Configurer l'accès aux services privés

L'accès aux services privés est une connexion privée et sécurisée entre vos sur le réseau cloud privé virtuel (VPC) de Google Cloud, ainsi que sur le réseau des services tiers. Il permet aux instances de VM de votre réseau VPC de communiquer avec ces services à l'aide d'adresses IP internes, sans exposer le trafic au l'Internet public.

Avant de commencer

Pour établir une connexion privée, suivez les étapes requises comme suit :

• Vous devez disposer d'un réseau VPC existant que vous pouvez utiliser pour vous connecter au réseau du producteur de services. Instances de VM doit utiliser ce réseau VPC pour se connecter aux services via une connexion privée.
• Suivez les étapes sur l'API Live Stream Avant de commencer pour créer un projet Google Cloud correctement configuré (ou choisissez un projet existant).

Activer l'accès aux services privés pour l'API Live Stream

Le processus général de configuration de l'accès aux services privés est fourni dans la Documentation sur le cloud privé virtuel Ce adapte le processus à l'API Live Stream.

1. Installez et configurez la Google Cloud CLI.

2. Activez l'API Service Networking.

   Exécutez la commande suivante :

   Linux, macOS ou Cloud Shell

   gcloud services enable servicenetworking.googleapis.com
   

   Windows (PowerShell)

   gcloud services enable servicenetworking.googleapis.com
   

   Windows (cmd.exe)

   gcloud services enable servicenetworking.googleapis.com
   

3. Pour obtenir les autorisations nécessaires pour configurer une connexion privée, demandez votre administrateur de vous accorder Administrateur de réseaux Compute Engine (roles/compute.networkAdmin) sur le projet Google Cloud dans lequel de votre réseau VPC. Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès

   Les autorisations requises sont également disponibles via des rôles personnalisés ou d'autres rôles prédéfinis.

4. Dans le réseau VPC, allouez une plage d'adresses IP nommée à l'aide du paramètre addresses create comme indiqué dans les exemples suivants.

   Pour spécifier une plage d'adresses et une longueur de préfixe, qui correspondent également au sous-réseau utilisez les options addresses et prefix-length. Par exemple, pour allouez le bloc CIDR 192.168.0.0/13, spécifiez 192.168.0.0 pour et 13 pour la longueur du préfixe.

   Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

   • RESERVED_RANGE_NAME: nom de la plage allouée, telle que my-allocated-range
   • DESCRIPTION: description de la plage, par exemple allocated for my-service
   • VPC_NETWORK: nom de votre réseau VPC, tel que en tant que my-vpc-network

   Exécutez la commande suivante :

   Linux, macOS ou Cloud Shell

   gcloud compute addresses create RESERVED_RANGE_NAME \
       --global \
       --purpose=VPC_PEERING \
       --addresses=192.168.0.0 \
       --prefix-length=13 \
       --description="DESCRIPTION" \
       --network=VPC_NETWORK
   

   Windows (PowerShell)

   gcloud compute addresses create RESERVED_RANGE_NAME `
       --global `
       --purpose=VPC_PEERING `
       --addresses=192.168.0.0 `
       --prefix-length=13 `
       --description="DESCRIPTION" `
       --network=VPC_NETWORK
   

   Windows (cmd.exe)

   gcloud compute addresses create RESERVED_RANGE_NAME ^
       --global ^
       --purpose=VPC_PEERING ^
       --addresses=192.168.0.0 ^
       --prefix-length=13 ^
       --description="DESCRIPTION" ^
       --network=VPC_NETWORK
   

   Vous devriez obtenir un résultat semblable à celui-ci :

   Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/addresses/RESERVED_RANGE_NAME].

   Pour spécifier uniquement une longueur de préfixe, utilisez l'option prefix-length. Lorsque vous omettez la plage d'adresses, Google Cloud sélectionne automatiquement d'adresses IP de votre réseau VPC. L'exemple suivant sélectionne Plage d'adresses IP avec une longueur de préfixe de 13 bits.

   Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

   • RESERVED_RANGE_NAME: nom de la plage allouée, telle que my-allocated-range
   • DESCRIPTION: description de la plage, par exemple allocated for my-service
   • VPC_NETWORK: nom de votre réseau VPC, tel que en tant que my-vpc-network

   Exécutez la commande suivante :

   Linux, macOS ou Cloud Shell

   gcloud compute addresses create RESERVED_RANGE_NAME \
       --global \
       --purpose=VPC_PEERING \
       --prefix-length=13 \
       --description="DESCRIPTION" \
       --network=VPC_NETWORK
   

   Windows (PowerShell)

   gcloud compute addresses create RESERVED_RANGE_NAME `
       --global `
       --purpose=VPC_PEERING `
       --prefix-length=13 `
       --description="DESCRIPTION" `
       --network=VPC_NETWORK
   

   Windows (cmd.exe)

   gcloud compute addresses create RESERVED_RANGE_NAME ^
       --global ^
       --purpose=VPC_PEERING ^
       --prefix-length=13 ^
       --description="DESCRIPTION" ^
       --network=VPC_NETWORK
   

   Vous devriez obtenir un résultat semblable à celui-ci :

   Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/addresses/RESERVED_RANGE_NAME].

   L'exemple précédent crée une connexion privée à Google, de sorte que la VM instances du réseau VPC fourni (par exemple, my-vpc-network) peuvent utilisent l'accès aux services privés pour accéder aux services Google qui les prennent en charge.

   L'API Live Stream nécessite l'allocation d'un bloc CIDR/13 par dans la même région. Si vous prévoyez d'utiliser l'API Live Stream dans plusieurs ou plusieurs régions, allouez un bloc plus grand. Le tableau suivant décrit les taille de bloc recommandée à allouer en fonction du nombre de régions:

   Nombre de régions	valeur de l'option prefix-length
   1	13
   2	12
   3-4	11
   5-8	10
   7-16	9

5. Créez une connexion privée entre le réseau du producteur de services et votre réseau VPC :

   1. Créez une connexion privée.

      Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

      • RESERVED_RANGE_NAME: nom du plage allouée que vous avez créée à l'étape précédente
      • VPC_NETWORK : nom de votre réseau VPC
      • PROJECT_ID: ID du projet Google Cloud associé au qui contient votre réseau VPC,

      Exécutez la commande suivante :

      Linux, macOS ou Cloud Shell

      gcloud services vpc-peerings connect \
          --service=servicenetworking.googleapis.com \
          --ranges=RESERVED_RANGE_NAME \
          --network=VPC_NETWORK \
          --project=PROJECT_ID
      

      Windows (PowerShell)

      gcloud services vpc-peerings connect `
          --service=servicenetworking.googleapis.com `
          --ranges=RESERVED_RANGE_NAME `
          --network=VPC_NETWORK `
          --project=PROJECT_ID
      

      Windows (cmd.exe)

      gcloud services vpc-peerings connect ^
          --service=servicenetworking.googleapis.com ^
          --ranges=RESERVED_RANGE_NAME ^
          --network=VPC_NETWORK ^
          --project=PROJECT_ID
      

      Vous devriez obtenir un résultat semblable à celui-ci :

      Operation "operations/OPERATION_ID" finished successfully.

      Cette commande crée une opération de longue durée (LRO).

   2. Si la commande aboutit, passez à l'étape suivante. Sinon, vérifiez le l'état de l'opération.

      Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

      • OPERATION_ID: ID de l'opération renvoyé dans l'étape précédente

      Exécutez la commande suivante :

      Linux, macOS ou Cloud Shell

      gcloud services vpc-peerings operations describe \
        --name=operations/OPERATION_ID
      

      Windows (PowerShell)

      gcloud services vpc-peerings operations describe `
        --name=operations/OPERATION_ID
      

      Windows (cmd.exe)

      gcloud services vpc-peerings operations describe ^
        --name=operations/OPERATION_ID
      

      Vous devriez obtenir un résultat semblable à celui-ci :

      Operation "operations/OPERATION_ID" finished successfully.

6. (Facultatif) Si vous utilisez VPC Service Controls, vous devez activer VPC-SC pour la connexion privée que vous venez de créer.

   Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

   • VPC_NETWORK : nom de votre réseau VPC

   Exécutez la commande suivante :

   Linux, macOS ou Cloud Shell

   gcloud services vpc-peerings enable-vpc-service-controls \
       --service=servicenetworking.googleapis.com \
       --network=VPC_NETWORK
   

   Windows (PowerShell)

   gcloud services vpc-peerings enable-vpc-service-controls `
       --service=servicenetworking.googleapis.com `
       --network=VPC_NETWORK
   

   Windows (cmd.exe)

   gcloud services vpc-peerings enable-vpc-service-controls ^
       --service=servicenetworking.googleapis.com ^
       --network=VPC_NETWORK
   

   Vous devriez obtenir un résultat semblable à celui-ci :

   Operation "operations/OPERATION_ID" finished successfully.

7. (Facultatif) Si un réseau sur site est connecté à votre VPC, vous pouvez configurer la connexion d'appairage de sorte que les hôtes sur site puissent communiquer avec le réseau du producteur de services. Pour en savoir plus, consultez dépannage des hôtes sur site.