L'accesso privato ai servizi è una connessione privata e sicura tra la tua rete VPC (Virtual Private Cloud) di Google Cloud e servizi gestiti da Google o di terze parti. Consente alle istanze VM nella rete VPC di comunicare con questi servizi utilizzando indirizzi IP interni, senza esporre il traffico alla rete internet pubblica.
Prima di iniziare
Per stabilire una connessione privata, completa i seguenti prerequisiti:
- Devi disporre di una rete VPC esistente che puoi utilizzare per connetterti alla rete del producer di servizi. Le istanze VM devono utilizzare questa rete VPC per connettersi ai servizi tramite una connessione privata.
- Segui i passaggi nella pagina Prima di iniziare dell'API Live Stream per creare un progetto Google Cloud configurato correttamente (o scegli un progetto esistente).
Attivare l'accesso privato ai servizi per l'API Live Stream
La procedura generale per configurare l'accesso privato ai servizi è descritta nella documentazione di Virtual Private Cloud. Questa pagina adatta la procedura all'API Live Stream.
Abilita l'API Service Networking.
Esegui il seguente comando:
Linux, macOS o Cloud Shell
gcloud services enable servicenetworking.googleapis.com
Windows (PowerShell)
gcloud services enable servicenetworking.googleapis.com
Windows (cmd.exe)
gcloud services enable servicenetworking.googleapis.com
Per ottenere le autorizzazioni necessarie per configurare una connessione privata, chiedi all'amministratore di concederti il ruolo IAM Amministratore di rete Compute Engine (
roles/compute.networkAdmin) nel progetto Google Cloud in cui risiede la rete VPC. Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestire l'accesso.Le autorizzazioni richieste sono disponibili anche tramite ruoli personalizzati o altri ruoli predefiniti.
Nella rete VPC, alloca un intervallo IP denominato utilizzando il comando
addresses createcome mostrato negli esempi riportati di seguito.Per specificare un intervallo di indirizzi e una lunghezza del prefisso, che è anche la subnet mask, utilizza i flag
addresseseprefix-length. Ad esempio, per allocare il blocco CIDR 192.168.0.0/13, specifica192.168.0.0per l'indirizzo e13per la lunghezza del prefisso.Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
RESERVED_RANGE_NAME: un nome per l'intervallo allocato, ad esempiomy-allocated-rangeDESCRIPTION: una descrizione dell'intervallo, ad esempioallocated for my-serviceVPC_NETWORK: il nome della rete VPC, ad esempiomy-vpc-network
Esegui il seguente comando:
Linux, macOS o Cloud Shell
gcloud compute addresses create RESERVED_RANGE_NAME \ --global \ --purpose=VPC_PEERING \ --addresses=192.168.0.0 \ --prefix-length=13 \ --description="DESCRIPTION" \ --network=VPC_NETWORK
Windows (PowerShell)
gcloud compute addresses create RESERVED_RANGE_NAME ` --global ` --purpose=VPC_PEERING ` --addresses=192.168.0.0 ` --prefix-length=13 ` --description="DESCRIPTION" ` --network=VPC_NETWORK
Windows (cmd.exe)
gcloud compute addresses create RESERVED_RANGE_NAME ^ --global ^ --purpose=VPC_PEERING ^ --addresses=192.168.0.0 ^ --prefix-length=13 ^ --description="DESCRIPTION" ^ --network=VPC_NETWORK
Dovresti ricevere una risposta simile alla seguente:
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/addresses/RESERVED_RANGE_NAME].
Per specificare solo la lunghezza del prefisso, utilizza il flag
prefix-length. Se ometti l'intervallo di indirizzi, Google Cloud seleziona automaticamente un intervallo di indirizzi inutilizzato nella rete VPC. L'esempio seguente seleziona un intervallo di indirizzi IP non utilizzato con una lunghezza del prefisso di 13 bit.Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
RESERVED_RANGE_NAME: un nome per l'intervallo allocato, ad esempiomy-allocated-rangeDESCRIPTION: una descrizione dell'intervallo, ad esempioallocated for my-serviceVPC_NETWORK: il nome della rete VPC, ad esempiomy-vpc-network
Esegui il seguente comando:
Linux, macOS o Cloud Shell
gcloud compute addresses create RESERVED_RANGE_NAME \ --global \ --purpose=VPC_PEERING \ --prefix-length=13 \ --description="DESCRIPTION" \ --network=VPC_NETWORK
Windows (PowerShell)
gcloud compute addresses create RESERVED_RANGE_NAME ` --global ` --purpose=VPC_PEERING ` --prefix-length=13 ` --description="DESCRIPTION" ` --network=VPC_NETWORK
Windows (cmd.exe)
gcloud compute addresses create RESERVED_RANGE_NAME ^ --global ^ --purpose=VPC_PEERING ^ --prefix-length=13 ^ --description="DESCRIPTION" ^ --network=VPC_NETWORK
Dovresti ricevere una risposta simile alla seguente:
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/addresses/RESERVED_RANGE_NAME].
L'esempio precedente crea una connessione privata a Google in modo che le istanze VM nella rete VPC fornita (ad esempio
my-vpc-network) possano utilizzare l'accesso privato ai servizi per raggiungere i servizi Google che lo supportano.L'API Live Stream richiede l'allocazione di un blocco CIDR/13 per regione. Se prevedi di utilizzare l'API Live Stream in più regioni, alloca un blocco più grande. La tabella seguente descrive la dimensione del blocco consigliata da allocare in base al numero di regioni:
Numero di regioni Valore per il flag prefix-length1 13 2 12 3-4 11 5-8 10 7-16 9 Crea una connessione privata tra la rete del producer di servizi e la tua rete VPC:
Crea una connessione privata.
Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
RESERVED_RANGE_NAME: il nome dell'intervallo allocato creato nel passaggio precedenteVPC_NETWORK: il nome della rete VPCPROJECT_ID: l'ID progetto Google Cloud del progetto che contiene la rete VPC
Esegui il seguente comando:
Linux, macOS o Cloud Shell
gcloud services vpc-peerings connect \ --service=servicenetworking.googleapis.com \ --ranges=RESERVED_RANGE_NAME \ --network=VPC_NETWORK \ --project=PROJECT_ID
Windows (PowerShell)
gcloud services vpc-peerings connect ` --service=servicenetworking.googleapis.com ` --ranges=RESERVED_RANGE_NAME ` --network=VPC_NETWORK ` --project=PROJECT_ID
Windows (cmd.exe)
gcloud services vpc-peerings connect ^ --service=servicenetworking.googleapis.com ^ --ranges=RESERVED_RANGE_NAME ^ --network=VPC_NETWORK ^ --project=PROJECT_ID
Dovresti ricevere una risposta simile alla seguente:
Operation "operations/OPERATION_ID" finished successfully.
Questo comando crea un'operazione a lunga esecuzione (LRO).
Se il comando va a buon fine, vai al passaggio successivo. In caso contrario, controlla lo stato dell'operazione.
Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
OPERATION_ID: l'ID dell'operazione restituito nel passaggio precedente
Esegui il seguente comando:
Linux, macOS o Cloud Shell
gcloud services vpc-peerings operations describe \ --name=operations/OPERATION_ID
Windows (PowerShell)
gcloud services vpc-peerings operations describe ` --name=operations/OPERATION_ID
Windows (cmd.exe)
gcloud services vpc-peerings operations describe ^ --name=operations/OPERATION_ID
Dovresti ricevere una risposta simile alla seguente:
Operation "operations/OPERATION_ID" finished successfully.
(Facoltativo) Se utilizzi Controlli di servizio VPC, devi attivare VPC-SC per la connessione privata che hai appena creato.
Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
VPC_NETWORK: il nome della rete VPC
Esegui il seguente comando:
Linux, macOS o Cloud Shell
gcloud services vpc-peerings enable-vpc-service-controls \ --service=servicenetworking.googleapis.com \ --network=VPC_NETWORK
Windows (PowerShell)
gcloud services vpc-peerings enable-vpc-service-controls ` --service=servicenetworking.googleapis.com ` --network=VPC_NETWORK
Windows (cmd.exe)
gcloud services vpc-peerings enable-vpc-service-controls ^ --service=servicenetworking.googleapis.com ^ --network=VPC_NETWORK
Dovresti ricevere una risposta simile alla seguente:
Operation "operations/OPERATION_ID" finished successfully.
(Facoltativo) Se hai una rete on-premise connessa alla tua VPC, puoi configurare la connessione di peering in modo che gli host on-premise possano comunicare con la rete del producer di servizi. Per ulteriori informazioni, consulta la sezione sulla risoluzione dei problemi relativi agli host on-premise.