Der private Zugriff auf Dienste ist eine sichere, private Verbindung zwischen Ihrem VPC-Netzwerk (Virtual Private Cloud) von Google Cloud und von Google verwalteten Diensten oder Diensten von Drittanbietern. Damit können VM-Instanzen in Ihrem VPC-Netzwerk über interne IP-Adressen mit diesen Diensten kommunizieren, ohne Traffic über das öffentliche Internet zugänglich zu machen.
Hinweise
Sie müssen die folgenden Voraussetzungen erfüllen, um eine private Verbindung zu erstellen:
- Sie benötigen ein vorhandenes VPC-Netzwerk, mit dem Sie eine Verbindung zum Netzwerk des Diensterstellers herstellen können. VM-Instanzen müssen dieses VPC-Netzwerk verwenden, um über eine private Verbindung eine Verbindung zu Diensten herzustellen.
- Folgen Sie der Anleitung auf der Seite Vorbereitung der Live Stream API, um ein korrekt konfiguriertes Google Cloud-Projekt zu erstellen oder ein vorhandenes Projekt auszuwählen.
Zugriff auf private Dienste für die Live Stream API aktivieren
Das allgemeine Verfahren zum Konfigurieren des Zugriffs auf private Dienste wird in der Virtual Private Cloud-Dokumentation beschrieben. Auf dieser Seite wird der Prozess an die Live Stream API angepasst.
Aktivieren Sie die Service Networking API.
Führen Sie dazu folgenden Befehl aus:
Linux, macOS oder Cloud Shell
gcloud services enable servicenetworking.googleapis.com
Windows (PowerShell)
gcloud services enable servicenetworking.googleapis.com
Windows (cmd.exe)
gcloud services enable servicenetworking.googleapis.com
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Compute Engine-Netzwerkadministrator (
roles/compute.networkAdmin
) für das Google Cloud-Projekt zu gewähren, in dem sich das VPC-Netzwerk befindet, um die Berechtigungen zu erhalten, die Sie zum Einrichten einer privaten Verbindung benötigen. Weitere Informationen zum Gewähren von Rollen finden Sie unter Zugriff verwalten.Die erforderlichen Berechtigungen sind auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen verfügbar.
Weisen Sie im VPC-Netzwerk einen benannten IP-Bereich mit dem Befehl
addresses create
zu, wie in den folgenden Beispielen gezeigt.Verwenden Sie die Flags
addresses
undprefix-length
, um einen Adressbereich und eine Präfixlänge, die gleichzeitig die Subnetzmaske ist, anzugeben. Wenn Sie beispielsweise den CIDR-Block 192.168.0.0/13 zuweisen möchten, geben Sie192.168.0.0
für die Adresse und13
für die Präfixlänge an.Bevor Sie die folgenden Befehlsdaten verwenden, ersetzen Sie die folgenden Werte:
RESERVED_RANGE_NAME
: ein Name für den zugewiesenen Bereich, z. B.my-allocated-range
DESCRIPTION
: eine Beschreibung für den Bereich, z. B.allocated for my-service
VPC_NETWORK
: der Name Ihres VPC-Netzwerk, z. B.my-vpc-network
Führen Sie dazu folgenden Befehl aus:
Linux, macOS oder Cloud Shell
gcloud compute addresses create RESERVED_RANGE_NAME \ --global \ --purpose=VPC_PEERING \ --addresses=192.168.0.0 \ --prefix-length=13 \ --description="DESCRIPTION" \ --network=VPC_NETWORK
Windows (PowerShell)
gcloud compute addresses create RESERVED_RANGE_NAME ` --global ` --purpose=VPC_PEERING ` --addresses=192.168.0.0 ` --prefix-length=13 ` --description="DESCRIPTION" ` --network=VPC_NETWORK
Windows (cmd.exe)
gcloud compute addresses create RESERVED_RANGE_NAME ^ --global ^ --purpose=VPC_PEERING ^ --addresses=192.168.0.0 ^ --prefix-length=13 ^ --description="DESCRIPTION" ^ --network=VPC_NETWORK
Sie sollten eine Antwort ähnlich der folgenden erhalten:
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/addresses/RESERVED_RANGE_NAME].
Wenn Sie nur eine Präfixlänge angeben möchten, verwenden Sie das Flag
prefix-length
. Wenn Sie den Adressbereich weglassen, wählt Google Cloud automatisch einen nicht verwendeten Adressbereich in Ihrem VPC-Netzwerk aus. Im folgenden Beispiel wird ein nicht verwendeter IP-Adressbereich mit einer Präfixlänge von 13 Bit ausgewählt.Bevor Sie die folgenden Befehlsdaten verwenden, ersetzen Sie die folgenden Werte:
RESERVED_RANGE_NAME
: ein Name für den zugewiesenen Bereich, z. B.my-allocated-range
DESCRIPTION
: eine Beschreibung für den Bereich, z. B.allocated for my-service
VPC_NETWORK
: der Name Ihres VPC-Netzwerk, z. B.my-vpc-network
Führen Sie dazu folgenden Befehl aus:
Linux, macOS oder Cloud Shell
gcloud compute addresses create RESERVED_RANGE_NAME \ --global \ --purpose=VPC_PEERING \ --prefix-length=13 \ --description="DESCRIPTION" \ --network=VPC_NETWORK
Windows (PowerShell)
gcloud compute addresses create RESERVED_RANGE_NAME ` --global ` --purpose=VPC_PEERING ` --prefix-length=13 ` --description="DESCRIPTION" ` --network=VPC_NETWORK
Windows (cmd.exe)
gcloud compute addresses create RESERVED_RANGE_NAME ^ --global ^ --purpose=VPC_PEERING ^ --prefix-length=13 ^ --description="DESCRIPTION" ^ --network=VPC_NETWORK
Sie sollten eine Antwort ähnlich der folgenden erhalten:
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/addresses/RESERVED_RANGE_NAME].
Im vorherigen Beispiel wird eine private Verbindung zu Google erstellt, damit die VM-Instanzen im bereitgestellten VPC-Netzwerk (z. B.
my-vpc-network
) den Zugriff auf private Dienste verwenden können, um die Google-Dienste zu erreichen, die sie unterstützen.Die Live Stream API erfordert die Zuweisung eines CIDR/13-Blocks pro Region. Wenn Sie die Live Stream API in mehreren Regionen verwenden möchten, weisen Sie einen größeren Block zu. In der folgenden Tabelle wird die empfohlene Blockgröße für die Zuweisung je nach Anzahl der Regionen beschrieben:
Anzahl der Regionen Wert für das Flag prefix-length
1 13 2 12 3-4 11 5-8 10 7-16 9 Erstellen Sie eine private Verbindung zwischen dem Dienstersteller-Netzwerk und Ihrem VPC-Netzwerk:
Erstellen Sie eine private Verbindung.
Bevor Sie die folgenden Befehlsdaten verwenden, ersetzen Sie die folgenden Werte:
RESERVED_RANGE_NAME
: Name des zugewiesenen Bereichs, den Sie im vorherigen Schritt erstellt habenVPC_NETWORK
: Der Name des VPC-NetzwerksPROJECT_ID
: die Google Cloud-Projekt-ID des Projekts, das Ihr VPC-Netzwerk enthält
Führen Sie dazu folgenden Befehl aus:
Linux, macOS oder Cloud Shell
gcloud services vpc-peerings connect \ --service=servicenetworking.googleapis.com \ --ranges=RESERVED_RANGE_NAME \ --network=VPC_NETWORK \ --project=PROJECT_ID
Windows (PowerShell)
gcloud services vpc-peerings connect ` --service=servicenetworking.googleapis.com ` --ranges=RESERVED_RANGE_NAME ` --network=VPC_NETWORK ` --project=PROJECT_ID
Windows (cmd.exe)
gcloud services vpc-peerings connect ^ --service=servicenetworking.googleapis.com ^ --ranges=RESERVED_RANGE_NAME ^ --network=VPC_NETWORK ^ --project=PROJECT_ID
Sie sollten eine Antwort ähnlich der folgenden erhalten:
Operation "operations/OPERATION_ID" finished successfully.
Mit diesem Befehl wird ein Vorgang mit langer Ausführungszeit erstellt.
Wenn der Befehl erfolgreich ist, fahren Sie mit dem nächsten Schritt fort. Prüfen Sie andernfalls den Vorgangsstatus.
Bevor Sie die folgenden Befehlsdaten verwenden, ersetzen Sie die folgenden Werte:
OPERATION_ID
: ID des Vorgangs, die im vorherigen Schritt zurückgegeben wurde
Führen Sie dazu folgenden Befehl aus:
Linux, macOS oder Cloud Shell
gcloud services vpc-peerings operations describe \ --name=operations/OPERATION_ID
Windows (PowerShell)
gcloud services vpc-peerings operations describe ` --name=operations/OPERATION_ID
Windows (cmd.exe)
gcloud services vpc-peerings operations describe ^ --name=operations/OPERATION_ID
Sie sollten eine Antwort ähnlich der folgenden erhalten:
Operation "operations/OPERATION_ID" finished successfully.
(Optional) Wenn Sie VPC Service Controls verwenden, müssen Sie VPC-SC für die soeben erstellte private Verbindung aktivieren.
Bevor Sie die folgenden Befehlsdaten verwenden, ersetzen Sie die folgenden Werte:
VPC_NETWORK
: Der Name des VPC-Netzwerks
Führen Sie dazu folgenden Befehl aus:
Linux, macOS oder Cloud Shell
gcloud services vpc-peerings enable-vpc-service-controls \ --service=servicenetworking.googleapis.com \ --network=VPC_NETWORK
Windows (PowerShell)
gcloud services vpc-peerings enable-vpc-service-controls ` --service=servicenetworking.googleapis.com ` --network=VPC_NETWORK
Windows (cmd.exe)
gcloud services vpc-peerings enable-vpc-service-controls ^ --service=servicenetworking.googleapis.com ^ --network=VPC_NETWORK
Sie sollten eine Antwort ähnlich der folgenden erhalten:
Operation "operations/OPERATION_ID" finished successfully.
(Optional) Wenn Sie ein lokales Netzwerk mit Ihrer VPC verbunden haben, können Sie die Peering-Verbindung so konfigurieren, dass lokale Hosts mit dem Netzwerk des Diensterstellers kommunizieren können. Weitere Informationen finden Sie unter Fehlerbehebung bei lokalen Hosts.