Private Service Connect-Schnittstellen konfigurieren

Datastream verwendet Private Service Connect-Schnittstellen, damit Sie Daten so replizieren können, dass der Traffic vollständig innerhalb vonGoogle Cloudbleibt.

Eine Private Service Connect-Schnittstelle ist eine Ressource, mit der ein Ersteller-VPC-Netzwerk (Virtual Private Cloud) Verbindungen zu einem Netzwerkanhang in einem Nutzer-VPC-Netzwerk initiieren und von diesem empfangen kann. Ersteller- und Nutzernetzwerke können sich in verschiedenen Projekten und Organisationen befinden.

Abbildung 1. Mit Private Service Connect-Schnittstellen können Dienstersteller Verbindungen zu Dienstnutzern initiieren.

Definitionen wichtiger Begriffe finden Sie im folgenden Abschnitt.

Weitere Informationen zu Private Service Connect finden Sie in der Dokumentation zu Virtual Private Cloud.

Wichtige Begriffe

In diesem Abschnitt erhalten Sie einen Überblick über wichtige Begriffe und Konzepte für Private Service Connect.

  • Produzent: Eine Entität, in der Regel ein Dienst oder eine VM in einem VPC-Netzwerk, die die Verbindung zum Nutzernetzwerk initiiert. Der Ersteller stellt den Dienst bereit: Im Datastream-Kontext werden Daten abgerufen und an ein Ziel repliziert.

  • Nutzer: Eine Entität, in der Regel eine VM in einem VPC-Netzwerk, die die Verbindung vom Ersteller empfängt. Wenn der Nutzer die Verbindung akzeptiert, weistGoogle Cloud der Private Service Connect-Schnittstelle eine IP-Adresse aus einem Subnetz im VPC-Netzwerk des Nutzers zu, das vom Netzwerkanhang angegeben wird. Die VM der Private Service Connect-Schnittstelle hat eine zweite Netzwerkschnittstelle, die mit dem VPC-Netzwerk des Erstellers verbunden ist.

  • Netzwerkanhang: Eine regionale Ressource, mit der ein VPC-Netzwerk (Virtual Private Cloud) eines Erstellers über eine Private Service Connect-Schnittstelle Verbindungen zu einem Nutzer-VPC-Netzwerk initiieren kann. Im Nutzer-VPC-Netzwerk dient der Netzwerkanhang als festgelegter Einstiegspunkt für Verbindungen von Private Service Connect-Schnittstellen im Erstellernetzwerk. Wenn eine Private Service Connect-Schnittstelle auf einem Netzwerkanhang eingerichtet wird, wird der VM des Diensterstellers eine IP-Adresse aus dem Subnetz des Netzwerkanhangs zugewiesen. Die Instanz der virtuellen Maschine der Private Service Connect-Schnittstelle hat mindestens eine weitere reguläre Netzwerkschnittstelle, die eine Verbindung zu einem Erstellersubnetz herstellt. Weitere Informationen finden Sie unter Netzwerkanhänge.

  • Produzentenprojekt: Ein Google-Projekt, in dem die virtuellen Maschinen (VMs) gehostet werden, auf denen Datastream ausgeführt wird. Um auf Ressourcen im VPC des Kunden zuzugreifen, verwenden die Datastream-VMs die IP-Adresse, die die Private Service Connect-Netzwerkschnittstelle aus ihrem Subnetz zuweist.

Voraussetzungen für Private Service Connect

Bevor Sie eine Konfiguration für private Verbindungen mit einer Private Service Connect-Schnittstelle erstellen, müssen Sie die folgenden Schritte ausführen, damit Datastream eine Verbindung zu Ihrem Projekt herstellen kann:

  • Sie haben ein VPC-Netzwerk, das Sie mit dem privaten Netzwerk von Datastream verbinden können. Weitere Informationen zum Erstellen eines VPC-Netzwerks finden Sie unter VPC-Netzwerke erstellen und verwalten.

  • Erstellen Sie einen Netzwerkanhang in Ihrem VPC-Projekt.

  • Prüfen Sie, ob Google Cloud und die lokale Firewall Traffic aus dem IP-Adressbereich des Netzwerkanhangs zur Quelldatenbank zulassen, aus der Sie Daten streamen möchten. Google Cloud

Preise

Für den Datenein- und ‑ausgang über Private Service Connect wird eine Gebühr erhoben. Weitere Informationen finden Sie in den Preisen für Private Service Connect.

Erforderliche Rollen und Berechtigungen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen (Identity and Access Management) für Ihr Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen eines Netzwerk-Anschlusses benötigen:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Weitere Informationen zu den Optionen für die Zugriffssteuerung in Datastream finden Sie unter Zugriffssteuerung mit IAM.

Private Service Connect konfigurieren

So können Sie Datastream erlauben, eine ausgehende Verbindung zu Ihrem Netzwerk über eine Private Service Connect-Schnittstelle herzustellen:

  1. Erstellen Sie einen Netzwerkanhang in Ihrem Projekt.
  2. Erstellen Sie eine Konfiguration für private Verbindungen.

Netzwerkanhang erstellen

Wenn Sie Private Service Connect in Datastream konfigurieren möchten, müssen Sie zuerst einen Netzwerkanhang erstellen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Netzwerkanhänge auf:

    Netzwerkanhänge aufrufen

  2. Klicken Sie auf Netzwerkanhang erstellen.

  3. Geben Sie im Feld Name einen Namen für Ihr Netzwerkanhang ein.

  4. Wählen Sie in der Liste Netzwerk ein VPC- oder ein freigegebenes VPC-Netzwerk aus.

  5. Wählen Sie in der Liste Region eine Region Google Cloud aus. Diese Region muss mit der Region übereinstimmen, die für das Subnetz des VPC-Netzwerks verwendet wird, das mit dem privaten Datastream-Netzwerk gepeert ist. Weitere Informationen finden Sie unter Voraussetzungen für Private Service Connect.

  6. Wählen Sie in der Liste Subnetzwerk einen Subnetzbereich aus.

  7. Wählen Sie unter Verbindungseinstellung die Option Verbindungen für ausgewählte Projekte akzeptieren aus.

    Bei Datastream wird das Producer-Projekt automatisch der Liste der akzeptierten Projekte hinzugefügt, wenn du die private Konnektivitätsressource von Datastream erstellst.

  8. Fügen Sie keine Akzeptierten Projekte oder Abgelehnte Projekte hinzu.

  9. Klicken Sie auf Netzwerkanhang erstellen.

gcloud

  1. Erstellen Sie ein oder mehrere Subnetze. Beispiel:

    gcloud compute networks subnets create subnet-1 --network=network-0 --range=10.10.1.0/24 --region=REGION

    Die Netzwerkverbindung verwendet diese Unternetzwerke in den nachfolgenden Schritten.

  2. Erstellen Sie eine Netzwerkanhängeressource in derselben Region wie das Datastream-Projekt. Die Eigenschaft connection-preference muss dabei auf ACCEPT_MANUAL festgelegt sein:

    gcloud compute network-attachments create NAME
--region=REGION
--connection-preference=ACCEPT_MANUAL
--subnets=SUBNET

    Ersetzen Sie Folgendes:

    • NAME: Der Name des Netzwerkanhangs.
    • REGION: der Name der Region. Google Cloud Diese Region muss mit der Region des Datastream-Privatnetzwerks übereinstimmen.
    • SUBNET: der Name des Subnetzes.

    Die Ausgabe dieses Befehls ist eine Netzwerkanhänge-URL im folgenden Format:

    projects/PROJECT/locations/REGION/network-attachments/NETWORK_ATTACHMENT_ID.

    Notieren Sie sich diese URL, da sie für die Verbindung mit Datastream erforderlich ist. Informationen zum Erstellen einer privaten Konnektivitätskonfiguration für eine Private Service Connect-Schnittstelle mit Google Cloudfinden Sie unter Konfigurationen für die private Konnektivität verwalten.

Private Verbindungskonfiguration erstellen

Nachdem Sie einen Netzwerkanhang in Ihrem Google Cloud Projekt erstellt haben, müssen Sie die Konfiguration für die private Konnektivität mithilfe von Private Service Connect-Schnittstellen einrichten. Wenn Sie die Konfiguration erstellen, setzen Sie das Projekt, das die Private Service Connect-Schnittstelle hostet, auf die Zulassungsliste. Geben Sie dann die URL des Netzwerkanhangs als Teil der Private Service Connect-Ressource an Datastream weiter.

Weitere Informationen finden Sie unter Konfiguration für private Verbindungen erstellen.