Créer une configuration de connectivité privée

Présentation

Dans cette section, vous allez apprendre à créer une configuration de connectivité privée. Ce type de configuration contient des informations que Datastream utilise pour communiquer avec une source de données sur un réseau privé (en interne dans Google Cloud, ou avec des sources externes connectées via VPN ou interconnexion). Cette communication se fait via une connexion d'appairage de cloud privé virtuel (VPC).

Une connexion d'appairage de VPC est une connexion réseau entre deux VPC qui vous permet d'acheminer le trafic entre eux à l'aide d'adresses IPv4 privées internes. Vous devez fournir les adresses IP privées lorsque vous configurez la connectivité privée, car Datastream n'est pas compatible avec la résolution DNS (Domain Name System) dans les connexions privées.

Avant de commencer

Avant de créer une configuration de connectivité privée, vous devez suivre les étapes ci-dessous afin que Datastream puisse créer la connexion d'appairage de VPC avec votre projet:

Vous devez disposer d'un réseau VPC pouvant être appairé au réseau privé de Datastream et répondant aux exigences décrites sous restrictions. Pour en savoir plus sur la création de ce réseau, consultez la page Utiliser l'appairage de réseaux VPC.
Identifiez une plage d'adresses IP disponible (avec un bloc CIDR de /29) sur le réseau VPC. Il ne peut pas s'agir d'une plage d'adresses IP qui existe déjà en tant que sous-réseau, d'une plage d'adresses IP préallouée via une connexion à un service privé ni d'une sorte de plage d'adresses IP de routage pré-allouée. Datastream utilise cette plage d'adresses IP pour créer un sous-réseau afin de pouvoir communiquer avec la base de données source. Le tableau suivant décrit les plages d'adresses IP valides.

Plage	Description
`10.0.0.0/8` `172.16.0.0/12` `192.168.0.0/16`	Adresses IP privées RFC 1918
`100.64.0.0/10`	Espace d'adressage partagé RFC 6598
`192.0.0.0/24`	Attributions de protocole IETF RFC 6890
`192.0.2.0/24` (TEST-NET-1) `198.51.100.0/24` (TEST-NET-2) `203.0.113.0/24` (TEST-NET-3)	Documentation RFC 5737
`192.88.99.0/24`	Relais IPv6 vers IPv4 (obsolète) RFC 7526
`198.18.0.0/15`	Série de tests comparatifs RFC 2544

Vérifiez que Google Cloud et le pare-feu sur site autorisent le trafic provenant de la plage d'adresses IP sélectionnée. Si ce n'est pas le cas, créez une règle de pare-feu d'entrée qui autorise le trafic sur le port de base de données source. Assurez-vous ensuite que la plage d'adresses IPv4 de la règle de pare-feu est identique à celle allouée lors de la création de la ressource de connectivité privée:
```
gcloud compute firewall-rules create FIREWALL-RULE-NAME \
  --direction=INGRESS \
  --priority=PRIORITY \
  --network=PRIVATE_CONNECTIVITY_VPC \
  --project=VPC_PROJECT \
  --action=ALLOW \
  --rules=FIREWALL_RULES \
  --source-ranges=IP-RANGE
  
```
Remplacez les éléments suivants :
- FIREWALL-RULE-NAME: nom de la règle de pare-feu à créer.
- PRIORITY: priorité de la règle, exprimée sous la forme d'un entier compris entre 0 et 65 535 inclus. La valeur doit être inférieure à celle définie pour la règle de blocage du trafic, le cas échéant. Plus la valeur est faible, plus la priorité est élevée.
- PRIVATE_CONNECTIVITY_VPC: réseau VPC pouvant être appairé au réseau privé Datastream et répondant aux exigences décrites comme restrictions. Il s'agit du VPC que vous spécifiez lorsque vous créez votre configuration de connectivité privée.
- VPC_PROJECT: projet du réseau VPC.
- FIREWALL_RULES: liste des protocoles et des ports auxquels s'applique la règle de pare-feu, par exemple tcp:80. La règle doit autoriser le trafic TCP vers l'adresse IP et le port de la base de données source ou du proxy. Étant donné que la connectivité privée peut accepter plusieurs bases de données, la règle doit prendre en compte l'utilisation réelle de votre configuration.
- IP-RANGE: plage d'adresses IP utilisée par Datastream pour communiquer avec la base de données source. Il s'agit de la plage que vous indiquez dans le champ Attribuer une plage d'adresses IP lorsque vous créez votre configuration de connectivité privée.
  
  Vous devrez peut-être également créer une règle de pare-feu de sortie identique pour autoriser le trafic à revenir vers Datastream.
Vous disposez d'un rôle contenant l'autorisation compute.networks.list. Vous disposez ainsi des autorisations IAM requises pour répertorier les réseaux VPC de votre projet. Pour identifier les rôles qui contiennent cette autorisation, consultez la documentation de référence sur les autorisations IAM.

Prérequis pour le VPC partagé

Si vous utilisez un VPC partagé, vous devez effectuer les actions suivantes, en plus de celles décrites dans la section Avant de commencer:

Dans le projet de service :
1. Activez l'API Datastream.
2. Obtenez l'adresse e-mail utilisée pour le compte de service Datastream. Les comptes de service Datastream sont créés lorsque vous effectuez l'une des opérations suivantes:
  - Vous créez une ressource Datastream, telle qu'un profil de connexion ou un flux.
  - Créez une configuration de connectivité privée, sélectionnez votre VPC partagé, puis cliquez sur Créer un compte de service Datastream. Le compte de service est créé dans le projet hôte.
  Pour obtenir l'adresse e-mail utilisée pour le compte de service Datastream, recherchez le numéro de projet sur la page d'accueil de la console Google Cloud. L'adresse e-mail du compte de service est service-[project_number]@gcp-sa-datastream.iam.gserviceaccount.com.
Sur le projet hôte :
1. Attribuez le rôle IAM (Identity and Access Management) compute.networkAdmin au compte de service Datastream. Ce rôle n'est requis que lorsque vous créez l'appairage de VPC. Une fois l'appairage établi, vous n'avez plus besoin de ce rôle.
  
  Si votre organisation ne permet pas d'accorder cette autorisation, créez un rôle personnalisé avec les autorisations minimales suivantes pour créer et supprimer des ressources de connexion privée:
  compute.globalAddresses.*
  - compute.globalAddresses.create
  - compute.globalAddresses.createInternal
  - compute.globalAddresses.delete
  - compute.globalAddresses.deleteInternal
  - compute.globalAddresses.get
  compute.globalOperations.*
  - compute.globalOperations.get
  compute.networks.*
  - compute.networks.addPeering
  - compute.networks.get
  - compute.networks.listPeeringRoutes
  - compute.networks.removePeering
  - compute.networks.use
  compute.routes.*
  - compute.routes.get
  - compute.routes.list
  compute.subnetworks.*
  - compute.subnetworks.get
  - compute.subnetworks.list
Pour en savoir plus sur les rôles personnalisés, consultez Créer et gérer des rôles personnalisés.

Créer la configuration

Passez en revue les prérequis afin de comprendre la façon dont l'environnement doit être préparé pour une configuration de connectivité privée. Pour plus d'informations sur ces prérequis, consultez la section Avant de commencer.
Accédez à la page Configurations de connectivité privée dans Google Cloud Console.

Accéder à la page "Configurations de connectivité privée"
Cliquez sur CREATE CONFIGURATION (CRÉER UNE CONFIGURATION).

Utilisez le tableau suivant pour remplir les champs de la section Configurer la connectivité privée de la page Créer une configuration de connectivité privée :

Champ	Description
Nom de la configuration	Saisissez le nom à afficher de la configuration de connectivité privée.
ID de configuration	Datastream renseigne automatiquement ce champ en fonction du nom de configuration que vous saisissez. Vous pouvez conserver l'ID généré automatiquement ou le modifier.
Région	Sélectionnez la région dans laquelle la configuration de connectivité privée est stockée. Les configurations de connectivité privée sont enregistrées dans une région. Le choix de région peut avoir un impact sur la disponibilité si la région subit un temps d'arrêt. Pour utiliser une connexion privée, tous les flux et profils de connexion utilisant cette configuration doivent se trouver dans la même région.

Champ

Description

Nom de la configuration

Saisissez le nom à afficher de la configuration de connectivité privée.

ID de configuration

Datastream renseigne automatiquement ce champ en fonction du nom de configuration que vous saisissez. Vous pouvez conserver l'ID généré automatiquement ou le modifier.

Région

Sélectionnez la région dans laquelle la configuration de connectivité privée est stockée. Les configurations de connectivité privée sont enregistrées dans une région. Le choix de région peut avoir un impact sur la disponibilité si la région subit un temps d'arrêt.

Utilisez le tableau suivant pour renseigner les champs de la section Configurer la connexion sur la page Créer une configuration de connectivité privée :

Champ	Description
Réseau VPC autorisé	Sélectionnez le réseau VPC que vous avez créé dans Avant de commencer.
Allouer une plage d'adresses IP	Saisissez une plage d'adresses IP disponible sur le réseau VPC. Vous avez déterminé cette plage d'adresses IP dans la section Avant de commencer.

Cliquez sur CREATE (CRÉER).

La création de votre configuration de connectivité privée prend quelques minutes. Des ressources d'arrière-plan doivent être générées afin de pouvoir créer la configuration.

Après avoir créé une configuration de connectivité privée, vous pouvez afficher des informations générales et détaillées à son sujet.

Configurer une destination Cloud Storage

Afficher les configurations de connectivité privée