Configura l'ambiente per utilizzare i pool privati in una rete VPC

Questa pagina mostra come configurare l'ambiente di rete per l'utilizzo dei pool privati in una rete VPC. Se non hai familiarità con i pool privati, consulta Panoramica dei pool privati.

Informazioni sulle opzioni di configurazione di rete

I pool privati sono ospitati in una rete Virtual Private Cloud di proprietà di Google chiamata rete del produttore di servizi. Quando configuri un pool privato, puoi scegliere per utilizzare la rete del producer di servizi o impostare una connessione privata tra la rete del producer di servizi che contiene le tue risorse.

Scegli uno dei seguenti schemi di configurazione di rete in base alle esigenze della tua organizzazione:

  • Utilizza la rete del producer di servizi da sola. Utilizza questa opzione se:

    Questa è l'opzione di rete predefinita per creare il pool privato e non non richiedono alcuna configurazione di rete. Se ti interessa questa opzione, vai a creazione del pool privato.

  • Configura una connessione privata tra la rete del producer di servizi e la tua Rete VPC: la connessione privata abilita le istanze VM in alla rete VPC e ai pool privati affinché comunichino in modo esclusivo utilizzando indirizzi IP interni. Utilizza questa opzione se:

    • vuoi che le build accedano alle risorse nella tua rete VPC
    • vuoi configurare tipi e dimensioni di macchine

Configurazione di una connessione privata tra la tua rete VPC e la rete del producer di servizi

  1. Devi avere una rete VPC esistente che utilizzerai per connetterti alla rete del producer di servizi.

  2. Per utilizzare gli esempi a riga di comando in questa guida, installa configurare Google Cloud CLI.

  3. Abilita API:

    Console


    Enable the Cloud Build and the Service Networking APIs.

    Enable the APIs

    gcloud

    Abilita le API Cloud Build e Service Networking:

    gcloud services enable cloudbuild.googleapis.com servicenetworking.googleapis.com

  4. Per ottenere le autorizzazioni necessarie per configurare una connessione privata, chiedi all'amministratore di concederti Ruolo IAM Amministratore rete Compute Engine (roles/compute.networkAdmin) nel progetto Google Cloud in cui si trova la rete VPC. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

    Potresti anche riuscire a ottenere le autorizzazioni richieste tramite la ruoli o altri ruoli predefiniti ruoli.

  5. Nella rete VPC, alloca un intervallo IP interno denominato:

    L'intervallo IP specificato qui sarà soggetto alle regole firewall definite nella rete VPC.

    Cloud Build prenota gli intervalli IP 192.168.10.0/24 e 172.17.0.0/16 per la rete di bridge Docker. Quando assegni gli intervalli IP per le risorse dei tuoi progetti, ti consigliamo di selezionare un intervallo diverso da 192.168.10.0/24 e 172.17.0.0/16 nei casi in cui i creator di Cloud Build debbano accedere a queste risorse.

    Ad esempio, l'intervallo di indirizzi del piano di controllo Google Kubernetes Engine 192.168.10.96/28 non sarebbero accessibili dallo strumento per la creazione di gke-deploy di Cloud Build alla sovrapposizione.

    Console

    1. Vai alla pagina Reti VPC nella console Google Cloud.

      Vai alla pagina Reti VPC

    2. Seleziona la rete VPC che si connetterà alla rete alla rete VPC del pool.

    3. Seleziona la scheda Accesso privato ai servizi.

    4. Nella scheda Accesso ai servizi privati, seleziona la scheda Intervalli IP allocati per i servizi.

    5. Fai clic su Alloca intervallo IP.

    6. Inserisci un Nome e una Descrizione per l'intervallo allocato.

    7. Specifica un intervallo IP per l'allocazione:

      • Per specificare un intervallo di indirizzi IP, seleziona Personalizzato e inserisci un blocco CIDR.
      • Per specificare la lunghezza del prefisso e lasciare che sia Google a selezionare un intervallo disponibile, Seleziona Automatico e inserisci la lunghezza del prefisso. Il prefisso deve essere /24 o inferiore, ad esempio /22, /21 e così via

    8. Fai clic su Assegna per creare l'intervallo allocato.

    gcloud

    Per specificare un intervallo di indirizzi e una lunghezza del prefisso (subnet mask), utilizza il metodo Flag addresses e prefix-length. La lunghezza del prefisso deve essere /24 o inferiore, come /22, /21 e così via. Ad esempio, per allocare il CIDR blocca 192.168.0.0/16, specifica 192.168.0.0 per l'indirizzo e 16 per la lunghezza del prefisso.

      gcloud compute addresses create RESERVED_RANGE_NAME \
      --global \
      --purpose=VPC_PEERING \
      --addresses=192.168.0.0 \
      --prefix-length=16 \
      --description=DESCRIPTION \
      --network=VPC_NETWORK

    Per specificare solo una lunghezza del prefisso (subnet mask), utilizza il flag prefix-length. Se ometti l'intervallo di indirizzi, Google Cloud selezionerà automaticamente un intervallo di indirizzi inutilizzato nella rete VPC. L'esempio seguente seleziona un intervallo di indirizzi IP inutilizzato con un Lunghezza del prefisso di 16 bit.

      gcloud compute addresses create RESERVED_RANGE_NAME \
      --global \
      --purpose=VPC_PEERING \
      --prefix-length=16 \
      --description=DESCRIPTION \
      --network=VPC_NETWORK

    Sostituisci i valori segnaposto nel comando con i seguenti:

    • RESERVED_RANGE_NAME: un nome per l'intervallo allocato, ad esempio my-allocated-range.
    • DESCRIPTION: una descrizione dell'intervallo, ad esempio allocated for my-service.

    • VPC_NETWORK: il nome della tua rete VPC, ad esempio my-vpc-network.

  6. Crea una connessione privata tra la rete del producer di servizi e la tua rete VPC:

    Console

    1. Vai alla pagina Reti VPC nella console Google Cloud.

      Vai alla pagina Reti VPC

    2. Seleziona la rete VPC che si connetterà alla rete VPC del pool privato.

    3. Seleziona la scheda Accesso ai servizi privati.

    4. Nella scheda Accesso privato ai servizi, seleziona Privato alla scheda Connessioni ai servizi.

    5. Fai clic su Crea connessione per creare una connessione privata tra i tuoi e la rete del producer di servizi.

    6. Per Allocazione assegnata, seleziona l'intervallo allocato creato nel passaggio precedente.

    7. Fai clic su Connetti per creare la connessione.

    gcloud

    1. Crea una connessione privata:

      gcloud services vpc-peerings connect \
    --service=servicenetworking.googleapis.com \
    --ranges=ALLOCATED_RANGE_NAME \
    --network=VPC_NETWORK \
    --project=PROJECT_ID

      Sostituisci i valori segnaposto nel comando con i seguenti:

      • ALLOCATED_RANGE_NAME: il nome dell'intervallo che ti è stato assegnato creato nel passaggio precedente.
      • VPC_NETWORK: il nome della tua rete VPC.
      • PROJECT_ID: l'ID del progetto che contiene la rete VPC.

      Il comando avvia un'operazione a lunga esecuzione, restituendo un nome dell'operazione.

    2. Controlla se l'operazione è andata a buon fine, sostituendo OPERATION_NAME con il nome dell'operazione restituito dal passaggio precedente.

      gcloud services vpc-peerings operations describe \
    --name=OPERATION_NAME

  7. [FACOLTATIVO: scenario del VPC condiviso]. Se utilizzi un VPC condiviso, per creare l'intervallo IP allocato e la connessione privata nel progetto host. In genere, le operazioni devono essere svolte da un amministratore di rete nel progetto host. Dopo aver configurato il progetto host con la connessione privata, le istanze VM nei progetti di servizio possono utilizzare la connessione privata con la rete del producer di servizi. La che ospita la connessione VPC e il progetto che contiene il pool privato deve far parte della stessa organizzazione.

  8. [FACOLTATIVO: utilizzo delle regole firewall]. Se stai creando una regola firewall in entrata nella rete VPC, specifica lo stesso intervallo IP che assegni qui nel filtro di origine per la regola in entrata.

Passaggi successivi