Configurazione dell'accesso privato ai servizi

L'accesso privato ai servizi è una connessione privata e sicura tra il tuo Rete VPC Google Cloud e rete VPC (Virtual Private Cloud) gestita da Google servizi di terze parti. Consente alle istanze VM nella tua rete VPC di comunicare a questi servizi utilizzando indirizzi IP interni, senza esporre il traffico tramite la rete internet pubblica.

Prima di iniziare

Per stabilire una connessione privata, devi completare i seguenti prerequisiti:

  • Devi avere un rete VPC esistente che puoi utilizzare per connetterti alla rete del producer di servizi. Istanze VM devono utilizzare questa rete VPC per connettersi ai servizi tramite una connessione privata.
  • Segui i passaggi sull'API Live Stream Prima di iniziare per creare un progetto Google Cloud configurato correttamente (o scegli un progetto esistente).

Abilitare l'accesso privato ai servizi per l'API Live Stream

La procedura generale per configurare l'accesso privato ai servizi è fornita nel documentazione di Virtual Private Cloud. Questo adatta la procedura all'API Live Stream.

  1. Installa e configura Google Cloud CLI.

  2. Abilita l'API Service Networking.

    Esegui la persone che seguo :

    Linux, macOS o Cloud Shell

    gcloud services enable servicenetworking.googleapis.com

    Windows (PowerShell)

    gcloud services enable servicenetworking.googleapis.com

    Windows (cmd.exe)

    gcloud services enable servicenetworking.googleapis.com

  3. Per ottenere le autorizzazioni necessarie per configurare una connessione privata, chiedi che l'amministratore ti conceda Amministratore rete Compute Engine (roles/compute.networkAdmin) Ruolo IAM nel progetto Google Cloud in cui che risiede nella rete VPC. Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestisci accesso.

    Le autorizzazioni richieste sono disponibili anche tramite ruoli personalizzati o altro ruoli predefiniti.

  4. Nella rete VPC, alloca un intervallo IP denominato utilizzando addresses create come mostrato nei seguenti esempi.

    Per specificare un intervallo di indirizzi e una lunghezza del prefisso, che corrisponde anche alla subnet usa i flag addresses e prefix-length. Ad esempio, per Alloca il blocco CIDR 192.168.0.0/13, specifica 192.168.0.0 per e 13 per la lunghezza del prefisso.

    Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

    • RESERVED_RANGE_NAME: un nome per intervallo allocato, ad esempio my-allocated-range
    • DESCRIPTION: una descrizione dell'intervallo, ad esempio allocated for my-service
    • VPC_NETWORK: il nome della tua rete VPC, ad esempio come my-vpc-network

    Esegui la persone che seguo :

    Linux, macOS o Cloud Shell

    gcloud compute addresses create RESERVED_RANGE_NAME \
    --global \
    --purpose=VPC_PEERING \
    --addresses=192.168.0.0 \
    --prefix-length=13 \
    --description="DESCRIPTION" \
    --network=VPC_NETWORK

    Windows (PowerShell)

    gcloud compute addresses create RESERVED_RANGE_NAME `
    --global `
    --purpose=VPC_PEERING `
    --addresses=192.168.0.0 `
    --prefix-length=13 `
    --description="DESCRIPTION" `
    --network=VPC_NETWORK

    Windows (cmd.exe)

    gcloud compute addresses create RESERVED_RANGE_NAME ^
    --global ^
    --purpose=VPC_PEERING ^
    --addresses=192.168.0.0 ^
    --prefix-length=13 ^
    --description="DESCRIPTION" ^
    --network=VPC_NETWORK

    Dovresti ricevere una risposta simile alla seguente:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/addresses/RESERVED_RANGE_NAME].

    Per specificare solo la lunghezza del prefisso, utilizza il flag prefix-length. Se ometti l'intervallo di indirizzi, Google Cloud seleziona automaticamente di indirizzi IP esterni nella tua rete VPC. L'esempio seguente seleziona un modello Intervallo di indirizzi IP con prefisso di 13 bit.

    Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

    • RESERVED_RANGE_NAME: un nome per intervallo allocato, ad esempio my-allocated-range
    • DESCRIPTION: una descrizione dell'intervallo, ad esempio allocated for my-service
    • VPC_NETWORK: il nome della tua rete VPC, ad esempio come my-vpc-network

    Esegui la persone che seguo :

    Linux, macOS o Cloud Shell

    gcloud compute addresses create RESERVED_RANGE_NAME \
    --global \
    --purpose=VPC_PEERING \
    --prefix-length=13 \
    --description="DESCRIPTION" \
    --network=VPC_NETWORK

    Windows (PowerShell)

    gcloud compute addresses create RESERVED_RANGE_NAME `
    --global `
    --purpose=VPC_PEERING `
    --prefix-length=13 `
    --description="DESCRIPTION" `
    --network=VPC_NETWORK

    Windows (cmd.exe)

    gcloud compute addresses create RESERVED_RANGE_NAME ^
    --global ^
    --purpose=VPC_PEERING ^
    --prefix-length=13 ^
    --description="DESCRIPTION" ^
    --network=VPC_NETWORK

    Dovresti ricevere una risposta simile alla seguente:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/addresses/RESERVED_RANGE_NAME].

    L'esempio precedente crea una connessione privata a Google in modo che la VM nella rete VPC fornita (ad esempio, my-vpc-network) può Usare l'accesso privato ai servizi per raggiungere i servizi Google che la supportano.

    L'API Live Stream richiede l'allocazione di un blocco CIDR/13 per regione. Se prevedi di utilizzare l'API Live Stream in più regioni, alloca un blocco più grande. Nella tabella seguente vengono descritti i dimensione consigliata del blocco da allocare in base al numero di regioni:

    Numero di regionivalore per il flag prefix-length
    113
    212
    3-411
    5-810
    7-169

  5. Creare una connessione privata tra la rete del producer di servizi e Rete VPC:

    1. Crea una connessione privata.

      Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

      • RESERVED_RANGE_NAME: il nome del intervallo allocato che hai creato nel passaggio precedente
      • VPC_NETWORK: il nome della tua rete VPC
      • PROJECT_ID: l'ID del progetto Google Cloud della che contiene la tua rete VPC

      Esegui la persone che seguo :

      Linux, macOS o Cloud Shell

      gcloud services vpc-peerings connect \
    --service=servicenetworking.googleapis.com \
    --ranges=RESERVED_RANGE_NAME \
    --network=VPC_NETWORK \
    --project=PROJECT_ID

      Windows (PowerShell)

      gcloud services vpc-peerings connect `
    --service=servicenetworking.googleapis.com `
    --ranges=RESERVED_RANGE_NAME `
    --network=VPC_NETWORK `
    --project=PROJECT_ID

      Windows (cmd.exe)

      gcloud services vpc-peerings connect ^
    --service=servicenetworking.googleapis.com ^
    --ranges=RESERVED_RANGE_NAME ^
    --network=VPC_NETWORK ^
    --project=PROJECT_ID

      Dovresti ricevere una risposta simile alla seguente:

      Operation "operations/OPERATION_ID" finished successfully.

      Questo comando crea un'operazione a lunga esecuzione (LRO).

    2. Se il comando ha esito positivo, vai al passaggio successivo. In caso contrario, controlla dell'operazione.

      Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

      • OPERATION_ID: l'ID dell'operazione restituita in il passaggio precedente

      Esegui la persone che seguo :

      Linux, macOS o Cloud Shell

      gcloud services vpc-peerings operations describe \
  --name=operations/OPERATION_ID

      Windows (PowerShell)

      gcloud services vpc-peerings operations describe `
  --name=operations/OPERATION_ID

      Windows (cmd.exe)

      gcloud services vpc-peerings operations describe ^
  --name=operations/OPERATION_ID

      Dovresti ricevere una risposta simile alla seguente:

      Operation "operations/OPERATION_ID" finished successfully.

  6. (Facoltativo) Se utilizzi Controlli di servizio VPC, devi abilitare VPC-SC per la connessione privata appena creata.

    Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

    • VPC_NETWORK: il nome della tua rete VPC

    Esegui la persone che seguo :

    Linux, macOS o Cloud Shell

    gcloud services vpc-peerings enable-vpc-service-controls \
    --service=servicenetworking.googleapis.com \
    --network=VPC_NETWORK

    Windows (PowerShell)

    gcloud services vpc-peerings enable-vpc-service-controls `
    --service=servicenetworking.googleapis.com `
    --network=VPC_NETWORK

    Windows (cmd.exe)

    gcloud services vpc-peerings enable-vpc-service-controls ^
    --service=servicenetworking.googleapis.com ^
    --network=VPC_NETWORK

    Dovresti ricevere una risposta simile alla seguente:

    Operation "operations/OPERATION_ID" finished successfully.

  7. (Facoltativo) Se hai una rete on-premise connessa al tuo VPC, puoi: configurare la connessione in peering in modo che gli host on-premise possano comunicare con la rete del producer di servizi. Per ulteriori informazioni, vedi risoluzione dei problemi relativi agli host on-premise.

Indietro
Panoramica
Avanti
Configura un pool privato