Überblick
In diesem Abschnitt erfahren Sie, wie Sie eine Konfiguration für private Verbindungen erstellen. Dieser Konfigurationstyp enthält Informationen, die Datastream für die Kommunikation mit einer Datenquelle über ein privates Netzwerk (intern in Google Cloud oder mit externen Quellen, die über VPN oder Interconnect verbunden sind) verwendet. Diese Kommunikation erfolgt über eine VPC-Peering-Verbindung (Virtual Private Cloud).
Eine VPC-Peering-Verbindung ist eine Netzwerkverbindung zwischen zwei VPCs, über die Sie Traffic zwischen ihnen über interne, private IPv4-Adressen weiterleiten können. Sie müssen die privaten IP-Adressen angeben, wenn Sie die Konfiguration für private Verbindungen einrichten, da Datastream die DNS-Auflösung (Domain Name System) in privaten Verbindungen nicht unterstützt.
Hinweise
Bevor Sie eine Konfiguration für private Verbindungen erstellen, müssen Sie die folgenden Schritte ausführen, damit Datastream die VPC-Peering-Verbindung zu Ihrem Projekt erstellen kann:
- Sie benötigen ein VPC-Netzwerk, das eine Peering-Verbindung zum privaten Netzwerk von Datastream herstellen kann und die als Einschränkungen beschriebenen Anforderungen erfüllt. Weitere Informationen zum Erstellen dieses Netzwerks finden Sie unter VPC-Netzwerk-Peering verwenden.
- Ermitteln Sie einen verfügbaren IP-Bereich (mit einem CIDR-Block von /29) im VPC-Netzwerk. Dies kann kein IP-Bereich sein, der bereits als Subnetz vorhanden ist, kein vorab zugewiesener IP-Bereich einer Private Service Connection oder ein anderer vorab zugewiesener IP-Bereich für Routen. Datastream verwendet diesen IP-Bereich, um ein Subnetz zu erstellen, damit es mit der Quelldatenbank kommunizieren kann. In der folgenden Tabelle werden gültige IP-Bereiche beschrieben.
| Bereich | Beschreibung |
|---|---|
10.0.0.0/8172.16.0.0/12192.168.0.0/16
|
Private IP-Adressen RFC 1918 |
100.64.0.0/10 |
Gemeinsamer Adressbereich RFC 6598 |
192.0.0.0/24 |
IETF-Protokollzuweisungen RFC 6890 |
192.0.2.0/24 (TEST-NET-1)198.51.100.0/24 (TEST-NET-2)203.0.113.0/24 (TEST-NET-3) |
Dokumentation RFC 5737 |
192.88.99.0/24 |
IPv6-zu-IPv4-Relay (verworfen) RFC 7526 |
198.18.0.0/15 |
Benchmarktests RFC 2544 |
Prüfen Sie, ob Google Cloud und die lokale Firewall Traffic vom ausgewählten IP-Bereich zulassen. Ist dies nicht der Fall, erstellen Sie eine Firewallregel für eingehenden Traffic, die Traffic über den Port der Quelldatenbank zulässt. Achten Sie darauf, dass der IPv4-Adressbereich in der Firewallregel mit dem IP-Adressbereich übereinstimmt, der beim Erstellen der privaten Verbindungsressource zugewiesen wurde:
gcloud compute firewall-rules create FIREWALL-RULE-NAME \ --direction=INGRESS \ --priority=PRIORITY \ --network=PRIVATE_CONNECTIVITY_VPC \ --project=VPC_PROJECT \ --action=ALLOW \ --rules=FIREWALL_RULES \ --source-ranges=IP-RANGE
Ersetzen Sie Folgendes:
- FIREWALL-RULE-NAME: Der Name der zu erstellenden Firewallregel.
- PRIORITY: Die Priorität für die Regel, ausgedrückt als Ganzzahl zwischen 0 und 65.535 (jeweils einschließlich). Der Wert muss kleiner sein als der Wert, der für die Regel zur Blockierung des Traffics festgelegt wurde, sofern vorhanden. Niedrigere Prioritätswerte haben eine höhere Priorität.
- PRIVATE_CONNECTIVITY_VPC: Das VPC-Netzwerk, das eine Peering-Verbindung zum privaten Datastream-Netzwerk herstellen kann und die als Einschränkungen beschriebenen Anforderungen erfüllt. Dies ist die VPC, die Sie beim Erstellen der Konfiguration für private Verbindungen angeben.
- VPC_PROJECT: Das Projekt des VPC-Netzwerk.
- FIREWALL_RULES: Die Liste der Protokolle und Ports, für die die Firewallregel gilt, z. B.
tcp:80. Die Regel muss TCP-Traffic zur IP-Adresse und zum Port der Quelldatenbank oder des Proxys zulassen. Da private Verbindungen mehrere Datenbanken unterstützen können, muss in der Regel die tatsächliche Nutzung Ihrer Konfiguration berücksichtigt werden. IP-RANGE: Der IP-Adressbereich, über den Datastream mit der Quelldatenbank kommuniziert. Dies ist derselbe Bereich, den Sie im Feld IP-Bereich zuweisen angeben, wenn Sie die Konfiguration für private Verbindungen erstellen.
Möglicherweise müssen Sie auch eine identische Firewallregel für ausgehenden Traffic erstellen, um Traffic zurück zu Datastream zuzulassen.
Sie sind einer Rolle mit der Berechtigung
compute.networks.listzugewiesen. Diese Berechtigung gibt Ihnen die erforderlichen IAM-Berechtigungen zum Auflisten von VPC-Netzwerken in Ihrem Projekt. In der Referenz für IAM-Berechtigungen sehen Sie, welche Rollen diese Berechtigung enthalten.
Voraussetzungen für freigegebene VPC
Wenn Sie eine freigegebene VPC verwenden, müssen Sie zusätzlich zu den im Abschnitt Vorbereitung beschriebenen Schritten die folgenden Aktionen ausführen:
Für das Dienstprojekt:
- Aktivieren Sie die Datastream API.
Rufen Sie die E-Mail-Adresse ab, die für das Datastream-Dienstkonto verwendet wurde. Datastream-Dienstkonten werden erstellt, wenn Sie einen der folgenden Schritte ausführen:
- Sie erstellen eine Datastream-Ressource, z. B. ein Verbindungsprofil oder einen Stream.
- Erstellen Sie eine Konfiguration für private Verbindungen, wählen Sie Ihre freigegebene VPC aus und klicken Sie auf Datastream-Dienstkonto erstellen. Das Dienstkonto wird im Hostprojekt erstellt.
Die E-Mail-Adresse des Datastream-Dienstkontos finden Sie in der Projektnummer auf der Startseite der Google Cloud Console. Die E-Mail-Adresse des Dienstkontos lautet
service-[project_number]@gcp-sa-datastream.iam.gserviceaccount.com.
Für das Hostprojekt:
Gewähren Sie dem Datastream-Dienstkonto die IAM-Rolle
compute.networkAdmin. Diese Rolle ist nur erforderlich, wenn Sie das VPC-Peering erstellen. Nachdem das Peering eingerichtet wurde, benötigen Sie die Rolle nicht mehr.Wenn Ihre Organisation die Gewährung der Berechtigung nicht zulässt, erstellen Sie eine benutzerdefinierte Rolle mit den folgenden Mindestberechtigungen, um private Verbindungsressourcen zu erstellen und zu löschen:
Weitere Informationen zu benutzerdefinierten Rollen finden Sie unter Benutzerdefinierte Rollen erstellen und verwalten.
Konfiguration erstellen
Prüfen Sie die erforderlichen Voraussetzungen, um zu sehen, wie die Umgebung auf eine Konfiguration für private Verbindungen vorbereitet werden muss. Weitere Informationen zu diesen Voraussetzungen finden Sie unter Hinweis.
Rufen Sie in der Google Cloud Console die Seite Konfiguration für private Verbindungen auf.
Klicken Sie auf KONFIGURATION ERSTELLEN.
Verwenden Sie die folgende Tabelle, um die Felder im Abschnitt Private Verbindung konfigurieren der Seite Konfiguration für private Verbindungen erstellen auszufüllen:
Feld Beschreibung Konfigurationsname Geben Sie den Anzeigenamen der Konfiguration für private Verbindungen ein. Konfigurations-ID Datastream füllt dieses Feld automatisch basierend auf dem von Ihnen eingegebenen Konfigurationsnamen aus. Sie können die automatisch generierte ID beibehalten oder ändern. Region Wählen Sie die Region aus, in der die Konfiguration für private Verbindungen gespeichert ist. Konfigurationen für private Verbindungen werden in einer Region gespeichert. Die Auswahl einer Region kann sich auf die Verfügbarkeit auswirken, wenn in der Region Ausfallzeiten auftreten.
Verwenden Sie die folgende Tabelle, um die Felder im Abschnitt Verbindung einrichten auf der Seite Konfiguration für private Verbindungen erstellen auszufüllen:
Feld Beschreibung Autorisiertes VPC-Netzwerk Wählen Sie das VPC-Netzwerk aus, das Sie unter Hinweis erstellt haben. IP-Bereich zuweisen Geben Sie einen verfügbaren IP-Bereich im VPC-Netzwerk ein. Sie haben diesen IP-Bereich unter Hinweis ermittelt. Klicken Sie auf ERSTELLEN.
Nachdem Sie eine Konfiguration für private Verbindungen erstellt haben, können Sie allgemeine und detaillierte Informationen zu dieser Konfiguration anzeigen.