O acesso a serviços privados é uma ligação privada e segura entre a sua rede de nuvem virtual privada (VPC) e os serviços geridos pela Google ou de terceiros.Google Cloud Permite que as instâncias de VM na sua rede VPC comuniquem com estes serviços através de endereços IP internos, sem expor o tráfego à Internet pública.
Antes de começar
Para estabelecer uma ligação privada, conclua os seguintes pré-requisitos:
- Tem de ter uma rede VPC existente que possa usar para se ligar à rede do produtor do serviço. As instâncias de VM têm de usar esta rede VPC para estabelecer ligação a serviços através de uma ligação privada.
- Siga os passos na página da API Live Stream Antes de começar para criar um Google Cloud projeto configurado corretamente (ou escolha um projeto existente).
Ative o acesso a serviços privados para a API Live Stream
O processo geral de configuração do acesso a serviços privados é fornecido na documentação da nuvem privada virtual. Esta página adapta o processo à API Live Stream.
Ative a API Service Networking.
Execute o seguinte comando:
Linux, macOS ou Cloud Shell
gcloud services enable servicenetworking.googleapis.com
Windows (PowerShell)
gcloud services enable servicenetworking.googleapis.com
Windows (cmd.exe)
gcloud services enable servicenetworking.googleapis.com
Para receber as autorizações de que precisa para configurar uma ligação privada, peça ao seu administrador para lhe conceder a função de IAM Administrador de rede do Compute Engine (
roles/compute.networkAdmin) no projeto Google Cloud no qual reside a rede VPC. Para mais informações sobre a concessão de funções, consulte o artigo Gerir acesso.As autorizações necessárias também estão disponíveis através de funções personalizadas ou outras funções predefinidas.
Na rede VPC, atribua um intervalo de IP com nome através do comando
addresses createconforme mostrado nos exemplos seguintes.Para especificar um intervalo de endereços e um comprimento do prefixo, que também é a máscara de sub-rede, use os flags
addresseseprefix-length. Por exemplo, para atribuir o bloco CIDR 192.168.0.0/13, especifique192.168.0.0para o endereço e13para o comprimento do prefixo.Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:
RESERVED_RANGE_NAME: um nome para o intervalo atribuído, comomy-allocated-rangeDESCRIPTION: uma descrição do intervalo, comoallocated for my-serviceVPC_NETWORK: o nome da sua rede VPC, comomy-vpc-network
Execute o seguinte comando:
Linux, macOS ou Cloud Shell
gcloud compute addresses create RESERVED_RANGE_NAME \ --global \ --purpose=VPC_PEERING \ --addresses=192.168.0.0 \ --prefix-length=13 \ --description="DESCRIPTION" \ --network=VPC_NETWORK
Windows (PowerShell)
gcloud compute addresses create RESERVED_RANGE_NAME ` --global ` --purpose=VPC_PEERING ` --addresses=192.168.0.0 ` --prefix-length=13 ` --description="DESCRIPTION" ` --network=VPC_NETWORK
Windows (cmd.exe)
gcloud compute addresses create RESERVED_RANGE_NAME ^ --global ^ --purpose=VPC_PEERING ^ --addresses=192.168.0.0 ^ --prefix-length=13 ^ --description="DESCRIPTION" ^ --network=VPC_NETWORK
Deve receber uma resposta semelhante à seguinte:
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/addresses/RESERVED_RANGE_NAME].
Para especificar apenas um comprimento do prefixo, use a flag
prefix-length. Quando omite o intervalo de endereços,o Google Cloud seleciona automaticamente um intervalo de endereços não usado na sua rede de VPC. Google Cloud O exemplo seguinte seleciona um intervalo de endereços IP não usado com um comprimento do prefixo de 13 bits.Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:
RESERVED_RANGE_NAME: um nome para o intervalo atribuído, comomy-allocated-rangeDESCRIPTION: uma descrição do intervalo, comoallocated for my-serviceVPC_NETWORK: o nome da sua rede VPC, comomy-vpc-network
Execute o seguinte comando:
Linux, macOS ou Cloud Shell
gcloud compute addresses create RESERVED_RANGE_NAME \ --global \ --purpose=VPC_PEERING \ --prefix-length=13 \ --description="DESCRIPTION" \ --network=VPC_NETWORK
Windows (PowerShell)
gcloud compute addresses create RESERVED_RANGE_NAME ` --global ` --purpose=VPC_PEERING ` --prefix-length=13 ` --description="DESCRIPTION" ` --network=VPC_NETWORK
Windows (cmd.exe)
gcloud compute addresses create RESERVED_RANGE_NAME ^ --global ^ --purpose=VPC_PEERING ^ --prefix-length=13 ^ --description="DESCRIPTION" ^ --network=VPC_NETWORK
Deve receber uma resposta semelhante à seguinte:
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/addresses/RESERVED_RANGE_NAME].
O exemplo anterior cria uma ligação privada à Google para que as instâncias de VM na rede VPC fornecida (por exemplo,
my-vpc-network) possam usar o acesso a serviços privados para alcançar os serviços Google que o suportam.A API Live Stream requer a atribuição de um bloco CIDR/13 por região. Se planeia usar a API Live Stream em várias regiões, aloque um bloco maior. A tabela seguinte descreve o tamanho do bloco recomendado a atribuir consoante o número de regiões:
Número de regiões valor para a flag prefix-length1 13 2 12 3-4 11 5-8 10 7-16 9 Crie uma ligação privada entre a rede do produtor de serviços e a sua rede VPC:
Crie uma ligação privada.
Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:
RESERVED_RANGE_NAME: o nome do intervalo atribuído que criou no passo anteriorVPC_NETWORK: o nome da sua rede VPCPROJECT_ID: o Google Cloud ID do projeto do projeto que contém a sua rede VPC
Execute o seguinte comando:
Linux, macOS ou Cloud Shell
gcloud services vpc-peerings connect \ --service=servicenetworking.googleapis.com \ --ranges=RESERVED_RANGE_NAME \ --network=VPC_NETWORK \ --project=PROJECT_ID
Windows (PowerShell)
gcloud services vpc-peerings connect ` --service=servicenetworking.googleapis.com ` --ranges=RESERVED_RANGE_NAME ` --network=VPC_NETWORK ` --project=PROJECT_ID
Windows (cmd.exe)
gcloud services vpc-peerings connect ^ --service=servicenetworking.googleapis.com ^ --ranges=RESERVED_RANGE_NAME ^ --network=VPC_NETWORK ^ --project=PROJECT_ID
Deve receber uma resposta semelhante à seguinte:
Operation "operations/OPERATION_ID" finished successfully.
Este comando cria uma operação de longa duração (LRO).
Se o comando for bem-sucedido, avance para o passo seguinte. Caso contrário, verifique o estado da operação.
Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:
OPERATION_ID: o ID da operação devolvida no passo anterior
Execute o seguinte comando:
Linux, macOS ou Cloud Shell
gcloud services vpc-peerings operations describe \ --name=operations/OPERATION_ID
Windows (PowerShell)
gcloud services vpc-peerings operations describe ` --name=operations/OPERATION_ID
Windows (cmd.exe)
gcloud services vpc-peerings operations describe ^ --name=operations/OPERATION_ID
Deve receber uma resposta semelhante à seguinte:
Operation "operations/OPERATION_ID" finished successfully.
(Opcional) Se estiver a usar os VPC Service Controls, tem de ativar o VPC-SC para a ligação privada que acabou de criar.
Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:
VPC_NETWORK: o nome da sua rede VPC
Execute o seguinte comando:
Linux, macOS ou Cloud Shell
gcloud services vpc-peerings enable-vpc-service-controls \ --service=servicenetworking.googleapis.com \ --network=VPC_NETWORK
Windows (PowerShell)
gcloud services vpc-peerings enable-vpc-service-controls ` --service=servicenetworking.googleapis.com ` --network=VPC_NETWORK
Windows (cmd.exe)
gcloud services vpc-peerings enable-vpc-service-controls ^ --service=servicenetworking.googleapis.com ^ --network=VPC_NETWORK
Deve receber uma resposta semelhante à seguinte:
Operation "operations/OPERATION_ID" finished successfully.
(Opcional) Se tiver uma rede no local ligada à sua VPC, pode configurar a ligação de peering para que os anfitriões no local possam comunicar com a rede do produtor de serviços. Para mais informações, consulte a resolução de problemas de anfitriões no local.