Zugriff auf private Dienste konfigurieren

Der Zugriff auf private Dienste ist eine sichere, private Verbindung zwischen Ihrem Google Cloud VPC-Netzwerk (Virtual Private Cloud) und von Google verwalteten Diensten oder Diensten von Drittanbietern. Dadurch können VM-Instanzen in Ihrem VPC-Netzwerk über interne IP-Adressen mit diesen Diensten kommunizieren, ohne dass der Traffic dem öffentlichen Internet ausgesetzt wird.

Hinweis

Sie müssen die folgenden Voraussetzungen erfüllen, um eine private Verbindung zu erstellen:

  • Sie müssen ein vorhandenes VPC-Netzwerk haben, mit dem Sie sich mit dem Netzwerk des Diensterstellers verbinden können. VM-Instanzen müssen dieses VPC-Netzwerk verwenden, um sich über eine private Verbindung mit Diensten zu verbinden.
  • Folgen Sie der Anleitung auf der Seite Live Stream API Vorbereitung, um ein entsprechend konfiguriertes Google Cloud Projekt zu erstellen oder ein vorhandenes Projekt auszuwählen.

Zugriff auf private Dienste für die Live Stream API aktivieren

Der allgemeine Prozess zum Konfigurieren des Zugriffs auf private Dienste ist in der Virtual Private Cloud-Dokumentation beschrieben. Auf dieser Seite wird der Prozess an die Live Stream API angepasst.

  1. Installieren und konfigurieren Sie die Google Cloud CLI.

  2. Aktivieren Sie die Service Networking API.

    Führen Sie folgenden Befehl aus:

    Linux, macOS oder Cloud Shell

    gcloud services enable servicenetworking.googleapis.com

    Windows (PowerShell)

    gcloud services enable servicenetworking.googleapis.com

    Windows (cmd.exe)

    gcloud services enable servicenetworking.googleapis.com

  3. Bitten Sie Ihren Administrator, Ihnen die Compute Engine-Netzwerkadministrator (roles/compute.networkAdmin) IAM-Rolle für das Google Cloud Projekt zu gewähren, in dem sich das VPC-Netzwerk befindet, um die Berechtigungen zu erhalten, die Sie zum Einrichten einer privaten Verbindung benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

    Die erforderlichen Berechtigungen sind auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen verfügbar.

  4. Weisen Sie im VPC-Netzwerk mit dem Befehl addresses create einen benannten IP-Bereich zu, wie in den folgenden Beispielen gezeigt.

    Legen Sie einen Adressbereich und eine Präfixlänge fest, die auch die Subnetzmaske ist, mit den Flags addresses und prefix-length. Wenn Sie beispielsweise den CIDR-Block 192.168.0.0/17 zuordnen möchten, geben Sie 192.168.0.0 für die Adresse und 17 für die Präfixlänge an.

    Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

    • RESERVED_RANGE_NAME: ein Name für den zugewiesenen Bereich, z. B. my-allocated-range
    • DESCRIPTION: eine Beschreibung für den Bereich, z. B. allocated for my-service
    • VPC_NETWORK: der Name Ihres VPC-Netzwerk, z. B. my-vpc-network

    Führen Sie folgenden Befehl aus:

    Linux, macOS oder Cloud Shell

    gcloud compute addresses create RESERVED_RANGE_NAME \
    --global \
    --purpose=VPC_PEERING \
    --addresses=192.168.0.0 \
    --prefix-length=13 \
    --description="DESCRIPTION" \
    --network=VPC_NETWORK

    Windows (PowerShell)

    gcloud compute addresses create RESERVED_RANGE_NAME `
    --global `
    --purpose=VPC_PEERING `
    --addresses=192.168.0.0 `
    --prefix-length=13 `
    --description="DESCRIPTION" `
    --network=VPC_NETWORK

    Windows (cmd.exe)

    gcloud compute addresses create RESERVED_RANGE_NAME ^
    --global ^
    --purpose=VPC_PEERING ^
    --addresses=192.168.0.0 ^
    --prefix-length=13 ^
    --description="DESCRIPTION" ^
    --network=VPC_NETWORK

    Sie sollten eine Antwort ähnlich der folgenden erhalten:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/addresses/RESERVED_RANGE_NAME].

    Wenn Sie nur eine Präfixlänge angeben möchten, verwenden Sie das Flag prefix-length. Wenn Sie den Adressbereich weglassen, Google Cloud wählt automatisch einen nicht verwendeten Adressbereich in Ihrem VPC-Netzwerk aus. Im folgenden Beispiel wird ein nicht verwendeter IP-Adressbereich mit einer Präfixlänge von 17 Bit ausgewählt.

    Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

    • RESERVED_RANGE_NAME: ein Name für den zugewiesenen Bereich, z. B. my-allocated-range
    • DESCRIPTION: eine Beschreibung für den Bereich, z. B. allocated for my-service
    • VPC_NETWORK: der Name Ihres VPC-Netzwerk, z. B. my-vpc-network

    Führen Sie folgenden Befehl aus:

    Linux, macOS oder Cloud Shell

    gcloud compute addresses create RESERVED_RANGE_NAME \
    --global \
    --purpose=VPC_PEERING \
    --prefix-length=13 \
    --description="DESCRIPTION" \
    --network=VPC_NETWORK

    Windows (PowerShell)

    gcloud compute addresses create RESERVED_RANGE_NAME `
    --global `
    --purpose=VPC_PEERING `
    --prefix-length=13 `
    --description="DESCRIPTION" `
    --network=VPC_NETWORK

    Windows (cmd.exe)

    gcloud compute addresses create RESERVED_RANGE_NAME ^
    --global ^
    --purpose=VPC_PEERING ^
    --prefix-length=13 ^
    --description="DESCRIPTION" ^
    --network=VPC_NETWORK

    Sie sollten eine Antwort ähnlich der folgenden erhalten:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/addresses/RESERVED_RANGE_NAME].

    Im vorherigen Beispiel wird eine private Verbindung zu Google erstellt, damit die VM-Instanzen im angegebenen VPC-Netzwerk (z. B. my-vpc-network) den Zugriff auf private Dienste verwenden können, um die Google-Dienste zu erreichen, die sie unterstützen.

    Für die Live Stream API muss ein CIDR-/17-Block pro Region zugewiesen werden. Wenn Sie die Live Stream API in mehreren Regionen verwenden möchten, weisen Sie einen größeren Block zu. In der folgenden Tabelle wird die empfohlene Blockgröße je nach Anzahl der Regionen beschrieben:

    Anzahl der RegionenWert für das Flag prefix-length
    117
    216
    3-415
    5-814
    9-1613

  5. Erstellen Sie eine private Verbindung zwischen dem Dienstersteller-Netzwerk und Ihrem VPC-Netzwerk:

    1. Erstellen Sie eine private Verbindung.

      Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

      • RESERVED_RANGE_NAME: der Name des zugewiesenen Bereichs, den Sie im vorherigen Schritt erstellt haben
      • VPC_NETWORK: der Name Ihres VPC-Netzwerk
      • PROJECT_ID: die Google Cloud Projekt-ID des Projekts, das Ihr VPC-Netzwerk enthält

      Führen Sie folgenden Befehl aus:

      Linux, macOS oder Cloud Shell

      gcloud services vpc-peerings connect \
    --service=servicenetworking.googleapis.com \
    --ranges=RESERVED_RANGE_NAME \
    --network=VPC_NETWORK \
    --project=PROJECT_ID

      Windows (PowerShell)

      gcloud services vpc-peerings connect `
    --service=servicenetworking.googleapis.com `
    --ranges=RESERVED_RANGE_NAME `
    --network=VPC_NETWORK `
    --project=PROJECT_ID

      Windows (cmd.exe)

      gcloud services vpc-peerings connect ^
    --service=servicenetworking.googleapis.com ^
    --ranges=RESERVED_RANGE_NAME ^
    --network=VPC_NETWORK ^
    --project=PROJECT_ID

      Sie sollten eine Antwort ähnlich der folgenden erhalten:

      Operation "operations/OPERATION_ID" finished successfully.

      Dieser Befehl erstellt einen Vorgang mit langer Ausführungszeit.

    2. Wenn der Befehl erfolgreich ausgeführt wurde, fahren Sie mit dem nächsten Schritt fort. Andernfalls prüfen Sie den Vorgangsstatus.

      Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

      • OPERATION_ID: die ID des Vorgangs, die im vorherigen Schritt zurückgegeben wurde

      Führen Sie folgenden Befehl aus:

      Linux, macOS oder Cloud Shell

      gcloud services vpc-peerings operations describe \
  --name=operations/OPERATION_ID

      Windows (PowerShell)

      gcloud services vpc-peerings operations describe `
  --name=operations/OPERATION_ID

      Windows (cmd.exe)

      gcloud services vpc-peerings operations describe ^
  --name=operations/OPERATION_ID

      Sie sollten eine Antwort ähnlich der folgenden erhalten:

      Operation "operations/OPERATION_ID" finished successfully.

  6. (Optional) Wenn Sie VPC Service Controls verwenden, müssen Sie VPC-SC für die gerade erstellte private Verbindung aktivieren.

    Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

    • VPC_NETWORK: der Name Ihres VPC-Netzwerk

    Führen Sie folgenden Befehl aus:

    Linux, macOS oder Cloud Shell

    gcloud services vpc-peerings enable-vpc-service-controls \
    --service=servicenetworking.googleapis.com \
    --network=VPC_NETWORK

    Windows (PowerShell)

    gcloud services vpc-peerings enable-vpc-service-controls `
    --service=servicenetworking.googleapis.com `
    --network=VPC_NETWORK

    Windows (cmd.exe)

    gcloud services vpc-peerings enable-vpc-service-controls ^
    --service=servicenetworking.googleapis.com ^
    --network=VPC_NETWORK

    Sie sollten eine Antwort ähnlich der folgenden erhalten:

    Operation "operations/OPERATION_ID" finished successfully.

  7. (Optional) Wenn Sie den lokalen Zugriff auf den Dienstersteller aktivieren möchten, fügen Sie die SRT-/RTMP-IP-Adresse als benutzerdefinierte Route Advertisement in Ihrem Cloud Router hinzu. Aktualisieren Sie dann das VPC-Peering für Dienstnetzwerke, um benutzerdefinierte Routen zu exportieren und die Verbindung von Ihrem lokalen Netzwerk über die Peering-Verbindung zu erweitern. Weitere Informationen finden Sie unter Fehlerbehebung für lokale Hosts.

Zurück
Übersicht
Weiter
Privaten Pool konfigurieren