Übersicht
In diesem Abschnitt erfahren Sie, wie Sie eine Konfiguration für private Verbindungen erstellen. Dieser Konfigurationstyp enthält Informationen, die Datastream für die Kommunikation mit einer Datenquelle über ein privates Netzwerk (intern in Google Cloud oder mit externen Quellen, die über VPN oder Interconnect verbunden sind) verwendet. Diese Kommunikation erfolgt über eine VPC-Peering-Verbindung (Virtual Private Cloud).
Eine VPC-Peering-Verbindung ist eine Netzwerkverbindung zwischen zwei VPCs, über die Sie Traffic zwischen ihnen über interne, private IPv4-Adressen weiterleiten können. Sie müssen die privaten IP-Adressen angeben, wenn Sie die Konfiguration für private Verbindungen einrichten, da Datastream die DNS-Auflösung (Domain Name System) in privaten Verbindungen nicht unterstützt.
Hinweise
Bevor Sie eine Konfiguration für private Verbindungen erstellen, müssen Sie die folgenden Schritte ausführen, damit Datastream die VPC-Peering-Verbindung zu Ihrem Projekt erstellen kann:
- Sie benötigen ein VPC-Netzwerk, das eine Peering-Verbindung zum privaten Netzwerk von Datastream herstellen kann und die als Einschränkungen beschriebenen Anforderungen erfüllt. Weitere Informationen zum Erstellen dieses Netzwerks finden Sie unter VPC-Netzwerk-Peering verwenden.
- Ermitteln Sie einen verfügbaren IP-Bereich (mit einem CIDR-Block von /29) im VPC-Netzwerk. Dies kann kein IP-Bereich sein, der bereits als Subnetz vorhanden ist, kein vorab zugewiesener IP-Bereich für den Zugriff auf private Dienste oder eine beliebige Route (mit Ausnahme der Standardroute 0.0.0.0), die den IP-Bereich enthält. Datastream verwendet diesen IP-Bereich, um ein Subnetz zu erstellen, damit es mit der Quelldatenbank kommunizieren kann. In der folgenden Tabelle werden gültige IP-Bereiche beschrieben.
| Bereich | Beschreibung |
|---|---|
10.0.0.0/8172.16.0.0/12192.168.0.0/16
|
Private IP-Adressen RFC 1918 |
100.64.0.0/10 |
Gemeinsamer Adressbereich RFC 6598 |
192.0.0.0/24 |
IETF-Protokollzuweisungen RFC 6890 |
192.0.2.0/24 (TEST-NET-1)198.51.100.0/24 (TEST-NET-2)203.0.113.0/24 (TEST-NET-3) |
Dokumentation RFC 5737 |
192.88.99.0/24 |
IPv6-zu-IPv4-Relay (verworfen) RFC 7526 |
198.18.0.0/15 |
Benchmarktests RFC 2544 |
Prüfen Sie, ob Google Cloud und die lokale Firewall Traffic vom ausgewählten IP-Bereich. Falls nicht, erstellen Sie eine Firewallregel für eingehenden Traffic. die Traffic über den Port der Quelldatenbank zulässt, und achten Sie darauf, dass die IPv4- Adressbereich in der Firewallregel mit IP-Adressbereich identisch , die beim Erstellen der privaten Verbindungsressource zugewiesen werden:
gcloud compute firewall-rules create FIREWALL-RULE-NAME \ --direction=INGRESS \ --priority=PRIORITY \ --network=PRIVATE_CONNECTIVITY_VPC \ --project=VPC_PROJECT \ --action=ALLOW \ --rules=FIREWALL_RULES \ --source-ranges=IP-RANGE
Ersetzen Sie Folgendes:
- FIREWALL-RULE-NAME: Der Name der zu erstellenden Firewallregel.
- PRIORITY: Priorität für die Regel, ausgedrückt als Ganzzahl zwischen 0 und 65.535 (einschließlich) liegt. Der Wert muss niedriger sein als der Wert Wert, der für die Regel zum Blockieren von Zugriffen festgelegt ist, sofern vorhanden. Niedrigere Prioritätswerte bedeutet eine höhere Priorität.
- PRIVATE_CONNECTIVITY_VPC: Das VPC-Netzwerk, zu dem eine Peering-Verbindung hergestellt werden kann. privaten Datastream-Netzwerk verbunden ist und die Anforderungen als Einschränkungen beschrieben. Dies ist die VPC, die Sie beim Erstellen der privaten Verbindung angeben. Konfiguration.
- VPC_PROJECT: Das Projekt des VPC-Netzwerk.
- FIREWALL_RULES: Die Liste der Protokolle und Ports, an die der
Firewallregel gilt, z. B.
tcp:80. Die Regel muss TCP zulassen an die IP-Adresse und den Port der Quelldatenbank oder des Proxy. Da private Verbindungen mehrere Datenbanken unterstützen können, muss die tatsächliche Nutzung Ihrer Konfiguration berücksichtigen. IP-RANGE: Der Bereich der IP-Adressen, die Datastream mit der Quelldatenbank kommunizieren. Dies ist der gleiche Bereich, geben Sie im Feld IP-Bereich zuweisen an, wenn Sie Ihre private für die Verbindungskonfiguration.
Möglicherweise müssen Sie auch eine identische Firewallregel für ausgehenden Traffic zu Datastream zurückgeleitet.
Sie sind einer Rolle mit der Berechtigung
compute.networks.listzugewiesen. Diese Berechtigung gibt Ihnen die erforderlichen IAM-Berechtigungen zum Auflisten von VPC-Netzwerken in Ihrem Projekt. In der Referenz für IAM-Berechtigungen sehen Sie, welche Rollen diese Berechtigung enthalten.
Voraussetzungen für freigegebene VPC
Wenn Sie eine freigegebene VPC verwenden, müssen Sie zusätzlich zu den im Abschnitt Vorbereitung beschriebenen Schritten die folgenden Aktionen ausführen:
Für das Dienstprojekt:
- Aktivieren Sie die Datastream API.
Rufen Sie die E-Mail-Adresse ab, die für das Datastream-Dienstkonto verwendet wurde. Datastream-Dienstkonten werden erstellt, wenn Sie einen der folgenden Schritte ausführen:
- Sie erstellen eine Datastream-Ressource, z. B. ein Verbindungsprofil oder einen Stream.
- Erstellen Sie eine Konfiguration für private Verbindungen, wählen Sie Ihre freigegebene VPC aus und klicken Sie auf Datastream-Dienstkonto erstellen. Das Dienstkonto wird im Hostprojekt erstellt.
Die E-Mail-Adresse des Datastream-Dienstkontos finden Sie in der Projektnummer auf der Startseite der Google Cloud Console. Die E-Mail-Adresse des Dienstkontos lautet
service-[project_number]@gcp-sa-datastream.iam.gserviceaccount.com.
Für das Hostprojekt:
Gewähren Sie dem Datastream-Dienstkonto die IAM-Rolle
compute.networkAdmin. Diese Rolle ist nur erforderlich, wenn Sie das VPC-Peering erstellen. Nachdem das Peering eingerichtet wurde, benötigen Sie die Rolle nicht mehr.Wenn Ihre Organisation die Gewährung der Berechtigung nicht zulässt, erstellen Sie eine benutzerdefinierte Rolle mit den folgenden Mindestberechtigungen, um private Verbindungsressourcen zu erstellen und zu löschen:
Weitere Informationen zu benutzerdefinierten Rollen finden Sie unter Benutzerdefinierte Rollen erstellen und verwalten.
Konfiguration erstellen
Prüfen Sie die erforderlichen Voraussetzungen, um zu sehen, wie die Umgebung auf eine Konfiguration für private Verbindungen vorbereitet werden muss. Weitere Informationen zu diesen Voraussetzungen finden Sie unter Hinweis.
Rufen Sie in der Google Cloud Console die Seite Konfiguration für private Verbindungen auf.
Klicken Sie auf KONFIGURATION ERSTELLEN.
Verwenden Sie die folgende Tabelle, um die Felder im Abschnitt Private Verbindung konfigurieren der Seite Konfiguration für private Verbindungen erstellen auszufüllen:
Feld Beschreibung Konfigurationsname Geben Sie den Anzeigenamen der Konfiguration für private Verbindungen ein. Konfigurations-ID Datastream füllt dieses Feld automatisch basierend auf dem von Ihnen eingegebenen Konfigurationsnamen aus. Sie können die automatisch generierte ID beibehalten oder ändern. Region Wählen Sie die Region aus, in der die Konfiguration für private Verbindungen gespeichert ist. Konfigurationen für private Verbindungen werden in einer Region gespeichert. Die Auswahl einer Region kann sich auf die Verfügbarkeit auswirken, wenn in der Region Ausfallzeiten auftreten.
Verwenden Sie die folgende Tabelle, um die Felder im Abschnitt Verbindung einrichten auf der Seite Konfiguration für private Verbindungen erstellen auszufüllen:
Feld Beschreibung Autorisiertes VPC-Netzwerk Wählen Sie das VPC-Netzwerk aus, das Sie unter Hinweis erstellt haben. IP-Bereich zuweisen Geben Sie einen verfügbaren IP-Bereich im VPC-Netzwerk ein. Sie haben diesen IP-Bereich unter Hinweis ermittelt. Klicken Sie auf ERSTELLEN.
Nachdem Sie eine Konfiguration für private Verbindungen erstellt haben, können Sie allgemeine und detaillierte Informationen zu dieser Konfiguration anzeigen.
Nächste Schritte
- Weitere Informationen zu privaten Verbindungen
- Konfiguration für private Verbindungen ansehen
- Konfiguration für private Verbindungen löschen