创建专用连接配置

在本部分中,您将了解如何创建专用连接配置。这种类型的配置包含 Datastream 用于通过专用网络(在 Google Cloud内部或与通过 VPN 或 Interconnect 连接的外部来源)与数据源进行通信的信息。此通信通过 Virtual Private Cloud (VPC) 对等互连连接进行。

VPC 对等互连连接是指两个 VPC 之间的网络连接,可让您使用内部专用 IPv4 地址在两个 VPC 之间路由流量。您需要在设置专用连接配置时提供专用 IP 地址,因为 Datastream 不支持在专用连接中进行域名系统 (DNS) 解析。

准备工作

在创建专用连接配置之前,您需要执行以下步骤,以便 Datastream 可以创建与您的项目的 VPC 对等互连连接:

  • 拥有可与 Datastream 的专用网络建立对等互连且符合VPC 网络对等互连页面中所述要求的 VPC 网络。如需详细了解如何创建此网络,请参阅使用 VPC 网络对等互连
  • 确定 VPC 网络上可用的 IP 范围(CIDR 地址块为 /29)。此 IP 地址范围不能是已作为子网存在的 IP 地址范围、专用服务访问预分配的 IP 地址范围,也不能是包含该 IP 地址范围的任何路由(默认路由 0.0.0.0 除外)。Datastream 使用此 IP 地址范围创建子网,以便它可以与来源数据库通信。下表介绍了有效的 IP 地址范围。
范围 说明
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
专用 IP 地址 RFC 1918
100.64.0.0/10 共享地址空间 RFC 6598
192.0.0.0/24 IETF 协议分配 RFC 6890
192.0.2.0/24 (TEST-NET-1)
198.51.100.0/24 (TEST-NET-2)
203.0.113.0/24 (TEST-NET-3)
文档 RFC 5737
192.88.99.0/24 IPv6 到 IPv4 中继(已弃用)RFC 7526
198.18.0.0/15 基准测试 RFC 2544
  • 验证 Google Cloud 和本地防火墙是否允许来自所选 IP 范围的流量。如果没有,请创建一个允许源数据库端口上的流量的入站防火墙规则,并确保防火墙规则中的 IPv4 地址范围与创建专用连接资源时分配的 IP 地址范围相同:

    gcloud compute firewall-rules create FIREWALL-RULE-NAME \
      --direction=INGRESS \
      --priority=PRIORITY \
      --network=PRIVATE_CONNECTIVITY_VPC \
      --project=VPC_PROJECT \
      --action=ALLOW \
      --rules=FIREWALL_RULES \
      --source-ranges=IP-RANGE
      

    替换以下内容:

    • FIREWALL-RULE-NAME:要创建的防火墙规则的名称。
    • PRIORITY:规则的优先级,表示为介于 0 到 65535 之间的整数(包括这两个数值)。此值需要低于为屏蔽流量规则(如果有)设置的值。优先级值越低,优先级越高。
    • PRIVATE_CONNECTIVITY_VPC:可与 DataStream 专用网络建立对等互连且符合VPC 网络对等互连页面中所述要求的 VPC 网络。这是您在创建专用连接配置时指定的 VPC。
    • VPC_PROJECT:VPC 网络的项目。
    • FIREWALL_RULES:防火墙规则适用的协议和端口的列表,例如 tcp:80。该规则需要允许向源数据库或代理的 IP 地址和端口发送 TCP 流量。由于专用连接可以支持多个数据库,因此该规则需要考虑配置的实际使用情况。
    • IP-RANGE:Datastream 用于与源数据库通信的 IP 地址范围。此范围与您在创建专用连接配置时在分配 IP 地址范围字段中指明的范围相同。

      您可能还需要创建一项完全相同的出站防火墙规则,以允许流量返回到 Datastream。

  • 已分配到包含 compute.networks.list 权限的角色。此权限可为您提供列出项目中的 VPC 网络所需的 IAM 权限。您可以查看 IAM 权限参考文档,了解哪些角色包含此权限。

共享 VPC 的先决条件

如果您使用的是共享 VPC,除了开始前须知部分中所述的步骤外,还必须完成以下操作:

  1. 在服务项目中:

    1. 启用 Datastream API
    2. 获取用于 Datastream 服务账号的电子邮件地址。当您执行以下任一操作时,系统都会创建 Datastream 服务账号:

      • 您创建 Datastream 资源,例如连接配置文件或数据流。
      • 您需要创建专用连接配置,选择共享 VPC,然后点击创建 Datastream 服务账号。服务账号是在宿主项目中创建的。

      如需获取用于 Datastream 服务账号的电子邮件地址,请在 Google Cloud 控制台首页中找到相应的项目编号。服务账号的电子邮件地址为 service-[project_number]@gcp-sa-datastream.iam.gserviceaccount.com

  2. 在宿主项目中:

    1. 向 Datastream 服务账号授予 compute.networkAdmin Identity and Access Management (IAM) 角色的权限。只有在创建 VPC 对等互连时,才需要此角色。建立对等连接后,您无需再使用该角色。

      如果贵组织不允许授予此权限,请创建一个自定义角色,并为其授予以下最低权限,以便创建和删除专用连接资源:

      • compute.globalAddresses.create
      • compute.globalAddresses.createInternal
      • compute.globalAddresses.delete
      • compute.globalAddresses.deleteInternal
      • compute.globalAddresses.get
      • compute.globalOperations.get
      • compute.networks.addPeering
      • compute.networks.get
      • compute.networks.listPeeringRoutes
      • compute.networks.removePeering
      • compute.networks.use
      • compute.routes.get
      • compute.routes.list
      • compute.subnetworks.get
      • compute.subnetworks.list

    如需详细了解自定义角色,请参阅创建和管理自定义角色

创建配置

  1. 查看必要的前提条件,以反映如何为专用连接配置准备环境。如需详细了解这些前提条件,请参阅准备工作

  2. 前往 Google Cloud 控制台中的专用连接配置页面。

    转到“专用连接配置”页面

  3. 点击创建配置

  4. 使用下表来填充创建专用连接配置页面的配置专用连接部分的字段:

    字段说明
    配置名称输入专用连接配置的显示名称。
    配置 IDDatastream 会根据您输入的配置名称自动填充此字段。您可以保留自动生成的 ID,也可以更改该 ID。
    区域

    选择存储专用连接配置的区域。

  5. 使用下表来填充创建专用连接配置页面的设置连接部分的字段:

    字段说明
    已获授权的 VPC 网络选择您在准备工作中创建的 VPC 网络。
    分配 IP 范围输入 VPC 网络上可用的 IP 范围。您已在准备工作部分确定此 IP 范围。
  6. 点击创建

创建专用连接配置后,您可以查看有关该配置的概要信息和详细信息

后续步骤