In questa sezione scoprirai come creare una configurazione di connettività privata. Questo tipo di configurazione contiene le informazioni utilizzate da Datastream per comunicare con un'origine dati su una rete privata (all'interno di Google Cloud o con origini esterne connesse tramite VPN o Interconnect). Questa comunicazione avviene tramite una connessione in peering VPC (Virtual Private Cloud).
Una connessione in peering VPC è una connessione di rete tra due VPC che ti consente di instradare il traffico tra di loro utilizzando indirizzi IPv4 interni e privati. Devi fornire gli indirizzi IP privati durante la configurazione della connettività privata perché Datastream non supporta la risoluzione del Domain Name System (DNS) nelle connessioni private.
Prima di iniziare
Prima di creare una configurazione di connettività privata, devi svolgere i seguenti passaggi per consentire a Datastream di creare la connessione di peering VPC al tuo progetto:
- Avere una rete VPC che può eseguire il peering con la rete privata di Datastream e che soddisfi i requisiti descritti come limitazioni. Per ulteriori informazioni sulla creazione di questa rete, consulta Utilizzare il peering di rete VPC.
- Identifica un intervallo IP disponibile (con un blocco CIDR di /29) sulla rete VPC. Non può essere un intervallo IP esistente come subnet, un intervallo IP preallocato per l'accesso ai servizi privati o qualsiasi route (diversa dalla route predefinita 0.0.0.0) che include l'intervallo IP. Datastream utilizza questo intervallo IP per creare una sottorete in modo da poter comunicare con il database di origine. La tabella seguente descrive gli intervalli IP validi.
| Intervallo | Descrizione |
|---|---|
10.0.0.0/8172.16.0.0/12192.168.0.0/16
|
Indirizzi IP privati RFC 1918 |
100.64.0.0/10 |
Spazio indirizzi condiviso RFC 6598 |
192.0.0.0/24 |
Assegnazioni di protocollo IETF RFC 6890 |
192.0.2.0/24 (TEST-NET-1)198.51.100.0/24 (TEST-NET-2)203.0.113.0/24 (TEST-NET-3) |
Documentazione RFC 5737 |
192.88.99.0/24 |
Relay da IPv6 a IPv4 (non più supportato) RFC 7526 |
198.18.0.0/15 |
Test di benchmark RFC 2544 |
Verifica che Google Cloud e il firewall on-premise consentano il traffico dall'intervallo IP selezionato. In caso contrario, crea una regola firewall in entrata che consenta il traffico sulla porta del database di origine e assicurati che l'intervallo di indirizzi IPv4 nella regola firewall corrisponda a quello allocato durante la creazione della risorsa di connettività privata:
gcloud compute firewall-rules create FIREWALL-RULE-NAME \ --direction=INGRESS \ --priority=PRIORITY \ --network=PRIVATE_CONNECTIVITY_VPC \ --project=VPC_PROJECT \ --action=ALLOW \ --rules=FIREWALL_RULES \ --source-ranges=IP-RANGE
Sostituisci quanto segue:
- FIREWALL-RULE-NAME: il nome della regola firewall da creare.
- PRIORITY: la priorità della regola, espressa come numero intero compreso tra 0 e 65535. Il valore deve essere inferiore a quello impostato per la regola di blocco del traffico, se esistente. I valori di priorità più bassi implicano una precedenza maggiore.
- PRIVATE_CONNECTIVITY_VPC: la rete VPC che può eseguire il peering con la rete privata di Datastream e che soddisfa i requisiti descritti come limitazioni. Si tratta della VPC specificata quando crei la configurazione di connettività privata.
- VPC_PROJECT: il progetto della rete VPC.
- FIREWALL_RULES: l'elenco di protocolli e porte a cui si applica la regola firewall, ad esempio
tcp:80. La regola deve consentire il traffico TCP all'indirizzo IP e alla porta del database di origine o del proxy. Poiché la connettività privata può supportare più database, la regola deve prendere in considerazione l'utilizzo effettivo della configurazione. IP-RANGE: l'intervallo di indirizzi IP utilizzati da Datastream per comunicare con il database di origine. Si tratta dello stesso intervallo indicato nel campo Alloca un intervallo IP quando crei la configurazione di connettività privata.
Potresti anche dover creare una regola firewall di uscita identica per consentire il ritorno del traffico a Datastream.
Sono assegnate a un ruolo che contiene l'autorizzazione
compute.networks.list. Questa autorizzazione ti fornisce le autorizzazioni IAM necessarie per elencare le reti VPC nel tuo progetto. Per sapere quali ruoli contengono questa autorizzazione, consulta il riferimento alle autorizzazioni IAM.
Prerequisiti del VPC condiviso
Se utilizzi VPC condiviso, devi completare le seguenti azioni oltre ai passaggi descritti nella sezione Prima di iniziare:
Nel progetto di servizio:
- Attiva l'API Datastream.
Recupera l'indirizzo email utilizzato per l'account di servizio Datastream. Gli account di servizio Datastream vengono creati quando esegui una delle seguenti operazioni:
- Crea una risorsa Datastream, ad esempio un profilo di connessione o uno stream.
- Crea una configurazione di connettività privata, seleziona il tuo VPC condiviso e fai clic su Crea account di servizio Datastream. L'account di servizio viene creato nel progetto host.
Per ottenere l'indirizzo email utilizzato per l'account di servizio Datastream, individua il numero di progetto nella home page della console Google Cloud. L'indirizzo email dell'account di servizio è
service-[project_number]@gcp-sa-datastream.iam.gserviceaccount.com.
Nel progetto host:
Concedi all'account di servizio Datastream l'autorizzazione del ruolo
compute.networkAdminIdentity and Access Management (IAM). Questo ruolo è obbligatorio solo quando crei il peering VPC. Una volta stabilito il peering, il ruolo non è più necessario.Se la tua organizzazione non consente la concessione dell'autorizzazione, crea un ruolo personalizzato con le seguenti autorizzazioni minime per creare ed eliminare risorse di connessione privata:
Per ulteriori informazioni sui ruoli personalizzati, vedi Creare e gestire i ruoli personalizzati.
Crea la configurazione
Esamina i prerequisiti richiesti per capire come deve essere preparato l'ambiente per una configurazione di connettività privata. Per ulteriori informazioni su questi prerequisiti, consulta la sezione Prima di iniziare.
Vai alla pagina Configurazioni di connettività privata nella Google Cloud Console.
Fai clic su CREA CONFIGURAZIONE.
Utilizza la tabella seguente per compilare i campi della sezione Configura la connettività privata della pagina Crea configurazione di connettività privata:
Campo Descrizione Nome della configurazione Inserisci il nome visualizzato della configurazione di connettività privata. ID configurazione Datastream compila questo campo automaticamente in base al nome della configurazione inserito. Puoi mantenere l'ID generato automaticamente o modificarlo. Regione Seleziona la regione in cui è archiviata la configurazione di connettività privata. Le configurazioni di connettività privata vengono salvate in una regione. La selezione della regione può influire sulla disponibilità se la regione presenta tempi di inattività.
Utilizza la tabella seguente per compilare i campi della sezione Configura connessione della pagina Crea configurazione di connettività privata:
Campo Descrizione Rete VPC autorizzata Seleziona la rete VPC che hai creato in Prima di iniziare. Alloca un intervallo IP Inserisci un intervallo IP disponibile sulla rete VPC. Hai determinato questo intervallo IP in Prima di iniziare. Fai clic su CREA.
Dopo aver creato una configurazione di connettività privata, puoi visualizzare informazioni generali e dettagliate al riguardo.
Passaggi successivi
- Scopri di più sulla connettività privata.
- Scopri come visualizzare la configurazione di connettività privata.
- Scopri come eliminare una configurazione di connettività privata.