Creazione di una configurazione di connettività privata

Panoramica

In questa sezione imparerai a creare una configurazione di connettività privata. Questo tipo di configurazione contiene informazioni che Datastream utilizza per comunicare con un'origine dati su una rete privata (internamente all'interno di Google Cloud o con origini esterne connesse tramite VPN o Interconnect). Questa comunicazione avviene tramite una connessione di peering Virtual Private Cloud (VPC).

Una connessione in peering VPC è una connessione di rete tra due VPC che consente di instradare il traffico tra di loro utilizzando indirizzi IPv4 interni e privati. Devi fornire gli indirizzi IP privati durante la configurazione della connettività privata perché Datastream non supporta la risoluzione DNS (Domain Name System) nelle connessioni private.

Prima di iniziare

Prima di creare una configurazione di connettività privata, devi seguire questi passaggi affinché Datastream possa creare la connessione in peering VPC al tuo progetto:

• Avere una rete VPC in grado di eseguire il peering con la rete privata di Datastream e che soddisfi i requisiti descritti come limitazioni. Per ulteriori informazioni sulla creazione di questa rete, consulta Utilizzo del peering di rete VPC.
• Identifica un intervallo IP disponibile (con un blocco CIDR di /29) sulla rete VPC. Non può essere un intervallo IP già esistente come subnet, un intervallo IP preallocato di Private Service Connection o un qualsiasi tipo di intervallo IP di route preallocato. Datastream utilizza questo intervallo IP per creare una subnet in modo che possa comunicare con il database di origine. La tabella seguente descrive gli intervalli IP validi.

• Verifica che Google Cloud e il firewall on-premise consentano il traffico dall'intervallo IP selezionato. In caso contrario, crea una regola firewall in entrata che consenta il traffico sulla porta del database di origine e assicurati che l'intervallo di indirizzi IPv4 nella regola firewall corrisponda all'intervallo di indirizzi IP allocato durante la creazione della risorsa di connettività privata:

  gcloud compute firewall-rules create FIREWALL-RULE-NAME \
    --direction=INGRESS \
    --priority=PRIORITY \
    --network=PRIVATE_CONNECTIVITY_VPC \
    --project=VPC_PROJECT \
    --action=ALLOW \
    --rules=FIREWALL_RULES \
    --source-ranges=IP-RANGE
    

  Sostituisci quanto segue:

  • FIREWALL-RULE-NAME: il nome della regola firewall da creare.
  • PRIORITY: la priorità della regola, espressa con un numero intero compreso tra 0 e 65535 inclusi. Il valore deve essere inferiore al valore impostato per la regola di blocco del traffico, se esistente. I valori di priorità più bassi implicano una precedenza più alta.
  • PRIVATE_CONNECTIVITY_VPC: la rete VPC in grado di eseguire il peering con la rete privata Datastream e che soddisfa i requisiti descritti come limitazioni. Questo è il VPC specificato quando crei la configurazione di connettività privata.
  • VPC_PROJECT: il progetto della rete VPC.
  • FIREWALL_RULES: l'elenco di protocolli e porte a cui si applica la regola firewall, ad esempio tcp:80. La regola deve consentire il traffico TCP verso l'indirizzo IP e la porta del database di origine o del proxy. Poiché la connettività privata può supportare più database, la regola deve considerare l'utilizzo effettivo della configurazione.

  • IP-RANGE: l'intervallo di indirizzi IP che Datastream utilizza per comunicare con il database di origine. Si tratta dello stesso intervallo indicato nel campo Alloca un intervallo IP quando crei la configurazione della connettività privata.

    Potresti anche dover creare una regola firewall in uscita identica per consentire il traffico di nuovo verso Datastream.

• Vengono assegnati a un ruolo che contiene l'autorizzazione compute.networks.list. Questa autorizzazione ti concede le autorizzazioni IAM necessarie per elencare le reti VPC nel tuo progetto. Puoi trovare i ruoli contenenti questa autorizzazione consultando il riferimento sulle autorizzazioni IAM.

Prerequisiti del VPC condiviso

Se utilizzi un VPC condiviso, devi completare le seguenti azioni oltre a quelle descritte nella sezione Prima di iniziare:

1. Nel progetto di servizio:

   1. Abilitare l'API Datastream.

   2. Recupera l'indirizzo email utilizzato per l'account di servizio Datastream. Gli account di servizio Datastream vengono creati quando esegui una delle seguenti operazioni:

      • Puoi creare una risorsa Datastream, ad esempio un profilo di connessione o un flusso.
      • Crea una configurazione di connettività privata, seleziona il VPC condiviso e fai clic su Crea account di servizio Datastream. L'account di servizio viene creato nel progetto host.

      Per ottenere l'indirizzo email utilizzato per l'account di servizio Datastream, individua il numero di progetto nella home page della console Google Cloud. L'indirizzo email dell'account di servizio è service-[project_number]@gcp-sa-datastream.iam.gserviceaccount.com.

2. Nel progetto host:

   1. Concedi l'autorizzazione del ruolo compute.networkAdmin per Identity and Access Management (IAM) all'account di servizio Datastream. Questo ruolo è obbligatorio solo quando crei il peering VPC. Una volta stabilito il peering, non è più necessario questo ruolo.

      Se la tua organizzazione non consente di concedere l'autorizzazione, crea un ruolo personalizzato con le seguenti autorizzazioni minime per creare ed eliminare risorse di connessione privata:

      compute.globalAddresses.*

      • compute.globalAddresses.create
      • compute.globalAddresses.createInternal
      • compute.globalAddresses.delete
      • compute.globalAddresses.deleteInternal
      • compute.globalAddresses.get

      compute.globalOperations.*

      • compute.globalOperations.get

      compute.networks.*

      • compute.networks.addPeering
      • compute.networks.get
      • compute.networks.listPeeringRoutes
      • compute.networks.removePeering
      • compute.networks.use

      compute.routes.*

      • compute.routes.get
      • compute.routes.list

      compute.subnetworks.*

      • compute.subnetworks.get
      • compute.subnetworks.list

   Per saperne di più sui ruoli personalizzati, consulta Creare e gestire i ruoli personalizzati.

Crea la configurazione

1. Esamina i prerequisiti richiesti per riflettere il modo in cui l'ambiente deve essere preparato per una configurazione di connettività privata. Per saperne di più su questi prerequisiti, consulta Prima di iniziare.

2. Vai alla pagina Configurazioni di connettività privata nella Google Cloud Console.

   Vai alla pagina Configurazioni di connettività privata

3. Fai clic su CREA CONFIGURAZIONE.

4. Utilizza la seguente tabella per compilare i campi della sezione Configura la connettività privata della pagina Crea configurazione di connettività privata:

   Campo	Descrizione
   Nome della configurazione	Inserisci il nome visualizzato della configurazione di connettività privata.
   ID configurazione	Datastream compila automaticamente questo campo in base al nome della configurazione inserito. Puoi mantenere l'ID generato automaticamente o modificarlo.
   Regione	Seleziona la regione in cui è archiviata la configurazione di connettività privata. Le configurazioni di connettività privata vengono salvate in una regione. La selezione della regione può influire sulla disponibilità in caso di tempo di inattività per la regione.

5. Utilizza la seguente tabella per compilare i campi della sezione Configura connessione della pagina Crea configurazione di connettività privata:

   Campo	Descrizione
   Rete VPC autorizzata	Seleziona la rete VPC che hai creato in Prima di iniziare.
   Alloca un intervallo IP	Inserisci un intervallo IP disponibile nella rete VPC. Hai stabilito questo intervallo IP nella sezione Prima di iniziare.

6. Fai clic su CREA.

Dopo aver creato una configurazione di connettività privata, puoi visualizzare informazioni dettagliate e generali sulla configurazione.