L'accesso privato ai servizi è una connessione privata e sicura tra il tuo Rete VPC Google Cloud e rete VPC (Virtual Private Cloud) gestita da Google servizi di terze parti. Consente alle istanze VM nella tua rete VPC di comunicare a questi servizi utilizzando indirizzi IP interni, senza esporre il traffico tramite la rete internet pubblica.
Prima di iniziare
Per stabilire una connessione privata, devi completare i seguenti prerequisiti:
- Devi avere un rete VPC esistente che puoi utilizzare per connetterti alla rete del producer di servizi. Istanze VM devono utilizzare questa rete VPC per connettersi ai servizi tramite una connessione privata.
- Segui i passaggi sull'API Live Stream Prima di iniziare per creare un progetto Google Cloud configurato correttamente (o scegli un progetto esistente).
Abilitare l'accesso privato ai servizi per l'API Live Stream
La procedura generale per configurare l'accesso privato ai servizi è fornita nel documentazione di Virtual Private Cloud. Questo adatta la procedura all'API Live Stream.
Abilita l'API Service Networking.
Esegui la persone che seguo :
Linux, macOS o Cloud Shell
gcloud services enable servicenetworking.googleapis.com
Windows (PowerShell)
gcloud services enable servicenetworking.googleapis.com
Windows (cmd.exe)
gcloud services enable servicenetworking.googleapis.com
Per ottenere le autorizzazioni necessarie per configurare una connessione privata, chiedi che l'amministratore ti conceda Amministratore rete Compute Engine (
roles/compute.networkAdmin
) Ruolo IAM nel progetto Google Cloud in cui che risiede nella rete VPC. Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestisci accesso.Le autorizzazioni richieste sono disponibili anche tramite ruoli personalizzati o altro ruoli predefiniti.
Nella rete VPC, alloca un intervallo IP denominato utilizzando
addresses create
come mostrato nei seguenti esempi.Per specificare un intervallo di indirizzi e una lunghezza del prefisso, che corrisponde anche alla subnet usa i flag
addresses
eprefix-length
. Ad esempio, per Alloca il blocco CIDR 192.168.0.0/13, specifica192.168.0.0
per e13
per la lunghezza del prefisso.Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:
RESERVED_RANGE_NAME
: un nome per intervallo allocato, ad esempiomy-allocated-range
DESCRIPTION
: una descrizione dell'intervallo, ad esempioallocated for my-service
VPC_NETWORK
: il nome della tua rete VPC, ad esempio comemy-vpc-network
Esegui la persone che seguo :
Linux, macOS o Cloud Shell
gcloud compute addresses create RESERVED_RANGE_NAME \ --global \ --purpose=VPC_PEERING \ --addresses=192.168.0.0 \ --prefix-length=13 \ --description="DESCRIPTION" \ --network=VPC_NETWORK
Windows (PowerShell)
gcloud compute addresses create RESERVED_RANGE_NAME ` --global ` --purpose=VPC_PEERING ` --addresses=192.168.0.0 ` --prefix-length=13 ` --description="DESCRIPTION" ` --network=VPC_NETWORK
Windows (cmd.exe)
gcloud compute addresses create RESERVED_RANGE_NAME ^ --global ^ --purpose=VPC_PEERING ^ --addresses=192.168.0.0 ^ --prefix-length=13 ^ --description="DESCRIPTION" ^ --network=VPC_NETWORK
Dovresti ricevere una risposta simile alla seguente:
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/addresses/RESERVED_RANGE_NAME].
Per specificare solo la lunghezza del prefisso, utilizza il flag
prefix-length
. Se ometti l'intervallo di indirizzi, Google Cloud seleziona automaticamente di indirizzi IP esterni nella tua rete VPC. L'esempio seguente seleziona un modello Intervallo di indirizzi IP con prefisso di 13 bit.Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:
RESERVED_RANGE_NAME
: un nome per intervallo allocato, ad esempiomy-allocated-range
DESCRIPTION
: una descrizione dell'intervallo, ad esempioallocated for my-service
VPC_NETWORK
: il nome della tua rete VPC, ad esempio comemy-vpc-network
Esegui la persone che seguo :
Linux, macOS o Cloud Shell
gcloud compute addresses create RESERVED_RANGE_NAME \ --global \ --purpose=VPC_PEERING \ --prefix-length=13 \ --description="DESCRIPTION" \ --network=VPC_NETWORK
Windows (PowerShell)
gcloud compute addresses create RESERVED_RANGE_NAME ` --global ` --purpose=VPC_PEERING ` --prefix-length=13 ` --description="DESCRIPTION" ` --network=VPC_NETWORK
Windows (cmd.exe)
gcloud compute addresses create RESERVED_RANGE_NAME ^ --global ^ --purpose=VPC_PEERING ^ --prefix-length=13 ^ --description="DESCRIPTION" ^ --network=VPC_NETWORK
Dovresti ricevere una risposta simile alla seguente:
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/addresses/RESERVED_RANGE_NAME].
L'esempio precedente crea una connessione privata a Google in modo che la VM nella rete VPC fornita (ad esempio,
my-vpc-network
) può Usare l'accesso privato ai servizi per raggiungere i servizi Google che la supportano.L'API Live Stream richiede l'allocazione di un blocco CIDR/13 per regione. Se prevedi di utilizzare l'API Live Stream in più regioni, alloca un blocco più grande. Nella tabella seguente vengono descritti i dimensione consigliata del blocco da allocare in base al numero di regioni:
Numero di regioni valore per il flag prefix-length
1 13 2 12 3-4 11 5-8 10 7-16 9 Creare una connessione privata tra la rete del producer di servizi e Rete VPC:
Crea una connessione privata.
Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:
RESERVED_RANGE_NAME
: il nome del intervallo allocato che hai creato nel passaggio precedenteVPC_NETWORK
: il nome della tua rete VPCPROJECT_ID
: l'ID del progetto Google Cloud della che contiene la tua rete VPC
Esegui la persone che seguo :
Linux, macOS o Cloud Shell
gcloud services vpc-peerings connect \ --service=servicenetworking.googleapis.com \ --ranges=RESERVED_RANGE_NAME \ --network=VPC_NETWORK \ --project=PROJECT_ID
Windows (PowerShell)
gcloud services vpc-peerings connect ` --service=servicenetworking.googleapis.com ` --ranges=RESERVED_RANGE_NAME ` --network=VPC_NETWORK ` --project=PROJECT_ID
Windows (cmd.exe)
gcloud services vpc-peerings connect ^ --service=servicenetworking.googleapis.com ^ --ranges=RESERVED_RANGE_NAME ^ --network=VPC_NETWORK ^ --project=PROJECT_ID
Dovresti ricevere una risposta simile alla seguente:
Operation "operations/OPERATION_ID" finished successfully.
Questo comando crea un'operazione a lunga esecuzione (LRO).
Se il comando ha esito positivo, vai al passaggio successivo. In caso contrario, controlla dell'operazione.
Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:
OPERATION_ID
: l'ID dell'operazione restituita in il passaggio precedente
Esegui la persone che seguo :
Linux, macOS o Cloud Shell
gcloud services vpc-peerings operations describe \ --name=operations/OPERATION_ID
Windows (PowerShell)
gcloud services vpc-peerings operations describe ` --name=operations/OPERATION_ID
Windows (cmd.exe)
gcloud services vpc-peerings operations describe ^ --name=operations/OPERATION_ID
Dovresti ricevere una risposta simile alla seguente:
Operation "operations/OPERATION_ID" finished successfully.
(Facoltativo) Se utilizzi Controlli di servizio VPC, devi abilitare VPC-SC per la connessione privata appena creata.
Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:
VPC_NETWORK
: il nome della tua rete VPC
Esegui la persone che seguo :
Linux, macOS o Cloud Shell
gcloud services vpc-peerings enable-vpc-service-controls \ --service=servicenetworking.googleapis.com \ --network=VPC_NETWORK
Windows (PowerShell)
gcloud services vpc-peerings enable-vpc-service-controls ` --service=servicenetworking.googleapis.com ` --network=VPC_NETWORK
Windows (cmd.exe)
gcloud services vpc-peerings enable-vpc-service-controls ^ --service=servicenetworking.googleapis.com ^ --network=VPC_NETWORK
Dovresti ricevere una risposta simile alla seguente:
Operation "operations/OPERATION_ID" finished successfully.
(Facoltativo) Se hai una rete on-premise connessa al tuo VPC, puoi: configurare la connessione in peering in modo che gli host on-premise possano comunicare con la rete del producer di servizi. Per ulteriori informazioni, vedi risoluzione dei problemi relativi agli host on-premise.