Private Verbindungskonfiguration erstellen

In diesem Abschnitt erfahren Sie, wie Sie eine Konfiguration für private Verbindungen erstellen. Dieser Konfigurationstyp enthält Informationen, die Datastream für die Kommunikation mit einer Datenquelle über ein privates Netzwerk (intern in Google Cloudoder mit externen Quellen, die über VPN oder Interconnect verbunden sind) verwendet. Diese Kommunikation erfolgt über eine VPC-Peering-Verbindung (Virtual Private Cloud).

Eine VPC-Peering-Verbindung ist eine Netzwerkverbindung zwischen zwei VPCs, mit der Sie Traffic mithilfe interner, privater IPv4-Adressen zwischen ihnen weiterleiten können. Sie müssen die privaten IP-Adressen angeben, wenn Sie die Konfiguration der privaten Verbindung einrichten, da Datastream die DNS-Auflösung (Domain Name System) in privaten Verbindungen nicht unterstützt.

Hinweise

Bevor Sie eine Konfiguration für private Verbindungen erstellen, müssen Sie die folgenden Schritte ausführen, damit Datastream die VPC-Peering-Verbindung zu Ihrem Projekt erstellen kann:

  • Sie haben ein VPC-Netzwerk, das eine Peering-Verbindung zum privaten Netzwerk von Datastream herstellen kann und die auf der Seite VPC-Netzwerk-Peering beschriebenen Anforderungen erfüllt. Weitere Informationen zum Erstellen dieses Netzwerks finden Sie unter VPC-Netzwerk-Peering verwenden.
  • Sie haben einen verfügbaren IP-Bereich (mit einem CIDR-Block von /29) im VPC-Netzwerk. Es darf sich nicht um einen IP-Bereich handeln, der bereits als Subnetz vorhanden ist, um einen vorab zugewiesenen IP-Bereich für den Zugriff auf private Dienste oder um eine Route (außer der Standardroute 0.0.0.0), die den IP-Bereich enthält. Datastream verwendet diesen IP-Bereich, um ein Subnetz zu erstellen, damit es mit der Quelldatenbank kommunizieren kann. In der folgenden Tabelle werden gültige IP-Bereiche beschrieben.
Bereich Beschreibung
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16 		Private IP-Adressen RFC 1918
100.64.0.0/10 Gemeinsamer Adressbereich RFC 6598
192.0.0.0/24 IETF-Protokollzuweisungen RFC 6890
192.0.2.0/24 (TEST-NET-1)
198.51.100.0/24 (TEST-NET-2)
203.0.113.0/24 (TEST-NET-3)		 Dokumentation RFC 5737
192.88.99.0/24 IPv6-zu-IPv4-Relay (verworfen) RFC 7526
198.18.0.0/15 Benchmarktests RFC 2544

  • Prüfen Sie, ob Google Cloud und die lokale Firewall Traffic aus dem ausgewählten IP-Bereich zulassen. Falls nicht, erstellen Sie eine Firewallregel für eingehenden Traffic, die Traffic am Port der Quelldatenbank zulässt. Der IPv4-Adressbereich in der Firewallregel muss mit dem IP-Adressbereich übereinstimmen, der beim Erstellen der privaten Verbindungsressource zugewiesen wurde:

    gcloud compute firewall-rules create FIREWALL-RULE-NAME \
  --direction=INGRESS \
  --priority=PRIORITY \
  --network=PRIVATE_CONNECTIVITY_VPC \
  --project=VPC_PROJECT \
  --action=ALLOW \
  --rules=FIREWALL_RULES \
  --source-ranges=IP-RANGE

    Ersetzen Sie Folgendes:

    • FIREWALL-RULE-NAME: Der Name der zu erstellenden Firewallregel.
    • PRIORITY: Die Priorität der Regel, ausgedrückt als Ganzzahl zwischen 0 und 65.535 (jeweils einschließlich). Der Wert muss kleiner als der für die Blockierungsregel festgelegte Wert sein, sofern vorhanden. Je niedriger der Wert, desto höher die Priorität.
    • PRIVATE_CONNECTIVITY_VPC: Das VPC-Netzwerk, das mit dem privaten Datastream-Netzwerk verbunden werden kann und die auf der Seite VPC-Peering-Netzwerk beschriebenen Anforderungen erfüllt. Das ist das VPC, das Sie beim Erstellen der Konfiguration für private Verbindungen angeben.
    • VPC_PROJECT: Das Projekt des VPC-Netzwerks.
    • FIREWALL_RULES: Die Liste der Protokolle und Ports, auf die die Firewallregel angewendet wird, z. B. tcp:80. Die Regel muss TCP-Traffic an die IP-Adresse und den Port der Quelldatenbank oder des Proxys zulassen. Da private Verbindungen mehrere Datenbanken unterstützen können, muss die Regel die tatsächliche Nutzung Ihrer Konfiguration berücksichtigen.

    • IP-RANGE: Der IP-Adressbereich, über den Datastream mit der Quelldatenbank kommuniziert. Dies ist derselbe Bereich, den Sie im Feld IP-Bereich zuweisen angeben, wenn Sie die Konfiguration für die private Verbindung erstellen.

      Möglicherweise müssen Sie auch eine identische ausgehende Firewallregel erstellen, um Traffic zurück zu Datastream zuzulassen.

  • einer Rolle zugewiesen sind, die die Berechtigung compute.networks.list enthält. Mit dieser Berechtigung erhalten Sie die erforderlichen IAM-Berechtigungen zum Auflisten von VPC-Netzwerken in Ihrem Projekt. Welche Rollen diese Berechtigung enthalten, sehen Sie in der Referenz für IAM-Berechtigungen.

Voraussetzungen für freigegebene VPCs

Wenn Sie eine freigegebene VPC verwenden, müssen Sie zusätzlich zu den im Abschnitt Vorab beschriebenen Schritten die folgenden Aktionen ausführen:

  1. Im Dienstprojekt:

    1. Aktivieren Sie die Datastream API.

    2. Rufen Sie die für das Dienstkonto von Datastream verwendete E-Mail-Adresse ab. Datastream-Dienstkonten werden erstellt, wenn Sie eine der folgenden Aktionen ausführen:

      • Sie erstellen eine Datastream-Ressource, z. B. ein Verbindungsprofil oder einen Stream.
      • Erstellen Sie eine Konfiguration für private Verbindungen, wählen Sie Ihre freigegebene VPC aus und klicken Sie auf Datastream-Dienstkonto erstellen. Das Dienstkonto wird im Hostprojekt erstellt.

      Die E-Mail-Adresse, die für das Datastream-Dienstkonto verwendet wird, finden Sie auf der Startseite der Google Cloud Console unter der Projektnummer. Die E-Mail-Adresse des Dienstkontos lautet service-[project_number]@gcp-sa-datastream.iam.gserviceaccount.com.

  2. Für das Hostprojekt:

    1. Gewähren Sie dem Datastream-Dienstkonto die IAM-Rolle (Identity and Access Management) compute.networkAdmin. Diese Rolle ist nur erforderlich, wenn Sie das VPC-Peering erstellen. Nachdem das Peering eingerichtet wurde, benötigen Sie die Rolle nicht mehr.

      Wenn die Berechtigung in Ihrer Organisation nicht gewährt werden kann, erstellen Sie eine benutzerdefinierte Rolle mit den folgenden Mindestberechtigungen zum Erstellen und Löschen von Ressourcen für private Verbindungen:

    Weitere Informationen zu benutzerdefinierten Rollen finden Sie unter Benutzerdefinierte Rollen erstellen und verwalten.

Konfiguration erstellen

  1. Prüfen Sie die erforderlichen Voraussetzungen, um zu sehen, wie die Umgebung auf eine Konfiguration für private Verbindungen vorbereitet werden muss. Weitere Informationen zu diesen Voraussetzungen finden Sie unter Hinweis.

  2. Rufen Sie in der Google Cloud Console die Seite Konfigurationen für private Verbindungen auf.

    Zur Seite „Konfigurationen für private Verbindungen“

  3. Klicken Sie auf KONFIGURATION ERSTELLEN.

  4. Verwenden Sie die folgende Tabelle, um die Felder im Abschnitt Private Verbindung konfigurieren der Seite Konfiguration für private Verbindungen erstellen auszufüllen:

    FeldBeschreibung
    KonfigurationsnameGeben Sie den Anzeigenamen der Konfiguration für private Verbindungen ein.
    Konfigurations-IDDatastream füllt dieses Feld automatisch basierend auf dem von Ihnen eingegebenen Konfigurationsnamen aus. Sie können die automatisch generierte ID beibehalten oder ändern.
    Region

    Wählen Sie die Region aus, in der die Konfiguration für private Verbindungen gespeichert ist.

  5. Verwenden Sie die folgende Tabelle, um die Felder im Abschnitt Verbindung einrichten auf der Seite Konfiguration für private Verbindungen erstellen auszufüllen:

    FeldBeschreibung
    Autorisiertes VPC-NetzwerkWählen Sie das VPC-Netzwerk aus, das Sie unter Hinweis erstellt haben.
    IP-Bereich zuweisenGeben Sie einen verfügbaren IP-Bereich im VPC-Netzwerk ein. Sie haben diesen IP-Bereich unter Hinweis ermittelt.

  6. Klicken Sie auf ERSTELLEN.

Nachdem Sie eine Konfiguration für private Verbindungen erstellt haben, können Sie allgemeine und detaillierte Informationen zu dieser Konfiguration anzeigen.

Nächste Schritte