概览
在本部分中,您将了解如何创建专用连接配置。Datastream 会使用此类配置通过专用网络(在 Google Cloud 内部,或者与通过 VPN 或互连连接的外部来源)与数据源进行通信。此通信通过 Virtual Private Cloud (VPC) 对等互连连接进行。
VPC 对等互连连接是两个 VPC 之间的网络连接,可让您使用内部专用 IPv4 地址在两个 VPC 之间路由流量。在设置专用连接配置时,您需要提供专用 IP 地址,因为 Datastream 不支持专用连接中的域名系统 (DNS) 解析。
准备工作
在创建专用连接配置之前,您需要执行以下步骤,以便 Datastream 能够创建与您的项目的 VPC 对等互连连接:
- 拥有可与 Datastream 专用网络建立对等互连且符合限制要求的 VPC 网络。如需详细了解如何创建此网络,请参阅使用 VPC 网络对等互连。
- 确定 VPC 网络上的可用 IP 范围(CIDR 地址块为 /29)。此 IP 地址范围不能是已作为子网存在的 IP 地址范围、专用服务访问预分配的 IP 地址范围,也不能是包含该 IP 地址范围的任何路由(默认路由 0.0.0.0 除外)。Datastream 使用此 IP 范围创建一个子网,以便它可以与源数据库通信。下表介绍了有效的 IP 地址范围。
范围 | 说明 |
---|---|
10.0.0.0/8 172.16.0.0/12 192.168.0.0/16
|
专用 IP 地址 RFC 1918 |
100.64.0.0/10 |
共享地址空间 RFC 6598 |
192.0.0.0/24 |
IETF 协议分配 RFC 6890 |
192.0.2.0/24 (TEST-NET-1)198.51.100.0/24 (TEST-NET-2)203.0.113.0/24 (TEST-NET-3) |
文档 RFC 5737 |
192.88.99.0/24 |
IPv6 到 IPv4 中继(已弃用)RFC 7526 |
198.18.0.0/15 |
基准测试 RFC 2544 |
验证 Google Cloud 和本地防火墙是否允许来自所选 IP 范围的流量。如果没有,请创建允许源数据库端口上的流量的入站防火墙规则,并确保防火墙规则中的 IPv4 地址范围与创建专用连接资源时分配的 IP 地址范围相同:
gcloud compute firewall-rules create FIREWALL-RULE-NAME \ --direction=INGRESS \ --priority=PRIORITY \ --network=PRIVATE_CONNECTIVITY_VPC \ --project=VPC_PROJECT \ --action=ALLOW \ --rules=FIREWALL_RULES \ --source-ranges=IP-RANGE
替换以下内容:
- FIREWALL-RULE-NAME:要创建的防火墙规则的名称。
- PRIORITY:规则的优先级,表示为介于 0 到 65535 之间的整数(包括这两个数值)。该值必须低于 值(如果存在)。优先级值越低,优先级越高。
- PRIVATE_CONNECTIVITY_VPC:可以与 Datastream 专用网络对等互连且满足限制所述要求的 VPC 网络。这是您在创建专用连接配置时指定的 VPC。
- VPC_PROJECT:VPC 网络的项目。
- FIREWALL_RULES:防火墙规则适用的协议和端口的列表,例如
tcp:80
。该规则需要允许 TCP IP 地址和源数据库的端口或 代理由于专用连接可以支持多个数据库,因此该规则需要考虑配置的实际使用情况。 IP-RANGE:Datastream 访问的 IP 地址范围 用来与源数据库通信。此范围与您在创建专用连接配置时在分配 IP 地址范围字段中指明的范围相同。
您可能还需要创建一项完全相同的出站防火墙规则,以允许流量返回到 Datastream。
分配给包含
compute.networks.list
权限的角色。此权限可为您提供列出项目中的 VPC 网络所需的 IAM 权限。您可以查看 IAM 权限参考文档,了解哪些角色包含此权限。
共享 VPC 的先决条件
如果您使用的是共享 VPC,除了开始前须知部分中所述的步骤外,还必须完成以下操作:
对服务项目执行以下操作:
- 启用 Datastream API。
获取用于 Datastream 服务账号的电子邮件地址。当您执行以下任一操作时,系统会创建 Datastream 服务账号:
- 您需创建 Datastream 资源,例如连接配置文件或数据流。
- 您需要创建专用连接配置,选择共享 VPC,然后点击创建 Datastream 服务账号。服务账号是在宿主项目中创建的。
如需获取用于 Datastream 服务账号的电子邮件地址,请在 Google Cloud 控制台首页中找到相应的项目编号。服务账号的电子邮件地址为
service-[project_number]@gcp-sa-datastream.iam.gserviceaccount.com
。
在宿主项目上:
向 Datastream 服务账号授予
compute.networkAdmin
Identity and Access Management (IAM) 角色权限。只有在创建 VPC 对等互连时,才需要此角色。建立对等连接后,您无需再使用该角色。如果您的组织不允许授予权限,请创建具有以下最低权限的自定义角色,以创建和删除专用连接资源:
如需详细了解自定义角色,请参阅创建和管理自定义角色。
创建配置
查看必要的前提条件,以反映如何为专用连接配置准备环境。如需详细了解这些前提条件,请参阅准备工作。
转到 Google Cloud Console 中的专用连接配置页面。
点击创建配置。
使用下表填充创建专用连接配置页面的配置专用连接部分的字段:
字段 说明 配置名称 输入专用连接配置的显示名称。 配置 ID Datastream 会根据您输入的配置名称自动填充此字段。您可以保留自动生成的 ID,也可以更改该 ID。 区域 选择存储专用连接配置的区域。专用连接配置会保存在某个区域中。如果某个地区发生停机,选择的地区可能会影响可用性。
使用下表填充创建专用连接配置页面的设置连接部分的字段:
字段 说明 已获授权的 VPC 网络 选择您在准备工作中创建的 VPC 网络。 分配 IP 范围 输入 VPC 网络上可用的 IP 范围。您在准备工作中确定了此 IP 范围。 点击创建。
创建专用连接配置后,您可以查看有关该配置的概要信息和详细信息。