Zugriff auf private Dienste konfigurieren

Der Zugriff auf private Dienste ist eine sichere, private Verbindung zwischen Ihrem Virtual Private Cloud-Netzwerk (VPC) von Google Cloud und das von Google verwaltete oder von Drittanbietern. Er ermöglicht die Kommunikation zwischen VM-Instanzen in Ihrem VPC-Netzwerk mit diesen Diensten über interne IP-Adressen, ohne den Traffic öffentlich zugänglichen Internet.

Hinweise

Sie müssen die folgenden Voraussetzungen erfüllen, um eine private Verbindung zu erstellen:

  • Sie benötigen eine Vorhandenes VPC-Netzwerk mit dem Sie eine Verbindung zum Netzwerk des Diensterstellers herstellen können. VM-Instanzen muss dieses VPC-Netzwerk verwenden, um sich über eine private Verbindung mit Diensten zu verbinden.
  • Folge der Anleitung in der Live Stream API. Vorbereitungen, um einen Ein ordnungsgemäß konfiguriertes Google Cloud-Projekt (oder ein vorhandenes Projekt auswählen)

Zugriff auf private Dienste für die Live Stream API aktivieren

Das allgemeine Verfahren zum Konfigurieren des Zugriffs auf private Dienste finden Sie in der Virtual Private Cloud-Dokumentation Dieses passt den Vorgang an die Live Stream API an.

  1. Installieren und konfigurieren Sie die Google Cloud CLI.

  2. Aktivieren Sie die Service Networking API.

    Führen Sie folgenden Befehl aus:

    Linux, macOS oder Cloud Shell

    gcloud services enable servicenetworking.googleapis.com

    Windows (PowerShell)

    gcloud services enable servicenetworking.googleapis.com

    Windows (cmd.exe)

    gcloud services enable servicenetworking.googleapis.com

  3. Wenn Sie die erforderlichen Berechtigungen zum Einrichten einer privaten Verbindung erhalten möchten, fragen Sie um Ihnen die Berechtigung zu erteilen, Compute Engine-Netzwerkadministrator (roles/compute.networkAdmin) IAM-Rolle für das Google Cloud-Projekt, in dem der VPC-Netzwerk befindet sich. Weitere Informationen zum Gewähren von Rollen finden Sie unter Zugriff verwalten

    Die erforderlichen Berechtigungen sind auch über benutzerdefinierte Rollen oder andere vordefinierten Rollen hinzufügen.

  4. Weisen Sie im VPC-Netzwerk mithilfe der addresses create einen benannten IP-Bereich zu wie in den folgenden Beispielen gezeigt.

    Zum Angeben eines Adressbereichs und einer Präfixlänge, die auch das Subnetz ist maskieren, verwenden Sie die Flags addresses und prefix-length. Zum Beispiel weisen Sie den CIDR-Block 192.168.0.0/13 zu. Geben Sie 192.168.0.0 für den Adresse und 13 für die Präfixlänge.

    Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

    • RESERVED_RANGE_NAME: ein Name für die Zugewiesener Bereich, z. B. my-allocated-range
    • DESCRIPTION: eine Beschreibung des Bereichs, z. B. allocated for my-service
    • VPC_NETWORK: der Name Ihres VPC-Netzwerk, z. B. als my-vpc-network

    Führen Sie folgenden Befehl aus:

    Linux, macOS oder Cloud Shell

    gcloud compute addresses create RESERVED_RANGE_NAME \
    --global \
    --purpose=VPC_PEERING \
    --addresses=192.168.0.0 \
    --prefix-length=13 \
    --description="DESCRIPTION" \
    --network=VPC_NETWORK

    Windows (PowerShell)

    gcloud compute addresses create RESERVED_RANGE_NAME `
    --global `
    --purpose=VPC_PEERING `
    --addresses=192.168.0.0 `
    --prefix-length=13 `
    --description="DESCRIPTION" `
    --network=VPC_NETWORK

    Windows (cmd.exe)

    gcloud compute addresses create RESERVED_RANGE_NAME ^
    --global ^
    --purpose=VPC_PEERING ^
    --addresses=192.168.0.0 ^
    --prefix-length=13 ^
    --description="DESCRIPTION" ^
    --network=VPC_NETWORK

    Sie sollten eine Antwort ähnlich der folgenden erhalten:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/addresses/RESERVED_RANGE_NAME].

    Wenn Sie nur eine Präfixlänge angeben möchten, verwenden Sie das Flag prefix-length. Wenn Sie auslassen, Adressbereich ausgewählt, wählt Google Cloud automatisch eine nicht verwendete Adressbereich in Ihrem VPC-Netzwerk. Im folgenden Beispiel wird ein nicht verwendeter IP-Adressbereich mit einer Präfixlänge von 13 Bit.

    Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

    • RESERVED_RANGE_NAME: ein Name für die Zugewiesener Bereich, z. B. my-allocated-range
    • DESCRIPTION: eine Beschreibung des Bereichs, z. B. allocated for my-service
    • VPC_NETWORK: der Name Ihres VPC-Netzwerk, z. B. als my-vpc-network

    Führen Sie folgenden Befehl aus:

    Linux, macOS oder Cloud Shell

    gcloud compute addresses create RESERVED_RANGE_NAME \
    --global \
    --purpose=VPC_PEERING \
    --prefix-length=13 \
    --description="DESCRIPTION" \
    --network=VPC_NETWORK

    Windows (PowerShell)

    gcloud compute addresses create RESERVED_RANGE_NAME `
    --global `
    --purpose=VPC_PEERING `
    --prefix-length=13 `
    --description="DESCRIPTION" `
    --network=VPC_NETWORK

    Windows (cmd.exe)

    gcloud compute addresses create RESERVED_RANGE_NAME ^
    --global ^
    --purpose=VPC_PEERING ^
    --prefix-length=13 ^
    --description="DESCRIPTION" ^
    --network=VPC_NETWORK

    Sie sollten eine Antwort ähnlich der folgenden erhalten:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/addresses/RESERVED_RANGE_NAME].

    Im vorherigen Beispiel wird eine private Verbindung zu Google hergestellt, damit die VM können Instanzen im angegebenen VPC-Netzwerk (z. B. my-vpc-network) den Zugriff auf private Dienste zu verwenden, um Google-Dienste zu erreichen, die diese unterstützen.

    Für die Live Stream API ist die Zuweisung eines CIDR/13-Blocks pro Region Wenn Sie die Live Stream API in mehreren Regionen, ordnen Sie einen größeren Block zu. In der folgenden Tabelle werden die empfohlene Blockgröße für die Zuweisung in Abhängigkeit von der Anzahl der Regionen:

    Anzahl der RegionenWert für das Flag prefix-length
    113
    212
    3-411
    5-810
    7-169

  5. Erstellen Sie eine private Verbindung zwischen dem Dienstersteller-Netzwerk und Ihrem VPC-Netzwerk:

    1. Erstellen Sie eine private Verbindung.

      Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

      • RESERVED_RANGE_NAME: der Name des zugewiesenen Bereich, den Sie im vorherigen Schritt erstellt haben
      • VPC_NETWORK: Der Name des VPC-Netzwerks
      • PROJECT_ID: die Google Cloud-Projekt-ID des Projekt, das Ihr VPC-Netzwerk enthält

      Führen Sie folgenden Befehl aus:

      Linux, macOS oder Cloud Shell

      gcloud services vpc-peerings connect \
    --service=servicenetworking.googleapis.com \
    --ranges=RESERVED_RANGE_NAME \
    --network=VPC_NETWORK \
    --project=PROJECT_ID

      Windows (PowerShell)

      gcloud services vpc-peerings connect `
    --service=servicenetworking.googleapis.com `
    --ranges=RESERVED_RANGE_NAME `
    --network=VPC_NETWORK `
    --project=PROJECT_ID

      Windows (cmd.exe)

      gcloud services vpc-peerings connect ^
    --service=servicenetworking.googleapis.com ^
    --ranges=RESERVED_RANGE_NAME ^
    --network=VPC_NETWORK ^
    --project=PROJECT_ID

      Sie sollten eine Antwort ähnlich der folgenden erhalten:

      Operation "operations/OPERATION_ID" finished successfully.

      Mit diesem Befehl wird ein Vorgang mit langer Ausführungszeit erstellt.

    2. Wenn der Befehl erfolgreich ausgeführt wurde, fahren Sie mit dem nächsten Schritt fort. Andernfalls prüfen Sie die Vorgangsstatus.

      Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

      • OPERATION_ID: die ID des Vorgangs, der zurückgegeben wurde. zum vorherigen Schritt

      Führen Sie folgenden Befehl aus:

      Linux, macOS oder Cloud Shell

      gcloud services vpc-peerings operations describe \
  --name=operations/OPERATION_ID

      Windows (PowerShell)

      gcloud services vpc-peerings operations describe `
  --name=operations/OPERATION_ID

      Windows (cmd.exe)

      gcloud services vpc-peerings operations describe ^
  --name=operations/OPERATION_ID

      Sie sollten eine Antwort ähnlich der folgenden erhalten:

      Operation "operations/OPERATION_ID" finished successfully.

  6. (Optional) Wenn Sie VPC Service Controls verwenden, müssen Sie VPC-SC für die Sie gerade erstellt haben.

    Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

    • VPC_NETWORK: Der Name des VPC-Netzwerks

    Führen Sie folgenden Befehl aus:

    Linux, macOS oder Cloud Shell

    gcloud services vpc-peerings enable-vpc-service-controls \
    --service=servicenetworking.googleapis.com \
    --network=VPC_NETWORK

    Windows (PowerShell)

    gcloud services vpc-peerings enable-vpc-service-controls `
    --service=servicenetworking.googleapis.com `
    --network=VPC_NETWORK

    Windows (cmd.exe)

    gcloud services vpc-peerings enable-vpc-service-controls ^
    --service=servicenetworking.googleapis.com ^
    --network=VPC_NETWORK

    Sie sollten eine Antwort ähnlich der folgenden erhalten:

    Operation "operations/OPERATION_ID" finished successfully.

  7. (Optional) Wenn ein lokales Netzwerk mit Ihrer VPC verbunden ist, können Sie Konfigurieren Sie die Peering-Verbindung so, dass lokale Hosts miteinander kommunizieren können. mit dem Netzwerk des Diensterstellers. Weitere Informationen finden Sie unter Fehlerbehebung für lokale Hosts

Zurück
Überblick
Weiter
Privaten Pool konfigurieren