Ativar o acesso a serviços privados

Nesta página, mostramos como criar os intervalos de endereços IP da nuvem privada virtual (VPC) que o AlloyDB para PostgreSQL exige para o acesso a serviços particulares. Para uma visão geral de como o AlloyDB usa o acesso a serviços particulares para permitir que os recursos internos se comuniquem entre si, consulte Sobre o acesso a serviços particulares.

Para criar uma configuração de acesso a serviços particulares em uma rede de nuvem privada virtual (VPC) que reside no mesmo projetoGoogle Cloud do cluster do AlloyDB, realize duas operações:

  • Crie um intervalo de endereços IP alocado na rede VPC.

  • Crie uma conexão particular entre a rede VPC e a rede VPC Google Cloud subjacente. Também é possível configurar o acesso a serviços particulares para conectar o cluster do AlloyDB a recursos que residem em um projetoGoogle Cloud separado. Para isso, mescle as redes VPC dos dois projetos usando a VPC compartilhada.

Antes de começar

  • O projeto Google Cloud que você está usando precisa ter sido ativado para acessar o AlloyDB.
  • Você precisa ter um destes papéis do IAM no projeto Google Cloud que está usando:
    • roles/alloydb.admin (o papel predefinido do IAM de administrador do AlloyDB)
    • roles/owner (o papel básico Proprietário do IAM)
    • roles/editor (o papel básico de editor do IAM)

    Se você não tiver nenhum desses papéis, entre em contato com o administrador da organização para solicitar acesso.

  • Para criar uma configuração de acesso a serviços particulares, você também precisa ter estas permissões do IAM:
    • compute.networks.list
    • compute.addresses.create
    • compute.addresses.list
    • servicenetworking.services.addPeering

Criar intervalos de endereços IP da VPC

Console

  1. Acesse a página Redes VPC

    Acessar redes VPC

  2. Selecione o projeto em que o AlloyDB e a rede VPC estão localizados.

  3. Clique no nome da rede VPC que você quer usar para o acesso a serviços particulares.

  4. Na página Detalhes da rede VPC, role a lista de guias até a guia Acesso a serviços particulares e clique nela.

  5. Na guia Acesso a serviços particulares, clique na guia Intervalos de IP alocados para serviços.

  6. Clique em Alocar intervalo de IP.

  7. Nos campos Nome e Descrição, insira um nome e uma descrição para o intervalo alocado.

  8. Especifique um valor de intervalo de IP para a alocação:

    • Para especificar um intervalo de endereços IP, clique em Personalizado e insira um bloco CIDR, como 192.168.0.0/16.

      Para fornecer espaço de endereço suficiente para o AlloyDB, recomendamos um comprimento de prefixo de 16 ou menos.

    • Para especificar o tamanho de um prefixo e permitir que o Google selecione um intervalo disponível, siga estas etapas:

      1. Clique em Automático.

      2. Insira um tamanho de prefixo como um número simples, como 16.

  9. Clique em Alocar para criar o intervalo alocado.

  10. Na guia Acesso a serviços particulares, clique na guia Conexões particulares com os serviços.

  11. Clique em Criar conexão para criar uma conexão particular entre sua rede e um produtor de serviços.

  12. Verifique se o Google Cloud Platform é o produtor de serviços conectados.

  13. Em Alocação atribuída, selecione o intervalo de IP alocado que você criou anteriormente.

  14. Clique em Conectar para criar a conexão.

gcloud

Para usar a CLI gcloud, instale e inicialize a Google Cloud CLI ou use o Cloud Shell.

  1. Use o comando gcloud config set para definir o projeto padrão como aquele em que o AlloyDB e a rede VPC estão.

    gcloud config set project PROJECT_ID

    Substitua PROJECT_ID pelo ID do projeto em que o AlloyDB e a rede VPC estão localizados.

  2. Use o comando gcloud compute addresses create para criar um intervalo de endereços IP alocado.

    Para fornecer espaço de endereço suficiente para o AlloyDB, recomendamos um comprimento de prefixo de 16 ou menos.

    • Para especificar um intervalo de endereços e um tamanho de prefixo (máscara de sub-rede), use os sinalizadores --addresses e --prefix-length. Por exemplo, para alocar o bloco CIDR 192.168.0.0/16, especifique 192.168.0.0 como endereço e 16 como tamanho de prefixo.

          gcloud compute addresses create RESERVED_RANGE_NAME \
        --global \
        --purpose=VPC_PEERING \
        --addresses=192.168.0.0 \
        --prefix-length=16 \
        --description="DESCRIPTION" \
        --network=VPC_NETWORK

      Substitua:

      • RESERVED_RANGE_NAME: um nome para o intervalo alocado, como my-allocated-range

      • DESCRIPTION: uma descrição para o intervalo, como allocated for my-service

      • VPC_NETWORK: o nome da rede VPC, como my-vpc-network. No caso de uma rede VPC compartilhada, defina o caminho totalmente qualificado da rede VPC. Por exemplo, projects/cymbal-project/global/networks/shared-vpc-network.

    • Para especificar apenas um tamanho de prefixo (máscara de sub-rede), use a sinalização --prefix-length. Quando você omite o intervalo de endereços, oGoogle Cloud seleciona automaticamente um intervalo de endereços não utilizado na sua rede VPC.

      No exemplo a seguir, é selecionado um intervalo de endereços IP não utilizado com um tamanho de prefixo de 16 bits:

          gcloud compute addresses create RESERVED_RANGE_NAME \
        --global \
        --purpose=VPC_PEERING \
        --prefix-length=16 \
        --description="DESCRIPTION" \
        --network=VPC_NETWORK

    O exemplo a seguir cria uma conexão privada com o Google para que as instâncias de VM na rede VPC default possam usar serviços privados para acessar serviços do Google compatíveis.

        gcloud compute addresses create google-managed-services-default \
        --global \
        --purpose=VPC_PEERING \
        --prefix-length=16 \
        --description="peering range for Google" \
        --network=default

  3. Use o comando gcloud services vpc-peerings connect para criar uma conexão particular.

        gcloud services vpc-peerings connect \
        --service=servicenetworking.googleapis.com \
        --ranges=RESERVED_RANGE_NAME \
        --network=VPC_NETWORK

    Substitua:

    • RESERVED_RANGE_NAME: o nome do intervalo de endereços IP alocado que você criou.

    • VPC_NETWORK: o nome da rede VPC.

    O comando inicia uma operação de longa duração, que retorna o nome de uma operação.

  4. Verifique se a operação foi bem-sucedida.

        gcloud services vpc-peerings operations describe
    --name=OPERATION_NAME

    Substitua OPERATION_NAME pelo nome da operação retornado na etapa anterior.

A seguir