Zugriff auf private Dienste konfigurieren

Der Zugriff auf private Dienste ist eine sichere, private Verbindung zwischen Ihrem Google Cloud Virtual Private Cloud-Netzwerk (VPC) und von Google verwalteten Diensten oder Diensten von Drittanbietern. Er ermöglicht die Kommunikation zwischen VM-Instanzen in Ihrem VPC-Netzwerk mit diesen Diensten über interne IP-Adressen, ohne den Traffic öffentlich zugänglichen Internet.

Hinweise

Sie müssen die folgenden Voraussetzungen erfüllen, um eine private Verbindung zu erstellen:

  • Sie benötigen eine Vorhandenes VPC-Netzwerk mit dem Sie eine Verbindung zum Netzwerk des Diensterstellers herstellen können. VM-Instanzen müssen dieses VPC-Netzwerk verwenden, um sich über eine private Verbindung mit Diensten zu verbinden.
  • Folge der Anleitung auf der Seite Vorbereitung der Live Stream API, um ein richtig konfiguriertes Google Cloud-Projekt zu erstellen oder ein vorhandenes Projekt auszuwählen.

Zugriff auf private Dienste für die Livestream API aktivieren

Das allgemeine Verfahren zum Konfigurieren des Zugriffs auf private Dienste finden Sie in der Virtual Private Cloud-Dokumentation Dieses den Prozess an die Live Stream API anpasst.

  1. Installieren und konfigurieren Sie die Google Cloud CLI.

  2. Aktivieren Sie die Service Networking API.

    Führen Sie folgenden Befehl aus:

    Linux, macOS oder Cloud Shell

    gcloud services enable servicenetworking.googleapis.com

    Windows (PowerShell)

    gcloud services enable servicenetworking.googleapis.com

    Windows (cmd.exe)

    gcloud services enable servicenetworking.googleapis.com

  3. Wenn Sie die erforderlichen Berechtigungen zum Einrichten einer privaten Verbindung erhalten möchten, fragen Sie um Ihnen die Berechtigung zu erteilen, Compute Engine-Netzwerkadministrator (roles/compute.networkAdmin) IAM-Rolle für das Google Cloud-Projekt, in dem der VPC-Netzwerk befindet sich. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

    Die erforderlichen Berechtigungen sind auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen verfügbar.

  4. Weisen Sie im VPC-Netzwerk einen benannten IP-Bereich mit dem Befehl addresses create zu, wie in den folgenden Beispielen gezeigt.

    Legen Sie einen Adressbereich und eine Präfixlänge (Subnetzmaske) mit den Flags addresses und prefix-length fest. Wenn Sie beispielsweise weisen Sie den CIDR-Block 192.168.0.0/13 zu. Geben Sie 192.168.0.0 für den Adresse und 13 für die Präfixlänge.

    Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

    • RESERVED_RANGE_NAME: ein Name für die Zugewiesener Bereich, z. B. my-allocated-range
    • DESCRIPTION: eine Beschreibung für den Bereich, z. B. allocated for my-service
    • VPC_NETWORK: der Name Ihres VPC-Netzwerks, z. B. my-vpc-network

    Führen Sie folgenden Befehl aus:

    Linux, macOS oder Cloud Shell

    gcloud compute addresses create RESERVED_RANGE_NAME \
    --global \
    --purpose=VPC_PEERING \
    --addresses=192.168.0.0 \
    --prefix-length=13 \
    --description="DESCRIPTION" \
    --network=VPC_NETWORK

    Windows (PowerShell)

    gcloud compute addresses create RESERVED_RANGE_NAME `
    --global `
    --purpose=VPC_PEERING `
    --addresses=192.168.0.0 `
    --prefix-length=13 `
    --description="DESCRIPTION" `
    --network=VPC_NETWORK

    Windows (cmd.exe)

    gcloud compute addresses create RESERVED_RANGE_NAME ^
    --global ^
    --purpose=VPC_PEERING ^
    --addresses=192.168.0.0 ^
    --prefix-length=13 ^
    --description="DESCRIPTION" ^
    --network=VPC_NETWORK

    Sie sollten eine Antwort ähnlich der folgenden erhalten:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/addresses/RESERVED_RANGE_NAME].

    Wenn Sie nur eine Präfixlänge angeben möchten, verwenden Sie das Flag prefix-length. Wenn Sie den Adressbereich weglassen, wählt Google Cloud automatisch einen nicht verwendeten Adressbereich in Ihrem VPC-Netzwerk aus. Im folgenden Beispiel wird ein nicht verwendeter IP-Adressbereich mit einer Präfixlänge von 13 Bit.

    Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

    • RESERVED_RANGE_NAME: ein Name für die Zugewiesener Bereich, z. B. my-allocated-range
    • DESCRIPTION: eine Beschreibung für den Bereich, z. B. allocated for my-service
    • VPC_NETWORK: der Name Ihres VPC-Netzwerks, z. B. my-vpc-network

    Führen Sie folgenden Befehl aus:

    Linux, macOS oder Cloud Shell

    gcloud compute addresses create RESERVED_RANGE_NAME \
    --global \
    --purpose=VPC_PEERING \
    --prefix-length=13 \
    --description="DESCRIPTION" \
    --network=VPC_NETWORK

    Windows (PowerShell)

    gcloud compute addresses create RESERVED_RANGE_NAME `
    --global `
    --purpose=VPC_PEERING `
    --prefix-length=13 `
    --description="DESCRIPTION" `
    --network=VPC_NETWORK

    Windows (cmd.exe)

    gcloud compute addresses create RESERVED_RANGE_NAME ^
    --global ^
    --purpose=VPC_PEERING ^
    --prefix-length=13 ^
    --description="DESCRIPTION" ^
    --network=VPC_NETWORK

    Sie sollten eine Antwort ähnlich der folgenden erhalten:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/addresses/RESERVED_RANGE_NAME].

    Im vorherigen Beispiel wird eine private Verbindung zu Google erstellt, damit die VM-Instanzen im angegebenen VPC-Netzwerk (z. B. my-vpc-network) den Zugriff auf private Dienste verwenden können, um die Google-Dienste zu erreichen, die sie unterstützen.

    Für die Live Stream API muss pro Region ein CIDR/13-Block zugewiesen werden. Wenn Sie die Live Stream API in mehreren Regionen, ordnen Sie einen größeren Block zu. In der folgenden Tabelle wird die empfohlene Blockgröße beschrieben, die je nach Anzahl der Regionen zugewiesen werden sollte:

    Anzahl der RegionenWert für das Flag prefix-length
    113
    212
    3-411
    5-810
    7-169

  5. Erstellen Sie eine private Verbindung zwischen dem Dienstersteller-Netzwerk und Ihrem VPC-Netzwerk:

    1. Erstellen Sie eine private Verbindung.

      Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

      • RESERVED_RANGE_NAME: der Name des zugewiesenen Bereich, den Sie im vorherigen Schritt erstellt haben
      • VPC_NETWORK: Der Name des VPC-Netzwerks
      • PROJECT_ID: die Google Cloud-Projekt-ID des Projekts, das Ihr VPC-Netzwerk enthält

      Führen Sie folgenden Befehl aus:

      Linux, macOS oder Cloud Shell

      gcloud services vpc-peerings connect \
    --service=servicenetworking.googleapis.com \
    --ranges=RESERVED_RANGE_NAME \
    --network=VPC_NETWORK \
    --project=PROJECT_ID

      Windows (PowerShell)

      gcloud services vpc-peerings connect `
    --service=servicenetworking.googleapis.com `
    --ranges=RESERVED_RANGE_NAME `
    --network=VPC_NETWORK `
    --project=PROJECT_ID

      Windows (cmd.exe)

      gcloud services vpc-peerings connect ^
    --service=servicenetworking.googleapis.com ^
    --ranges=RESERVED_RANGE_NAME ^
    --network=VPC_NETWORK ^
    --project=PROJECT_ID

      Sie sollten eine Antwort ähnlich der folgenden erhalten:

      Operation "operations/OPERATION_ID" finished successfully.

      Mit diesem Befehl wird ein lang andauernder Vorgang erstellt.

    2. Wenn der Befehl erfolgreich war, fahren Sie mit dem nächsten Schritt fort. Andernfalls prüfen Sie die Vorgangsstatus.

      Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

      • OPERATION_ID: die ID des Vorgangs, die im vorherigen Schritt zurückgegeben wurde

      Führen Sie folgenden Befehl aus:

      Linux, macOS oder Cloud Shell

      gcloud services vpc-peerings operations describe \
  --name=operations/OPERATION_ID

      Windows (PowerShell)

      gcloud services vpc-peerings operations describe `
  --name=operations/OPERATION_ID

      Windows (cmd.exe)

      gcloud services vpc-peerings operations describe ^
  --name=operations/OPERATION_ID

      Sie sollten eine Antwort ähnlich der folgenden erhalten:

      Operation "operations/OPERATION_ID" finished successfully.

  6. Optional: Wenn Sie VPC Service Controls verwenden, müssen Sie VPC-SC für die gerade erstellte private Verbindung aktivieren.

    Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

    • VPC_NETWORK: Der Name des VPC-Netzwerks

    Führen Sie folgenden Befehl aus:

    Linux, macOS oder Cloud Shell

    gcloud services vpc-peerings enable-vpc-service-controls \
    --service=servicenetworking.googleapis.com \
    --network=VPC_NETWORK

    Windows (PowerShell)

    gcloud services vpc-peerings enable-vpc-service-controls `
    --service=servicenetworking.googleapis.com `
    --network=VPC_NETWORK

    Windows (cmd.exe)

    gcloud services vpc-peerings enable-vpc-service-controls ^
    --service=servicenetworking.googleapis.com ^
    --network=VPC_NETWORK

    Sie sollten eine Antwort ähnlich der folgenden erhalten:

    Operation "operations/OPERATION_ID" finished successfully.

  7. Optional: Wenn Sie ein lokales Netzwerk mit Ihrer VPC verbunden haben, können Sie die Peering-Verbindung so konfigurieren, dass lokale Hosts mit dem Netzwerk des Diensterstellers kommunizieren können. Weitere Informationen finden Sie unter Fehlerbehebung für lokale Hosts

Zurück
Übersicht
Weiter
Privaten Pool konfigurieren