Endpunktanhang erstellen
Um private Verbindungen für die Integration Connectors zu konfigurieren, müssen Sie einen PSC-Anhang (Private Service Connect). Um den PSC-Anhang zu verwenden, müssen Sie jedoch auch Erstellen Sie einen Endpunktanhang, da Sie den PSC-Anhang nicht direkt verwenden können. Ihnen fällt ein, den Endpunktanhang als Schnittstelle zum PSC-Dienstanhang. Nach der Erstellung können Sie Verwenden Sie die Details des Endpunktanhangs, wenn Sie einen Connector für private Verbindungen konfigurieren. Diese Seite wird erläutert, wie Sie einen Endpunktanhang erstellen, und es wird davon ausgegangen, dass Sie mit dem folgenden Konzepten:
Sie können den Endpunktanhang entweder als IP-Adresse oder als Hostname erstellen.
Endpunktanhang als IP-Adresse erstellen
Zum Erstellen eines Endpunktanhangs als IP-Adresse können Sie entweder die Cloud Console verwenden oder die Befehlszeile (gcloud) ein.Console
So erstellen Sie einen Endpunktanhang über die Cloud Console:
- Öffnen Sie die Seite Endpunktanhänge für Integration Connectors.
- Klicken Sie auf + Erstellen. Die Seite Endpunktanhang erstellen wird geöffnet.
- Geben Sie Werte für die folgenden Felder ein:
<ph type="x-smartling-placeholder">
- </ph>
- Name: Ein Name für den Endpunktanhang. Der Name muss eindeutig sein. Es kann sein, keine anderen Endpunktanhänge mit demselben Namen. Sie können den Namen später nicht mehr ändern. Der Name muss mit einem Kleinbuchstaben beginnen, gefolgt von bis zu 63 Kleinbuchstaben. Ziffern oder Bindestriche, darf jedoch nicht mit einem Bindestrich enden. Die Mindestlänge beträgt 2 Zeichen.
- Dienstanhangs-ID: Name des bereits vorhandenen PSC-Dienstanhangs erstellt.
- Optional: Beschreibung: Geben Sie eine Beschreibung für den Endpunktanhang ein.
- Optional: Labels: Geben Sie Ressourcenlabels als Schlüssel/Wert-Paare ein. Weitere Informationen Weitere Informationen zu Labels finden Sie unter Was sind Labels?
- Optional: Globalen Endpunktzugriff aktivieren: Wählen Sie diese Option aus, wenn Sie
und Traffic von einer Verbindung, die in einer beliebigen Region vorhanden ist, an Ihr Back-End senden.
Standardmäßig enthält der Parameter Endpunktanhang erfordert, dass sowohl die Verbindung als auch das Backend sich in derselben Region befinden. Wenn Sie den globalen Zugriff für den Endpunkt aktivieren, eine Verbindung in einer beliebigen Region Traffic an Ihr Back-End senden kann.
- Klicken Sie auf Erstellen.
In der Spalte IP-Adresse ist die IP-Adresse des Endpunktanhangs angegeben. Du musst verwenden Sie diese IP-Adresse beim Konfigurieren eines Connectors für private Verbindungen.
gcloud
So erstellen Sie einen Endpunktanhang über die Befehlszeile:
- Rufen Sie die PSC-Dienstanhangsressource ab:
gcloud compute service-attachments list
Der Befehl gibt die Liste der Dienstanhänge zurück. Beispiel:
NAME REGION TARGET_SERVICE CONNECTION_PREFERENCE demo-sa us-west1 k8s2-tcp-tgysilgj-apps-ingressgateway-fzdhwstg ACCEPT_AUTOMATIC
Sie benötigen diese Informationen zum Dienstanhang in den nachfolgenden Schritten.
- Rufen Sie ein Authentifizierungstoken ab, bevor Sie die CreateEndpointAttachment API ausführen:
TOKEN="$(gcloud auth print-access-token)"
- Erstellen Sie den Endpunktanhang mithilfe der CreateEndpointAttachment API. Beispiel:
curl -X POST -H "Authorization: Bearer $TOKEN" \ -H "Content-Type: application/json" \ -d '{ "name": "projects/PROJECT_ID/locations/LOCATION/endpointAttachments/ENDPOINT_ATTACHMENT_NAME", "serviceAttachment": "projects/demo/serviceAttachments/?SERVICE_ATTACHMENT_NAME" }' \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/endpointAttachments?endpointAttachmentId=ENDPOINT_ATTACHMENT_NAME
Wobei:
- LOCATION ist die Region des Dienstanhangs. Beispiel:
us-west1
. - PROJECT_ID ist das Google Cloud-Projekt, in dem Sie den PSC-Dienstanhang erstellt haben.
- ENDPOINT_ATTACHMENT_NAME ist der Name des Endpunktanhangs. Der Name muss eindeutig sein. Es darf kein anderer Endpunkt vorhanden sein Anhänge mit demselben Namen und Sie können den Namen später nicht mehr ändern. Der Name muss mit einem Kleinbuchstaben beginnen, gefolgt von bis zu 31 Kleinbuchstaben, Zahlen oder Bindestrichen, darf aber nicht mit einem Bindestrich enden. Die Mindestlänge beträgt 2 Zeichen.
- SERVICE_ATTACHMENT_NAME ist der Name des Dienstanhangs. PSC verwenden
Dienstkontonamen, der vom vorherigen
gcloud compute service-attachments list
-Befehl ausführen.
Nachdem Sie die API aufgerufen haben, startet Integration Connectors einen lang andauernden Vorgang und der Vorgang kann einige Zeit in Anspruch nehmen. Endpunkt Anhang wird erstellt, nachdem der Vorgang erfolgreich abgeschlossen wurde.
- LOCATION ist die Region des Dienstanhangs. Beispiel:
- Rufen Sie die Projekt-ID des Dienstverzeichnisses ab, das mit Ihrem Google Cloud-Projekt verknüpft ist, und setzen Sie diese Projekt-ID dann auf die Zulassungsliste im Dienstanhang.
- Prüfen Sie mit der GetEndpointAttachment API, ob der Endpunktanhang erstellt wurde.
For example:
curl -X GET -H "Authorization: Bearer $TOKEN" \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/us-central1/endpointAttachments/ENDPOINT_ATTACHMENT_NAME
Die API gibt in etwa folgende Antwort zurück:
{ "name": "projects/demo-project/locations/us-central1/endpointAttachments/demo-ea", "createTime": "2023-04-17T04:34:59.569527046Z", "updateTime": "2023-04-17T04:37:25.189074195Z", "description": "demo endpoint attachment", "serviceAttachment": "projects/demo-project/regions/us-central1/serviceAttachments/demo-sa", "endpointIp": "10.0.0.0", "labels": {"team":"sre"}, }
Die IP-Adresse des Endpunktanhangs ist im Feld
endpointIp
verfügbar. In dieser Beispielantwort lautet die IP-Adresse10.0.0.0
. Diese IP-Adresse bei der Konfiguration verwenden einen Connector für private Verbindungen.
Wenn der Endpunktanhang erfolgreich erstellt wurde, wird der neu erstellte Anhang Endpunktanhänge aufgelistet haben, ähnlich wie in der folgenden Abbildung:
Die bisher beschriebenen Schritte zeigen, wie ein Endpunktanhang als IP-Adresse erstellt wird. Sie können jedoch können Sie auch einen Endpunktanhang als Hostnamen erstellen und den Hostnamen verwenden, um einen Connector für private Verbindungen. Informationen zum Erstellen eines Endpunktanhangs mit Weitere Informationen zum Erstellen eines Endpunktanhangs als Hostnamen
Endpunktanhang als Hostnamen erstellen
Führen Sie die folgenden Aufgaben aus, um einen Endpunktanhang als Hostnamen zu erstellen:
- Erstellen Sie einen Endpunktanhang als IP-Adresse. Weitere Informationen finden Sie unter Endpunktanhang als IP-Adresse erstellen
- Erstellen Sie in einem Ihrer Google Cloud-Projekte eine private verwaltete Cloud DNS-Zone.
In dieser DNS-Zone Sie müssen einen Hostnamen hinzufügen, den Sie für die Connector-Konfiguration verwenden möchten, und den Hostnamen zuordnen an die IP-Adresse des Endpunktanhangs, die Sie in Schritt 1 erhalten haben. Informationen zur Informationen zum Erstellen einer privaten verwalteten Cloud DNS-Zone finden Sie unter Private Zone erstellen und Eintrag hinzufügen
- Erstellen Sie in Ihrem Google Cloud-Projekt eine von Integration Connectors verwaltete Zone, die Sie für die Integration Connectors verwenden. Integration Connectors
Verwaltete Zone (Peering-Zone) kommuniziert mit der in Schritt 2 erstellten privaten verwalteten Zone von Cloud DNS
zur Namensauflösung.
Bevor Sie die verwaltete Zone erstellen, müssen Sie die folgenden Rollen und Berechtigungen gewähren:
- Die Berechtigung
connectors.managedZones.create
erteilen für Nutzer, der die verwaltete Zone für Integration Connectors erstelltDie Berechtigung
connectors.managedZones.create
ist ist entweder mit der IAM-Rolleroles/connectors.admin
oder derroles/connectors.managedZonesAdmin
-IAM-Rolle. Informationen zur verschiedene IAM-Rollen und die zugehörigen Berechtigungen, die für Integration Connectors verfügbar sind, finden Sie unter IAM-Rollen und -Berechtigungen für Integration Connectors - Integration Connectors die Rolle
role/dns.peer
zuweisen Dienstkontoservice-PROJECT_NUMBER@gcp-sa-connectors.iam.gserviceaccount.com
.Wenn sich das Google Cloud-Projekt für Cloud DNS von den Integration Connectors unterscheidet Google Cloud-Projekt erstellen, und weisen Sie dann dem
roles/dns.peer
Integration Connectors-Dienstkonto im Google Cloud-Projekt von Cloud DNS. Beispiel: Sie möchten die verwaltete Zone von Integration Connectors im Google Cloud-Projekt 12345 und im Cloud DNS befindet sich im Google Cloud-Projekt 67890. In diesem Fall müssen Sie die Rolleroles/dns.peer
mit dem Dienstkontoservice-12345@gcp-sa-connectors.iam.gserviceaccount.com
im Google Cloud-Projekt 67890.
Zum Erstellen einer von Integration Connectors verwalteten Zone können Sie entweder die Cloud Console oder die Befehlszeile (gcloud) verwenden.
Console
So erstellen Sie eine von Integration Connectors verwaltete Zone über die Cloud Console:
- Rufen Sie die Seite „Verwaltete Zonen“ für Integration Connectors auf.
- Geben Sie Werte für die folgenden Felder ein:
<ph type="x-smartling-placeholder">
- </ph>
- Name: Ein Name für die verwaltete Zone.
- Ziel-DNS-Name: vollständiger Cloud DNS-Name, für den Sie die verwaltete (Peering-)Zone erstellen. Beispiel:
server8.stage.user.private
. - Zielprojekt: Name des Google Cloud-Projekts, das die private Cloud DNS-Zone enthält.
- Zielnetzwerk: Name des VPC-Netzwerk, in dem die private Cloud DNS-Zone verwaltet wird.
- Optional: Beschreibung: Geben Sie eine Beschreibung für den Endpunktanhang ein.
- Optional: Labels: Geben Sie Ressourcenlabels als Schlüssel/Wert-Paare ein. Weitere Informationen Weitere Informationen zu Labels finden Sie unter Was sind Labels?
- Klicken Sie auf Erstellen.
gcloud
So erstellen Sie eine von Integration Connectors verwaltete Zone über die Befehlszeile:
- Rufen Sie ein Authentifizierungstoken ab, bevor Sie die CreateManagedZone API ausführen:
TOKEN="$(gcloud auth print-access-token)"
- Erstellen Sie die verwaltete Zone mithilfe der CreateManagedZone API. Beispiel:
curl -X POST -H "Authorization: Bearer $TOKEN" \ -H "Content-Type: application/json" \ -d '{ "description": "DESCRIPTION", "dns": "DNS_NAME", "target_project": "TARGET_PROJECT", "target_vpc": "TARGET_VPC" }' \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/managedZones?managedZoneId=MANAGED_ZONE_NAME
Wobei:
- DESCRIPTION ist eine optionale Beschreibung für die verwaltete Zone.
- DNS_NAME: Vollständiger Cloud DNS-Name, für den Sie die verwaltete (Peering-)Zone erstellen. Beispiel:
server8.stage.user.private
. - TARGET_PROJECT ist der Name des Google Cloud-Projekts, das die private Cloud DNS-Zone enthält.
- TARGET_NETWORK ist der Name des VPC-Netzwerk, in dem die private Cloud DNS-Zone verwaltet wird.
- PROJECT_ID ist das Google Cloud-Projekt, das Sie für Integration Connectors verwenden.
- MANAGED_ZONE_NAME ist der Name der verwalteten Zone. Der Name muss eindeutig sein. Es kann nicht andere verwaltete Zonen mit demselben Namen sein und Sie können den Namen später nicht mehr ändern. Der Name muss mit einem Kleinbuchstaben, gefolgt von bis zu 63 Kleinbuchstaben, Ziffern oder Bindestrichen. mit einem Bindestrich enden. Die Mindestlänge beträgt 2 Zeichen.
Nachdem Sie die API aufgerufen haben, startet Integration Connectors einen lang andauernden Vorgang und kann einige Zeit in Anspruch nehmen. Das verwaltete Zone wird erstellt, nachdem der Vorgang erfolgreich abgeschlossen wurde.
- Prüfen Sie mit der GetManagedZone API, ob die verwaltete Zone erstellt wurde.
For example:
curl -X GET -H "Authorization: Bearer $TOKEN" \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/managedZones/MANAGED_ZONE_NAME
Die API gibt in etwa folgende Antwort zurück:
{ "name": "projects/demo-project/locations/global/managedZones/demo-mz", "createTime": "2023-04-17T04:34:59.569527046Z", "updateTime": "2023-04-17T04:37:25.189074195Z", "description": "demo managed zone", "dns": "api.private.service.com.", "targetVpc": "target-project-vpc", "targetProject": "target-project" }
- Die Berechtigung
Wenn die verwaltete Zone erfolgreich erstellt wurde, wird die neu erstellte Zone auf der Seite Verwaltete Zonen aufgelistet, etwa in der folgenden Abbildung:
Einrichtung des Endpunktanhangs prüfen
Sie können die Endpunktverbindung prüfen, indem Sie eine Verbindung zu Ihrem Back-End-System erstellen. Wann?
erstellen Sie die Verbindung, wählen Sie im Abschnitt Destinations
die Option
die Destination type
als Endpoint attachment
und wählen Sie dann den entsprechenden Endpunktanhang aus. Wenn die
Verbindung erfolgreich erstellt wurde, lautet der Status der neu erstellten Verbindung:
Active
auf der Seite „Verbindungen“
in der Cloud Console.