概览
在本部分中,您将了解如何创建专用连接配置。此类配置包含 Datastream 用于通过专用网络(在 Google Cloud 内部,或者通过 VPN 或 Interconnect 连接的外部来源)与数据源进行通信的信息。此通信通过 Virtual Private Cloud (VPC) 对等互连连接进行。
VPC 对等互连连接是两个 VPC 之间的网络连接,可让您使用内部专用 IPv4 地址在它们之间路由流量。在设置专用连接配置时,您需要提供专用 IP 地址,因为 Datastream 不支持在专用连接中进行域名系统 (DNS) 解析。
准备工作
在创建专用连接配置之前,您需要执行以下步骤,以便 Datastream 可以创建与您的项目的 VPC 对等互连连接:
- 具有可与 Datastream 专用网络建立对等互连且符合限制所述的要求的 VPC 网络。如需详细了解如何创建此网络,请参阅使用 VPC 网络对等互连。
- 确定 VPC 网络上的可用 IP 范围(CIDR 地址块为 /29)。这不能是已经作为子网存在的 IP 范围、专用服务连接预分配的 IP 范围或任何类型的预分配的路由 IP 范围。Datastream 会使用此 IP 范围创建子网,以便与源数据库通信。下表介绍了有效的 IP 范围。
范围 | 说明 |
---|---|
10.0.0.0/8 172.16.0.0/12 192.168.0.0/16
|
专用 IP 地址 RFC 1918 |
100.64.0.0/10 |
共享地址空间 RFC 6598 |
192.0.0.0/24 |
IETF 协议分配 RFC 6890 |
192.0.2.0/24 (TEST-NET-1)198.51.100.0/24 (TEST-NET-2)203.0.113.0/24 (TEST-NET-3) |
文档 RFC 5737 |
192.88.99.0/24 |
IPv6 到 IPv4 中继(已弃用)RFC 7526 |
198.18.0.0/15 |
基准测试 RFC 2544 |
验证 Google Cloud 和本地防火墙是否允许来自所选 IP 范围的流量。如果不允许,请创建允许源数据库端口上的流量的入站防火墙规则,并确保防火墙规则中的 IPv4 地址范围与创建专用连接资源时分配的 IP 地址范围相同:
gcloud compute firewall-rules create FIREWALL-RULE-NAME \ --direction=INGRESS \ --priority=PRIORITY \ --network=PRIVATE_CONNECTIVITY_VPC \ --project=VPC_PROJECT \ --action=ALLOW \ --rules=FIREWALL_RULES \ --source-ranges=IP-RANGE
请替换以下内容:
- FIREWALL-RULE-NAME:要创建的防火墙规则的名称。
- PRIORITY:规则的优先级,表示为 0 到 65, 535 之间的整数(含 0 和 65, 535)。该值必须小于为禁止流量规则设置的值(如果存在)。优先级值越低,意味着优先级越高。
- PRIVATE_CONNECTIVITY_VPC:可与 Datastream 专用网络建立对等互连且满足限制中所述要求的 VPC 网络。这是您在创建专用连接配置时指定的 VPC。
- VPC_PROJECT:VPC 网络的项目。
- FIREWALL_RULES:防火墙规则适用的协议和端口的列表,例如
tcp:80
。该规则需要允许 TCP 流量流向源数据库或代理的 IP 地址和端口。由于专用连接可以支持多个数据库,因此规则需要考虑配置的实际使用情况。 IP-RANGE:Datastream 用于与源数据库通信的 IP 地址范围。此范围与您在创建专用连接配置时在分配 IP 范围字段中指定的范围相同。
您可能还需要创建相同的出站防火墙规则,以允许流量返回 Datastream。
被分配的角色拥有
compute.networks.list
权限。此权限为您提供了列出项目中的 VPC 网络所需的 IAM 权限。您可以参阅 IAM 权限参考文档,查找包含此权限的角色。
共享 VPC 前提条件
如果您使用的是共享 VPC,那么除了准备工作部分中所述的步骤外,您还必须完成以下操作:
在服务项目上:
- 启用 Datastream API。
获取用于 Datastream 服务帐号的电子邮件地址。当您执行以下操作之一时,系统会创建 Datastream 服务帐号:
- 您需要创建 Datastream 资源,例如连接配置文件或数据流。
- 您需要创建专用连接配置,选择您的共享 VPC,然后点击 Create Datastream Service Account。服务帐号在宿主项目中创建。
如需获取用于 Datastream 服务帐号的电子邮件地址,请在 Google Cloud 控制台首页中找到相应的项目编号。该服务帐号的电子邮件地址为
service-[project_number]@gcp-sa-datastream.iam.gserviceaccount.com
。
在宿主项目上:
向 Datastream 服务帐号授予
compute.networkAdmin
Identity and Access Management (IAM) 角色权限。仅在创建 VPC 对等互连时才需要此角色。建立对等互连后,您不再需要该角色。如果贵组织不允许授予权限,请创建具有以下最低权限的自定义角色,以创建和删除专用连接资源:
如需详细了解自定义角色,请参阅创建和管理自定义角色。
创建配置
查看必需的前提条件,以反映必须如何为专用连接配置准备环境。如需详细了解这些前提条件,请参阅准备工作。
转到 Google Cloud Console 中的专用连接配置页面。
点击创建配置。
使用下表填充创建专用连接配置页面配置专用连接部分的字段:
字段 说明 配置名称 输入专用连接配置的显示名称。 配置 ID Datastream 会根据您输入的配置名称自动填充此字段。您可以保留自动生成的 ID,也可以更改该 ID。 区域 选择存储专用连接配置的区域。专用连接配置保存在区域中。如果区域发生停机,则区域选择可能会影响可用性。
使用下表填充创建专用连接配置页面设置连接部分的字段:
字段 说明 已获授权的 VPC 网络 选择您在准备工作中创建的 VPC 网络。 分配 IP 范围 输入 VPC 网络上的可用 IP 范围。您在准备工作部分中已经确定了此 IP 范围。 点击创建。
创建专用连接配置后,您可以查看有关该配置的概要信息和详细信息。