在本部分中,您将了解如何创建专用连接配置。这种类型的配置包含 Datastream 用于通过专用网络(在 Google Cloud内部或与通过 VPN 或 Interconnect 连接的外部来源)与数据源进行通信的信息。此通信通过 Virtual Private Cloud (VPC) 对等互连连接进行。
VPC 对等互连连接是指两个 VPC 之间的网络连接,可让您使用内部专用 IPv4 地址在两个 VPC 之间路由流量。您需要在设置专用连接配置时提供专用 IP 地址,因为 Datastream 不支持在专用连接中进行域名系统 (DNS) 解析。
准备工作
在创建专用连接配置之前,您需要执行以下步骤,以便 Datastream 可以创建与您的项目的 VPC 对等互连连接:
- 拥有可与 Datastream 的专用网络建立对等互连且符合VPC 网络对等互连页面中所述要求的 VPC 网络。如需详细了解如何创建此网络,请参阅使用 VPC 网络对等互连。
- 确定 VPC 网络上可用的 IP 范围(CIDR 地址块为 /29)。此 IP 地址范围不能是已作为子网存在的 IP 地址范围、专用服务访问预分配的 IP 地址范围,也不能是包含该 IP 地址范围的任何路由(默认路由 0.0.0.0 除外)。Datastream 使用此 IP 地址范围创建子网,以便它可以与来源数据库通信。下表介绍了有效的 IP 地址范围。
范围 | 说明 |
---|---|
10.0.0.0/8 172.16.0.0/12 192.168.0.0/16
|
专用 IP 地址 RFC 1918 |
100.64.0.0/10 |
共享地址空间 RFC 6598 |
192.0.0.0/24 |
IETF 协议分配 RFC 6890 |
192.0.2.0/24 (TEST-NET-1)198.51.100.0/24 (TEST-NET-2)203.0.113.0/24 (TEST-NET-3) |
文档 RFC 5737 |
192.88.99.0/24 |
IPv6 到 IPv4 中继(已弃用)RFC 7526 |
198.18.0.0/15 |
基准测试 RFC 2544 |
验证 Google Cloud 和本地防火墙是否允许来自所选 IP 范围的流量。如果没有,请创建一个允许源数据库端口上的流量的入站防火墙规则,并确保防火墙规则中的 IPv4 地址范围与创建专用连接资源时分配的 IP 地址范围相同:
gcloud compute firewall-rules create
FIREWALL-RULE-NAME \ --direction=INGRESS \ --priority=PRIORITY \ --network=PRIVATE_CONNECTIVITY_VPC \ --project=VPC_PROJECT \ --action=ALLOW \ --rules=FIREWALL_RULES \ --source-ranges=IP-RANGE 替换以下内容:
- FIREWALL-RULE-NAME:要创建的防火墙规则的名称。
- PRIORITY:规则的优先级,表示为介于 0 到 65535 之间的整数(包括这两个数值)。此值需要低于为屏蔽流量规则(如果有)设置的值。优先级值越低,优先级越高。
- PRIVATE_CONNECTIVITY_VPC:可与 DataStream 专用网络建立对等互连且符合VPC 网络对等互连页面中所述要求的 VPC 网络。这是您在创建专用连接配置时指定的 VPC。
- VPC_PROJECT:VPC 网络的项目。
- FIREWALL_RULES:防火墙规则适用的协议和端口的列表,例如
tcp:80
。该规则需要允许向源数据库或代理的 IP 地址和端口发送 TCP 流量。由于专用连接可以支持多个数据库,因此该规则需要考虑配置的实际使用情况。 IP-RANGE:Datastream 用于与源数据库通信的 IP 地址范围。此范围与您在创建专用连接配置时在分配 IP 地址范围字段中指明的范围相同。
您可能还需要创建一项完全相同的出站防火墙规则,以允许流量返回到 Datastream。
已分配到包含
compute.networks.list
权限的角色。此权限可为您提供列出项目中的 VPC 网络所需的 IAM 权限。您可以查看 IAM 权限参考文档,了解哪些角色包含此权限。
共享 VPC 的先决条件
如果您使用的是共享 VPC,除了开始前须知部分中所述的步骤外,还必须完成以下操作:
在服务项目中:
- 启用 Datastream API。
获取用于 Datastream 服务账号的电子邮件地址。当您执行以下任一操作时,系统都会创建 Datastream 服务账号:
- 您创建 Datastream 资源,例如连接配置文件或数据流。
- 您需要创建专用连接配置,选择共享 VPC,然后点击创建 Datastream 服务账号。服务账号是在宿主项目中创建的。
如需获取用于 Datastream 服务账号的电子邮件地址,请在 Google Cloud 控制台首页中找到相应的项目编号。服务账号的电子邮件地址为
service-[project_number]@gcp-sa-datastream.iam.gserviceaccount.com
。
在宿主项目中:
向 Datastream 服务账号授予
compute.networkAdmin
Identity and Access Management (IAM) 角色的权限。只有在创建 VPC 对等互连时,才需要此角色。建立对等连接后,您无需再使用该角色。如果贵组织不允许授予此权限,请创建一个自定义角色,并为其授予以下最低权限,以便创建和删除专用连接资源:
compute.globalAddresses.*
compute.globalAddresses.create
compute.globalAddresses.createInternal
compute.globalAddresses.delete
compute.globalAddresses.deleteInternal
compute.globalAddresses.get
compute.globalOperations.*
compute.globalOperations.get
compute.networks.*
compute.networks.addPeering
compute.networks.get
compute.networks.listPeeringRoutes
compute.networks.removePeering
compute.networks.use
compute.routes.*
compute.routes.get
compute.routes.list
compute.subnetworks.*
compute.subnetworks.get
compute.subnetworks.list
如需详细了解自定义角色,请参阅创建和管理自定义角色。
创建配置
查看必要的前提条件,以反映如何为专用连接配置准备环境。如需详细了解这些前提条件,请参阅准备工作。
前往 Google Cloud 控制台中的专用连接配置页面。
点击创建配置。
使用下表来填充创建专用连接配置页面的配置专用连接部分的字段:
字段 说明 配置名称 输入专用连接配置的显示名称。 配置 ID Datastream 会根据您输入的配置名称自动填充此字段。您可以保留自动生成的 ID,也可以更改该 ID。 区域 选择存储专用连接配置的区域。
使用下表来填充创建专用连接配置页面的设置连接部分的字段:
点击创建。
创建专用连接配置后,您可以查看有关该配置的概要信息和详细信息。