Private Verbindungskonfiguration erstellen

Übersicht

In diesem Abschnitt erfahren Sie, wie Sie eine Konfiguration für private Verbindungen erstellen. Dieser Konfigurationstyp enthält Informationen, die Datastream für die Kommunikation mit einer Datenquelle über ein privates Netzwerk (intern in Google Cloud oder mit externen Quellen, die über VPN oder Interconnect verbunden sind) verwendet. Diese Kommunikation erfolgt über eine VPC-Peering-Verbindung (Virtual Private Cloud).

Eine VPC-Peering-Verbindung ist eine Netzwerkverbindung zwischen zwei VPCs, mit der Sie Traffic mithilfe interner, privater IPv4-Adressen zwischen ihnen weiterleiten können. Sie müssen die privaten IP-Adressen angeben, wenn Sie die Konfiguration der privaten Konnektivität einrichten, da Datastream die DNS-Auflösung (Domain Name System) in privaten Verbindungen nicht unterstützt.

Hinweis

Bevor Sie eine Konfiguration für private Verbindungen erstellen, müssen Sie die folgenden Schritte ausführen, damit Datastream die VPC-Peering-Verbindung zu Ihrem Projekt erstellen kann:

  • Sie haben ein VPC-Netzwerk, das eine Peering-Verbindung zum privaten Netzwerk von Datastream herstellen kann und die Anforderungen erfüllt, die als Einschränkungen beschrieben sind. Weitere Informationen zum Erstellen dieses Netzwerks finden Sie unter VPC-Netzwerk-Peering verwenden.
  • Ermitteln Sie einen verfügbaren IP-Bereich (mit einem CIDR-Block von /29) im VPC-Netzwerk. Dies kann kein IP-Bereich sein, der bereits als Subnetz vorhanden ist, kein vorab zugewiesener IP-Bereich für den Zugriff auf private Dienste oder eine beliebige Route (mit Ausnahme der Standardroute 0.0.0.0), die den IP-Bereich enthält. Datastream verwendet diesen IP-Bereich, um ein Subnetz zu erstellen, damit es mit der Quelldatenbank kommunizieren kann. In der folgenden Tabelle werden gültige IP-Bereiche beschrieben.
Bereich Beschreibung
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
Private IP-Adressen RFC 1918
100.64.0.0/10 Gemeinsamer Adressbereich RFC 6598
192.0.0.0/24 IETF-Protokollzuweisungen RFC 6890
192.0.2.0/24 (TEST-NET-1)
198.51.100.0/24 (TEST-NET-2)
203.0.113.0/24 (TEST-NET-3)
Dokumentation RFC 5737
192.88.99.0/24 IPv6-zu-IPv4-Relay (verworfen) RFC 7526
198.18.0.0/15 Benchmarktests RFC 2544
  • Prüfen Sie, ob Google Cloud und die lokale Firewall Traffic vom ausgewählten IP-Bereich. Falls nicht, erstellen Sie eine Firewallregel für eingehenden Traffic, die Traffic am Port der Quelldatenbank zulässt. Achten Sie darauf, dass der IPv4-Adressbereich in der Firewallregel mit dem IP-Adressbereich übereinstimmt, der beim Erstellen der Ressource für die private Konnektivität zugewiesen wurde:

    gcloud compute firewall-rules create FIREWALL-RULE-NAME \
      --direction=INGRESS \
      --priority=PRIORITY \
      --network=PRIVATE_CONNECTIVITY_VPC \
      --project=VPC_PROJECT \
      --action=ALLOW \
      --rules=FIREWALL_RULES \
      --source-ranges=IP-RANGE
      

    Ersetzen Sie Folgendes:

    • FIREWALL-RULE-NAME: Der Name der zu erstellenden Firewallregel.
    • PRIORITY: Priorität für die Regel, ausgedrückt als Ganzzahl zwischen 0 und 65.535 (einschließlich) liegt. Der Wert muss kleiner als der für die Blockierungsregel festgelegte Wert sein, sofern vorhanden. Je niedriger der Wert, desto höher die Priorität.
    • PRIVATE_CONNECTIVITY_VPC: Das VPC-Netzwerk, zu dem eine Peering-Verbindung hergestellt werden kann. privaten Datastream-Netzwerk verbunden ist und die Anforderungen als Einschränkungen beschrieben. Dies ist die VPC, die Sie beim Erstellen der privaten Verbindung angeben. Konfiguration.
    • VPC_PROJECT: Das Projekt des VPC-Netzwerk.
    • FIREWALL_RULES: Die Liste der Protokolle und Ports, auf die die Firewallregel angewendet wird, z. B. tcp:80. Die Regel muss TCP zulassen an die IP-Adresse und den Port der Quelldatenbank oder des Proxy. Da private Verbindungen mehrere Datenbanken unterstützen können, muss die tatsächliche Nutzung Ihrer Konfiguration berücksichtigen.
    • IP-RANGE: Der IP-Adressbereich, über den Datastream mit der Quelldatenbank kommuniziert. Dies ist derselbe Bereich, den Sie im Feld IP-Bereich zuweisen angeben, wenn Sie die Konfiguration für die private Verbindung erstellen.

      Möglicherweise müssen Sie auch eine identische ausgehende Firewallregel erstellen, um Traffic zurück zu Datastream zuzulassen.

  • Sie sind einer Rolle mit der Berechtigung compute.networks.list zugewiesen. Diese Berechtigung gibt Ihnen die erforderlichen IAM-Berechtigungen zum Auflisten von VPC-Netzwerken in Ihrem Projekt. Welche Rollen diese Berechtigung enthalten, sehen Sie in der Referenz für IAM-Berechtigungen.

Voraussetzungen für freigegebene VPC

Wenn Sie eine freigegebene VPC verwenden, müssen Sie zusätzlich zu den im Abschnitt Vorab beschriebenen Schritten die folgenden Aktionen ausführen:

  1. Für das Dienstprojekt:

    1. Aktivieren Sie die Datastream API.
    2. Rufen Sie die für das Dienstkonto von Datastream verwendete E-Mail-Adresse ab. Datastream-Dienstkonten werden erstellt, wenn Sie eine der folgenden Aktionen ausführen:

      • Sie erstellen eine Datastream-Ressource, z. B. ein Verbindungsprofil oder einen Stream.
      • Erstellen Sie eine Konfiguration für private Verbindungen, wählen Sie Ihre freigegebene VPC aus und klicken Sie auf Datastream-Dienstkonto erstellen. Das Dienstkonto wird im Hostprojekt erstellt.

      Die E-Mail-Adresse, die für das Datastream-Dienstkonto verwendet wird, finden Sie auf der Startseite der Google Cloud Console unter der Projektnummer. Die E-Mail-Adresse des Dienstkontos lautet service-[project_number]@gcp-sa-datastream.iam.gserviceaccount.com.

  2. Für das Hostprojekt:

    1. Gewähren Sie dem Datastream-Dienstkonto die IAM-Rolle (Identity and Access Management) compute.networkAdmin. Diese Rolle ist nur erforderlich, wenn Sie das VPC-Peering erstellen. Nach der Einrichtung des Peerings benötigen Sie die Rolle nicht mehr.

      Wenn Ihre Organisation die Gewährung der Berechtigung nicht zulässt, erstellen Sie eine benutzerdefinierte Rolle mit den folgenden Mindestberechtigungen, um private Verbindungsressourcen zu erstellen und zu löschen:

    Weitere Informationen zu benutzerdefinierten Rollen finden Sie unter Benutzerdefinierte Rollen erstellen und verwalten.

Konfiguration erstellen

  1. Prüfen Sie die erforderlichen Voraussetzungen, um zu sehen, wie die Umgebung auf eine Konfiguration für private Verbindungen vorbereitet werden muss. Weitere Informationen zu diesen Voraussetzungen finden Sie unter Hinweis.

  2. Rufen Sie in der Google Cloud Console die Seite Konfiguration für private Verbindungen auf.

    Zur Seite „Konfigurationen für private Verbindungen“

  3. Klicken Sie auf KONFIGURATION ERSTELLEN.

  4. Verwenden Sie die folgende Tabelle, um die Felder im Abschnitt Private Verbindung konfigurieren der Seite Konfiguration für private Verbindungen erstellen auszufüllen:

    FeldBeschreibung
    KonfigurationsnameGeben Sie den Anzeigenamen der Konfiguration für private Verbindungen ein.
    Konfigurations-IDDatastream füllt dieses Feld automatisch basierend auf dem von Ihnen eingegebenen Konfigurationsnamen aus. Sie können die automatisch generierte ID beibehalten oder ändern.
    Region

    Wählen Sie die Region aus, in der die Konfiguration für private Verbindungen gespeichert ist. Konfigurationen für private Verbindungen werden in einer Region gespeichert. Die Auswahl einer Region kann sich auf die Verfügbarkeit auswirken, wenn in der Region Ausfallzeiten auftreten.

  5. Verwenden Sie die folgende Tabelle, um die Felder im Abschnitt Verbindung einrichten auf der Seite Konfiguration für private Verbindungen erstellen auszufüllen:

    FeldBeschreibung
    Autorisiertes VPC-NetzwerkWählen Sie das VPC-Netzwerk aus, das Sie unter Hinweis erstellt haben.
    IP-Bereich zuweisenGeben Sie einen verfügbaren IP-Bereich im VPC-Netzwerk ein. Sie haben diesen IP-Bereich unter Hinweis ermittelt.
  6. Klicken Sie auf ERSTELLEN.

Nachdem Sie eine Konfiguration für private Verbindungen erstellt haben, können Sie allgemeine und detaillierte Informationen zu dieser Konfiguration anzeigen.

Nächste Schritte