Überblick
In diesem Abschnitt erfahren Sie, wie Sie eine Konfiguration für private Verbindungen erstellen. Dieser Konfigurationstyp enthält Informationen, die Datastream für die Kommunikation mit einer Datenquelle über ein privates Netzwerk (intern in Google Cloud oder mit externen Quellen, die über VPN oder Interconnect verbunden sind) verwendet. Diese Kommunikation erfolgt über eine VPC-Peering-Verbindung (Virtual Private Cloud).
Eine VPC-Peering-Verbindung ist eine Netzwerkverbindung zwischen zwei VPCs, über die Sie Traffic zwischen ihnen über interne, private IPv4-Adressen weiterleiten können. Sie müssen die privaten IP-Adressen angeben, wenn Sie die Konfiguration für private Verbindungen einrichten, da Datastream die DNS-Auflösung (Domain Name System) bei privaten Verbindungen nicht unterstützt.
Hinweise
Bevor Sie eine Konfiguration für private Verbindungen erstellen, müssen Sie die folgenden Schritte ausführen, damit Datastream die VPC-Peering-Verbindung zu Ihrem Projekt erstellen kann:
- Sie haben ein VPC-Netzwerk, das eine Peering-Verbindung zum privaten Netzwerk von Datastream herstellen kann und das die als Einschränkungen beschriebenen Anforderungen erfüllt. Weitere Informationen zum Erstellen dieses Netzwerks finden Sie unter VPC-Netzwerk-Peering verwenden.
- Ermitteln Sie einen verfügbaren IP-Bereich (mit einem CIDR-Block von /29) im VPC-Netzwerk. Dies darf kein IP-Bereich sein, der bereits als Subnetz, ein vorab zugewiesener IP-Bereich für eine private Dienstverbindung oder ein vorab zugewiesener Routen-IP-Bereich vorhanden ist. Datastream verwendet diesen IP-Bereich, um ein Subnetz zu erstellen, damit es mit der Quelldatenbank kommunizieren kann. In der folgenden Tabelle werden gültige IP-Bereiche beschrieben.
| Bereich | Beschreibung |
|---|---|
10.0.0.0/8172.16.0.0/12192.168.0.0/16
|
Private IP-Adressen RFC 1918 |
100.64.0.0/10 |
Gemeinsamer Adressbereich RFC 6598 |
192.0.0.0/24 |
IETF-Protokollzuweisungen RFC 6890 |
192.0.2.0/24 (TEST-NET-1)198.51.100.0/24 (TEST-NET-2)203.0.113.0/24 (TEST-NET-3) |
Dokumentation RFC 5737 |
192.88.99.0/24 |
IPv6-zu-IPv4-Relay (verworfen) RFC 7526 |
198.18.0.0/15 |
Benchmarktests RFC 2544 |
Prüfen Sie, ob Google Cloud und die lokale Firewall Traffic vom ausgewählten IP-Bereich zulassen. Falls nicht, erstellen Sie eine Firewallregel für eingehenden Traffic, die Traffic über den Port der Quelldatenbank zulässt. Achten Sie außerdem darauf, dass der IPv4-Adressbereich in der Firewallregel mit dem IP-Adressbereich übereinstimmt, der beim Erstellen der privaten Verbindungsressource zugewiesen wurde:
gcloud compute firewall-rules create FIREWALL-RULE-NAME \ --direction=INGRESS \ --priority=PRIORITY \ --network=PRIVATE_CONNECTIVITY_VPC \ --project=VPC_PROJECT \ --action=ALLOW \ --rules=FIREWALL_RULES \ --source-ranges=IP-RANGE
Ersetzen Sie Folgendes:
- FIREWALL-RULE-NAME: Der Name der zu erstellenden Firewallregel.
- PRIORITY: Die Priorität der Regel als Ganzzahl zwischen 0 und 65.535 (jeweils einschließlich). Der Wert muss kleiner als der Wert sein, der für die Regel zum Blockieren von Traffic festgelegt ist, sofern vorhanden. Niedrigere Prioritätswerte bedeuten eine höhere Priorität.
- PRIVATE_CONNECTIVITY_VPC: Das VPC-Netzwerk, das eine Peering-Verbindung zum privaten Datastream-Netzwerk herstellen kann und die als Einschränkungen beschriebenen Anforderungen erfüllt. Dies ist die VPC, die Sie beim Erstellen der Konfiguration für private Verbindungen angeben.
- VPC_PROJECT: Das Projekt des VPC-Netzwerk.
- FIREWALL_RULES: Die Liste der Protokolle und Ports, für die die Firewallregel gilt, z. B.
tcp:80. Die Regel muss TCP-Traffic an die IP-Adresse und den Port der Quelldatenbank oder des Proxys zulassen. Da private Verbindungen mehrere Datenbanken unterstützen können, muss die Regel die tatsächliche Nutzung Ihrer Konfiguration berücksichtigen. IP-RANGE: Der IP-Adressbereich, den Datastream für die Kommunikation mit der Quelldatenbank verwendet. Dies ist der gleiche Bereich, den Sie beim Erstellen der Konfiguration für private Verbindungen im Feld IP-Bereich zuweisen angeben.
Unter Umständen müssen Sie auch eine identische Firewallregel für ausgehenden Traffic erstellen, um Traffic zurück zu Datastream zuzulassen.
Sie sind einer Rolle zugewiesen, die die Berechtigung
compute.networks.listenthält. Diese Berechtigung gibt Ihnen die erforderlichen IAM-Berechtigungen zum Auflisten von VPC-Netzwerken in Ihrem Projekt. Welche Rollen diese Berechtigung enthalten, sehen Sie in der Referenz für IAM-Berechtigungen.
Voraussetzungen für freigegebene VPC
Wenn Sie eine freigegebene VPC verwenden, müssen Sie zusätzlich zu den im Abschnitt Vorbereitung beschriebenen Schritten die folgenden Aktionen ausführen:
Für das Dienstprojekt:
- Aktivieren Sie die Datastream API.
Rufen Sie die E-Mail-Adresse ab, die für das Datastream-Dienstkonto verwendet wurde. Datastream-Dienstkonten werden erstellt, wenn Sie einen der folgenden Schritte ausführen:
- Sie erstellen eine Datastream-Ressource, z. B. ein Verbindungsprofil oder einen Stream.
- Sie erstellen eine Konfiguration für private Verbindungen, wählen die freigegebene VPC aus und klicken auf Datastream-Dienstkonto erstellen. Das Dienstkonto wird im Hostprojekt erstellt.
Die Projektnummer finden Sie auf der Startseite der Google Cloud Console. Die E-Mail-Adresse des Dienstkontos lautet
service-[project_number]@gcp-sa-datastream.iam.gserviceaccount.com.
Für das Hostprojekt:
Gewähren Sie dem Datastream-Dienstkonto die IAM-Rollenberechtigung
compute.networkAdmin(Identity and Access Management). Diese Rolle ist nur erforderlich, wenn Sie das VPC-Peering erstellen. Nachdem das Peering eingerichtet wurde, benötigen Sie die Rolle nicht mehr.Wenn Ihre Organisation das Gewähren der Berechtigung nicht zulässt, erstellen Sie eine benutzerdefinierte Rolle mit den folgenden Mindestberechtigungen zum Erstellen und Löschen von Ressourcen für private Verbindungen:
Weitere Informationen zu benutzerdefinierten Rollen finden Sie unter Benutzerdefinierte Rollen erstellen und verwalten.
Konfiguration erstellen
Prüfen Sie die erforderlichen Voraussetzungen, um zu sehen, wie die Umgebung auf eine Konfiguration für private Verbindungen vorbereitet werden muss. Weitere Informationen zu diesen Voraussetzungen finden Sie unter Hinweis.
Rufen Sie in der Google Cloud Console die Seite Konfiguration für private Verbindungen auf.
Klicken Sie auf KONFIGURATION ERSTELLEN.
Verwenden Sie die folgende Tabelle, um die Felder im Abschnitt Private Verbindung konfigurieren der Seite Konfiguration für private Verbindungen erstellen auszufüllen:
Feld Beschreibung Konfigurationsname Geben Sie den Anzeigenamen der Konfiguration für private Verbindungen ein. Konfigurations-ID Datastream füllt dieses Feld automatisch basierend auf dem von Ihnen eingegebenen Konfigurationsnamen aus. Sie können die automatisch generierte ID beibehalten oder ändern. Region Wählen Sie die Region aus, in der die Konfiguration für private Verbindungen gespeichert ist. Konfigurationen für private Verbindungen werden in einer Region gespeichert. Die Auswahl einer Region kann sich auf die Verfügbarkeit auswirken, wenn in der Region Ausfallzeiten auftreten.
Verwenden Sie die folgende Tabelle, um die Felder im Abschnitt Verbindung einrichten auf der Seite Konfiguration für private Verbindungen erstellen auszufüllen:
Feld Beschreibung Autorisiertes VPC-Netzwerk Wählen Sie das VPC-Netzwerk aus, das Sie unter Hinweis erstellt haben. IP-Bereich zuweisen Geben Sie einen verfügbaren IP-Bereich im VPC-Netzwerk ein. Sie haben diesen IP-Bereich unter Hinweis ermittelt. Klicken Sie auf ERSTELLEN.
Nachdem Sie eine Konfiguration für private Verbindungen erstellt haben, können Sie allgemeine und detaillierte Informationen zu dieser Konfiguration anzeigen.