专用服务访问通道是一种安全的专用连接, Google Cloud 虚拟私有云 (VPC) 网络,以及由 Google 管理的 第三方服务。它使您的 VPC 网络中的虚拟机实例能够 与这些服务通信,而无需将流量暴露给 公共互联网。
准备工作
如需建立专用连接,请先满足以下前提条件:
- 您必须拥有 现有 VPC 网络 可用于连接到服务提供方的网络虚拟机实例 必须使用此 VPC 网络通过专用连接接入服务。
- 按照 Live Stream API 中的步骤操作 要创建的准备工作页面 正确配置的 Google Cloud 项目(或选择现有项目)。
为 Live Stream API 启用专用服务访问通道
有关配置专用服务访问通道的常规流程,请参阅 虚拟私有云文档。这个 页面会根据 Live Stream API 调整该流程。
启用 Service Networking API。
执行以下命令:
Linux、macOS 或 Cloud Shell
gcloud services enable servicenetworking.googleapis.com
Windows (PowerShell)
gcloud services enable servicenetworking.googleapis.com
Windows (cmd.exe)
gcloud services enable servicenetworking.googleapis.com
如需获取设置专用连接所需的权限,请询问 您的管理员授权您 Compute Engine 网络管理员 (
roles/compute.networkAdmin) 拥有 Google Cloud 项目的 IAM 角色, VPC 网络所在的位置。如需详细了解如何授予角色,请参阅 管理访问权限。在 VPC 网络中,使用
addresses create分配已命名的 IP 范围 命令,如以下示例中所示。指定地址范围和前缀长度(也就是子网所在的子网) 请使用
addresses和prefix-length标志。例如, 分配 CIDR 地址块 192.168.0.0/13,指定192.168.0.0地址,前缀长度为13。在使用下面的命令数据之前,请先进行以下替换:
RESERVED_RANGE_NAME: 分配的范围,例如my-allocated-rangeDESCRIPTION:范围的说明,例如allocated for my-serviceVPC_NETWORK:您的 VPC 网络的名称,例如 名称:my-vpc-network
执行以下命令:
Linux、macOS 或 Cloud Shell
gcloud compute addresses create RESERVED_RANGE_NAME \ --global \ --purpose=VPC_PEERING \ --addresses=192.168.0.0 \ --prefix-length=13 \ --description="DESCRIPTION" \ --network=VPC_NETWORKWindows (PowerShell)
gcloud compute addresses create RESERVED_RANGE_NAME ` --global ` --purpose=VPC_PEERING ` --addresses=192.168.0.0 ` --prefix-length=13 ` --description="DESCRIPTION" ` --network=VPC_NETWORKWindows (cmd.exe)
gcloud compute addresses create RESERVED_RANGE_NAME ^ --global ^ --purpose=VPC_PEERING ^ --addresses=192.168.0.0 ^ --prefix-length=13 ^ --description="DESCRIPTION" ^ --network=VPC_NETWORK您应该会收到类似如下所示的响应:
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/addresses/RESERVED_RANGE_NAME].
如需仅指定前缀长度,请使用
prefix-length标志。如果您省略 Google Cloud 会自动选择未使用的 您的 VPC 网络中的地址范围。以下示例选择了一个未使用的 前缀长度为 13 位的 IP 地址范围。在使用下面的命令数据之前,请先进行以下替换:
RESERVED_RANGE_NAME: 分配的范围,例如my-allocated-rangeDESCRIPTION:范围的说明,例如allocated for my-serviceVPC_NETWORK:您的 VPC 网络的名称,例如 名称:my-vpc-network
执行以下命令:
Linux、macOS 或 Cloud Shell
gcloud compute addresses create RESERVED_RANGE_NAME \ --global \ --purpose=VPC_PEERING \ --prefix-length=13 \ --description="DESCRIPTION" \ --network=VPC_NETWORKWindows (PowerShell)
gcloud compute addresses create RESERVED_RANGE_NAME ` --global ` --purpose=VPC_PEERING ` --prefix-length=13 ` --description="DESCRIPTION" ` --network=VPC_NETWORKWindows (cmd.exe)
gcloud compute addresses create RESERVED_RANGE_NAME ^ --global ^ --purpose=VPC_PEERING ^ --prefix-length=13 ^ --description="DESCRIPTION" ^ --network=VPC_NETWORK您应该会收到类似如下所示的响应:
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/addresses/RESERVED_RANGE_NAME].
上面的示例创建了与 Google 的专用连接,以便虚拟机 提供的 VPC 网络中的实例(例如
my-vpc-network)可以 通过专用服务访问通道访问支持专用服务访问通道的 Google 服务。Live Stream API 要求为每个会话分配一个 CIDR/13 地址块, 区域。如果您打算在多个应用中使用 Live Stream API 请分配一个更大的地址块下表介绍了 根据区域数量建议分配的块大小:
区域数量 prefix-length标志的值1 13 2 12 3-4 11 5-8 10 7-16 9 在服务提供方网络与您的 VPC 网络之间创建专用连接:
创建专用连接。
在使用下面的命令数据之前,请先进行以下替换:
RESERVED_RANGE_NAME: 您在上一步中创建的分配范围VPC_NETWORK:您的 VPC 网络的名称PROJECT_ID: 项目(包含您的 VPC 网络)
执行以下命令:
Linux、macOS 或 Cloud Shell
gcloud services vpc-peerings connect \ --service=servicenetworking.googleapis.com \ --ranges=RESERVED_RANGE_NAME \ --network=VPC_NETWORK \ --project=PROJECT_IDWindows (PowerShell)
gcloud services vpc-peerings connect ` --service=servicenetworking.googleapis.com ` --ranges=RESERVED_RANGE_NAME ` --network=VPC_NETWORK ` --project=PROJECT_IDWindows (cmd.exe)
gcloud services vpc-peerings connect ^ --service=servicenetworking.googleapis.com ^ --ranges=RESERVED_RANGE_NAME ^ --network=VPC_NETWORK ^ --project=PROJECT_ID您应该会收到类似如下所示的响应:
Operation "operations/OPERATION_ID" finished successfully.
此命令会创建一个长时间运行的操作 (LRO)。
如果命令成功,请跳到下一步。否则,请查看 操作状态。
在使用下面的命令数据之前,请先进行以下替换:
OPERATION_ID:在 中返回的操作的 ID 上一步
执行以下命令:
Linux、macOS 或 Cloud Shell
gcloud services vpc-peerings operations describe \ --name=operations/OPERATION_ID
Windows (PowerShell)
gcloud services vpc-peerings operations describe ` --name=operations/OPERATION_ID
Windows (cmd.exe)
gcloud services vpc-peerings operations describe ^ --name=operations/OPERATION_ID
您应该会收到类似如下所示的响应:
Operation "operations/OPERATION_ID" finished successfully.
(可选)如果您使用的是 VPC Service Controls,则需要为 刚刚创建的专用连接
在使用下面的命令数据之前,请先进行以下替换:
VPC_NETWORK:您的 VPC 网络的名称
执行以下命令:
Linux、macOS 或 Cloud Shell
gcloud services vpc-peerings enable-vpc-service-controls \ --service=servicenetworking.googleapis.com \ --network=VPC_NETWORKWindows (PowerShell)
gcloud services vpc-peerings enable-vpc-service-controls ` --service=servicenetworking.googleapis.com ` --network=VPC_NETWORKWindows (cmd.exe)
gcloud services vpc-peerings enable-vpc-service-controls ^ --service=servicenetworking.googleapis.com ^ --network=VPC_NETWORK您应该会收到类似如下所示的响应:
Operation "operations/OPERATION_ID" finished successfully.
(可选)如果您已将本地网络连接到 VPC,则可以 配置对等连接,以便本地主机 与服务提供方的网络进行通信如需了解详情,请参阅 本地主机问题排查。