma que os de uma VM na mesma sub-rede. Isso permite que o Cloud Data Fusion acesse recursos diretamente em VPC do cliente ou de peering sem precisar de um proxy.
Os recursos da Internet se tornam acessíveis quando o Cloud NAT é ativado no VPC do cliente, enquanto os recursos no local podem ser acessados por uma de interconexão de rede.
Para gerenciar a entrada ou saída do Private Service Connect, é possível implementar regras de firewall.

Principais vantagens

Confira a seguir os principais benefícios de usar o Cloud Data Fusion com Private Service Connect:

Melhor controle do espaço de IP. Você controla os endereços IP O Cloud Data Fusion usa para se conectar à sua rede. Você escolhe as sub-redes de onde os endereços IP são alocados para o Cloud Data Fusion. Todos os o tráfego do Cloud Data Fusion tem um endereço IP de origem da sub-rede configurada.

O Private Service Connect elimina a necessidade de usar IPs reservados endereços IP internos de uma VPC do cliente. O peering de VPC exige um bloco CIDR /22 (1.024 endereços IP) por instância do Cloud Data Fusion.
Maior segurança e isolamento. Ao configurar um anexo de rede, você controla quais serviços podem acessar a rede.
Configuração simplificada de instância do Cloud Data Fusion. Criar uma rede anexo por VPC do cliente apenas uma vez. Não é preciso usar VMs de proxy para se conectar na Internet, em VPCs de peering ou no local.

Principais conceitos

Esta seção explica os conceitos envolvidos Private Service Connect no Cloud Data Fusion.

Anexo de rede

O anexo de rede é um recurso regional usado para autorizar o Cloud Data Fusion para usar e estabelecer conexões de rede de forma particular, para acessar recursos na VPC. Para mais informações, consulte Sobre anexos de rede.

VPC compartilhada

Confira a seguir um caso de uso do Private Service Connect com a VPC compartilhada:

A rede ou a equipe de infraestrutura é proprietária das sub-redes de um projeto host. Eles permitem as equipes de aplicativos usem essas sub-redes nos projetos de serviço.
As equipes de aplicativos são proprietárias dos anexos de rede em um projeto de serviço. O anexo de rede define qual locatário do Cloud Data Fusion podem se conectar às sub-redes vinculadas ao anexo de rede.

É possível criar um anexo de rede em um projeto de serviço. As sub-redes usadas em um anexo de rede só pode estar no projeto host.

O diagrama a seguir ilustra esse caso de uso:

Caso de uso para interfaces do Private Service Connect com VPC compartilhada

Figura 2. Caso de uso para interfaces do Private Service Connect com VPC compartilhada

Descrição da Figura 2:

O anexo de rede está presente no projeto de serviço. A rede usa uma sub-rede que pertence a uma VPC compartilhada no host projeto.
A instância do Cloud Data Fusion está presente no projeto de serviço usa o anexo de rede do projeto de serviço para estabelecer conectividade.
A instância do Cloud Data Fusion recebe endereços IP da sub-rede na VPC compartilhada.

Antes de começar

O Private Service Connect está disponível apenas no Cloud Data Fusion a partir da versão 6.10.0.
Só é possível ativar o Private Service Connect quando você cria uma nova instância do Cloud Data Fusion. Não é possível migrar as instâncias atuais para usar o Private Service Connect.

Preços

A entrada e saída de dados pelo Private Service Connect é carregado. Para mais informações, consulte a documentação do Private Service pricing.

Papéis e permissões necessárias

Para ter as permissões necessárias para criar uma instância do Cloud Data Fusion e um anexo de rede, peça ao administrador para conceder a você o seguinte Papéis do Identity and Access Management (IAM) no seu projeto:

Crie uma instância do Cloud Data Fusion: Administrador do Cloud Data Fusion (roles/datafusion.admin)
Crie, visualize e exclua anexos de rede: Administrador de rede do Compute (roles/compute.networkAdmin)

Para receber as permissões que o Cloud Data Fusion precisa para validar a rede. do Google, peça para o administrador conceder os seguintes papéis do IAM à Agente de serviço do Cloud Data Fusion (do formato service-CUSTOMER_PROJECT_NUMBER@gcp-sa-datafusion.iam.gserviceaccount.com):

Para a VPC associada ao anexo de rede: Leitor da rede do Compute (roles/compute.networkViewer)
Para que o Cloud Data Fusion adicione o projeto de locatário ao produtor, aceite do anexo de rede:
- compute.networkAttachments.get
- compute.networkAttachments.update
- compute.networkAttachments.list
O papel mais restritivo com essas permissões é Administrador de rede do Compute (roles/compute.networkAdmin). Essas permissões fazem parte Agente de serviço da API Cloud Data Fusion (roles/datafusion.serviceAgent), que é automaticamente concedido ao Agente de serviço do Cloud Data Fusion. Portanto, nenhuma ação é necessária, a menos que a concessão do papel de agente de serviço tenha sido explicitamente removida.

Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.

Também é possível receber as permissões necessárias com papéis personalizados ou outros papéis predefinidos.

Para mais informações sobre as opções de controle de acesso no Cloud Data Fusion, consulte Controle de acesso com o IAM.

Criar uma VPC ou rede VPC compartilhada

Certifique-se de ter criado rede VPC ou uma Rede VPC compartilhada.

Configure o Private Service Connect

Para configurar o Private Service Connect no Cloud Data Fusion, siga estas etapas: primeiro crie um anexo de rede e depois crie um Instância do Cloud Data Fusion com o Private Service Connect.

Criar um anexo de rede

O anexo de rede fornece um conjunto de sub-redes. Para criar uma rede , siga estas etapas:

Console

No console do Google Cloud, acesse a página Anexos de rede:

Acessar "Anexos de rede"
Clique em Criar anexo de rede.
No campo Nome, insira um nome para seu anexo de rede.
Na lista Rede, selecione uma VPC ou VPC compartilhada. em uma rede VPC.
Na lista Região, selecione uma região do Google Cloud. Esta região precisa ser a mesma da instância do Cloud Data Fusion.
Na lista Sub-rede, selecione um intervalo de sub-rede.

Observação: o provisionamento de um intervalo secundário de uma sub-rede não é necessário para o Cloud Data Fusion. Cada instância do Cloud Data Fusion solicita até 32 endereços IP do anexo de rede. Verifique se a sub-rede tem endereços IP suficientes para suportar o número do Cloud Data Fusion instâncias que você planeja criar.
Em Preferência de conexão, selecione Aceitar conexões para os projetos selecionados.

O Cloud Data Fusion adiciona automaticamente o locatário do Cloud Data Fusion projeto para a lista Projetos aceitos ao criar o instância do Cloud Data Fusion.

Cuidado: a opção Aceitar conexões automaticamente para todos os projetos é menos seguro, porque permite que qualquer serviço obtenha endereços IP de na sub-rede. Não recomendamos o uso dessa opção.
Não adicione Projetos aceitos ou Projetos recusados.
Clique em Criar anexo de rede.

gcloud

Crie uma ou mais sub-redes. Exemplo:
```
gcloud compute networks subnets create subnet-1 --network=network-0 --range=10.10.1.0/24 --region=REGION
```
O anexo de rede usará essas sub-redes nas etapas subsequentes.

Observação: não é necessário provisionar um intervalo secundário para uma sub-rede. para o Cloud Data Fusion. Cada instância do Cloud Data Fusion solicita até 32 endereços IP do anexo de rede. Verifique se a sub-rede tem endereços IP suficientes para suportar o número do Cloud Data Fusion instâncias que você planeja criar.
Crie um recurso de anexo de rede na mesma região que a Instância do Cloud Data Fusion, com a propriedade connection-preference Defina como ACCEPT_MANUAL:
```
gcloud compute network-attachments create NAME
--region=REGION
--connection-preference=ACCEPT_MANUAL
--subnets=SUBNET
```
Substitua:
- NAME: o nome do anexo de rede.
- REGION: o nome da região do Google Cloud. Essa região precisa ser a mesma da instância do Cloud Data Fusion.
- SUBNET: o nome da sub-rede.
A saída desse comando é um URL de anexo de rede com o seguinte formato:

projects/PROJECT/locations/REGION/network-attachments/NETWORK_ATTACHMENT_ID

Anote o URL, porque o Cloud Data Fusion precisa dele para conectividade.

Cuidado: especificar connection-preference como ACCEPT_AUTOMATIC é porque permite que qualquer serviço obtenha endereços IP de sua sub-rede. Não recomendamos o uso dessa opção.

API REST

Criar uma sub-rede.

Crie um anexo de rede:

alias authtoken="gcloud auth print-access-token"
NETWORK_ATTACHMENT_NAME=NETWORK_ATTACHMENT_NAME
REGION=REGION
SUBNET=SUBNET
PROJECT_ID=PROJECT_ID

read -r -d '' BODY << EOM
{
  "name": "$NETWORK_ATTACHMENT_NAME",
  "description": "Network attachment for private Cloud Data Fusion",
  "connectionPreference": "ACCEPT_MANUAL",
  "subnetworks": [
    "projects/$PROJECT_ID/regions/$REGION/subnetworks/$SUBNET"
  ]
}
EOM

curl -H "Authorization: Bearer $(authtoken)" \
-H "Content-Type: application/json" \
-X POST   -d "$BODY" "https://compute.googleapis.com/compute/v1/projects/$PROJECT_ID/regions/$REGION/networkAttachments"

Substitua:

NETWORK_ATTACHMENT_NAME: o nome do que se refere a um anexo de rede.
REGION: o nome da região do Google Cloud. Essa região precisa ser a mesma da instância do Cloud Data Fusion.
SUBNET: o nome da sub-rede.
PROJECT_ID: ID do projeto.

crie uma instância do Cloud Data Fusion

O Cloud Data Fusion usa um bloco CIDR /25 (128 IPs) para recursos no projeto de locatário. Isso é chamado de intervalo inacessível ou reservado. Você pode usar nas VPCs, mas as VMs do Cloud Data Fusion não podem acessar conecte-se aos seus recursos usando esse intervalo.

Na maioria dos casos, isso não é um problema, já que o bloco CIDR inacessível está em um intervalo não RFC 1918 (240.0.0.0/8), por padrão. Se você quiser controlar fora de alcance, consulte Configurações avançadas.

Para criar uma instância do Cloud Data Fusion com Se o Private Service Connect estiver ativado, siga estas etapas:

Console

No console do Google Cloud, acesse Instâncias do Cloud Data Fusion e clique em Criar instância.
Criar uma instância
No campo Nome da instância, digite um nome para a nova instância.
No campo Descrição, digite uma descrição para a instância.
Na lista Região, selecione a região do Google Cloud em que você quer criar a instância.
Na lista Versão, selecione 6.10 ou mais recente.
Selecione uma Edição. Para mais informações sobre preços de diferentes consulte a visão geral de preços do Cloud Data Fusion.
Expanda Opções avançadas e faça o seguinte:
1. Selecione Ativar IP privado.
2. Selecione Private Service Connect como o Tipo de conectividade.
3. Na seção Anexo de rede, selecione o anexo de rede que você criou em Criar um anexo de rede.
Clique em Criar. O processo de criação da instância leva até 30 minutos para ser concluído.

API REST

Execute este comando:

alias authtoken="gcloud auth print-access-token"

EDITION=EDITION
PROJECT_ID=PROJECT_ID
REGION=REGION
CDF_ID=INSTANCE_ID
NETWORK_ATTACHMENT_ID=NETWORK_ATTACHMENT_ID

read -r -d '' BODY << EOM
{
  "description": "PSC enabled instance",
  "version": "6.10",
  "type": "$EDITION",
  "privateInstance": "true",
  "networkConfig": {
    "connectionType": "PRIVATE_SERVICE_CONNECT_INTERFACES",
    "privateServiceConnectConfig": {
      "networkAttachment": "$NETWORK_ATTACHMENT_ID"
    }
  }
}
EOM

curl -H "Authorization: Bearer $(authtoken)" \
-H "Content-Type: application/json" \
-X POST   -d "$BODY" "https://datafusion.googleapis.com/v1/projects/$PROJECT_ID/locations/$REGION/instances/?instanceId=$CDF_ID"

Substitua:

EDITION: o Cloud Data Fusion edição: BASIC, DEVELOPER ou ENTERPRISE.
PROJECT_ID: ID do projeto.
REGION: o nome da região do Google Cloud. Essa região precisa ser a mesma da instância do Cloud Data Fusion.
INSTANCE_ID: o ID da instância.
NETWORK_ATTACHMENT_ID: o ID do que se refere a um anexo de rede.

Configurações avançadas

Para ativar o compartilhamento de sub-redes, você pode fornecer o mesmo anexo de rede várias instâncias do Cloud Data Fusion. Por outro lado, se você quiser se dedicar uma sub-rede para uma instância específica do Cloud Data Fusion, fornecem um anexo de rede específico, para ser usado pelo instância.

Recomendado: para aplicar uma política de firewall uniforme a todos os as instâncias do Cloud Data Fusion precisam usar o mesmo anexo de rede.

Se você quiser controlar o bloco CIDR /25 que não pode ser acessado pelo No Cloud Data Fusion, especifique a propriedade unreachableCidrBlock quando criar a instância. Exemplo:

alias authtoken="gcloud auth print-access-token"

EDITION=EDITION
PROJECT_ID=PROJECT_ID
REGION=REGION
CDF_ID=INSTANCE_ID
NETWORK_ATTACHMENT_ID=NETWORK_ATTACHMENT_ID
UNREACHABLE_RANGE=UNREACHABLE_RANGE

read -r -d '' BODY << EOM
{
  "description": "PSC enabled instance",
  "version": "6.10",
  "type": "$EDITION",
  "privateInstance": "true",
  "networkConfig": {
    "connectionType": "PRIVATE_SERVICE_CONNECT_INTERFACES",
    "unreachableCidrBlock": "$UNREACHABLE_RANGE"
    "privateServiceConnectConfig": {
      "networkAttachment": "projects/$PROJECT_ID/regions/$REGION/networkAttachments/$NETWORK_ATTACHMENT_ID"
    }
  }
}
EOM

curl -H "Authorization: Bearer $(authtoken)" \
-H "Content-Type: application/json" \
-X POST -d "$BODY" "https://datafusion.googleapis.com/v1/projects/$PROJECT_ID/locations/$REGION/instances/?instanceId=$CDF_ID"

Substitua:

EDITION: o Cloud Data Fusion edição: BASIC, DEVELOPER ou ENTERPRISE.
PROJECT_ID: ID do projeto.
REGION: o nome da região do Google Cloud. Essa região precisa ser a mesma da instância do Cloud Data Fusion.
INSTANCE_ID: o ID da instância.
NETWORK_ATTACHMENT_ID: o ID do que se refere a um anexo de rede.
UNREACHABLE_RANGE: o inacessível intervalo, por exemplo, 10.0.0.0/25.

Segurança

Nesta seção, descrevemos a segurança entre o Cloud Data Fusion e os consumidores.

Cloud Data Fusion para a segurança do consumidor

As interfaces do Private Service Connect dão suporte às regras de firewall de saída para controlar o que o Cloud Data Fusion pode acessar na VPC. Para mais informações, consulte Limite a entrada do produtor para o consumidor.

Segurança do consumidor para o Cloud Data Fusion

VMs do Cloud Data Fusion com interface do Private Service Connect bloquear qualquer tráfego originado da VPC e que não seja um pacote de resposta.