Statische ausgehende IP-Adressen für Verbindungen konfigurieren

Auf dieser Seite wird erläutert, wie Sie Ihren Verbindungen statische IP-Adressen zuweisen. Mithilfe der statischen IP-Adressen können Sie den Zugriff auf Ihre Back-End-Systeme einschränken, was wiederum die Verbindung sicherer macht.

Wenn Sie Integration Connectors mit Ihren Back-End-Systemen verbinden möchten, können Sie eine private Verbindung verwenden. Wenn Sie die aufwendigen Schritte zum Einrichten der privaten Verbindung jedoch nicht ausführen möchten, können Sie das Back-End-System über eine öffentliche IP-Adresse verfügbar machen und dann den Zugriff über Firewallregeln einschränken. In den Firewallregeln können Sie festlegen, dass nur IP-Adressen von Integration Connectors eine Verbindung zu Ihrem Back-End-System herstellen können. Führen Sie die folgenden allgemeinen Schritte aus, um eine Verbindung zu einem öffentlichen Endpunkt zuzulassen:

Erstellen Sie eine Firewall und leiten Sie Ihren ausgehenden Traffic durch die Firewall weiter.
Weisen Sie Ihrer Verbindung eine statische IP-Adresse zu.
Setzen Sie die zugewiesene statische IP-Adresse in Ihrer Firewall auf die Zulassungsliste.

Die Schritte zum Erstellen und Konfigurieren einer Firewall werden auf dieser Seite nicht beschrieben. Auf dieser Seite wird nur beschrieben, wie Sie Ihren Verbindungen statische IP-Adressen zuweisen können.

Standardmäßig weisen Integration Connectors IP-Adressen automatisch zu. Integration Connectors lässt sich jedoch so konfigurieren, dass statt automatischer IP-Adressen statische IP-Adressen generiert werden. Integration Connectors weist die statischen IP-Adressen auf Regionsebene zu. So unterscheiden sich beispielsweise die statischen IP-Adressen für die Region us-east1 von den statischen IP-Adressen in der Region us-west2.

So weisen Sie Ihrer Verbindung statische IP-Adressen zu:

Rufen Sie die Region der Verbindung ab, der Sie die statische IP-Adresse zuweisen möchten. Sie können die Verbindungsregion auf der Seite „Verbindungen“ in der Spalte Location ansehen.
Zur Seite „Verbindungen“
Aktivieren Sie Cloud Shell in der Google Cloud Console.

Cloud Shell aktivieren

Unten in der Google Cloud Console wird eine Cloud Shell-Sitzung gestartet und eine Eingabeaufforderung angezeigt. Cloud Shell ist eine Shell-Umgebung, in der das Google Cloud CLI bereits installiert ist und Werte für Ihr aktuelles Projekt bereits festgelegt sind. Das Initialisieren der Sitzung kann einige Sekunden dauern.

Tipp : Auch wenn in diesem Schritt das Öffnen von Cloud Shell erwähnt wird, können Sie die Befehle auch auf Ihrem regulären Terminal ausführen, da Sie die öffentlichen APIs von Integration Connectors aufrufen.

Konfigurieren Sie die Integration Connectors so, dass sie der Region, die Sie in Schritt 1 erhalten haben, eine statische IP-Adresse zuweisen. Führen Sie den folgenden Befehl in Cloud Shell aus.

curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{"networkConfig": {"egressMode": "static_ip"}}' \
https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/regionalSettings

Legen Sie LOCATION auf die Region fest, die Sie in Schritt 1 erhalten haben.

Wenn Sie diesen Befehl ausführen, wird eine Antwort wie diese zurückgegeben:

{
"name": "projects/test-01/locations/us-central1/operations/operation-1696840994443-6074494b6d138-8215226d-516faaf8",
"metadata": {
  "@type": "type.googleapis.com/google.cloud.connectors.v1.OperationMetadata",
  "createTime": "2023-10-09T08:43:14.467058513Z",
  "target": "projects/test-01/locations/us-central1/regionalSettings",
  "verb": "update",
  "requestedCancellation": false,
  "apiVersion": "v1"
 },
"done": false
}

Dieser Befehl gibt eine Vorgangs-ID zurück und startet einen Vorgang mit langer Ausführungszeit (Long-Running Operation, LRO), der einige Zeit in Anspruch nehmen kann. Warten Sie, bis der Vorgang abgeschlossen ist. Sie können den Fortschritt des Vorgangs mit dem folgenden Befehl verfolgen:

curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID

Wenn die statische IP-Adresse erfolgreich zugewiesen wurde, erhalten Sie eine Antwort ähnlich der folgenden:

...
...
"response": {
  "@type": "type.googleapis.com/google.cloud.connectors.v1.RegionalSettings",
  "name": "projects/test-01/locations/us-central1/regionalSettings",
  "networkConfig": {
   "egressMode": "STATIC_IP",
    "egressIps": [
      "35.193.227.203",
      "34.133.63.9",
      "35.223.253.58",
      "34.170.27.253"
    ]
  }
}

In dieser Beispielantwort werden der Region us-central1 vier statische IP-Adressen zugewiesen und die egressMode für die Region ist auf STATIC_IP festgelegt.

Setzen Sie die in Schritt 4 erhaltenen statischen IP-Adressen in Ihre Firewallregeln auf die Zulassungsliste.

Statische IP-Adressen einer Region abrufen

Wenn Sie die einer Region (Standort) zugewiesenen statischen IP-Adressen jederzeit abrufen möchten, führen Sie den folgenden Befehl aus:

curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/regionalSettings

Wenn Sie diesen Befehl ausführen, wird in etwa folgende Antwort zurückgegeben:

  "response": {
    "@type": "type.googleapis.com/google.cloud.connectors.v1.RegionalSettings",
    "name": "projects/test-01/locations/us-central1/regionalSettings",
    "networkConfig": {
     "egressMode": "STATIC_IP",
      "egressIps": [
        "35.193.227.203",
        "34.133.63.9",
        "35.223.253.58",
        "34.170.27.253"
      ]
    }
  }

Regionen automatische IP-Adressen zuweisen

Wenn Sie die Konfiguration der statischen IP-Adresse für eine Region entfernen und die IP-Adressen automatisch zuweisen möchten, müssen Sie den folgenden Befehl in Ihrem Terminal ausführen:

curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    -d '{"networkConfig": {"egressMode": "auto_ip"}}' \
    https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/regionalSettings

Ähnlich wie beim vorherigen Befehl zum Konfigurieren statischer IP-Adressen gibt dieser Befehl auch eine Vorgangs-ID zurück und startet einen Vorgang mit langer Ausführungszeit (Long-Running Operation, LRO), der einige Zeit in Anspruch nehmen kann. Warten Sie, bis der Vorgang abgeschlossen ist.

Hinweise

Beachten Sie beim Zuweisen statischer IP-Adressen für eine Region die folgenden Punkte:

Die reservierten statischen IP-Adressen unterscheiden sich je nach Region innerhalb eines Projekts.
Wenn Sie den ausgehenden Modus für eine Region von STATIC_IP in AUTO_IP ändern, wird der ursprüngliche Satz statischer IP-Adressen nicht beibehalten. Wenn Sie den ausgehenden Modus von AUTO_IP zu STATIC_IP ändern, wird daher ein neuer Satz statische IP-Adressen zugewiesen.
Wenn Sie den Modus für ausgehenden Traffic von AUTO_IP in STATIC_IP oder umgekehrt ändern, können Sie mit einer Ausfallzeit von mehreren Sekunden rechnen.