创建专用连接配置

概览

在本部分中，您将了解如何创建专用连接配置。此类配置包含 Datastream 用于通过专用网络（在 Google Cloud 内部，或者通过 VPN 或 Interconnect 连接的外部来源）与数据源进行通信的信息。此通信通过 Virtual Private Cloud (VPC) 对等互连连接进行。

VPC 对等互连连接是两个 VPC 之间的网络连接，可让您使用内部专用 IPv4 地址在它们之间路由流量。在设置专用连接配置时，您需要提供专用 IP 地址，因为 Datastream 不支持在专用连接中进行域名系统 (DNS) 解析。

准备工作

在创建专用连接配置之前，您需要执行以下步骤，以便 Datastream 可以创建与您的项目的 VPC 对等互连连接：

具有可与 Datastream 专用网络建立对等互连且符合限制所述的要求的 VPC 网络。如需详细了解如何创建此网络，请参阅使用 VPC 网络对等互连。
确定 VPC 网络上的可用 IP 范围（CIDR 地址块为 /29）。这不能是已经作为子网存在的 IP 范围、专用服务连接预分配的 IP 范围或任何类型的预分配的路由 IP 范围。Datastream 会使用此 IP 范围创建子网，以便与源数据库通信。下表介绍了有效的 IP 范围。

范围	说明
`10.0.0.0/8` `172.16.0.0/12` `192.168.0.0/16`	专用 IP 地址 RFC 1918
`100.64.0.0/10`	共享地址空间 RFC 6598
`192.0.0.0/24`	IETF 协议分配 RFC 6890
`192.0.2.0/24` (TEST-NET-1) `198.51.100.0/24` (TEST-NET-2) `203.0.113.0/24` (TEST-NET-3)	文档 RFC 5737
`192.88.99.0/24`	IPv6 到 IPv4 中继（已弃用）RFC 7526
`198.18.0.0/15`	基准测试 RFC 2544

验证 Google Cloud 和本地防火墙是否允许来自所选 IP 范围的流量。如果不允许，请创建允许源数据库端口上的流量的入站防火墙规则，并确保防火墙规则中的 IPv4 地址范围与创建专用连接资源时分配的 IP 地址范围相同：
```
gcloud compute firewall-rules create FIREWALL-RULE-NAME \
  --direction=INGRESS \
  --priority=PRIORITY \
  --network=PRIVATE_CONNECTIVITY_VPC \
  --project=VPC_PROJECT \
  --action=ALLOW \
  --rules=FIREWALL_RULES \
  --source-ranges=IP-RANGE
  
```
替换以下内容：
- FIREWALL-RULE-NAME：要创建的防火墙规则的名称。
- PRIORITY：规则的优先级，表示为 0 到 65, 535 之间的整数（含 0 和 65, 535）。该值必须小于为禁止流量规则设置的值（如果存在）。优先级值越低，意味着优先级越高。
- PRIVATE_CONNECTIVITY_VPC：可与 Datastream 专用网络建立对等互连且满足限制中所述要求的 VPC 网络。这是您在创建专用连接配置时指定的 VPC。
- VPC_PROJECT：VPC 网络的项目。
- FIREWALL_RULES：防火墙规则适用的协议和端口的列表，例如 tcp:80。该规则需要允许 TCP 流量流向源数据库或代理的 IP 地址和端口。由于专用连接可以支持多个数据库，因此规则需要考虑配置的实际使用情况。
- IP-RANGE：Datastream 用于与源数据库通信的 IP 地址范围。此范围与您在创建专用连接配置时在分配 IP 范围字段中指定的范围相同。
  
  您可能还需要创建相同的出站防火墙规则，以允许流量返回 Datastream。
被分配的角色拥有 compute.networks.list 权限。此权限为您提供了列出项目中的 VPC 网络所需的 IAM 权限。您可以参阅 IAM 权限参考文档，查找包含此权限的角色。

共享 VPC 前提条件

如果您使用的是共享 VPC，那么除了准备工作部分中所述的步骤外，您还必须完成以下操作：

在服务项目上：
1. 启用 Datastream API。
2. 获取用于 Datastream 服务帐号的电子邮件地址。当您执行以下操作之一时，系统会创建 Datastream 服务帐号：
  - 您需要创建 Datastream 资源，例如连接配置文件或数据流。
  - 您需要创建专用连接配置，选择您的共享 VPC，然后点击 Create Datastream Service Account。服务帐号在宿主项目中创建。
  如需获取用于 Datastream 服务帐号的电子邮件地址，请在 Google Cloud 控制台首页中找到相应的项目编号。该服务帐号的电子邮件地址为 service-[project_number]@gcp-sa-datastream.iam.gserviceaccount.com。
在宿主项目上：
1. 向 Datastream 服务帐号授予 compute.networkAdmin Identity and Access Management (IAM) 角色权限。仅在创建 VPC 对等互连时才需要此角色。建立对等互连后，您不再需要该角色。
  
  如果贵组织不允许授予权限，请创建具有以下最低权限的自定义角色，以创建和删除专用连接资源：
  compute.globalAddresses.*
  - compute.globalAddresses.create
  - compute.globalAddresses.createInternal
  - compute.globalAddresses.delete
  - compute.globalAddresses.deleteInternal
  - compute.globalAddresses.get
  compute.globalOperations.*
  - compute.globalOperations.get
  compute.networks.*
  - compute.networks.addPeering
  - compute.networks.get
  - compute.networks.listPeeringRoutes
  - compute.networks.removePeering
  - compute.networks.use
  compute.routes.*
  - compute.routes.get
  - compute.routes.list
  compute.subnetworks.*
  - compute.subnetworks.get
  - compute.subnetworks.list
如需详细了解自定义角色，请参阅创建和管理自定义角色。

创建配置

查看必需的前提条件，以反映必须如何为专用连接配置准备环境。如需详细了解这些前提条件，请参阅准备工作。
转到 Google Cloud Console 中的专用连接配置页面。

转到“专用连接配置”页面
点击创建配置。

使用下表填充创建专用连接配置页面配置专用连接部分的字段：

字段	说明
配置名称	输入专用连接配置的显示名称。
配置 ID	Datastream 会根据您输入的配置名称自动填充此字段。您可以保留自动生成的 ID，也可以更改该 ID。
区域	选择存储专用连接配置的区域。专用连接配置保存在区域中。如果区域发生停机，则区域选择可能会影响可用性。使用此配置的所有数据流和连接配置文件都必须位于同一区域才能使用专用连接。

字段

说明

配置名称

输入专用连接配置的显示名称。

配置 ID

Datastream 会根据您输入的配置名称自动填充此字段。您可以保留自动生成的 ID，也可以更改该 ID。

区域

选择存储专用连接配置的区域。专用连接配置保存在区域中。如果区域发生停机，则区域选择可能会影响可用性。

使用下表填充创建专用连接配置页面设置连接部分的字段：

字段	说明
已获授权的 VPC 网络	选择您在准备工作中创建的 VPC 网络。
分配 IP 范围	输入 VPC 网络上的可用 IP 范围。您在准备工作部分中已经确定了此 IP 范围。

点击创建。

创建专用连接配置需要几分钟时间。您需要先创建后台资源，然后才能创建配置。

创建专用连接配置后，您可以查看有关该配置的概要信息和详细信息。

配置 Cloud Storage 目标位置

查看专用连接配置