הפעלת גישה לשירותים פרטיים

בדף הזה נסביר איך ליצור את טווחי כתובות ה-IP של הענן הווירטואלי הפרטי (VPC) שנדרשים ל-AlloyDB ל-PostgreSQL כדי לגשת לשירותים פרטיים. במאמר בנושא גישה לשירותים פרטיים מוסבר איך AlloyDB משתמש בגישה לשירותים פרטיים כדי לאפשר למשאבים הפנימיים שלו לתקשר זה עם זה.

כדי ליצור הגדרת גישה לשירותים פרטיים ברשת של ענן וירטואלי פרטי (VPC) שנמצאת באותוGoogle Cloud פרויקט כמו אשכול AlloyDB, צריך לבצע שתי פעולות:

  • יוצרים טווח כתובות IP מוקצות ברשת ה-VPC.

  • יוצרים חיבור פרטי בין רשת ה-VPC לבין רשת ה-VPC הבסיסית. Google Cloud אפשר גם להגדיר גישה לשירותים פרטיים כדי לחבר את אשכול AlloyDB למשאבים שנמצאים בGoogle Cloud פרויקט נפרד. כדי לעשות את זה, צריך למזג את רשתות ה-VPC של שני הפרויקטים באמצעות VPC משותף.

לפני שמתחילים

  • Google Cloud בפרויקט שבו אתם משתמשים צריך להיות מופעלת גישה ל-AlloyDB.
  • צריך להיות לכם אחד מתפקידי ה-IAM האלה בפרויקט Google Cloud שבו אתם משתמשים:
    • roles/alloydb.admin (תפקיד IAM מוגדר מראש של אדמין AlloyDB)
    • roles/owner (תפקיד בסיסי ב-IAM מסוג בעלים)
    • roles/editor (תפקיד בסיסי ב-IAM עם הרשאת עריכה)

    אם לא הוקצו לכם התפקידים האלה, פנו לאדמין הארגוני כדי לבקש גישה.

  • כדי ליצור הגדרת גישה לשירותים פרטיים, צריכות להיות לכם גם הרשאות ה-IAM הבאות:
    • compute.networks.list
    • compute.addresses.create
    • compute.addresses.list
    • servicenetworking.services.addPeering

יצירת טווחי כתובות IP של VPC

המסוף

  1. עוברים לדף 'רשתות VPC'.

    מעבר לרשתות VPC

  2. בוחרים את הפרויקט שבו נמצאים AlloyDB ורשת ה-VPC.

  3. לוחצים על השם של רשת ה-VPC שרוצים להשתמש בה לגישה פרטית לשירותים.

  4. בדף VPC network details (פרטי רשת VPC), גוללים ברשימת הכרטיסיות אל הכרטיסייה Private service access (גישה לשירותים פרטיים) ולוחצים עליה.

  5. בכרטיסייה גישה פרטית לשירותים, לוחצים על הכרטיסייה הקצאת טווחי כתובות IP לשירותים.

  6. לוחצים על הקצאת טווח כתובות IP.

  7. בשדות שם ותיאור, מזינים שם ותיאור לטווח שהוקצה.

  8. מציינים ערך של טווח כתובות IP להקצאה:

    • כדי לציין טווח כתובות IP, לוחצים על התאמה אישית ומזינים בלוק CIDR, כמו 192.168.0.0/16.

      כדי לספק מספיק מרחב כתובות ל-AlloyDB, מומלץ להגדיר אורך קידומת של 16 או פחות.

    • כדי לציין אורך קידומת ולאפשר ל-Google לבחור טווח זמין, פועלים לפי השלבים הבאים:

      1. לוחצים על אוטומטי.

      2. מזינים את אורך הקידומת כמספר רגיל, לדוגמה 16.

  9. לוחצים על הקצאה כדי ליצור את הטווח המוקצה.

  10. בכרטיסייה גישה לשירותים פרטיים, לוחצים על הכרטיסייה חיבורים פרטיים לשירותים.

  11. לוחצים על יצירת חיבור כדי ליצור חיבור פרטי בין הרשת שלכם לבין בעלים של שירות מנוהל.

  12. מוודאים ש-Google Cloud Platform הוא בעלים של שירות מנוהל.

  13. בשדה הקצאה שהוקצתה, בוחרים את טווח כתובות ה-IP שהקציתם קודם.

  14. לוחצים על Connect (חיבור) כדי ליצור את החיבור.

gcloud

כדי להשתמש ב-CLI של gcloud, אפשר להתקין ולהפעיל את Google Cloud CLI, או להשתמש ב-Cloud Shell.

  1. משתמשים בפקודה gcloud config set כדי להגדיר את פרויקט ברירת המחדל לפרויקט שבו נמצאים AlloyDB ורשת ה-VPC.

    gcloud config set project PROJECT_ID

    מחליפים את PROJECT_ID במזהה הפרויקט שבו נמצאים AlloyDB ורשת ה-VPC.

  2. משתמשים בפקודה gcloud compute addresses create כדי ליצור טווח כתובות IP שהוקצו.

    כדי לספק מספיק מרחב כתובות ל-AlloyDB, מומלץ להשתמש באורך קידומת של 16 או פחות.

    • כדי לציין טווח כתובות ואורך קידומת (מסכה של רשת משנה), משתמשים בדגלים --addresses ו---prefix-length. לדוגמה, כדי להקצות את בלוק ה-CIDR‏ 192.168.0.0/16, מציינים 192.168.0.0 לכתובת ו-16 לאורך הקידומת.

          gcloud compute addresses create RESERVED_RANGE_NAME \
        --global \
        --purpose=VPC_PEERING \
        --addresses=192.168.0.0 \
        --prefix-length=16 \
        --description="DESCRIPTION" \
        --network=VPC_NETWORK

      מחליפים את מה שכתוב בשדות הבאים:

      • RESERVED_RANGE_NAME: שם לטווח שהוקצה, למשל my-allocated-range

      • DESCRIPTION: תיאור הטווח, למשל allocated for my-service

      • VPC_NETWORK: השם של רשת ה-VPC, למשל my-vpc-network. במקרה של רשת VPC משותפת, צריך להגדיר את הנתיב המוגדר במלואו של רשת ה-VPC – לדוגמה, projects/cymbal-project/global/networks/shared-vpc-network.

    • כדי לציין רק אורך קידומת (מסכה של רשת משנה), משתמשים בדגל --prefix-length. אם לא מציינים את טווח הכתובות,Google Cloud בוחר באופן אוטומטי טווח כתובות לא בשימוש ברשת ה-VPC.

      בדוגמה הבאה נבחר טווח כתובות IP שלא נמצא בשימוש עם אורך קידומת של 16 ביטים:

          gcloud compute addresses create RESERVED_RANGE_NAME \
        --global \
        --purpose=VPC_PEERING \
        --prefix-length=16 \
        --description="DESCRIPTION" \
        --network=VPC_NETWORK

    בדוגמה הבאה נוצר חיבור פרטי ל-Google, כך שמכונות וירטואליות ברשת ה-VPC‏ default יכולות להשתמש בגישה לשירותים פרטיים כדי להגיע לשירותי Google שתומכים בכך.

        gcloud compute addresses create google-managed-services-default \
        --global \
        --purpose=VPC_PEERING \
        --prefix-length=16 \
        --description="peering range for Google" \
        --network=default

  3. משתמשים בפקודה gcloud services vpc-peerings connect כדי ליצור חיבור פרטי.

        gcloud services vpc-peerings connect \
        --service=servicenetworking.googleapis.com \
        --ranges=RESERVED_RANGE_NAME \
        --network=VPC_NETWORK

    מחליפים את מה שכתוב בשדות הבאים:

    • RESERVED_RANGE_NAME: השם של טווח כתובות ה-IP שהוקצה שיצרתם

    • VPC_NETWORK: השם של רשת ה-VPC

    הפקודה מפעילה פעולה ממושכת ומחזירה שם פעולה.

  4. בודקים אם הפעולה הצליחה.

        gcloud services vpc-peerings operations describe
    --name=OPERATION_NAME

    מחליפים את OPERATION_NAME בשם הפעולה שהתקבל בשלב הקודם.

המאמרים הבאים