Konfigurowanie dostępu do sieci prywatnej

Aby skonfigurować prywatny dostęp do sieci w taki sposób, aby ruch był prowadzony w sieci Google Cloud, musisz skonfigurować projekt będący własnością sieci VPC, projektu Katalog usług i używanego projektu usługi Google Cloud. Te trzy projekty mogą być takie same lub osobne.

  • Projekt sieciowy to projekt sieci VPC.
  • Projekt katalogu usług to projekt usługi. Ten projekt może być projektem usługi w udostępnionej sieci VPC tego projektu sieciowego.
  • Projekt usługi Google Cloud to projekt z konfiguracją, który wywołuje prywatny dostęp do sieci. Na przykład konfiguracja usługi Google Cloud.

Zanim zaczniesz

Ta procedura zakłada, że wykonałeś poniższe czynności.

Konfigurowanie projektu sieciowego

Wykonaj te czynności, aby skonfigurować projekt sieciowy.

  1. Utwórz lub użyj istniejącej sieci VPC. Obsługiwane są sieci VPC automatyczne i niestandardowe. Sieci starszego typu nie są obsługiwane.
  2. Jeśli miejsce docelowe jest maszyną wirtualną Compute Engine lub wewnętrznym systemem równoważenia obciążenia, musisz zezwolić na dostęp przez zaporę sieciową VPC, aby uzyskać dostęp do sieci prywatnej. Cele muszą zezwalać na przychodzenie TCP z 35.199.192.0/19 na odpowiedni port (port 443 lub 80).

  3. Przyznaj dostęp do katalogu usługi IAM (Identity and Access Management) do projektu usługi Google Cloud. Pamiętaj, że projekt Google Cloud musi znajdować się na obrzeżach usługi VPC w projekcie servicedirectory.googleapis.com.

    Aby dowiedzieć się więcej o elementach sterujących usługi VPC, zobacz Omówienie elementów sterujących usługi VPC.

Konfigurowanie projektu katalogu usług

Wykonaj te czynności, aby skonfigurować projekt katalogu usług.

  1. Utwórz maszynę wirtualną lub wewnętrzny system równoważenia obciążenia w sieci VPC.
  2. Utwórz usługę katalogu usług wskazującą maszynę wirtualną lub wewnętrzny system równoważenia obciążenia utworzoną w sieci VPC.
  3. Przyznaj kontu usługi IAM dostęp do konta usługi Google Cloud. Więcej informacji o rolach i uprawnieniach znajdziesz w artykule Uprawnienia i role w katalogu usług.

Tworzenie punktu końcowego z dostępem do sieci prywatnej

Aby utworzyć punkt końcowy ze skonfigurowanym dostępem do sieci prywatnej, wykonaj te czynności.

Konsola

  1. Otwórz stronę Przestrzenie nazw katalogu usług w Google Cloud Console.
    Przejdź do strony Przestrzenie nazw usług
  2. Kliknij przestrzeń nazw.
  3. Kliknij usługę.
  4. Kliknij i kliknij Dodaj punkt końcowy.
  5. Podaj nazwę punktu końcowego.
  6. Wpisz adres IP IPv4, na przykład 192.0.2.0/24.
  7. Wpisz numer portu, na przykład 443 lub 80.
  8. Aby włączyć prywatny dostęp do sieci, kliknij Wybierz z listy i wybierz sieć z listy Powiązana sieć VPC.
  9. Możesz też podać konkretny identyfikator projektu i nazwę sieci, wybierając Określ według projektu i nazwy sieci.
  10. Kliknij Utwórz.

gcloud

Uruchom polecenie gcloud beta service-directory endpoints create z identyfikatorem projektu i określoną ścieżką sieci.

gcloud beta service-directory endpoints create ENDPOINT_NAME
    --project=PROJECT_ID \
    --location=REGION \
    --namespace=NAMESPACE_NAME \
    --service=SERVICE_ID \
    --address=IP_ADDRESS \
    --port=PORT_NUMBER \
    --network=NETWORK_PATH

Zastąp następujące elementy:

  • ENDPOINT_NAME: nazwa punktu końcowego, który tworzysz w usłudze, na przykład my-endpoint
  • PROJECT_ID: identyfikator projektu
  • REGION: region Google Cloud zawierający przestrzeń nazw
  • NAMESPACE_NAME: nazwa nadana przestrzeni nazw, na przykład my-namespace
  • SERVICE_ID: identyfikator usługi
  • IP_ADDRESS: adres IP punktu końcowego, na przykład 192.0.2.0/24
  • PORT_NUMBER: porty, na których działają punkty końcowe, zwykle 443 lub 80
  • NETWORK_PATH: adres URL sieci, np. projects/PROJECT_NUMBER/locations/global/networks/NETWORK_NAME

Konfigurowanie projektu usługi Google Cloud

  1. Włącz interfejs API usługi Google Cloud.
  2. Skonfiguruj usługę Google Cloud, korzystając z usługi Katalog usług utworzonej w projekcie sieciowym.
  3. Jeśli używasz elementów sterujących usługi VPC, upewnij się, że strefa kontrolna VPC zezwala na dostęp do katalogu sieciowego i projektu.

Przykłady zastosowań

W tej sekcji podano przykładowe zastosowania konfiguracji dostępu do sieci prywatnej.

Wywołanie punktu końcowego HTTP, gdy sieć VPC, maszyna wirtualna i katalog usługi należą do tego samego projektu

Możesz skonfigurować usługę Google Cloud tak, by wywoływała punkt końcowy HTTP na maszynie wirtualnej. Ruch ten nie może być przesyłany publicznie przez internet.

W tej konfiguracji masz projekt z siecią VPC, maszyną wirtualną, usługą Katalog usług i usługą Google Cloud w tym samym projekcie.

Zezwalanie konfiguracji usługi Google projektu na wychodzenie z maszyny wirtualnej projektu sieciowego, która znajduje się w sieci VPC projektu usługi Google Cloud
Zezwalanie konfiguracji usługi Google projektu na opuszczenie maszyny wirtualnej projektu sieciowego, która znajduje się w sieci VPC projektu usługi Google Cloud (kliknij, aby powiększyć).

Aby skonfigurować usługę Google Cloud przy użyciu prywatnego dostępu do sieci, wykonaj te czynności.

Skonfiguruj sieć i wybierz sieć docelową

  1. Utwórz projekt, na przykład my-project.
  2. Utwórz sieć VPC, na przykład VPC-1 (projekty/numer-projektu/lokalizacje/globalne/sieci/moja-sieć).
  3. Przyznaj serwerowi proxy dostęp do VPC-1, podsieci lub maszyny wirtualnej.
  4. Zezwalaj na dostęp z adresu 35.199.192.0/19.
  5. Utwórz VM-1 w regionie us-central1 w VPC-1.
  6. Skonfiguruj ją, aby uruchomić usługę na porcie P.
  7. Jeśli wolisz używać protokołu HTTPS, upewnij się, że masz zainstalowany certyfikat TLS.
  8. Utwórz usługę katalogu usług SD-1 w usłudze REGION-1.
  9. Utwórz punkt końcowy w SD-1 z wewnętrznym adresem IP VM-1=10.10.10.10, P=443 i network=projects/project-number/global/networks/my-network. Szczegółowe instrukcje znajdziesz w artykule Tworzenie punktu końcowego ze skonfigurowanym dostępem do sieci prywatnej.
  10. Przyznaj kontu usługi Google Cloud te role:

    • servicedirectory.viewer
    • servicedirectory.pscAuthorizedService
  11. Opcjonalnie możesz skonfigurować VM-2 i dodać Endpoint-2.

Skonfiguruj usługę Google Cloud

  1. Skonfiguruj konfigurację usługi Google Cloud CONFIG-1, na przykład „Cloud Harmonogram - zadzwoń do mnie co minutę”.
  2. Skonfiguruj żądanie HTTP.
  3. Określ, że żądanie powinno przechodzić przez sieć prywatną, na przykład przez SD-1.
  4. (Opcjonalnie) Skonfiguruj ustawienia usługi urzędu certyfikacji.

Teraz usługa Google Cloud może wywołać żądanie HTTP przy użyciu SD-1.

Wywołanie punktu końcowego HTTP, gdy sieć VPC, maszyna wirtualna i katalog usługi należą do różnych projektów

W tej przykładowej konfiguracji chcesz skonfigurować usługę Google Cloud, taką jak Zdarzenia, Lista zadań lub Pub/Sub, aby wywoływała punkt końcowy HTTP w Twojej maszynie wirtualnej. W tym przykładzie projekt katalogu usług, projekt sieci i projekty usługi Google Cloud są różne. Ruch ten nie może być przesyłany publicznie przez internet. Opcjonalnie to wywołanie interfejsu API musi być zgodne z obszarem sterowania usługą VPC.

W takim przypadku konfiguracja projektu usługi Google Cloud umożliwia opuszczenie maszyny wirtualnej projektu usługi Google Cloud, która znajduje się w sieci VPC projektu sieciowego.

Projekt usługi Google Cloud może się różnić od projektu producenta. Stosowane są granice sterowania usługą VPC w obu projektach.

Wysyłanie ruchu przy użyciu dostępu do sieci prywatnej z wymuszonymi ograniczeniami usługi VPC
Wysyłanie ruchu przy użyciu dostępu do sieci prywatnej przy wymuszonych ograniczeniach usługi VPC (kliknij, aby powiększyć)

Utwórz projekt sieciowy

Upewnij się, że masz te uprawnienia:

  • servicedirectory.services.resolve usługi wiadomości
  • servicedirectory.networks.access dla sieci

Pamiętaj:

  • Projekt katalogu usługi i projekt sieciowy nie muszą być połączone, ale muszą należeć do tych samych elementów sterujących usługi VPC.
  • Zapora i uprawnienia są domyślnie wyłączone w sieci i usłudze.

Aby utworzyć projekt sieciowy, wykonaj te czynności.

  1. Utwórz sieć VPC, na przykład VPC-1 (projekty/numer-projektu/lokalizacje/globalne/sieci/moja-sieć).
  2. Włącz zaporę sieciową VPC.

  3. Jeśli używasz elementów sterujących usługi VPC, obszar kontrolny usług VPC umożliwia połączenie usługi Service Directory z projektem usługi Google Cloud i projektem usługi.

Skonfiguruj projekt katalogu usług

  1. Utwórz maszynę wirtualną lub wewnętrzny system równoważenia obciążenia w sieci VPC.
  2. Utwórz usługę katalogu usług wskazującą maszynę wirtualną lub wewnętrzny system równoważenia obciążenia w sieci VPC.
  3. Przyznaj katalogowi uprawnień usługi service read dostęp do usługi komunikacyjnej projektu usługi Google Cloud.
  4. Jeśli używasz elementów sterujących usługi VPC, obszar kontrolny usług VPC umożliwia połączenie usługi Service Directory z projektem usługi Google Cloud i projektem usługi.

Skonfiguruj projekt usługi Google Cloud

  1. Włącz interfejs API dla używanej usługi wiadomości.
  2. Skonfiguruj usługę przesyłania wiadomości PUSH przy użyciu usługi Service Directory z projektu Service Directory.
  3. Jeśli używasz elementów sterujących usługi VPC, obszar kontrolny usługi VPC umożliwia połączenie katalogu usługi z projektem sieciowym i projektem katalogu usług.

Co dalej?