Créer un rattachement de point de terminaison
Pour configurer une connectivité privée pour Integration Connectors, vous devez créer un Rattachement PSC (Private Service Connect) Toutefois, pour utiliser le rattachement PSC, vous devez également créer un rattachement de point de terminaison, car vous ne pouvez pas utiliser directement le rattachement PSC. Vous pouvez penser à le rattachement de point de terminaison en tant qu'interface au rattachement de service PSC. Une fois le fichier créé, vous pouvez utiliser les détails du rattachement de point de terminaison lors de la configuration d'un connecteur pour une connectivité privée ; Cette page explique comment créer un rattachement de point de terminaison et part du principe que vous connaissez les concepts suivants:
Vous pouvez créer le rattachement de point de terminaison en tant qu'adresse IP ou en tant que nom d'hôte.
- Créer un rattachement de point de terminaison en tant qu'adresse IP
- Créer un rattachement de point de terminaison en tant que nom d'hôte
Créer un rattachement de point de terminaison en tant qu'adresse IP
Pour créer un rattachement de point de terminaison en tant qu'adresse IP, vous pouvez utiliser la console Cloud ou via l'outil de ligne de commande (gcloud).Console
Pour créer un rattachement de point de terminaison à partir de la console Cloud, procédez comme suit:
- Ouvrez la page Rattachements de point de terminaison pour Integration Connectors.
- Cliquez sur + Créer. La page Créer un rattachement de point de terminaison s'ouvre.
- Renseignez les champs suivants:
- Nom: nom du rattachement de point de terminaison. Le nom doit être unique. Il peut y avoir aucun autre rattachement de point de terminaison portant le même nom, et vous ne pourrez plus le modifier par la suite. Le nom doit commencer par une lettre minuscule suivie de 63 lettres minuscules au maximum. chiffres ou traits d'union, mais il ne peut pas se terminer par un trait d'union. La longueur minimale est de 2.
- ID du rattachement de service: nom du rattachement de service PSC que vous avez déjà créé.
- (Facultatif) Description: saisissez une description pour le rattachement de point de terminaison.
- (Facultatif) Étiquettes: saisissez les étiquettes de ressources sous forme de paires clé/valeur. Pour plus d'informations consultez la section Que sont les libellés ?
- (Facultatif) Activer l'accès mondial aux points de terminaison: sélectionnez cette option si vous souhaitez
envoyer du trafic vers votre backend à partir d'une connexion présente dans n'importe quelle région.
Par défaut, le rattachement de point de terminaison exige que la connexion et le backend se trouver dans la même région. Par conséquent, si vous activez l'accès global pour le point de terminaison, une connexion présente dans n'importe quelle région peut envoyer du trafic vers votre backend.
- Cliquez sur Créer.
La colonne Adresse IP spécifie l'adresse IP du rattachement de point de terminaison. Vous devez utiliser cette adresse IP lors de la configuration d'un connecteur pour une connectivité privée.
gcloud
Pour créer un rattachement de point de terminaison à partir de la ligne de commande, procédez comme suit:
- Obtenez la ressource de rattachement de service PSC:
gcloud compute service-attachments list
La commande renvoie la liste des rattachements de service. Exemple :
NAME REGION TARGET_SERVICE CONNECTION_PREFERENCE demo-sa us-west1 k8s2-tcp-tgysilgj-apps-ingressgateway-fzdhwstg ACCEPT_AUTOMATIC
Vous aurez besoin des informations de ce rattachement de service aux étapes suivantes.
- Obtenez un jeton d'authentification avant d'exécuter l'API CreateEndpointAttachment:
TOKEN="$(gcloud auth print-access-token)"
- Créez le rattachement de point de terminaison à l'aide de l'API CreateEndpointAttachment. Par exemple,
curl -X POST -H "Authorization: Bearer $TOKEN" \ -H "Content-Type: application/json" \ -d '{ "name": "projects/PROJECT_ID/locations/LOCATION/endpointAttachments/ENDPOINT_ATTACHMENT_NAME", "serviceAttachment": "projects/demo/serviceAttachments/?SERVICE_ATTACHMENT_NAME" }' \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/endpointAttachments?endpointAttachmentId=ENDPOINT_ATTACHMENT_NAME
.Où :
- LOCATION correspond à la région du rattachement de service. Exemple :
us-west1
- PROJECT_ID correspond au projet Google Cloud dans lequel vous avez créé le rattachement de service PSC.
- ENDPOINT_ATTACHMENT_NAME correspond au nom du rattachement de point de terminaison. Le nom doit être unique. Il ne peut pas y avoir d'autre point de terminaison pièces jointes portant le même nom (vous ne pourrez plus le modifier par la suite). Le nom doit commencer par une lettre minuscule suivie d'un maximum de 31 caractères (lettres minuscules, chiffres ou traits d'union), mais ne peut pas se terminer par un trait d'union. La longueur minimale est de 2.
- SERVICE_ATTACHMENT_NAME est le nom du rattachement de service. Utiliser PSC
nom de compte de service renvoyé par la
exécutez la commande
gcloud compute service-attachments list
.
Une fois que vous avez appelé l'API, Integration Connectors lance un une opération de longue durée dont l'exécution peut prendre un certain temps. Le point de terminaison pièce jointe sera créée une fois l'opération terminée.
- LOCATION correspond à la région du rattachement de service. Exemple :
- Obtenez l'ID de projet de l'annuaire de services associé à votre projet Google Cloud, puis ajoutez cet ID à la liste d'autorisation dans votre rattachement de service.
- Vérifiez si le rattachement de point de terminaison a été créé à l'aide de l'API GetEndpointAttachment.
Par exemple :
curl -X GET -H "Authorization: Bearer $TOKEN" \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/us-central1/endpointAttachments/ENDPOINT_ATTACHMENT_NAME
L'API renvoie une réponse semblable à la suivante :
{ "name": "projects/demo-project/locations/us-central1/endpointAttachments/demo-ea", "createTime": "2023-04-17T04:34:59.569527046Z", "updateTime": "2023-04-17T04:37:25.189074195Z", "description": "demo endpoint attachment", "serviceAttachment": "projects/demo-project/regions/us-central1/serviceAttachments/demo-sa", "endpointIp": "10.0.0.0", "labels": {"team":"sre"}, }
L'adresse IP du rattachement de point de terminaison est disponible dans le champ
endpointIp
. Dans ce exemple de réponse, l'adresse IP est10.0.0.0
. Utilisez cette adresse IP lors de la configuration un connecteur pour une connectivité privée.
Si la création du rattachement de point de terminaison aboutit, le rattachement nouvellement créé est figurant sur la page Endpoint Attachments (Pièces jointes de points de terminaison), semblable à l'image suivante:
La procédure décrite jusqu'à présent explique comment créer un rattachement de point de terminaison en tant qu'adresse IP. Toutefois, Vous pouvez également créer un rattachement de point de terminaison en tant que nom d'hôte et utiliser le nom d'hôte pour configurer un connecteur pour une connectivité privée. Pour comprendre comment créer un rattachement de point de terminaison avec Pour un nom d'hôte, consultez la section Créer un rattachement de point de terminaison en tant que nom d'hôte.
Créer un rattachement de point de terminaison en tant que nom d'hôte
Pour créer un rattachement de point de terminaison en tant que nom d'hôte, procédez comme suit:
- Créez un rattachement de point de terminaison en tant qu'adresse IP. Pour en savoir plus, consultez Créez un rattachement de point de terminaison en tant qu'adresse IP.
- Créez une zone gérée privée Cloud DNS dans l'un de vos projets Google Cloud.
Dans cette zone DNS, vous doit ajouter le nom d'hôte que vous souhaitez utiliser pour la configuration du connecteur et mapper le nom d'hôte à l'adresse IP du rattachement de point de terminaison obtenue à l'étape 1. Pour plus d'informations sur comment créer une zone gérée privée Cloud DNS, consultez les pages Créer une zone privée et Ajouter un enregistrement
- Créez une zone gérée Integration Connectors dans le projet Google Cloud que vous utilisez pour ces connecteurs. Integration Connectors
La zone gérée (zone d'appairage) communique avec la zone gérée privée Cloud DNS (créée à l'étape 2)
pour la résolution de noms.
Avant de créer la zone gérée, vous devez attribuer les rôles et les autorisations suivants:
- Accorder l'autorisation
connectors.managedZones.create
à l'utilisateur qui crée la zone gérée Integration Connectors.L'autorisation
connectors.managedZones.create
est dans le rôle IAMroles/connectors.admin
ou dans laroles/connectors.managedZonesAdmin
. Pour en savoir plus sur les les différents rôles IAM et les autorisations correspondantes disponibles pour Integration Connectors. Rôles et autorisations IAM pour Integration Connectors - Accorder le rôle
role/dns.peer
aux Integration Connectors Compte de serviceservice-PROJECT_NUMBER@gcp-sa-connectors.iam.gserviceaccount.com
.Si le projet Google Cloud Cloud DNS est différent des Integration Connectors projet Google Cloud, puis attribuez le rôle
roles/dns.peer
au Compte de service Integration Connectors dans le projet Google Cloud Cloud DNS. Par exemple : pensez à créer la zone gérée Integration Connectors dans le projet Google Cloud 12345 et Cloud DNS se trouve dans le projet Google Cloud 67890. Dans ce cas, vous devez accorder le rôleroles/dns.peer
à Compte de serviceservice-12345@gcp-sa-connectors.iam.gserviceaccount.com
dans le projet Google Cloud 67890.
Pour créer une zone gérée Integration Connectors, vous pouvez utiliser la console Cloud ou la ligne de commande (gcloud).
Console
Pour créer une zone gérée Integration Connectors à partir de la console Cloud, procédez comme suit:
- Accédez à la page "Zones gérées" pour les Integration Connectors.
- Renseignez les champs suivants:
- Nom: nom de la zone gérée.
- Nom DNS cible: nom Cloud DNS complet pour lequel vous créez la zone gérée (d'appairage). Exemple :
server8.stage.user.private
- Projet cible: nom du projet Google Cloud contenant la zone Cloud DNS privée.
- Réseau cible: nom du réseau VPC dans lequel la zone Cloud DNS privée est gérée.
- (Facultatif) Description: saisissez une description pour le rattachement de point de terminaison.
- (Facultatif) Étiquettes: saisissez les étiquettes de ressources sous forme de paires clé/valeur. Pour plus d'informations consultez la section Que sont les libellés ?
- Cliquez sur Créer.
gcloud
Pour créer une zone gérée Integration Connectors à partir de la ligne de commande, procédez comme suit:
- Obtenez un jeton d'authentification avant d'exécuter l'API CreateManagedZone:
TOKEN="$(gcloud auth print-access-token)"
- Créez la zone gérée à l'aide de l'API CreateManagedZone. Par exemple,
curl -X POST -H "Authorization: Bearer $TOKEN" \ -H "Content-Type: application/json" \ -d '{ "description": "DESCRIPTION", "dns": "DNS_NAME", "target_project": "TARGET_PROJECT", "target_vpc": "TARGET_VPC" }' \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/managedZones?managedZoneId=MANAGED_ZONE_NAME
.Où :
- DESCRIPTION est une description facultative de la zone gérée.
- DNS_NAME: nom Cloud DNS complet pour lequel vous créez la zone gérée (d'appairage). Exemple :
server8.stage.user.private
- TARGET_PROJECT est le nom du projet Google Cloud contenant la zone Cloud DNS privée.
- TARGET_NETWORK est le nom du réseau VPC dans lequel la zone Cloud DNS privée est gérée.
- PROJECT_ID est le projet Google Cloud que vous utilisez pour Integration Connectors.
- MANAGED_ZONE_NAME est le nom de la zone gérée. Le nom doit être unique. Il ne peut pas d'autres zones gérées portant le même nom, et que vous ne pourrez plus modifier par la suite. Le nom doit commencer par un lettre minuscule suivie de 1 à 63 caractères (lettres minuscules, chiffres ou traits d'union). Il ne peut pas se terminer par un trait d'union. La longueur minimale est de 2.
Une fois que vous avez appelé l'API, Integration Connectors lance un une opération de longue durée dont l'exécution peut prendre un certain temps. L'entité gérée sera créée une fois l'opération terminée.
- Vérifiez si la zone gérée est créée à l'aide de l'API GetManagedZone.
Par exemple :
curl -X GET -H "Authorization: Bearer $TOKEN" \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/managedZones/MANAGED_ZONE_NAME
L'API renvoie une réponse semblable à la suivante :
{ "name": "projects/demo-project/locations/global/managedZones/demo-mz", "createTime": "2023-04-17T04:34:59.569527046Z", "updateTime": "2023-04-17T04:37:25.189074195Z", "description": "demo managed zone", "dns": "api.private.service.com.", "targetVpc": "target-project-vpc", "targetProject": "target-project" }
- Accorder l'autorisation
Si la création de la zone gérée aboutit, la zone gérée nouvellement créée est dans la page Zones gérées semblable à l'image suivante:
Vérifier la configuration du rattachement de point de terminaison
Vous pouvez vérifier la connectivité du point de terminaison en créant une connexion à votre système de backend. Quand ?
lors de la création de la connexion, dans la section Destinations
, sélectionnez
le Destination type
en tant que Endpoint attachment
, puis sélectionnez le rattachement de point de terminaison approprié. Si le
connexion créée avec succès, l'état de la connexion nouvellement créée sera
être Active
sur la page Connexions ;
dans la console Cloud.