配置 Private Service Connect 接口

Datastream 使用 Private Service Connect 接口,让您能够以完全在Google Cloud内保留流量的方式复制数据。

Private Service Connect 接口是一种资源,允许提供方 Virtual Private Cloud (VPC) 网络发起与使用方 VPC 网络中的网络连接的连接,并接收来自该网络连接的连接。提供方网络与使用方网络可以位于不同的项目和组织中。

图 1. Private Service Connect 接口允许服务提供方启动与服务使用方的连接。

如需了解关键术语的定义,请参阅下一部分。

如需详细了解 Private Service Connect,请参阅 Virtual Private Cloud 文档

关键词

本部分简要介绍了适用于 Private Service Connect 的关键术语和概念。

  • 提供方:发起与使用方网络连接的实体,通常是 VPC 网络中的服务或虚拟机。生产方提供服务:在 Datastream 上下文中,它会提取数据并将数据复制到目标位置。

  • 使用方:从提供方接收连接的实体(通常是 VPC 网络中的虚拟机)。当使用方接受连接时,Google Cloud 会为 Private Service Connect 接口分配一个由网络连接指定的使用方 VPC 网络中的子网的 IP 地址。Private Service Connect 接口的虚拟机具有第二个网络接口,该接口可连接到提供方 VPC 网络。

  • 网络连接:一种区域级资源,允许提供方 VPC 网络通过 Private Service Connect 接口发起与使用方 VPC 网络的连接。在使用方 VPC 网络中,网络连接充当提供方网络中 Private Service Connect 接口的连接指定入口点。在网络连接上建立 Private Service Connect 接口后,系统会为提供方虚拟机分配网络连接子网中的 IP 地址。Private Service Connect 接口的虚拟机实例至少还有一个连接到提供方子网的常规网络接口。如需了解详情,请参阅关于网络连接

  • 生产者项目:托管运行 Datastream 的虚拟机 (VM) 的 Google 自有项目。如需访问客户 VPC 中的资源,Datastream 虚拟机会使用 Private Service Connect 网络接口从其子网分配的 IP 地址。

Private Service Connect 前提条件

在使用 Private Service Connect 接口创建专用连接配置之前,您需要先按以下步骤操作,以便 Datastream 能够与您的项目建立连接:

  • 创建一个可连接到 Datastream 专用网络的 VPC 网络。如需详细了解如何创建 VPC 网络,请参阅创建和管理 VPC 网络

  • 在 VPC 项目中创建网络连接

  • 验证 Google Cloud 和本地防火墙是否允许来自网络连接 IP 地址范围的流量流向您要从中流式传输数据的源数据库。 Google Cloud

价格

通过 Private Service Connect 传入和传出的数据需要付费。如需了解详情,请参阅 Private Service Connect 价格

所需的角色和权限

如需获得创建网络附件所需的权限,请让管理员向您授予项目的以下 Identity and Access Management (IAM) 角色:

如果您的网络附件与 DataStream 不在同一个项目中,则需要向 service-DATASTREAM-PROJECT-NUMBER@gcp-sa-datastream.iam.gserviceaccount.com 服务账号授予以下角色:

  • 对网络资源的只读访问权限:Compute Network Viewer (roles/compute.networkViewer)

    在您的网络附件所在的项目中授予该角色,并将 DATASTREAM-PROJECT-NUMBER 替换为部署 Datastream 的项目的编号。

如需详细了解如何授予角色,请参阅管理访问权限

您也可以通过自定义角色或其他预定义角色来获取所需的权限。

如需详细了解 Datastream 中的访问权限控制选项,请参阅使用 IAM 进行访问权限控制

配置 Private Service Connect

如需让 Datastream 使用 Private Service Connect 接口与您的网络建立出站连接,请执行以下操作:

  1. 在项目中创建网络连接。
  2. 创建专用连接配置。

创建网络连接

如需在 Datastream 中配置 Private Service Connect,您必须先创建网络连接。

控制台

  1. 在 Google Cloud 控制台中,前往网络附件页面:

    前往“网络连接”页面

  2. 点击创建网络连接

  3. 名称字段中,为网络连接输入名称。

  4. 网络列表中,选择一个 VPC 或共享 VPC 网络。

  5. 区域列表中,选择一个 Google Cloud 区域。此区域必须与与 Datastream 专用网络对等的 VPC 网络的子网所用的区域相同。如需了解详情,请参阅 Private Service Connect 前提条件

  6. 子网列表中,选择一个子网范围。

  7. 连接偏好设置中,选择接受选定项目的连接

    当您创建 Datastream 专用连接资源时,Datastream 会自动将提供方项目添加到接受的项目列表中。

  8. 请勿添加已接受的项目已拒绝的项目

  9. 点击创建网络连接

gcloud

  1. 创建一个或多个子网。例如:

    gcloud compute networks subnets create subnet-1 --network=network-0 --range=10.10.1.0/24 --region=REGION

    网络附加项会在后续步骤中使用这些子网。

  2. 在与 Datastream 项目相同的区域中创建网络连接资源,并将 connection-preference 属性设置为 ACCEPT_MANUAL

    gcloud compute network-attachments create NAME
--region=REGION
--connection-preference=ACCEPT_MANUAL
--subnets=SUBNET

    替换以下内容:

    • NAME:网络连接的名称。
    • REGION: Google Cloud 区域的名称。 此区域必须与 Datastream 专用网络相同。
    • SUBNET:子网的名称。

    此命令的输出是采用以下格式的网络附件网址:

    projects/PROJECT/locations/REGION/network-attachments/NETWORK_ATTACHMENT_ID

    记下此网址,因为 Datastream 需要它来建立连接。如需了解如何使用 Google Cloud创建 Private Service Connect 接口专用连接配置,请参阅管理专用连接配置

创建专用连接配置

在项目中创建网络附件后,您需要使用 Private Service Connect 接口设置专用连接配置。 Google Cloud 创建配置时,您需要将托管 Private Service Connect 接口的项目列入许可名单。然后,您可以将网络附件网址作为 Private Service Connect 资源的一部分提供给 Datastream。

如需了解详情,请参阅创建专用连接配置

后续步骤