Datastream 使用 Private Service Connect 接口,让您能够以一种将流量完全控制在Google Cloud内的方式复制数据。
Private Service Connect 接口是一种资源,允许提供方虚拟私有云 (VPC) 网络发起与使用方 VPC 网络中的网络连接的连接,并接收来自该网络连接的连接。提供方网络与使用方网络可以位于不同的项目和组织中。
图 1. Private Service Connect 接口允许服务提供方启动与服务使用方的连接。
如需查看关键术语的定义,请参阅下文。
如需详细了解 Private Service Connect,请参阅 Virtual Private Cloud 文档。
关键词
本部分简要介绍了适用于 Private Service Connect 的关键术语和概念。
提供方:实体,通常是 VPC 网络中的服务或虚拟机,用于发起与使用方网络的连接。提供方提供服务:在 Datastream 上下文中,它会提取数据并将其复制到目标位置。
使用方:实体(通常是 VPC 网络中的虚拟机),用于接收来自提供方的连接。使用方接受连接后,Google Cloud 会为 Private Service Connect 接口分配一个由网络连接指定的使用方 VPC 网络中的子网的 IP 地址。Private Service Connect 接口的虚拟机具有第二个网络接口,该接口可连接到提供方 VPC 网络。
网络连接:一种区域级资源,允许提供方 VPC 网络通过 Private Service Connect 接口发起与使用方 VPC 网络的连接。在使用方 VPC 网络中,网络连接充当提供方网络中 Private Service Connect 接口的指定连接入口点。在网络连接上建立 Private Service Connect 接口时,系统会从网络连接的子网中为提供方虚拟机分配一个 IP。Private Service Connect 接口的虚拟机实例至少还有一个连接到提供方子网的常规网络接口。如需了解详情,请参阅网络连接简介。
生产者项目:Google 拥有的项目,其中托管着运行 Datastream 的虚拟机 (VM)。为了访问客户 VPC 中的资源,Datastream 虚拟机会使用 Private Service Connect 网络接口从其子网分配的 IP 地址。
Private Service Connect 前提条件
在使用 Private Service Connect 接口创建专用连接配置之前,您需要先按以下步骤操作,以便 Datastream 能够与您的项目建立连接:
创建一个可连接到 Datastream 专用网络的 VPC 网络。如需详细了解如何创建 VPC 网络,请参阅创建和管理 VPC 网络。
在 VPC 项目中创建网络连接。
验证 Google Cloud 和本地防火墙是否允许来自网络连接 IP 地址范围的流量流向您要从中流式传输数据的源数据库。如需了解如何创建防火墙规则,请参阅使用 VPC 防火墙规则。
价格
通过 Private Service Connect 进行的数据入站和出站会产生费用。如需了解详情,请参阅 Private Service Connect 定价。
所需的角色和权限
如需获得创建网络连接所需的权限,请让管理员向您授予项目的以下 Identity and Access Management (IAM) 角色:
- 创建、查看和删除网络连接:Compute Network Admin (
roles/compute.networkAdmin)
如果您的网络连接位于与 Datastream 不同的项目中,则需要向 service-DATASTREAM-PROJECT-NUMBER@gcp-sa-datastream.iam.gserviceaccount.com 服务账号授予以下角色:
对网络资源拥有只读权限:Compute Network Viewer (
roles/compute.networkViewer)在网络附加到的项目上授予该角色,并将 DATASTREAM-PROJECT-NUMBER 替换为部署了 Datastream 的项目的编号。
如需详细了解如何授予角色,请参阅管理访问权限。
如需详细了解 Datastream 中的访问权限控制选项,请参阅使用 IAM 进行访问权限控制。
配置 Private Service Connect
如需让 Datastream 使用 Private Service Connect 接口与您的网络建立出站连接,请执行以下操作:
- 在项目中创建网络连接。
- 创建专用连接配置。
创建网络连接
如需在 Datastream 中配置 Private Service Connect,您必须先创建网络连接。
控制台
在 Google Cloud 控制台中,前往网络连接页面:
点击创建网络连接。
在名称字段中,为网络连接输入名称。
从网络列表中,选择一个 VPC 或共享 VPC 网络。
从区域列表中,选择一个 Google Cloud 区域。此区域必须与对等互连到 Datastream 专用网络的 VPC 网络的子网所使用的区域相同。如需了解详情,请参阅 Private Service Connect 前提条件。
从子网列表中,选择一个子网范围。
在连接偏好设置中,选择接受选定项目的连接。
创建 Datastream 私密连接资源时,Datastream 会自动将提供方项目添加到接受的项目列表中。
请勿添加接受的项目或拒绝的项目。
点击创建网络连接。
gcloud
创建一个或多个子网。例如:
gcloud compute networks subnets create subnet-1 --network=network-0 --range=10.10.1.0/24 --region=REGION网络连接在后续步骤中使用这些子网。
在与 Datastream 项目相同的区域中创建网络连接资源,并将
connection-preference属性设置为ACCEPT_MANUAL:gcloud compute network-attachments create NAME --region=REGION --connection-preference=ACCEPT_MANUAL --subnets=SUBNET替换以下内容:
NAME:网络连接的名称。REGION: Google Cloud 区域的名称。 此区域必须与 Datastream 私有网络相同。SUBNET:子网的名称。
此命令的输出是网络附件网址,格式如下:
projects/PROJECT/locations/REGION/network-attachments/NETWORK_ATTACHMENT_ID。记下此网址,因为 Datastream 需要它才能建立连接。如需了解如何使用 Google Cloud创建 Private Service Connect 接口专用连接配置,请参阅管理专用连接配置。
创建专用连接配置
在 Google Cloud 项目中创建网络连接后,您需要使用 Private Service Connect 接口设置专用连接配置。创建配置时,您需要将托管 Private Service Connect 接口的项目列入许可名单。然后,您需要将网络连接网址作为 Private Service Connect 资源的一部分提供给 Datastream。
如需了解详情,请参阅创建专用连接配置。