Diese Seite wurde von der Cloud Translation API übersetzt.

Private Instanz mit Private Service Connect erstellen

Auf dieser Seite wird beschrieben, wie Sie Private Service Connect in Cloud Data Fusion konfigurieren.

Private Service Connect in Cloud Data Fusion

Cloud Data Fusion-Instanzen müssen möglicherweise eine Verbindung zu Ressourcen herstellen, die sich lokal, in Google Cloud oder bei anderen Cloud-Anbietern befinden. Wenn Sie Cloud Data Fusion mit internen IP-Adressen verwenden, werden Verbindungen zu externen Ressourcen über ein VPC-Netzwerk (Virtual Private Cloud) in Ihrem Google Cloud-Projekt hergestellt. Der Traffic über das Netzwerk läuft nicht über das öffentliche Internet. Wenn Cloud Data Fusion Zugriff auf Ihr VPC-Netzwerk über VPC-Peering gewährt, gelten Einschränkungen, die bei der Verwendung großer Netzwerke deutlich werden.

Mit Private Service Connect-Schnittstellen stellt Cloud Data Fusion eine Verbindung zu Ihrer VPC her, ohne VPC-Peering zu verwenden. Die Private Service Connect-Schnittstelle ist eine Art Private Service Connect, mit dem Cloud Data Fusion private und sichere Verbindungen zu VPC-Netzwerken von Nutzern herstellen kann. Dies bietet nicht nur die Flexibilität und den einfachen Zugriff (wie VPC-Peering), sondern auch eine explizite Autorisierung und nutzerseitige Kontrolle, die Private Service Connect bietet.

Das folgende Diagramm zeigt, wie die Private Service Connect-Schnittstelle in Cloud Data Fusion bereitgestellt wird:

Bereitstellung der Private Service Connect-Schnittstelle.

Abbildung 1. Private Service Connect-Schnittstelle bereitstellen

Beschreibung von Abbildung 1:

Die virtuellen Maschinen (VM), auf denen Cloud Data Fusion ausgeführt wird, werden in einem Mandantenprojekt von Google gehostet. Für den Zugriff auf Ressourcen in der VPC des Kunden verwenden Cloud Data Fusion-VMs die von der Private Service Connect-Netzwerkschnittstelle zugewiesene IP-Adresse aus dem Subnetz des Kunden. Dieses Subnetz wird dem von Cloud Data Fusion verwendeten Netzwerkanhang hinzugefügt.
IP-Pakete, die von der Private Service Connect-Schnittstelle stammen, werden ähnlich behandelt wie die von einer VM im selben Subnetz. Mit dieser Konfiguration kann Cloud Data Fusion direkt auf Ressourcen in der Kunden-VPC oder einer Peer-VPC zugreifen, ohne dass ein Proxy erforderlich ist.
Internetressourcen sind verfügbar, wenn Cloud NAT in der VPC des Kunden aktiviert ist, während lokale Ressourcen über eine Interconnect-Verbindung erreichbar sind.
Zum Verwalten des ein- oder ausgehenden Traffics von Private Service Connect können Sie Firewallregeln implementieren.

Hauptvorteile

Dies sind die wichtigsten Vorteile der Verwendung von Cloud Data Fusion mit Private Service Connect:

Bessere Kontrolle des IP-Bereichs: Sie legen die IP-Adressen fest, die Cloud Data Fusion für die Verbindung mit Ihrem Netzwerk verwendet. Sie wählen die Subnetze aus, aus denen die IP-Adressen Cloud Data Fusion zugewiesen werden. Der gesamte Traffic von Cloud Data Fusion hat eine Quell-IP-Adresse aus Ihrem konfigurierten Subnetz.

Dank Private Service Connect sind reservierte IP-Adressen aus einer Kunden-VPC nicht mehr erforderlich. Für VPC-Peering ist ein /22-CIDR-Block (1.024 IP-Adressen) pro Cloud Data Fusion-Instanz erforderlich.
Verbesserte Sicherheit und Isolation. Durch das Konfigurieren eines Netzwerkanhangs steuern Sie, welche Dienste auf Ihr Netzwerk zugreifen können.
Vereinfachte Cloud Data Fusion-Instanzeinrichtung. Erstellen Sie pro Kunden-VPC nur einmal einen Netzwerkanhang. Für die Verbindung mit Ressourcen im Internet, Peering-VPCs oder lokalen Ressourcen sind keine Proxy-VMs erforderlich.

Wichtige Konzepte

In diesem Abschnitt werden die Konzepte von Private Service Connect in Cloud Data Fusion erläutert.

Netzwerkanhang

Ein Netzwerkanhang ist eine regionale Ressource, mit der Cloud Data Fusion autorisiert wird, Netzwerkverbindungen für den Zugriff auf Ressourcen in Ihrer VPC privat zu verwenden und herzustellen. Weitere Informationen finden Sie unter Netzwerkanhänge.

Freigegebene VPC

Im Folgenden finden Sie einen Anwendungsfall für Private Service Connect-Schnittstellen mit freigegebene VPC:

Das Netzwerk- oder Infrastrukturteam ist Inhaber der Subnetze in einem Hostprojekt. Die Anwendungsteams können diese Subnetze dann aus ihrem Dienstprojekt verwenden.
Die Anwendungsteams sind Inhaber der Netzwerkanhänge in einem Dienstprojekt. Der Netzwerkanhang definiert, welche Cloud Data Fusion-Mandantenprojekte eine Verbindung zu den Subnetzen herstellen können, die mit dem Netzwerkanhang verknüpft sind.

Sie können einen Netzwerkanhang in einem Dienstprojekt erstellen. Die in einem Netzwerkanhang verwendeten Subnetze können sich nur im Hostprojekt befinden.

Das folgende Diagramm veranschaulicht diesen Anwendungsfall:

Anwendungsfall für Private Service Connect-Schnittstellen mit freigegebene VPC

Abbildung 2. Anwendungsfall für Private Service Connect-Schnittstellen mit freigegebene VPC

Beschreibung von Abbildung 2:

Der Netzwerkanhang ist im Dienstprojekt vorhanden. Der Netzwerkanhang verwendet ein Subnetz, das zu einer freigegebene VPC im Hostprojekt gehört.
Die Cloud Data Fusion-Instanz ist im Dienstprojekt vorhanden und verwendet den Netzwerkanhang aus dem Dienstprojekt zum Einrichten privater Verbindungen.
Der Cloud Data Fusion-Instanz werden IP-Adressen aus dem Subnetz in der freigegebene VPC zugewiesen.

Hinweise

Private Service Connect ist nur in Cloud Data Fusion ab Version 6.10.0 verfügbar.
Sie können Private Service Connect nur aktivieren, wenn Sie eine neue Cloud Data Fusion-Instanz erstellen. Sie können die vorhandenen Instanzen nicht zur Verwendung von Private Service Connect migrieren.

Preise

Über Private Service Connect ein- und ausgehende Daten werden kostenpflichtig. Weitere Informationen finden Sie unter Private Service Connect-Preise.

Erforderliche Rollen und Berechtigungen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen (Identity and Access Management) für Ihr Projekt zu gewähren, damit Sie die Berechtigungen erhalten, die Sie zum Erstellen einer Cloud Data Fusion-Instanz und eines Netzwerkanhangs benötigen:

Cloud Data Fusion-Instanz erstellen: Cloud Data Fusion-Administrator (roles/datafusion.admin)
Netzwerkanhänge erstellen, ansehen und löschen: Compute Network Admin (roles/compute.networkAdmin)

Bitten Sie Ihren Administrator, dem Cloud Data Fusion-Dienst-Agent die folgenden IAM-Rollen im Format service-CUSTOMER_PROJECT_NUMBER@gcp-sa-datafusion.iam.gserviceaccount.com zu gewähren, um die Berechtigungen zu erhalten, die Cloud Data Fusion zum Validieren der Netzwerkkonfiguration benötigt:

Für die mit dem Netzwerkanhang verknüpfte VPC: Compute Network Viewer (roles/compute.networkViewer)
Damit Cloud Data Fusion sein Mandantenprojekt der Ersteller-Zulassungsliste des Netzwerkanhangs hinzufügt:
- compute.networkAttachments.get
- compute.networkAttachments.update
- compute.networkAttachments.list
Die restriktivste Rolle mit diesen Berechtigungen ist die Rolle Compute Network Admin (roles/compute.networkAdmin). Diese Berechtigungen sind Teil der Rolle Cloud Data Fusion API-Dienst-Agent (roles/datafusion.serviceAgent), die dem Cloud Data Fusion-Dienst-Agent automatisch gewährt wird. Daher ist keine Aktion erforderlich, es sei denn, die Zuweisung der Rolle für den Dienst-Agent wurde explizit entfernt.

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Weitere Informationen zu Zugriffssteuerungsoptionen in Cloud Data Fusion finden Sie unter Zugriffssteuerung mit IAM.

VPC-Netzwerk oder freigegebene VPC-Netzwerk erstellen

Prüfen Sie, ob Sie ein VPC-Netzwerk oder ein freigegebenes VPC-Netzwerk erstellt haben.

Private Service Connect konfigurieren

Zum Konfigurieren von Private Service Connect in Cloud Data Fusion müssen Sie zuerst einen Netzwerkanhang und dann eine Cloud Data Fusion-Instanz mit Private Service Connect erstellen.

Netzwerkanhang erstellen

Der Netzwerkanhang stellt eine Reihe von Subnetzwerken bereit. So erstellen Sie einen Netzwerkanhang:

Console

Rufen Sie in der Google Cloud Console die Seite Netzwerkanhänge auf:

Zu „Netzwerkanhänge“
Klicken Sie auf Netzwerkanhang erstellen.
Geben Sie im Feld Name einen Namen für Ihr Netzwerkanhang ein.
Wählen Sie in der Liste Netzwerk ein VPC-Netzwerk oder ein freigegebene VPC-Netzwerk aus.
Wählen Sie in der Liste Region eine Google Cloud-Region aus. Diese Region muss mit der Cloud Data Fusion-Instanz übereinstimmen.
Wählen Sie in der Liste Subnetzwerk einen Subnetzwerkbereich aus.

Hinweis: Für Cloud Data Fusion ist die Bereitstellung eines sekundären Bereichs für ein Subnetz nicht erforderlich. Jede Cloud Data Fusion-Instanz fordert bis zu 32 IP-Adressen aus dem Netzwerkanhang an. Das Subnetz muss genügend IP-Adressen haben, um die Anzahl der zu erstellenden Cloud Data Fusion-Instanzen zu unterstützen.
Wählen Sie unter Verbindungseinstellung die Option Verbindungen für ausgewählte Projekte akzeptieren aus.

Cloud Data Fusion fügt das Cloud Data Fusion-Mandantenprojekt automatisch der Liste Akzeptierte Projekte hinzu, wenn Sie die Cloud Data Fusion-Instanz erstellen.

Achtung: Die Option Verbindungen für alle Projekte automatisch akzeptieren ist weniger sicher, da jeder Dienst damit IP-Adressen aus Ihrem Subnetz abrufen kann. Wir raten jedoch von dieser Option ab.
Fügen Sie keine Akzeptierten Projekte oder abgelehnten Projekte hinzu.
Klicken Sie auf Netzwerkanhang erstellen.

gcloud

Erstellen Sie ein oder mehrere Subnetzwerke. Beispiel:
```
gcloud compute networks subnets create subnet-1 --network=network-0 --range=10.10.1.0/24 --region=REGION
```
Der Netzwerkanhang verwendet diese Subnetzwerke in den nachfolgenden Schritten.

Hinweis: Die Bereitstellung eines sekundären Bereichs für ein Subnetz ist für Cloud Data Fusion nicht erforderlich. Jede Cloud Data Fusion-Instanz fordert bis zu 32 IP-Adressen aus dem Netzwerkanhang an. Das Subnetz muss genügend IP-Adressen haben, um die Anzahl der zu erstellenden Cloud Data Fusion-Instanzen zu unterstützen.
Erstellen Sie eine Netzwerkanhangsressource in derselben Region wie die Cloud Data Fusion-Instanz. Legen Sie für das Attribut connection-preference den Wert ACCEPT_MANUAL fest:
```
gcloud compute network-attachments create NAME
--region=REGION
--connection-preference=ACCEPT_MANUAL
--subnets=SUBNET
```
Ersetzen Sie Folgendes:
- NAME: der Name Ihres Netzwerkanhangs.
- REGION: der Name der Google Cloud-Region. Diese Region muss mit der Cloud Data Fusion-Instanz übereinstimmen.
- SUBNET: der Name des Subnetzes.
Die Ausgabe dieses Befehls ist eine Netzwerkanhang-URL im folgenden Format:

projects/PROJECT/locations/REGION/network-attachments/NETWORK_ATTACHMENT_ID.

Notieren Sie sich diese URL, da Cloud Data Fusion sie für die Verbindung benötigt.

Achtung :Die Angabe von connection-preference als ACCEPT_AUTOMATIC ist weniger sicher, da jeder Dienst damit IP-Adressen aus Ihrem Subnetz abrufen kann. Wir raten jedoch von dieser Option ab.

REST API

Erstellen Sie ein Subnetz.

Erstellen Sie einen Netzwerkanhang:

alias authtoken="gcloud auth print-access-token"
NETWORK_ATTACHMENT_NAME=NETWORK_ATTACHMENT_NAME
REGION=REGION
SUBNET=SUBNET
PROJECT_ID=PROJECT_ID

read -r -d '' BODY << EOM
{
  "name": "$NETWORK_ATTACHMENT_NAME",
  "description": "Network attachment for private Cloud Data Fusion",
  "connectionPreference": "ACCEPT_MANUAL",
  "subnetworks": [
    "projects/$PROJECT_ID/regions/$REGION/subnetworks/$SUBNET"
  ]
}
EOM

curl -H "Authorization: Bearer $(authtoken)" \
-H "Content-Type: application/json" \
-X POST   -d "$BODY" "https://compute.googleapis.com/compute/v1/projects/$PROJECT_ID/regions/$REGION/networkAttachments"

Ersetzen Sie Folgendes:

NETWORK_ATTACHMENT_NAME: der Name Ihres Netzwerkanhangs.
REGION: der Name der Google Cloud-Region. Diese Region muss mit der Cloud Data Fusion-Instanz übereinstimmen.
SUBNET: der Name des Subnetzes.
PROJECT_ID: die Projekt-ID.

Erstellen Sie eine Cloud Data Fusion-Instanz.

Cloud Data Fusion verwendet einen /25-CIDR-Block (128 IPs) für Ressourcen im Mandantenprojekt. Dieser Bereich wird als unerreichbarer oder reservierter Bereich bezeichnet. Sie können in VPCs dieselben IP-Adressen verwenden, aber Cloud Data Fusion-VMs können über diesen Bereich keine Verbindung zu Ihren Ressourcen herstellen.

In den meisten Fällen stellt dies kein Problem dar, da der nicht erreichbare CIDR-Block standardmäßig in einem Bereich außerhalb von RFC 1918 (240.0.0.0/8) liegt. Informationen zum Steuern des nicht erreichbaren Bereichs finden Sie unter Erweiterte Konfigurationen.

So erstellen Sie eine Cloud Data Fusion-Instanz mit aktiviertem Private Service Connect:

Console

Rufen Sie in der Google Cloud Console die Cloud Data Fusion-Seite Instanzen auf und klicken Sie auf Instanz erstellen.
Instanz erstellen
Geben Sie im Feld Instanzname einen Namen für die neue Instanz ein.
Geben Sie im Feld Beschreibung eine Beschreibung für die Instanz ein.
Wählen Sie aus der Liste Region die Google Cloud-Region aus, in der Sie die Instanz erstellen möchten.
Wählen Sie in der Liste Version die Option 6.10 oder höher aus.
Wählen Sie eine Ausgabe aus Weitere Informationen zu den Preisen der verschiedenen Versionen finden Sie in der Preisübersicht zu Cloud Data Fusion.
Maximieren Sie Erweiterte Optionen und gehen Sie so vor:
1. Wählen Sie Private IP-Adresse aktivieren aus.
2. Wählen Sie Private Service Connect als Verbindungstyp aus.
3. Wählen Sie im Abschnitt Netzwerkanhang den Netzwerkanhang aus, den Sie unter Netzwerkanhang erstellen erstellt haben.
Klicken Sie auf Erstellen. Es kann bis zu 30 Minuten dauern, bis die Instanz erstellt ist.

REST API

Führen Sie dazu diesen Befehl aus:

alias authtoken="gcloud auth print-access-token"

EDITION=EDITION
PROJECT_ID=PROJECT_ID
REGION=REGION
CDF_ID=INSTANCE_ID
NETWORK_ATTACHMENT_ID=NETWORK_ATTACHMENT_ID

read -r -d '' BODY << EOM
{
  "description": "PSC enabled instance",
  "version": "6.10",
  "type": "$EDITION",
  "privateInstance": "true",
  "networkConfig": {
    "connectionType": "PRIVATE_SERVICE_CONNECT_INTERFACES",
    "privateServiceConnectConfig": {
      "networkAttachment": "$NETWORK_ATTACHMENT_ID"
    }
  }
}
EOM

curl -H "Authorization: Bearer $(authtoken)" \
-H "Content-Type: application/json" \
-X POST   -d "$BODY" "https://datafusion.googleapis.com/v1/projects/$PROJECT_ID/locations/$REGION/instances/?instanceId=$CDF_ID"

Ersetzen Sie Folgendes:

EDITION: die Version von Cloud Data Fusion: BASIC, DEVELOPER oder ENTERPRISE.
PROJECT_ID: die Projekt-ID.
REGION: der Name der Google Cloud-Region. Diese Region muss mit der Cloud Data Fusion-Instanz übereinstimmen.
INSTANCE_ID ist die ID Ihrer Instanz.
NETWORK_ATTACHMENT_ID: die ID Ihres Netzwerkanhangs.

Erweiterte Konfigurationen

Sie können denselben Netzwerkanhang für mehrere Cloud Data Fusion-Instanzen bereitstellen, um die Freigabe von Subnetzen zu ermöglichen. Wenn Sie dagegen einer bestimmten Cloud Data Fusion-Instanz ein Subnetz zuweisen möchten, müssen Sie einen bestimmten Netzwerkanhang angeben, der von der Cloud Data Fusion-Instanz verwendet werden soll.

Empfohlen: Wenn Sie eine einheitliche Firewallrichtlinie auf alle Cloud Data Fusion-Instanzen anwenden möchten, verwenden Sie denselben Netzwerkanhang.

Wenn Sie den CIDR-Block /25 steuern möchten, der für Cloud Data Fusion nicht erreichbar ist, geben Sie beim Erstellen der Instanz das Attribut unreachableCidrBlock an. Beispiel:

alias authtoken="gcloud auth print-access-token"

EDITION=EDITION
PROJECT_ID=PROJECT_ID
REGION=REGION
CDF_ID=INSTANCE_ID
NETWORK_ATTACHMENT_ID=NETWORK_ATTACHMENT_ID
UNREACHABLE_RANGE=UNREACHABLE_RANGE

read -r -d '' BODY << EOM
{
  "description": "PSC enabled instance",
  "version": "6.10",
  "type": "$EDITION",
  "privateInstance": "true",
  "networkConfig": {
    "connectionType": "PRIVATE_SERVICE_CONNECT_INTERFACES",
    "unreachableCidrBlock": "$UNREACHABLE_RANGE"
    "privateServiceConnectConfig": {
      "networkAttachment": "projects/$PROJECT_ID/regions/$REGION/networkAttachments/$NETWORK_ATTACHMENT_ID"
    }
  }
}
EOM

curl -H "Authorization: Bearer $(authtoken)" \
-H "Content-Type: application/json" \
-X POST -d "$BODY" "https://datafusion.googleapis.com/v1/projects/$PROJECT_ID/locations/$REGION/instances/?instanceId=$CDF_ID"

Ersetzen Sie Folgendes:

EDITION: die Version von Cloud Data Fusion: BASIC, DEVELOPER oder ENTERPRISE.
PROJECT_ID: die Projekt-ID.
REGION: der Name der Google Cloud-Region. Diese Region muss mit der Cloud Data Fusion-Instanz übereinstimmen.
INSTANCE_ID ist die ID Ihrer Instanz.
NETWORK_ATTACHMENT_ID: die ID Ihres Netzwerkanhangs.
UNREACHABLE_RANGE: der nicht erreichbare Bereich, z. B. 10.0.0.0/25

Sicherheit

In diesem Abschnitt wird die Sicherheit zwischen Cloud Data Fusion und Nutzern beschrieben.

Cloud Data Fusion zur Sicherheit für Nutzer

Private Service Connect-Schnittstellen unterstützen Firewallregeln für ausgehenden Traffic, um zu steuern, worauf Cloud Data Fusion in Ihrer VPC zugreifen kann. Weitere Informationen finden Sie unter Eingehenden Traffic von Producer-zu-Nutzer einschränken.

Sicherheit von Nutzer zu Cloud Data Fusion

Cloud Data Fusion-VMs mit der Private Service Connect-Schnittstelle blockieren jeglichen Traffic, der von Ihrer VPC ausgeht und kein Antwortpaket ist.