設定 Private Service Connect 介面

Datastream 會使用 Private Service Connect 介面,讓您複製資料時,流量完全保留在Google Cloud內。

Private Service Connect 介面是一種資源,可讓供應商虛擬私有雲 (VPC) 網路啟動連線,並接收用戶 VPC 網路中網路連結的連線。生產者和消費者網路可以位於不同的專案和機構。

圖 1. 服務供應商可透過 Private Service Connect 介面,發起與服務消費者的連線。

如需主要字詞的定義,請參閱下節。

如要進一步瞭解 Private Service Connect,請參閱虛擬私有雲說明文件

重要詞彙

本節概述適用於 Private Service Connect 的重要詞彙和概念。

  • 供應商:實體,通常是虛擬私有雲網路中的服務或 VM,會啟動與用戶網路的連線。生產者提供服務:在 Datastream 環境中,生產者會擷取資料並複製到目的地。

  • 消費者:實體,通常是虛擬私有雲網路中的 VM,會接收來自生產者的連線。當消費者接受連線時,Google Cloud 會從網路連結指定的消費者虛擬私有雲網路子網路中,為 Private Service Connect 介面分配 IP 位址。Private Service Connect 介面的 VM 具有第二個網路介面,可連線至生產端的 VPC 網路。

  • 網路連結:區域資源,可讓供應商虛擬私有雲網路透過 Private Service Connect 介面,啟動與用戶端虛擬私有雲網路的連線。在消費者虛擬私有雲網路中,網路連結會做為指定進入點,供供應商網路中的 Private Service Connect 介面連線。在網路連結上建立 Private Service Connect 介面時,系統會從網路連結的子網路為生產端 VM 指派 IP。Private Service Connect 介面的虛擬機器執行個體至少還有一個連線至生產端子網路的正規網路介面。詳情請參閱「關於網路連結」。

  • 製作人專案:Google 擁有的專案,用於代管執行 Datastream 的虛擬機器 (VM)。如要存取客戶虛擬私有雲中的資源,Datastream VM 會使用 Private Service Connect 網路介面從子網路指派的 IP 位址。

Private Service Connect 使用條件

您必須先執行下列步驟,讓 Datastream 與專案建立連線,才能使用 Private Service Connect 介面建立私人連線設定:

  • 具備可連線至 Datastream 私人網路的虛擬私有雲網路。如要進一步瞭解如何建立虛擬私有雲網路,請參閱「建立及管理虛擬私有雲網路」。

  • 在虛擬私有雲專案中建立網路連結

  • 確認 Google Cloud 和地端部署防火牆允許將源自網路連結 IP 位址範圍的流量,傳送至您要串流處理資料的來源資料庫。如要瞭解如何建立防火牆規則,請參閱「使用虛擬私有雲防火牆規則」。

定價

透過 Private Service Connect 傳輸的資料會產生費用。詳情請參閱「Private Service Connect 價格」。

必要角色和權限

如要取得建立網路附件所需的權限,請要求管理員在專案中授予下列身分與存取權管理 (IAM) 角色:

如果網路附件與 Datastream 位於不同專案,則須將下列角色授予service-DATASTREAM-PROJECT-NUMBER@gcp-sa-datastream.iam.gserviceaccount.com服務帳戶:

  • 網路資源的唯讀存取權: Compute 網路檢視者 (roles/compute.networkViewer)

    在網路附件所在的專案中授予角色,並將 DATASTREAM-PROJECT-NUMBER 替換為部署 Datastream 的專案編號。

如要進一步瞭解如何授予角色,請參閱管理存取權

您或許還可透過自訂角色或其他預先定義的角色取得必要權限。

如要進一步瞭解 Datastream 的存取權控管選項,請參閱「使用 IAM 控管存取權」一文。

設定 Private Service Connect

如要讓 Datastream 使用 Private Service Connect 介面,建立與網路的出站連線,請按照下列步驟操作:

  1. 在專案中建立網路連結。
  2. 建立私人連線設定。

建立網路連結

如要在 Datastream 中設定 Private Service Connect,請先建立網路連結。

控制台

  1. 前往 Google Cloud 控制台的「Network attachments」(網路附件) 頁面:

    前往「網路附件」

  2. 按一下「Create network attachment」(建立網路連結)

  3. 在「Name」(名稱) 欄位中,輸入網路連結的名稱。

  4. 從「Network」(網路) 清單中,選取虛擬私有雲或 Shared VPC 網路。

  5. 從「Region」(區域) 清單中選取 Google Cloud 區域。這個區域必須與虛擬私有雲網路子網路所用的區域相同,才能與 Datastream 私人網路建立對等互連。詳情請參閱「Private Service Connect 先決條件」。

  6. 在「Subnetwork」(子網路) 清單中,選取子網路範圍。

  7. 在「連線偏好設定」中,選取「接受所選專案的連線」

    建立 Datastream 私人連線資源時,Datastream 會自動將生產端專案新增至「已接受」專案清單

  8. 請勿新增「已接受專案」或「遭拒的專案」

  9. 按一下「Create network attachment」(建立網路連結)

gcloud

  1. 建立一或多個子網路。例如:

    gcloud compute networks subnets create subnet-1 --network=network-0 --range=10.10.1.0/24 --region=REGION

    網路附件會在後續步驟中使用這些子網路。

  2. 在與 Datastream 專案相同的區域中,建立網路連結資源,並將 connection-preference 屬性設為 ACCEPT_MANUAL

    gcloud compute network-attachments create NAME
--region=REGION
--connection-preference=ACCEPT_MANUAL
--subnets=SUBNET

    更改下列內容:

    • NAME:網路附件的名稱。
    • REGION: Google Cloud 區域的名稱。 這個區域必須與 Datastream 私人網路相同。
    • SUBNET:子網路的名稱。

    這個指令會輸出網路附件網址,格式如下:

    projects/PROJECT/locations/REGION/network-attachments/NETWORK_ATTACHMENT_ID

    請記下這個網址,Datastream 需要這個網址才能連線。如要瞭解如何使用 Google Cloud建立 Private Service Connect 介面私人連線設定,請參閱管理私人連線設定

建立私人連線設定

在 Google Cloud 專案中建立網路連結後,您需要使用 Private Service Connect 介面設定私人連線設定。建立設定時,請將代管 Private Service Connect 介面的專案加入允許清單。然後,您會將網路連結網址提供給 Datastream,做為 Private Service Connect 資源的一部分。

詳情請參閱「建立私人連線設定」。

後續步驟