Creazione di una configurazione di connettività privata

Panoramica

In questa sezione scoprirai come creare una configurazione di connettività privata. Questo tipo di configurazione contiene informazioni che Datastream utilizza per comunicare con un'origine dati su una rete privata (internamente in Google Cloud o con origini esterne connesse tramite VPN o Interconnect). Questa comunicazione avviene tramite una connessione in peering VPC (Virtual Private Cloud).

Una connessione in peering VPC è una connessione di rete tra due VPC che consente di instradare il traffico tra di loro utilizzando indirizzi IPv4 privati interni. Devi fornire gli indirizzi IP privati durante la configurazione della connettività privata perché Datastream non supporta la risoluzione del Domain Name System (DNS) nelle connessioni private.

Prima di iniziare

Prima di creare una configurazione di connettività privata, devi svolgere i seguenti passaggi per consentire a Datastream di creare la connessione di peering VPC al tuo progetto:

  • Avere una rete VPC in peering alla rete privata di Datastream e che soddisfi i requisiti descritti come limitazioni. Per ulteriori informazioni sulla creazione di questa rete, consulta Utilizzare il peering di rete VPC.
  • Identifica un intervallo IP disponibile (con un blocco CIDR di /29) sulla rete VPC. Non può essere un intervallo IP già esistente come subnet, un intervallo IP preallocato di accesso ai servizi privati o qualsiasi route (diversa dalla route 0.0.0.0 predefinita) che includa l'intervallo IP. Datastream utilizza questo intervallo IP per creare una subnet in modo che possa comunicare con il database di origine. La tabella seguente descrive gli intervalli IP validi.
Intervallo Descrizione
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16 		Indirizzi IP privati RFC 1918
100.64.0.0/10 Spazio indirizzi condiviso RFC 6598
192.0.0.0/24 Assegnazioni di protocollo IETF RFC 6890
192.0.2.0/24 (TEST-NET-1)
198.51.100.0/24 (TEST-NET-2)
203.0.113.0/24 (TEST-NET-3)		 Documentazione RFC 5737
192.88.99.0/24 Proxy IPv6 to IPv4 (non più supportato) RFC 7526
198.18.0.0/15 Test di benchmark RFC 2544

  • Verifica che Google Cloud e il firewall on-premise consentano il traffico dall'intervallo IP selezionato. In caso contrario, crea una regola firewall in entrata che consente il traffico sulla porta del database di origine e assicurati che il protocollo IPv4 l'intervallo di indirizzi IP nella regola firewall è uguale all'intervallo di indirizzi IP allocati durante la creazione della risorsa di connettività privata:

    gcloud compute firewall-rules create FIREWALL-RULE-NAME \
  --direction=INGRESS \
  --priority=PRIORITY \
  --network=PRIVATE_CONNECTIVITY_VPC \
  --project=VPC_PROJECT \
  --action=ALLOW \
  --rules=FIREWALL_RULES \
  --source-ranges=IP-RANGE

    Sostituisci quanto segue:

    • FIREWALL-RULE-NAME: il nome della regola firewall da creare.
    • PRIORITY: la priorità della regola, espressa come numero intero compreso tra 0 e 65535. Il valore deve essere inferiore al valore valore impostato per la regola di blocco del traffico, se esistente. I valori di priorità più bassi implicano una precedenza maggiore.
    • PRIVATE_CONNECTIVITY_VPC: la rete VPC in grado di connettersi in peering la rete privata Datastream e che soddisfi i requisiti descritte come limitazioni. Questo è il VPC che specifichi quando crei la tua connettività privata configurazione.
    • VPC_PROJECT: il progetto della rete VPC.
    • FIREWALL_RULES: l'elenco di protocolli e porte a cui si applica una regola firewall, ad esempio tcp:80. La regola deve autorizzare TCP il traffico verso l'indirizzo IP e la porta del database di origine o della proxy. Poiché la connettività privata può supportare più database, la regola deve prendere in considerazione l'utilizzo effettivo della configurazione.

    • IP-RANGE: l'intervallo di indirizzi IP utilizzati da Datastream per comunicare con il database di origine. Si tratta dello stesso intervallo indicato nel campo Alloca un intervallo IP quando crei la configurazione della connettività privata.

      Potresti anche dover creare una regola firewall di uscita identica per consentire il ritorno del traffico a Datastream.

  • Sono assegnate a un ruolo che contiene l'autorizzazione compute.networks.list. Questa autorizzazione ti fornisce le autorizzazioni IAM necessarie per elencare le reti VPC nel tuo progetto. Puoi trovare i ruoli che contengono questa autorizzazione consultando la documentazione di riferimento sulle autorizzazioni IAM.

Prerequisiti del VPC condiviso

Se utilizzi un VPC condiviso, devi completare le seguenti azioni oltre a quelli descritti nella sezione Prima di iniziare:

  1. Nel progetto di servizio:

    1. Abilitare l'API Datastream.

    2. Recupera l'indirizzo email utilizzato per l'account di servizio Datastream. Gli account di servizio Datastream vengono creati quando esegui una delle seguenti operazioni:

      • Puoi creare una risorsa Datastream, ad esempio un profilo di connessione o un flusso.
      • Crea una configurazione di connettività privata, seleziona il tuo VPC condiviso e fai clic su Crea account di servizio Datastream. L'account di servizio viene creato nel progetto host.

      Per ottenere l'indirizzo email utilizzato per l'account di servizio Datastream, individua il numero di progetto nella home page della console Google Cloud. L'indirizzo email dell'account di servizio è service-[project_number]@gcp-sa-datastream.iam.gserviceaccount.com.

  2. Nel progetto host:

    1. Concedi l'autorizzazione del ruolo Identity and Access Management (IAM) compute.networkAdmin all'account di servizio Datastream. Questo ruolo è obbligatorio solo quando crei il peering VPC. Una volta stabilito il peering, il ruolo non è più necessario.

      Se la tua organizzazione non consente la concessione dell'autorizzazione, crea un ruolo personalizzato con le seguenti autorizzazioni minime per creare ed eliminare risorse di connessione privata:

    Per saperne di più sui ruoli personalizzati, consulta Creare e gestire ruoli personalizzati.

Crea la configurazione

  1. Esamina i prerequisiti richiesti per riflettere il modo in cui l'ambiente deve essere preparato per una configurazione della connettività privata. Per ulteriori informazioni su questi prerequisiti, vedi Prima di iniziare.

  2. Vai alla pagina Configurazioni di connettività privata nella Google Cloud Console.

    Vai alla pagina delle configurazioni della connettività privata

  3. Fai clic su CREA CONFIGURAZIONE.

  4. Utilizza la seguente tabella per compilare i campi della sezione Configura la connettività privata della pagina Crea configurazione di connettività privata:

    CampoDescrizione
    Nome della configurazioneInserisci il nome visualizzato della configurazione di connettività privata.
    ID configurazioneDatastream compila automaticamente questo campo in base al nome della configurazione inserito. Puoi mantenere l'ID generato automaticamente o modificarlo.
    Regione

    Seleziona la regione in cui è archiviata la configurazione di connettività privata. Le configurazioni di connettività privata vengono salvate in una regione. La selezione della regione può influire sulla disponibilità se si verifica un tempo di inattività per la regione.

  5. Utilizza la seguente tabella per compilare i campi della sezione Configura connessione della pagina Crea configurazione di connettività privata:

    CampoDescrizione
    Rete VPC autorizzataSeleziona la rete VPC che hai creato in Prima di iniziare.
    Alloca un intervallo IPInserisci un intervallo IP disponibile sulla rete VPC. Hai determinato questo intervallo IP in Prima di iniziare.

  6. Fai clic su CREA.

Dopo aver creato una configurazione di connettività privata, puoi visualizzare informazioni generali e dettagliate al riguardo.

Passaggi successivi