Questa pagina mostra come configurare l'ambiente di rete per utilizzare i pool privati in una rete VPC. Se non hai familiarità con i pool privati, consulta la panoramica dei pool privati .
Informazioni sulle opzioni di configurazione della rete
I pool privati sono ospitati in una rete Virtual Private Cloud di proprietà di Google chiamata rete del producer di servizi. Quando configuri un pool privato, puoi scegliere di utilizzare la rete del producer di servizi o configurare una connessione privata tra la rete del producer di servizi e la rete VPC che contiene le tue risorse.
Scegli uno dei seguenti schemi di configurazione della rete in base alle esigenze della tua organizzazione:
Utilizza la rete del producer di servizi da sola: utilizza questa opzione se:
- non vuoi che le build accedano alle risorse all'interno della tua rete privata
- vuoi tipi e dimensioni di macchine configurabili
Questa è l'opzione di rete predefinita per la creazione del pool privato e non richiede alcuna configurazione di rete. Se ti interessa questa opzione, procedi alla creazione del pool privato.
Configura una connessione privata tra la rete del producer di servizi e la tua rete VPC: la connessione privata consente alle istanze VM nella tua rete VPC e ai pool privati di comunicare esclusivamente utilizzando indirizzi IP interni. Utilizza questa opzione se:
- vuoi che le build accedano alle risorse nella tua rete VPC
- vuoi tipi e dimensioni di macchine configurabili
Configurazione di una connessione privata tra la rete VPC e la rete del producer di servizi
Devi avere una rete VPC esistente che utilizzerai per connetterti alla rete del producer di servizi.
Per utilizzare gli esempi di riga di comando in questa guida, installa e configura Google Cloud CLI.
Abilita API:
Console
Abilita le API Cloud Build e Service Networking.
Ruoli richiesti per abilitare le API
Per abilitare le API, devi disporre del ruolo IAM Amministratore utilizzo servizi (
roles/serviceusage.serviceUsageAdmin), che contiene l'autorizzazioneserviceusage.services.enable. Scopri come concedere i ruoli.gcloud
Abilita le API Cloud Build e Service Networking:
gcloud services enable cloudbuild.googleapis.com servicenetworking.googleapis.com-
Per assicurarti che disponga delle autorizzazioni necessarie per configurare una connessione privata, chiedi all'amministratore di concedere il ruolo IAM Amministratore rete Compute Engine (
roles/compute.networkAdmin) al account di servizio per il Google Cloud progetto in cui risiede la rete VPC. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.L'amministratore potrebbe anche essere in grado di concedere le autorizzazioni richieste tramite ruoli personalizzati o altri ruoli predefiniti.
Nella rete VPC, alloca un intervallo IP interno denominato:
L'intervallo IP specificato qui sarà soggetto alle regole firewall definite nella rete VPC.
Cloud Build riserva gli intervalli IP
192.168.10.0/24e172.17.0.0/16per la rete bridge Docker. Quando allochi gli intervalli IP per le risorse nei tuoi progetti, ti consigliamo di selezionare un intervallo al di fuori di192.168.10.0/24e172.17.0.0/16nei casi in cui i builder di Cloud Build devono accedere a queste risorse.Ad esempio, l'intervallo di indirizzi del piano di controllo di Google Kubernetes Engine
192.168.10.96/28non sarebbe accessibile dal buildergke-deploydi Cloud Build a causa della sovrapposizione.Console
Vai alla pagina Reti VPC nella Google Cloud console.
Seleziona la rete VPC che si connetterà alla rete VPC del pool privato.
Seleziona la scheda Accesso privato ai servizi.
Nella scheda Accesso privato ai servizi, seleziona la scheda Intervalli IP allocati per i servizi.
Fai clic su Alloca intervallo IP.
Inserisci un Nome e una Descrizione per l'intervallo allocato.
Specifica un intervallo IP per l'allocazione:
- Per specificare un intervallo di indirizzi IP, seleziona Personalizzato e poi inserisci un blocco CIDR.
- Per specificare una lunghezza del prefisso e consentire a Google di selezionare un intervallo disponibile, seleziona Automatico e poi inserisci una lunghezza del prefisso. La lunghezza del prefisso deve essere
/24o inferiore, ad esempio/22,/21e così via.
Fai clic su Alloca per creare l'intervallo allocato.
gcloud
Per specificare un intervallo di indirizzi e una lunghezza del prefisso (subnet mask), utilizza i flag
addresseseprefix-length. La lunghezza del prefisso deve essere /24 o inferiore, ad esempio /22, /21 e così via. Ad esempio, per allocare il blocco CIDR blocco192.168.0.0/16, specifica192.168.0.0per l'indirizzo e16per la lunghezza del prefisso.gcloud compute addresses create RESERVED_RANGE_NAME \ --global \ --purpose=VPC_PEERING \ --addresses=192.168.0.0 \ --prefix-length=16 \ --description=DESCRIPTION \ --network=VPC_NETWORKPer specificare solo una lunghezza del prefisso (subnet mask), utilizza il flag
prefix-length. Quando ometti l'intervallo di indirizzi, Google Cloud seleziona automaticamente un intervallo di indirizzi inutilizzato nella tua rete VPC network. L'esempio seguente seleziona un intervallo di indirizzi IP inutilizzato con una lunghezza del prefisso di16bit.gcloud compute addresses create RESERVED_RANGE_NAME \ --global \ --purpose=VPC_PEERING \ --prefix-length=16 \ --description=DESCRIPTION \ --network=VPC_NETWORKSostituisci i valori dei segnaposto nel comando con i seguenti:
RESERVED_RANGE_NAME: un nome per l'intervallo allocato, ad esempiomy-allocated-range.DESCRIPTION: una descrizione dell'intervallo, ad esempioallocated for my-service.VPC_NETWORK: il nome della tua rete VPC, ad esempiomy-vpc-network.
Crea una connessione privata tra la rete del producer di servizi e la tua rete VPC:
Console
Vai alla pagina Reti VPC nella Google Cloud console.
Seleziona la rete VPC che si connetterà alla rete VPC del pool privato.
Seleziona la scheda Accesso privato ai servizi.
Nella scheda Accesso privato ai servizi, seleziona la scheda Connessioni private ai servizi.
Fai clic su Crea connessione per creare una connessione privata tra la tua rete e la rete del producer di servizi.
Per l'allocazione assegnata, seleziona l'intervallo allocato che hai creato nel passaggio precedente.
Fai clic su Connetti per creare la connessione.
gcloud
Crea una connessione privata:
gcloud services vpc-peerings connect \ --service=servicenetworking.googleapis.com \ --ranges=ALLOCATED_RANGE_NAME \ --network=VPC_NETWORK \ --project=PROJECT_IDSostituisci i valori dei segnaposto nel comando con i seguenti:
ALLOCATED_RANGE_NAME: il nome dell'intervallo allocato che hai creato nel passaggio precedente.VPC_NETWORK: il nome della tua rete VPC.PROJECT_ID: l'ID del progetto che contiene la tua rete VPC.
Il comando avvia un'operazione a lunga esecuzione che restituisce un nome di operazione.
Verifica se l'operazione è andata a buon fine, sostituendo
OPERATION_NAMEcon il nome dell'operazione restituito nel passaggio precedente.gcloud services vpc-peerings operations describe \ --name=OPERATION_NAME
[FACOLTATIVO: scenario VPC condiviso]. Se utilizzi il VPC condiviso, crea l'intervallo IP allocato e la connessione privata nel progetto host. In genere, un amministratore di rete nel progetto host deve eseguire queste attività. Dopo aver configurato il progetto host con la connessione privata, le istanze VM nei progetti di servizio possono utilizzare la connessione privata con la rete del producer di servizi. Il progetto che ospita la connessione VPC e il progetto che contiene il pool privato devono far parte della stessa organizzazione.
[FACOLTATIVO: utilizzo delle regole firewall]. Se stai creando una regola firewall in entrata nella rete VPC, specifica lo stesso intervallo IP che allochi qui nel filtro di origine per la regola in entrata.
Passaggi successivi
- Scopri come creare e gestire i pool privati.