Diese Seite wurde von der Cloud Translation API übersetzt.

Private Service Connect-Schnittstellen konfigurieren

Datastream verwendet Private Service Connect-Schnittstellen, damit Sie Daten so replizieren können, dass der Traffic vollständig innerhalb vonGoogle Cloudbleibt.

Eine Private Service Connect-Schnittstelle ist eine Ressource, mit der ein Ersteller-VPC-Netzwerk (Virtual Private Cloud) Verbindungen zu einem Netzwerkanhang in einem Nutzer-VPC-Netzwerk initiieren und Verbindungen von diesem empfangen kann. Ersteller- und Nutzernetzwerke können sich in verschiedenen Projekten und Organisationen befinden.

**Abbildung 1.** Mit Private Service Connect-Schnittstellen können Dienstersteller Verbindungen zu Dienstnutzern initiieren.

Definitionen der wichtigsten Begriffe finden Sie im folgenden Abschnitt.

Weitere Informationen zu Private Service Connect finden Sie in der Dokumentation zu Virtual Private Cloud.

Wichtige Begriffe

In diesem Abschnitt finden Sie einen Überblick über wichtige Begriffe und Konzepte, die für Private Service Connect gelten.

Produzent: Eine Einheit, in der Regel ein Dienst oder eine VM in einem VPC-Netzwerk, die die Verbindung zum Nutzer-Netzwerk initiiert. Der Ersteller stellt den Dienst bereit: Im Datastream-Kontext ruft er Daten ab und repliziert sie an ein Ziel.
Nutzer: Eine Einheit, in der Regel eine VM in einem VPC-Netzwerk, die die Verbindung vom Ersteller empfängt. Wenn der Nutzer die Verbindung akzeptiert, weistGoogle Cloud der Private Service Connect-Schnittstelle eine IP-Adresse aus einem Subnetz im Nutzer-VPC-Netzwerk zu, das vom Netzwerkanhang angegeben wird. Die VM der Private Service Connect-Schnittstelle hat eine zweite Netzwerkschnittstelle, die eine Verbindung zum VPC-Netzwerk des Diensterstellers herstellt.
Netzwerkanhang: Eine regionale Ressource, mit der ein Produzenten-VPC-Netzwerk über eine Private Service Connect-Schnittstelle Verbindungen zu einem Nutzer-VPC-Netzwerk initiieren kann. Im Nutzer-VPC-Netzwerk fungiert der Netzwerkanhang als designierter Einstiegspunkt für Verbindungen von Private Service Connect-Schnittstellen im Ersteller-Netzwerk. Wenn eine Private Service Connect-Schnittstelle für einen Netzwerkanhang eingerichtet wird, wird der Producer-VM eine IP-Adresse aus dem Subnetz des Netzwerkanhangs zugewiesen. Die VM-Instanz der Private Service Connect-Schnittstelle hat mindestens eine weitere reguläre Netzwerkschnittstelle, die mit einem Ersteller-Subnetz verbunden ist. Weitere Informationen finden Sie unter Netzwerkanhänge.
Erstellerprojekt: Ein Projekt von Google, in dem die VMs (virtuellen Maschinen) gehostet werden, auf denen Datastream ausgeführt wird. Für den Zugriff auf Ressourcen in der VPC des Kunden verwenden die Datastream-VMs die IP-Adresse, die die Private Service Connect-Netzwerkschnittstelle aus ihrem Subnetz zuweist.

Voraussetzungen für Private Service Connect

Bevor Sie eine Konfiguration für private Verbindungen mit einer Private Service Connect-Schnittstelle erstellen, müssen Sie die folgenden Schritte ausführen, damit Datastream eine Verbindung zu Ihrem Projekt herstellen kann:

Sie haben ein VPC-Netzwerk, das Sie mit dem privaten Netzwerk von Datastream verbinden können. Weitere Informationen zum Erstellen eines VPC-Netzwerk finden Sie unter VPC-Netzwerke erstellen und verwalten.
Erstellen Sie einen Netzwerkanhang in Ihrem VPC-Projekt.
Prüfen Sie, ob Google Cloud und die lokale Firewall Traffic aus dem IP-Adressbereich des Netzwerkanhangs zur Quelldatenbank zulassen, aus der Sie Daten streamen möchten. Informationen zum Erstellen von Firewallregeln finden Sie unter VPC-Firewallregeln verwenden.

Preise

Für eingehenden und ausgehenden Traffic über Private Service Connect fallen Gebühren an. Weitere Informationen finden Sie unter Private Service Connect-Preise.

Erforderliche Rollen und Berechtigungen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen (Identity and Access Management) für Ihr Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen einer Netzwerkverbindung benötigen:

Netzwerkverbindungen erstellen, ansehen und löschen: Compute-Netzwerkadministrator (roles/compute.networkAdmin)

Wenn sich die Netzwerkverbindung in einem anderen Projekt als Datastream befindet, müssen Sie dem service-DATASTREAM-PROJECT-NUMBER@gcp-sa-datastream.iam.gserviceaccount.com-Dienstkonto die folgende Rolle zuweisen:

Schreibgeschützter Zugriff auf Netzwerkressourcen: Compute-Netzwerkbetrachter (roles/compute.networkViewer)

Weisen Sie die Rolle dem Projekt zu, in dem sich die Netzwerkverbindung befindet, und ersetzen Sie DATASTREAM-PROJECT-NUMBER durch die Nummer des Projekts, in dem der Datastream bereitgestellt wird.

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Weitere Informationen zu den Optionen für die Zugriffssteuerung in Datastream finden Sie unter Zugriffssteuerung mit IAM.

Private Service Connect konfigurieren

So ermöglichen Sie Datastream, ausgehende Verbindungen zu Ihrem Netzwerk über eine Private Service Connect-Schnittstelle herzustellen:

Erstellen Sie einen Netzwerkanhang in Ihrem Projekt.
Erstellen Sie eine Konfiguration für private Verbindungen.

Netzwerkanhang erstellen

Wenn Sie Private Service Connect in Datastream konfigurieren möchten, müssen Sie zuerst einen Netzwerkanhang erstellen.

Console

Rufen Sie in der Google Cloud Console die Seite Netzwerkverbindungen auf:

Zu den Netzwerkanhängen
Klicken Sie auf Netzwerkanhang erstellen.
Geben Sie im Feld Name einen Namen für Ihr Netzwerkanhang ein.
Wählen Sie in der Liste Netzwerk ein VPC- oder ein freigegebene VPC-Netzwerk aus.
Wählen Sie in der Liste Region eine Google Cloud Region aus. Diese Region muss mit der Region übereinstimmen, die für das Subnetz des VPC-Netzwerk verwendet wird, das mit dem privaten Netzwerk von Datastream per Peering verbunden ist. Weitere Informationen finden Sie unter Voraussetzungen für Private Service Connect.
Wählen Sie in der Liste Subnetzwerk einen Subnetzwerkbereich aus.
Wählen Sie unter Verbindungseinstellung die Option Verbindungen für ausgewählte Projekte akzeptieren aus.

Bei Datastream wird das Producer-Projekt automatisch der Liste Akzeptierte Projekte hinzugefügt, wenn Sie die private Konnektivitätsressource für Datastream erstellen.

Achtung :Die Option Verbindungen für alle Projekte automatisch akzeptieren ist weniger sicher, da jeder Dienst IP-Adressen aus Ihrem Subnetz beziehen kann. Wir raten von dieser Option ab.
Fügen Sie keine Akzeptierten Projekte oder Abgelehnten Projekte hinzu.
Klicken Sie auf Netzwerkanhang erstellen.

gcloud

Erstellen Sie ein oder mehrere Subnetzwerke. Beispiel:
```
gcloud compute networks subnets create subnet-1 --network=network-0 --range=10.10.1.0/24 --region=REGION
```
Für die Netzwerkverbindung werden diese Subnetze in den folgenden Schritten verwendet.
Erstellen Sie eine Netzwerkanhangressource in derselben Region wie das Datastream-Projekt. Die Eigenschaft connection-preference muss auf ACCEPT_MANUAL festgelegt sein:
```
gcloud compute network-attachments create NAME
--region=REGION
--connection-preference=ACCEPT_MANUAL
--subnets=SUBNET
```
Ersetzen Sie Folgendes:
- NAME: Der Name des Netzwerkanhangs.
- REGION: der Name der Google Cloud -Region. Diese Region muss mit dem privaten Datastream-Netzwerk übereinstimmen.
- SUBNET: Name des Subnetzes
Die Ausgabe dieses Befehls ist eine Netzwerk-Anhang-URL im folgenden Format:

projects/PROJECT/locations/REGION/network-attachments/NETWORK_ATTACHMENT_ID.

Notieren Sie sich diese URL, da Datastream sie für die Verbindung benötigt. Informationen zum Erstellen einer Private Service Connect-Schnittstelle für die private Konfiguration der Verbindung mit Google Cloudfinden Sie unter Private Konfigurationen für die Verbindung verwalten.

Achtung :Die Angabe von connection-preference als ACCEPT_AUTOMATIC ist weniger sicher, da dadurch jeder Dienst IP-Adressen aus Ihrem Subnetz abrufen kann. Wir raten von dieser Option ab.

Private Verbindungskonfiguration erstellen

Nachdem Sie einen Netzwerk-Anhang in Ihrem Google Cloud -Projekt erstellt haben, müssen Sie Ihre Konfiguration für private Verbindungen mit Private Service Connect-Schnittstellen einrichten. Wenn Sie die Konfiguration erstellen, setzen Sie das Projekt, in dem sich die Private Service Connect-Schnittstelle befindet, auf die Zulassungsliste. Sie geben dann die URL des Netzwerkanhangs für Datastream als Teil der Private Service Connect-Ressource an.

Weitere Informationen finden Sie unter Konfiguration für private Verbindungen erstellen.