הגדרת ממשקי Private Service Connect

‫Datastream משתמש בממשקי Private Service Connect כדי לשכפל נתונים באופן ששומר על התעבורה בתוךGoogle Cloud.

ממשק Private Service Connect הוא משאב שמאפשר לרשת VPC של ספק ליזום חיבורים לחיבור לרשת ברשת VPC של צרכן ולקבל ממנה חיבורים. רשתות של יצרנים וצרכנים יכולות להיות בפרויקטים ובארגונים שונים.

איור 1. ממשקי Private Service Connect מאפשרים לבעלי שירותים מנוהלים ליזום חיבורים לצרכני שירותים.

הגדרות של מונחי מפתח מופיעות בסעיף הבא.

מידע נוסף על Private Service Connect זמין במאמרי העזרה בנושא Virtual Private Cloud.

מונחי מפתח

בקטע הזה מופיעה סקירה כללית של מונחים ועקרונות מרכזיים שרלוונטיים ל-Private Service Connect.

  • יצרן: ישות, בדרך כלל שירות או מכונה וירטואלית ברשת VPC, שיזמה את החיבור לרשת הצרכן. הגורם המפיק מספק את השירות: בהקשר של Datastream, הוא מאחזר נתונים ומשכפל אותם ליעד.

  • צרכן: ישות, בדרך כלל מכונה וירטואלית ברשת VPC, שמקבלת את החיבור מהספק. כשהצרכן מאשר את החיבור,Google Cloud מקצה לממשק Private Service Connect כתובת IP מרשת משנה ברשת ה-VPC של הצרכן, שצוינה על ידי צירוף הרשת. למכונה הווירטואלית של ממשק Private Service Connect יש ממשק רשת שני שמתחבר לרשת ה-VPC של ספק השירות.

  • רכיב Network Attachment: משאב אזורי שמאפשר לרשת VPC של יצרן ליזום חיבורים לרשת VPC של צרכן דרך ממשק Private Service Connect. ברשת ה-VPC של הצרכן, קובץ מצורף לרשת משמש כנקודת כניסה ייעודית לחיבורים מממשקי Private Service Connect ברשת של היצרן. כשממשק Private Service Connect נוצר בקובץ מצורף לרשת, מוקצית למכונה הווירטואלית של הספק כתובת IP מתת-הרשת של הקובץ המצורף לרשת. למכונה הווירטואלית של ממשק Private Service Connect יש לפחות עוד ממשק רשת רגיל שמתחבר לרשת משנה של בעלי השירות. מידע נוסף זמין במאמר מידע על קבצים מצורפים לרשת.

  • פרויקט המפיק: פרויקט בבעלות Google שבו מתארחות המכונות הווירטואליות (VM) שמריצות את Datastream. כדי לגשת למשאבים ב-VPC של הלקוח, המכונות הווירטואליות של Datastream משתמשות בכתובת ה-IP שממשק הרשת של Private Service Connect מקצה מתת-הרשת שלו.

דרישות מוקדמות ל-Private Service Connect

לפני שיוצרים הגדרת קישוריות פרטית באמצעות ממשק Private Service Connect, צריך לבצע את השלבים הבאים כדי ש-Datastream יוכל ליצור חיבור לפרויקט:

  • יש לכם רשת VPC שאפשר להתחבר אליה לרשת הפרטית של Datastream. מידע נוסף על יצירת רשת VPC זמין במאמר בנושא יצירה וניהול של רשתות VPC.

  • יוצרים רכיב Network Attachment בפרויקט ה-VPC.

  • מוודאים ש- Google Cloud וחומת האש המקומית מאפשרים תעבורה מטווח כתובות ה-IP של קובץ הרשת אל מסד הנתונים של המקור שממנו רוצים להזרים נתונים. מידע על יצירת כללים של חומת אש זמין במאמר בנושא שימוש בכללים של חומת אש ב-VPC.

תמחור

יש חיוב על תנועת נתונים נכנסת ויוצאת דרך Private Service Connect. מידע נוסף זמין במאמר בנושא תמחור של Private Service Connect.

תפקידים והרשאות נדרשים

כדי לקבל את ההרשאות שנדרשות ליצירת קובץ מצורף לרשת, צריך לבקש מהאדמין להקצות לכם את התפקידים הבאים בניהול הזהויות והרשאות הגישה (IAM) בפרויקט:

אם קובץ הרשת המצורף או תת-הרשת הבסיסית שלו נמצאים בפרויקט אחר מזה של Datastream (לדוגמה, אם אתם משתמשים בפרויקט מארח של VPC משותף), אתם צריכים להעניק את התפקיד הבא לservice-DATASTREAM-PROJECT-NUMBER@gcp-sa-datastream.iam.gserviceaccount.comחשבון השירות:

  • גישת קריאה בלבד למשאבי רשת: צפייה ברשת Compute (roles/compute.networkViewer)

    צריך להקצות את התפקיד בפרויקט שבו נמצאת ההצמדה לרשת או רשת המשנה שלה, ולהחליף את DATASTREAM-PROJECT-NUMBER במספר הפרויקט שבו נפרס Datastream.

מידע נוסף על מתן תפקידים מופיע במאמר ניהול הגישה.

יכול להיות שתוכלו לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.

מידע נוסף על אפשרויות בקרת הגישה ב-Datastream זמין במאמר בקרת גישה באמצעות IAM.

הגדרה של Private Service Connect

כדי לאפשר ל-Datastream ליצור קישוריות יוצאת לרשת שלכם באמצעות ממשק Private Service Connect:

  1. יוצרים קובץ מצורף לרשת בפרויקט.
  2. יוצרים הגדרת קישוריות פרטית.

יצירת צירוף רשת

כדי להגדיר Private Service Connect ב-Datastream, צריך קודם ליצור קובץ מצורף עם הרשת.

המסוף

  1. נכנסים לדף Network attachments במסוף Google Cloud :

    מעבר אל 'קבצים מצורפים לרשת'

  2. לוחצים על יצירת קובץ מצורף לרשת.

  3. בשדה שם, מזינים שם לחיבור הרשת.

  4. מהרשימה רשת בוחרים רשת VPC או רשת VPC משותפת.

  5. ברשימה אזור, בוחרים אזור Google Cloud . האזור הזה צריך להיות זהה לאזור שבו נעשה שימוש בתת-הרשת של רשת ה-VPC שמקושרת לרשת הפרטית של Datastream. מידע נוסף זמין במאמר דרישות מוקדמות ל-Private Service Connect.

  6. מהרשימה Subnetwork, בוחרים טווח של רשת משנה.

  7. בקטע העדפות קישור, בוחרים באפשרות אישור קישורים לפרויקטים נבחרים.

    כשיוצרים את משאב הקישוריות הפרטית של Datastream, המערכת מוסיפה אוטומטית את פרויקט המקור לרשימה Accepted projects.

  8. לא מוסיפים פרויקטים שאושרו או פרויקטים שנדחו.

  9. לוחצים על יצירת קובץ מצורף לרשת.

gcloud

  1. יוצרים רשת משנה אחת או יותר. לדוגמה:

    gcloud compute networks subnets create subnet-1 --network=network-0 --range=10.10.1.0/24 --region=REGION

    בשלבים הבאים, מצורף הרשת משתמש ברשתות המשנה האלה.

  2. יוצרים משאב של רכיב רשת באותו אזור של פרויקט Datastream, כשהנכס connection-preference מוגדר ל-ACCEPT_MANUAL:

    gcloud compute network-attachments create NAME
--region=REGION
--connection-preference=ACCEPT_MANUAL
--subnets=SUBNET

    מחליפים את מה שכתוב בשדות הבאים:

    • NAME: השם של רכיב Network Attachment.
    • REGION: השם של Google Cloud האזור. האזור הזה צריך להיות זהה לרשת הפרטית של Datastream.
    • SUBNET: שם רשת המשנה.

    הפלט של הפקודה הזו הוא כתובת URL של קובץ מצורף לרשת בפורמט הבא:

    projects/PROJECT/locations/REGION/network-attachments/NETWORK_ATTACHMENT_ID.

    חשוב לשמור את כתובת ה-URL הזו כי Datastream צריך אותה כדי להתחבר. מידע על יצירת הגדרת קישוריות פרטית של ממשק Private Service Connect באמצעות Google Cloudזמין במאמר ניהול הגדרות של קישוריות פרטית.

יצירת הגדרת קישוריות פרטית

אחרי שיוצרים קובץ מצורף עם הרשת בפרויקט Google Cloud , צריך להגדיר את הקישוריות הפרטית באמצעות ממשקי Private Service Connect. כשיוצרים את ההגדרה, מוסיפים לרשימת ההיתרים את הפרויקט שמארח את הממשק של Private Service Connect. לאחר מכן מספקים את כתובת ה-URL של קובץ הרשת המצורף ל-Datastream כחלק מהמשאב Private Service Connect.

מידע נוסף זמין במאמר בנושא יצירת הגדרת קישוריות פרטית.

המאמרים הבאים