创建专用连接配置

概览

在本部分中，您将了解如何创建专用连接配置。Datastream 会使用此类配置通过专用网络（在 Google Cloud 内部，或者与通过 VPN 或互连连接的外部来源）与数据源进行通信。此通信通过 Virtual Private Cloud (VPC) 对等互连连接进行。

VPC 对等互连连接是两个 VPC 之间的网络连接，可让您使用内部专用 IPv4 地址在它们之间路由流量。 在设置专用连接配置时，您需要提供专用 IP 地址，因为 Datastream 不支持专用连接中的域名系统 (DNS) 解析。

准备工作

在创建专用连接配置之前，您需要执行以下步骤，以便 Datastream 能够创建与您的项目的 VPC 对等互连连接：

• 拥有可与 Datastream 专用网络建立对等互连且符合限制要求的 VPC 网络。如需详细了解如何创建此网络，请参阅使用 VPC 网络对等互连。
• 确定 VPC 网络上的可用 IP 范围（CIDR 地址块为 /29）。此范围不能是已经作为子网存在的 IP 范围、Private Service Connection 预分配的 IP 范围或任何类型的预分配路由 IP 范围。Datastream 使用此 IP 范围创建一个子网，以便它可以与源数据库通信。下表介绍了有效的 IP 范围。

范围	说明
10.0.0.0/8 172.16.0.0/12 192.168.0.0/16	专用 IP 地址 RFC 1918
100.64.0.0/10	共享地址空间 RFC 6598
192.0.0.0/24	IETF 协议分配 RFC 6890
192.0.2.0/24 (TEST-NET-1) 198.51.100.0/24 (TEST-NET-2) 203.0.113.0/24 (TEST-NET-3)	文档 RFC 5737
192.88.99.0/24	IPv6 到 IPv4 中继（已弃用）RFC 7526
198.18.0.0/15	基准测试 RFC 2544

• 验证 Google Cloud 和本地防火墙是否允许来自所选 IP 范围的流量。如果不允许，则创建入站防火墙规则以允许源数据库端口上的流量，并确保防火墙规则中的 IPv4 地址范围与创建专用连接资源时分配的 IP 地址范围相同：

  gcloud compute firewall-rules create FIREWALL-RULE-NAME \
    --direction=INGRESS \
    --priority=PRIORITY \
    --network=PRIVATE_CONNECTIVITY_VPC \
    --project=VPC_PROJECT \
    --action=ALLOW \
    --rules=FIREWALL_RULES \
    --source-ranges=IP-RANGE
    

  请替换以下内容：

  • FIREWALL-RULE-NAME：要创建的防火墙规则的名称。
  • PRIORITY：规则的优先级，表示为 0 到 65535（含）之间的整数。该值必须小于为屏蔽流量规则设置的值（如果存在）。优先级值越低，优先级越高。
  • PRIVATE_CONNECTIVITY_VPC：可与 Datastream 专用网络建立对等互连且满足限制要求的 VPC 网络。这是您在创建专用连接配置时指定的 VPC。
  • VPC_PROJECT：VPC 网络的项目。
  • FIREWALL_RULES：防火墙规则适用的协议和端口列表，例如 tcp:80。该规则需要允许 TCP 流量传输到 IP 地址和源数据库的端口或代理的端口。由于专用连接可以支持多个数据库，因此规则需要考虑配置的实际使用情况。

  • IP-RANGE：Datastream 用于与源数据库通信的 IP 地址范围。此范围与您在创建专用连接配置时在分配 IP 范围字段中指明的范围相同。

    您可能还需要创建相同的出站防火墙规则，以允许流量返回 Datastream。

• 分配给包含 compute.networks.list 权限的角色。此权限为您提供列出项目中的 VPC 网络所需的 IAM 权限。您可以查看 IAM 权限参考文档，了解哪些角色包含此权限。

共享 VPC 前提条件

如果您使用的是共享 VPC，则除了准备工作部分中所述的步骤外，您还必须完成以下步骤：

1. 对服务项目执行以下操作：

   1. 启用 Datastream API。

   2. 获取用于 Datastream 服务帐号的电子邮件地址。当您执行以下任一操作时，系统会创建 Datastream 服务帐号：

      • 您需创建 Datastream 资源，例如连接配置文件或数据流。
      • 创建专用连接配置，选择您的共享 VPC，然后点击创建 Datastream 服务帐号。服务帐号是在宿主项目中创建的。

      如需获取用于 Datastream 服务帐号的电子邮件地址，请在 Google Cloud 控制台首页中找到相应的项目编号。服务帐号的电子邮件地址为 service-[project_number]@gcp-sa-datastream.iam.gserviceaccount.com。

2. 在宿主项目上：

   1. 向 Datastream 服务帐号授予 compute.networkAdmin Identity and Access Management (IAM) 角色权限。只有在创建 VPC 对等互连时才需要此角色。建立对等互连后，您不再需要该角色。

      如果您的组织不允许授予权限，请创建具有以下最低权限的自定义角色，以创建和删除专用连接资源：

      compute.globalAddresses.*

      • compute.globalAddresses.create
      • compute.globalAddresses.createInternal
      • compute.globalAddresses.delete
      • compute.globalAddresses.deleteInternal
      • compute.globalAddresses.get

      compute.globalOperations.*

      • compute.globalOperations.get

      compute.networks.*

      • compute.networks.addPeering
      • compute.networks.get
      • compute.networks.listPeeringRoutes
      • compute.networks.removePeering
      • compute.networks.use

      compute.routes.*

      • compute.routes.get
      • compute.routes.list

      compute.subnetworks.*

      • compute.subnetworks.get
      • compute.subnetworks.list

   如需详细了解自定义角色，请参阅创建和管理自定义角色。

创建配置

1. 查看必需的前提条件，反映环境必须如何为专用连接配置做好准备。如需详细了解这些前提条件，请参阅准备工作。

2. 转到 Google Cloud Console 中的专用连接配置页面。

   转到“专用连接配置”页面

3. 点击创建配置。

4. 使用下表填充创建专用连接配置页面的配置专用连接部分的字段：

   字段	说明
   配置名称	输入专用连接配置的显示名称。
   配置 ID	Datastream 会根据您输入的配置名称自动填充此字段。您可以保留自动生成的 ID，也可以更改该 ID。
   区域	选择存储专用连接配置的区域。专用连接配置保存在区域中。如果区域发生停机，则区域选择可能会影响可用性。

5. 使用下表填充创建专用连接配置页面的设置连接部分的字段：

   字段	说明
   已获授权的 VPC 网络	选择您在准备工作中创建的 VPC 网络。
   分配 IP 范围	输入 VPC 网络上的可用 IP 范围。您在准备工作中确定了此 IP 范围。

6. 点击创建。

创建专用连接配置后，您可以查看有关该配置的概要信息和详细信息。