L'accès aux services privés est une connexion privée et sécurisée entre votre réseau de cloud privé virtuel (VPC)Google Cloud et des services tiers ou gérés par Google. Il permet aux instances de VM de votre réseau VPC de communiquer avec ces services à l'aide d'adresses IP internes, sans exposer le trafic à l'Internet public.
Avant de commencer
Pour établir une connexion privée, suivez les étapes requises comme suit :
- Vous devez disposer d'un réseau VPC existant que vous pouvez utiliser pour vous connecter au réseau du producteur de services. Les instances de VM doivent utiliser ce réseau VPC pour se connecter aux services via une connexion privée.
- Suivez les étapes de la page Avant de commencer de l'API Live Stream pour créer un projet Google Cloud correctement configuré (ou sélectionnez un projet existant).
Activer l'accès aux services privés pour l'API Live Stream
La procédure générale de configuration de l'accès aux services privés est décrite dans la documentation sur le cloud privé virtuel. Cette page adapte le processus à l'API Live Stream.
Activez l'API Service Networking.
Exécutez la commande suivante :
Linux, macOS ou Cloud Shell
gcloud services enable servicenetworking.googleapis.com
Windows (PowerShell)
gcloud services enable servicenetworking.googleapis.com
Windows (cmd.exe)
gcloud services enable servicenetworking.googleapis.com
Pour obtenir les autorisations nécessaires pour configurer une connexion privée, demandez à votre administrateur de vous accorder le rôle IAM Administrateur de réseau Compute Engine (
roles/compute.networkAdmin) sur le projet Google Cloud dans lequel se trouve le réseau VPC. Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.Les autorisations requises sont également disponibles via des rôles personnalisés ou d'autres rôles prédéfinis.
Dans le réseau VPC, attribuez une plage d'adresses IP nommée à l'aide de la commande
addresses create, comme indiqué dans les exemples suivants.Pour spécifier une plage d'adresses et une longueur de préfixe, qui est également le masque de sous-réseau, utilisez les options
addressesetprefix-length. Par exemple, pour allouer le bloc CIDR 192.168.0.0/13, spécifiez192.168.0.0pour l'adresse et13pour la longueur du préfixe.Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
RESERVED_RANGE_NAME: nom de la plage allouée, par exemplemy-allocated-rangeDESCRIPTION: description de la plage, telle queallocated for my-serviceVPC_NETWORK: nom de votre réseau VPC, par exemplemy-vpc-network.
Exécutez la commande suivante :
Linux, macOS ou Cloud Shell
gcloud compute addresses create RESERVED_RANGE_NAME \ --global \ --purpose=VPC_PEERING \ --addresses=192.168.0.0 \ --prefix-length=13 \ --description="DESCRIPTION" \ --network=VPC_NETWORK
Windows (PowerShell)
gcloud compute addresses create RESERVED_RANGE_NAME ` --global ` --purpose=VPC_PEERING ` --addresses=192.168.0.0 ` --prefix-length=13 ` --description="DESCRIPTION" ` --network=VPC_NETWORK
Windows (cmd.exe)
gcloud compute addresses create RESERVED_RANGE_NAME ^ --global ^ --purpose=VPC_PEERING ^ --addresses=192.168.0.0 ^ --prefix-length=13 ^ --description="DESCRIPTION" ^ --network=VPC_NETWORK
Vous devriez obtenir un résultat semblable à celui-ci :
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/addresses/RESERVED_RANGE_NAME].
Pour spécifier uniquement une longueur de préfixe, utilisez l'option
prefix-length. Si vous ne spécifiez pas de plage d'adresses, Google Cloud sélectionne automatiquement une plage d'adresses non utilisée sur votre réseau VPC. L'exemple suivant choisit une plage d'adresses IP non utilisée avec une longueur de préfixe de 13 bits.Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
RESERVED_RANGE_NAME: nom de la plage allouée, par exemplemy-allocated-rangeDESCRIPTION: description de la plage, telle queallocated for my-serviceVPC_NETWORK: nom de votre réseau VPC, par exemplemy-vpc-network.
Exécutez la commande suivante :
Linux, macOS ou Cloud Shell
gcloud compute addresses create RESERVED_RANGE_NAME \ --global \ --purpose=VPC_PEERING \ --prefix-length=13 \ --description="DESCRIPTION" \ --network=VPC_NETWORK
Windows (PowerShell)
gcloud compute addresses create RESERVED_RANGE_NAME ` --global ` --purpose=VPC_PEERING ` --prefix-length=13 ` --description="DESCRIPTION" ` --network=VPC_NETWORK
Windows (cmd.exe)
gcloud compute addresses create RESERVED_RANGE_NAME ^ --global ^ --purpose=VPC_PEERING ^ --prefix-length=13 ^ --description="DESCRIPTION" ^ --network=VPC_NETWORK
Vous devriez obtenir un résultat semblable à celui-ci :
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/addresses/RESERVED_RANGE_NAME].
L'exemple précédent crée une connexion privée à Google afin que les instances de VM du réseau VPC fourni (par exemple,
my-vpc-network) puissent accéder aux services Google compatibles avec l'accès aux services privés.L'API Live Stream nécessite l'allocation d'un bloc CIDR/13 par région. Si vous prévoyez d'utiliser l'API Live Stream dans plusieurs régions, allouez un bloc plus important. Le tableau suivant décrit la taille de bloc recommandée à allouer en fonction du nombre de régions:
Nombre de régions valeur de l'indicateur prefix-length1 13 2 12 3-4 11 5-8 10 7-16 9 Créez une connexion privée entre le réseau du producteur de services et votre réseau VPC :
Créez une connexion privée.
Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
RESERVED_RANGE_NAME: nom de la plage allouée que vous avez créée à l'étape précédenteVPC_NETWORK: nom de votre réseau VPCPROJECT_ID: Google Cloud ID du projet contenant votre réseau VPC
Exécutez la commande suivante :
Linux, macOS ou Cloud Shell
gcloud services vpc-peerings connect \ --service=servicenetworking.googleapis.com \ --ranges=RESERVED_RANGE_NAME \ --network=VPC_NETWORK \ --project=PROJECT_ID
Windows (PowerShell)
gcloud services vpc-peerings connect ` --service=servicenetworking.googleapis.com ` --ranges=RESERVED_RANGE_NAME ` --network=VPC_NETWORK ` --project=PROJECT_ID
Windows (cmd.exe)
gcloud services vpc-peerings connect ^ --service=servicenetworking.googleapis.com ^ --ranges=RESERVED_RANGE_NAME ^ --network=VPC_NETWORK ^ --project=PROJECT_ID
Vous devriez obtenir un résultat semblable à celui-ci :
Operation "operations/OPERATION_ID" finished successfully.
Cette commande crée une opération de longue durée (LRO).
Si la commande réussit, passez à l'étape suivante. Sinon, vérifiez l'état de l'opération.
Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
OPERATION_ID: ID de l'opération renvoyée à l'étape précédente
Exécutez la commande suivante :
Linux, macOS ou Cloud Shell
gcloud services vpc-peerings operations describe \ --name=operations/OPERATION_ID
Windows (PowerShell)
gcloud services vpc-peerings operations describe ` --name=operations/OPERATION_ID
Windows (cmd.exe)
gcloud services vpc-peerings operations describe ^ --name=operations/OPERATION_ID
Vous devriez obtenir un résultat semblable à celui-ci :
Operation "operations/OPERATION_ID" finished successfully.
(Facultatif) Si vous utilisez VPC Service Controls, vous devez activer VPC-SC pour la connexion privée que vous venez de créer.
Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
VPC_NETWORK: nom de votre réseau VPC
Exécutez la commande suivante :
Linux, macOS ou Cloud Shell
gcloud services vpc-peerings enable-vpc-service-controls \ --service=servicenetworking.googleapis.com \ --network=VPC_NETWORK
Windows (PowerShell)
gcloud services vpc-peerings enable-vpc-service-controls ` --service=servicenetworking.googleapis.com ` --network=VPC_NETWORK
Windows (cmd.exe)
gcloud services vpc-peerings enable-vpc-service-controls ^ --service=servicenetworking.googleapis.com ^ --network=VPC_NETWORK
Vous devriez obtenir un résultat semblable à celui-ci :
Operation "operations/OPERATION_ID" finished successfully.
(Facultatif) Si un réseau sur site est connecté à votre VPC, vous pouvez configurer la connexion d'appairage afin que les hôtes sur site puissent communiquer avec le réseau du producteur de services. Pour en savoir plus, consultez la section Dépannage des hôtes sur site.