Zugriff auf private Dienste konfigurieren

Der private Zugriff auf Dienste ist eine sichere, private Verbindung zwischen Ihrem VPC-Netzwerk (Virtual Private Cloud) von Google Cloud und von Google verwalteten Diensten oder Diensten von Drittanbietern. Damit können VM-Instanzen in Ihrem VPC-Netzwerk über interne IP-Adressen mit diesen Diensten kommunizieren, ohne Traffic über das öffentliche Internet zugänglich zu machen.

Hinweise

Sie müssen die folgenden Voraussetzungen erfüllen, um eine private Verbindung zu erstellen:

  • Sie benötigen ein vorhandenes VPC-Netzwerk, mit dem Sie eine Verbindung zum Netzwerk des Diensterstellers herstellen können. VM-Instanzen müssen dieses VPC-Netzwerk verwenden, um über eine private Verbindung eine Verbindung zu Diensten herzustellen.
  • Folgen Sie der Anleitung auf der Seite Vorbereitung der Live Stream API, um ein korrekt konfiguriertes Google Cloud-Projekt zu erstellen oder ein vorhandenes Projekt auszuwählen.

Zugriff auf private Dienste für die Live Stream API aktivieren

Das allgemeine Verfahren zum Konfigurieren des Zugriffs auf private Dienste wird in der Virtual Private Cloud-Dokumentation beschrieben. Auf dieser Seite wird der Prozess an die Live Stream API angepasst.

  1. Installieren und konfigurieren Sie die Google Cloud CLI.

  2. Aktivieren Sie die Service Networking API.

    Führen Sie dazu folgenden Befehl aus:

    Linux, macOS oder Cloud Shell

    gcloud services enable servicenetworking.googleapis.com

    Windows (PowerShell)

    gcloud services enable servicenetworking.googleapis.com

    Windows (cmd.exe)

    gcloud services enable servicenetworking.googleapis.com

  3. Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Compute Engine-Netzwerkadministrator (roles/compute.networkAdmin) für das Google Cloud-Projekt zu gewähren, in dem sich das VPC-Netzwerk befindet, um die Berechtigungen zu erhalten, die Sie zum Einrichten einer privaten Verbindung benötigen. Weitere Informationen zum Gewähren von Rollen finden Sie unter Zugriff verwalten.

    Die erforderlichen Berechtigungen sind auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen verfügbar.

  4. Weisen Sie im VPC-Netzwerk einen benannten IP-Bereich mit dem Befehl addresses create zu, wie in den folgenden Beispielen gezeigt.

    Verwenden Sie die Flags addresses und prefix-length, um einen Adressbereich und eine Präfixlänge, die gleichzeitig die Subnetzmaske ist, anzugeben. Wenn Sie beispielsweise den CIDR-Block 192.168.0.0/13 zuweisen möchten, geben Sie 192.168.0.0 für die Adresse und 13 für die Präfixlänge an.

    Bevor Sie die folgenden Befehlsdaten verwenden, ersetzen Sie die folgenden Werte:

    • RESERVED_RANGE_NAME: ein Name für den zugewiesenen Bereich, z. B. my-allocated-range
    • DESCRIPTION: eine Beschreibung für den Bereich, z. B. allocated for my-service
    • VPC_NETWORK: der Name Ihres VPC-Netzwerk, z. B. my-vpc-network

    Führen Sie dazu folgenden Befehl aus:

    Linux, macOS oder Cloud Shell

    gcloud compute addresses create RESERVED_RANGE_NAME \
    --global \
    --purpose=VPC_PEERING \
    --addresses=192.168.0.0 \
    --prefix-length=13 \
    --description="DESCRIPTION" \
    --network=VPC_NETWORK

    Windows (PowerShell)

    gcloud compute addresses create RESERVED_RANGE_NAME `
    --global `
    --purpose=VPC_PEERING `
    --addresses=192.168.0.0 `
    --prefix-length=13 `
    --description="DESCRIPTION" `
    --network=VPC_NETWORK

    Windows (cmd.exe)

    gcloud compute addresses create RESERVED_RANGE_NAME ^
    --global ^
    --purpose=VPC_PEERING ^
    --addresses=192.168.0.0 ^
    --prefix-length=13 ^
    --description="DESCRIPTION" ^
    --network=VPC_NETWORK

    Sie sollten eine Antwort ähnlich der folgenden erhalten:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/addresses/RESERVED_RANGE_NAME].

    Wenn Sie nur eine Präfixlänge angeben möchten, verwenden Sie das Flag prefix-length. Wenn Sie den Adressbereich weglassen, wählt Google Cloud automatisch einen nicht verwendeten Adressbereich in Ihrem VPC-Netzwerk aus. Im folgenden Beispiel wird ein nicht verwendeter IP-Adressbereich mit einer Präfixlänge von 13 Bit ausgewählt.

    Bevor Sie die folgenden Befehlsdaten verwenden, ersetzen Sie die folgenden Werte:

    • RESERVED_RANGE_NAME: ein Name für den zugewiesenen Bereich, z. B. my-allocated-range
    • DESCRIPTION: eine Beschreibung für den Bereich, z. B. allocated for my-service
    • VPC_NETWORK: der Name Ihres VPC-Netzwerk, z. B. my-vpc-network

    Führen Sie dazu folgenden Befehl aus:

    Linux, macOS oder Cloud Shell

    gcloud compute addresses create RESERVED_RANGE_NAME \
    --global \
    --purpose=VPC_PEERING \
    --prefix-length=13 \
    --description="DESCRIPTION" \
    --network=VPC_NETWORK

    Windows (PowerShell)

    gcloud compute addresses create RESERVED_RANGE_NAME `
    --global `
    --purpose=VPC_PEERING `
    --prefix-length=13 `
    --description="DESCRIPTION" `
    --network=VPC_NETWORK

    Windows (cmd.exe)

    gcloud compute addresses create RESERVED_RANGE_NAME ^
    --global ^
    --purpose=VPC_PEERING ^
    --prefix-length=13 ^
    --description="DESCRIPTION" ^
    --network=VPC_NETWORK

    Sie sollten eine Antwort ähnlich der folgenden erhalten:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/addresses/RESERVED_RANGE_NAME].

    Im vorherigen Beispiel wird eine private Verbindung zu Google erstellt, damit die VM-Instanzen im bereitgestellten VPC-Netzwerk (z. B. my-vpc-network) den Zugriff auf private Dienste verwenden können, um die Google-Dienste zu erreichen, die sie unterstützen.

    Die Live Stream API erfordert die Zuweisung eines CIDR/13-Blocks pro Region. Wenn Sie die Live Stream API in mehreren Regionen verwenden möchten, weisen Sie einen größeren Block zu. In der folgenden Tabelle wird die empfohlene Blockgröße für die Zuweisung je nach Anzahl der Regionen beschrieben:

    Anzahl der RegionenWert für das Flag prefix-length
    113
    212
    3-411
    5-810
    7-169

  5. Erstellen Sie eine private Verbindung zwischen dem Dienstersteller-Netzwerk und Ihrem VPC-Netzwerk:

    1. Erstellen Sie eine private Verbindung.

      Bevor Sie die folgenden Befehlsdaten verwenden, ersetzen Sie die folgenden Werte:

      • RESERVED_RANGE_NAME: Name des zugewiesenen Bereichs, den Sie im vorherigen Schritt erstellt haben
      • VPC_NETWORK: Der Name des VPC-Netzwerks
      • PROJECT_ID: die Google Cloud-Projekt-ID des Projekts, das Ihr VPC-Netzwerk enthält

      Führen Sie dazu folgenden Befehl aus:

      Linux, macOS oder Cloud Shell

      gcloud services vpc-peerings connect \
    --service=servicenetworking.googleapis.com \
    --ranges=RESERVED_RANGE_NAME \
    --network=VPC_NETWORK \
    --project=PROJECT_ID

      Windows (PowerShell)

      gcloud services vpc-peerings connect `
    --service=servicenetworking.googleapis.com `
    --ranges=RESERVED_RANGE_NAME `
    --network=VPC_NETWORK `
    --project=PROJECT_ID

      Windows (cmd.exe)

      gcloud services vpc-peerings connect ^
    --service=servicenetworking.googleapis.com ^
    --ranges=RESERVED_RANGE_NAME ^
    --network=VPC_NETWORK ^
    --project=PROJECT_ID

      Sie sollten eine Antwort ähnlich der folgenden erhalten:

      Operation "operations/OPERATION_ID" finished successfully.

      Mit diesem Befehl wird ein Vorgang mit langer Ausführungszeit erstellt.

    2. Wenn der Befehl erfolgreich ist, fahren Sie mit dem nächsten Schritt fort. Prüfen Sie andernfalls den Vorgangsstatus.

      Bevor Sie die folgenden Befehlsdaten verwenden, ersetzen Sie die folgenden Werte:

      • OPERATION_ID: ID des Vorgangs, die im vorherigen Schritt zurückgegeben wurde

      Führen Sie dazu folgenden Befehl aus:

      Linux, macOS oder Cloud Shell

      gcloud services vpc-peerings operations describe \
  --name=operations/OPERATION_ID

      Windows (PowerShell)

      gcloud services vpc-peerings operations describe `
  --name=operations/OPERATION_ID

      Windows (cmd.exe)

      gcloud services vpc-peerings operations describe ^
  --name=operations/OPERATION_ID

      Sie sollten eine Antwort ähnlich der folgenden erhalten:

      Operation "operations/OPERATION_ID" finished successfully.

  6. (Optional) Wenn Sie VPC Service Controls verwenden, müssen Sie VPC-SC für die soeben erstellte private Verbindung aktivieren.

    Bevor Sie die folgenden Befehlsdaten verwenden, ersetzen Sie die folgenden Werte:

    • VPC_NETWORK: Der Name des VPC-Netzwerks

    Führen Sie dazu folgenden Befehl aus:

    Linux, macOS oder Cloud Shell

    gcloud services vpc-peerings enable-vpc-service-controls \
    --service=servicenetworking.googleapis.com \
    --network=VPC_NETWORK

    Windows (PowerShell)

    gcloud services vpc-peerings enable-vpc-service-controls `
    --service=servicenetworking.googleapis.com `
    --network=VPC_NETWORK

    Windows (cmd.exe)

    gcloud services vpc-peerings enable-vpc-service-controls ^
    --service=servicenetworking.googleapis.com ^
    --network=VPC_NETWORK

    Sie sollten eine Antwort ähnlich der folgenden erhalten:

    Operation "operations/OPERATION_ID" finished successfully.

  7. (Optional) Wenn Sie ein lokales Netzwerk mit Ihrer VPC verbunden haben, können Sie die Peering-Verbindung so konfigurieren, dass lokale Hosts mit dem Netzwerk des Diensterstellers kommunizieren können. Weitere Informationen finden Sie unter Fehlerbehebung bei lokalen Hosts.

Zurück
Überblick
Weiter
Privaten Pool konfigurieren