Configurazione dell'accesso privato ai servizi

Questa pagina descrive come configurare l'accesso privato ai servizi nella tua rete VPC.

L'accesso ai servizi privati è implementato come connessione in peering VPC tra la tua rete VPC e la rete VPC Google Cloud sottostante in cui risiede la tua istanza Cloud SQL. La connessione privata consente alle istanze VM nella rete VPC e ai servizi a cui accedi di comunicare esclusivamente mediante indirizzi IP interni. Le istanze VM non richiedono accesso a internet o indirizzi IP esterni per raggiungere i servizi disponibili tramite l'accesso ai servizi privati.

Prima di iniziare

Cloud SQL richiede l'accesso privato ai servizi per ogni rete VPC utilizzata per le connessioni IP private. Per gestire una connessione di accesso ai servizi privati, l'utente deve disporre delle seguenti autorizzazioni IAM:

  • compute.networks.list
  • compute.addresses.create
  • compute.addresses.list
  • servicenetworking.services.addPeering

Se non disponi di queste autorizzazioni, potresti ricevere errori relativi a autorizzazioni insufficienti.

Se utilizzi una rete VPC condivisa, devi anche:

  • Aggiungi il tuo utente al progetto host.
  • Assegna le stesse quattro autorizzazioni all'utente nel progetto host.
  • Concedi all'utente l'autorizzazione IAM compute.globalAddresses.list.

Configurare l'accesso privato ai servizi per Cloud SQL

La procedura di configurazione dell'accesso privato ai servizi è composta da due parti:

  • Seleziona un intervallo di indirizzi IP esistente o allocane uno nuovo.

    Hai anche la possibilità di consentire a Google di allocare l'intervallo per te. In questo caso, Google allocherà automaticamente un intervallo IP con lunghezza del prefisso pari a /20 e utilizzerà il nome default-ip-range.

    Se intendi creare istanze in più regioni o per diversi tipi di database, devi disporre di un intervallo minimo di indirizzi IP /24 per ogni regione o tipo di database. Sono incluse altre applicazioni come Filestore o Memorystore. Per una nuova regione o un nuovo tipo di database, Cloud SQL deve avere un intervallo /24 libero.

  • Crea una connessione privata dalla tua rete VPC alla rete del producer di servizi sottostante.

Alloca un intervallo di indirizzi IP

Console

  1. Nella console Google Cloud, vai alla pagina Reti VPC.

    Vai a Reti VPC

  2. Seleziona la rete VPC che vuoi utilizzare.
  3. Seleziona la scheda Connessione ai servizi privati.
  4. Seleziona la scheda Intervalli IP allocati per i servizi.
  5. Fai clic su Assegna intervallo IP.
  6. Per il nome dell'intervallo allocato, specifica google-managed-services-VPC_NETWORK_NAME, dove VPC_NETWORK_NAME è il nome della rete VPC a cui ti connetti (ad es. google-managed-services-default). La descrizione è facoltativa.
  7. Seleziona l'opzione Personalizzata, quindi inserisci l'intervallo di indirizzi IP da allocare in notazione CIDR.
  8. Fai clic su Alloca per creare l'intervallo allocato.

gcloud

Esegui una di queste operazioni:

  • Per specificare un intervallo di indirizzi e una lunghezza del prefisso (subnet mask), utilizza i flag addresses e prefix-length. Ad esempio, per allocare il blocco CIDR192.168.0.0/16, specifica 192.168.0.0 per l'indirizzo e 16 per la lunghezza del prefisso.
    •         gcloud compute addresses create google-managed-services-VPC_NETWORK_NAME \
        --global \
        --purpose=VPC_PEERING \
        --addresses=192.168.0.0 \
        --prefix-length=16 \
        --network=projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME
  • Per specificare solo una lunghezza del prefisso (subnet mask), utilizza il prefix-length flag. Se ometti l'intervallo di indirizzi, Google Cloud selezionerà automaticamente un intervallo di indirizzi non utilizzato nella rete VPC. L'esempio seguente seleziona un intervallo di indirizzi IP non utilizzato con una lunghezza del prefisso di 16 bit.
    •         gcloud compute addresses create google-managed-services-VPC_NETWORK_NAME \
        --global \
        --purpose=VPC_PEERING \
        --prefix-length=16 \
        --network=projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME

Sostituisci VPC_NETWORK_NAME con il nome della rete VPC, ad esempio my-vpc-network.

L'esempio seguente alloca un intervallo IP che consente alle risorse della rete VPC my-vpc-network di connettersi alle istanze Cloud SQL utilizzando l'IP privato.

    gcloud compute addresses create google-managed-services-my-vpc-network \
    --global \
    --purpose=VPC_PEERING \
    --prefix-length=16 \
    --network=projects/myprojectid/global/networks/myvpcnetwork \
    --project=my-project

Terraform

Per allocare un intervallo di indirizzi IP, utilizza una risorsa Terraform. 

resource "google_compute_global_address" "private_ip_address" {
  name          = "private-ip-address"
  purpose       = "VPC_PEERING"
  address_type  = "INTERNAL"
  prefix_length = 16
  network       = google_compute_network.peering_network.id
}

Applica le modifiche

Per applicare la configurazione Terraform in un progetto Google Cloud, completa i passaggi nelle seguenti sezioni.

Prepara Cloud Shell

  1. Avvia Cloud Shell.

  2. Imposta il progetto Google Cloud predefinito in cui vuoi applicare le configurazioni Terraform.

    Devi eseguire questo comando una sola volta per progetto e puoi farlo in qualsiasi directory.

    export GOOGLE_CLOUD_PROJECT=PROJECT_ID

    Le variabili di ambiente vengono sostituite se imposti valori espliciti nel file di configurazione Terraform.

Prepara la directory

Ogni file di configurazione di Terraform deve avere una propria directory (chiamata anche modulo principale).

  1. In Cloud Shell, crea una directory e un nuovo file al suo interno. Il nome file deve avere l'estensione .tf, ad esempio main.tf. In questo tutorial, il file è denominato main.tf. 
    mkdir DIRECTORY && cd DIRECTORY && touch main.tf

  2. Se stai seguendo un tutorial, puoi copiare il codice campione in ogni sezione o passaggio.

    Copia il codice campione nel file main.tf appena creato.

    Se vuoi, copia il codice da GitHub. Questa opzione è consigliata quando lo snippet Terraform fa parte di una soluzione end-to-end.

  3. Esamina e modifica i parametri di esempio da applicare al tuo ambiente.
  4. Salva le modifiche.
  5. Inizializza Terraform. Devi eseguire questa operazione una sola volta per directory. 
    terraform init

    Se vuoi, per utilizzare la versione più recente del provider Google, includi l'opzione -upgrade: 

    terraform init -upgrade

Applica le modifiche

  1. Rivedi la configurazione e verifica che le risorse che Terraform sta per creare o aggiornare corrispondano alle tue aspettative: 
    terraform plan

    Apporta le correzioni necessarie alla configurazione.

  2. Applica la configurazione di Terraform eseguendo il seguente comando e inserendo yes al prompt: 
    terraform apply

    Attendi che Terraform mostri il messaggio "Applicazione completata".

  3. Apri il tuo progetto Google Cloud per visualizzare i risultati. Nella console Google Cloud, vai alle risorse nell'interfaccia utente per assicurarti che Terraform le abbia create o aggiornate.

Elimina le modifiche

Rimuovi le risorse applicate in precedenza con la configurazione Terraform eseguendo il seguente comando e inserendo yes al prompt:

terraform destroy

Crea una connessione privata

Console

  1. Nella console Google Cloud, vai alla pagina Reti VPC.

    Vai a Reti VPC

  2. Seleziona la rete VPC che vuoi utilizzare.
  3. Seleziona la scheda Connessione ai servizi privati.
  4. Seleziona la scheda Connessioni private ai servizi.
  5. Fai clic su Crea connessione per creare una connessione privata tra la tua rete e un producer di servizi.
  6. Per l'allocazione assegnata, seleziona uno o più intervalli allocati esistenti che non sono in uso da altri produttori di servizi.
  7. Fai clic su Connetti per creare la connessione.

gcloud

  1. Crea una connessione privata.

    gcloud services vpc-peerings connect \
--service=servicenetworking.googleapis.com \
--ranges=google-managed-services-VPC_NETWORK_NAME \
--network=VPC_NETWORK_NAME \
--project=PROJECT_ID

    Il comando avvia un'operazione dell'istanza Cloud SQL a lunga esecuzione, restituisce un ID operazione.

  2. Controlla se l'operazione è andata a buon fine.

    gcloud services vpc-peerings operations describe \
--name=OPERATION_ID

Quando crei una connessione privata, puoi specificare più di un intervallo allocato. Ad esempio, se un intervallo è stato esaurito, puoi assegnare altri intervalli allocati. Il servizio utilizza gli indirizzi IP di tutti gli intervalli forniti nell'ordine da te specificato.

Terraform

Per creare una connessione privata, utilizza una risorsa Terraform.

resource "google_service_networking_connection" "default" {
  network                 = google_compute_network.peering_network.id
  service                 = "servicenetworking.googleapis.com"
  reserved_peering_ranges = [google_compute_global_address.private_ip_address.name]
}

A un account di servizio nel formato service-HOST_PROJECT_NUMBER@service-networking.iam.gserviceaccount.com viene concesso il ruolo servicenetworking.serviceAgent mentre viene creata la connessione privata perché il provisioning dell'account viene eseguito just in time.

Se viene visualizzato un errore relativo all'autorizzazione compute.globalAddresses.list o all'autorizzazione compute.projects.get per il progetto, esegui questo comando gcloud:

gcloud projects add-iam-policy-binding HOST_PROJECT_NAME \
    --member=serviceAccount:service-HOST_PROJECT_NUMBER@service-networking.iam.gserviceaccount.com \
    --role=roles/servicenetworking.serviceAgent

Modificare la configurazione dell'accesso privato ai servizi

Puoi modificare l'intervallo di indirizzi allocati di una connessione ai servizi privati senza modificare le istanze Cloud SQL esistenti. Per modificare l'indirizzo IP privato di un'istanza Cloud SQL esistente, segui questi passaggi.

Per modificare l'intervallo di indirizzi allocati:

Console

  1. Nella console Google Cloud, vai alla pagina Reti VPC.

    Vai a Reti VPC

  2. Seleziona la rete VPC che vuoi utilizzare.
  3. Seleziona la scheda Connessione ai servizi privati.
  4. Seleziona la scheda Intervalli IP allocati per i servizi.

  5. Seleziona il nome dell'intervallo che vuoi eliminare.

  6. Fai clic su Rilascia.

  7. Fai clic su Assegna intervallo IP.

  8. Crea un nuovo intervallo con lo stesso nome e un nuovo intervallo

    Il nome è importante perché la connessione privata è già stata stabilita utilizzando il nome dell'indirizzo.

gcloud services vpc-peerings update \
--network=VPC_NETWORK_NAME \
--ranges=ALLOCATED_RANGES \
--service=servicenetworking.googleapis.com \
--force

Modificare l'indirizzo IP privato di un'istanza Cloud SQL esistente

Per modificare l'indirizzo IP privato di un'istanza Cloud SQL esistente, sposta l'istanza dalla rete originale a una rete VPC provvisoria. Quindi, modifica la configurazione dell'accesso privato ai servizi della rete originale dell'istanza e sposta nuovamente l'istanza Cloud SQL nella rete originale.

Per passare a una rete VPC diversa, segui tutti i passaggi, tranne l'ultimo (spostamento dell'istanza), della procedura riportata di seguito. In questo caso, TEMPORARY_VPC_NETWORK_NAME è la nuova rete VPC. Inoltre, elimina la vecchia connessione privata. Potrebbero essere necessari alcuni giorni prima che la connessione privata eliminata scompaia dalla console Google Cloud.

Se l'istanza Cloud SQL è ospitata in una rete VPC condiviso, le variabili VPC_NETWORK_NAME utilizzate nelle istruzioni seguenti devono essere i nomi della rete VPC del progetto host. Per specificare una rete con una rete VPC condiviso, utilizza l'URL completo della rete, ad esempio projects/HOST_PROJECT/global/networks/NETWORK_NAME.

Console

  1. Nella console Google Cloud, vai alla pagina Reti VPC.

    Vai a Reti VPC

  2. Crea una rete VPC temporanea.
  3. Crea un'allocazione IP nella rete VPC temporanea.
  4. Crea una connessione privata nella rete VPC temporanea.

  5. Sposta l'istanza Cloud SQL nella rete VPC temporanea.

    gcloud beta sql instances patch INSTANCE_ID \
  --project=PROJECT_ID \
  --network=projects/PROJECT_ID/global/networks/TEMPORARY_VPC_NETWORK_NAME \
  --no-assign-ip

  6. Modifica la configurazione dell'accesso ai servizi privati nella rete originale per aggiungere un nuovo intervallo allocato o eliminare quelli esistenti.

  7. Ripristina l'istanza Cloud SQL nella rete VPC originale.

    gcloud beta sql instances patch INSTANCE_ID \
  --project=PROJECT_ID \
  --network=projects/PROJECT_ID/global/networks/ORIGINAL_VPC_NETWORK_NAME \
  --no-assign-ip