Panoramica
In questa sezione imparerai a creare una configurazione di connettività privata. Questo tipo di configurazione contiene informazioni che Datastream utilizza per comunicare con un'origine dati su una rete privata (internamente in Google Cloud o con origini esterne connesse tramite VPN o Interconnect). Questa comunicazione avviene attraverso una connessione in peering Virtual Private Cloud (VPC).
Una connessione in peering VPC è una connessione di rete tra due VPC che consente di instradare il traffico tra di loro utilizzando indirizzi IPv4 privati interni. Quando imposti la configurazione della connettività privata, devi fornire gli indirizzi IP privati perché Datastream non supporta la risoluzione DNS (Domain Name System) nelle connessioni private.
Prima di iniziare
Prima di creare una configurazione di connettività privata, devi seguire questi passaggi in modo che Datastream possa creare la connessione in peering VPC al tuo progetto:
- Avere una rete VPC in grado di connettersi in peering con la rete privata di Datastream e che soddisfi i requisiti descritti come limitazioni. Per ulteriori informazioni sulla creazione di questa rete, consulta Utilizzo del peering di rete VPC.
- Identifica un intervallo IP disponibile (con un blocco CIDR di /29) sulla rete VPC. Non può essere un intervallo IP già esistente come subnet, un intervallo IP preallocato di accesso ai servizi privati o qualsiasi route (diversa dalla route 0.0.0.0 predefinita) che includa l'intervallo IP. Datastream utilizza questo intervallo IP per creare una subnet in modo che possa comunicare con il database di origine. La seguente tabella descrive gli intervalli IP validi.
| Intervallo | Descrizione |
|---|---|
10.0.0.0/8172.16.0.0/12192.168.0.0/16
|
Indirizzi IP privati RFC 1918 |
100.64.0.0/10 |
Spazio di indirizzi condivisi RFC 6598 |
192.0.0.0/24 |
Assegnazioni del protocollo IETF RFC 6890 |
192.0.2.0/24 (TEST.NET-1)198.51.100.0/24 (TEST.NET-2)203.0.113.0/24 (TEST-NET-3) |
Documentazione RFC 5737 |
192.88.99.0/24 |
Inoltro da IPv6 a IPv4 (deprecato) RFC 7526 |
198.18.0.0/15 |
Test di benchmark RFC 2544 |
Verifica che Google Cloud e il firewall on-premise consentano il traffico dal nell'intervallo IP selezionato. In caso contrario, crea una regola firewall in entrata che consente il traffico sulla porta del database di origine e assicurati che il protocollo IPv4 l'intervallo di indirizzi IP nella regola firewall è uguale all'intervallo di indirizzi IP allocati durante la creazione della risorsa di connettività privata:
gcloud compute firewall-rules create FIREWALL-RULE-NAME \ --direction=INGRESS \ --priority=PRIORITY \ --network=PRIVATE_CONNECTIVITY_VPC \ --project=VPC_PROJECT \ --action=ALLOW \ --rules=FIREWALL_RULES \ --source-ranges=IP-RANGE
Sostituisci quanto segue:
- FIREWALL-RULE-NAME: il nome della regola firewall da creare.
- PRIORITY: la priorità della regola, espressa come numero intero tra 0 e 65535 inclusi. Il valore deve essere inferiore al valore valore impostato per la regola di blocco del traffico, se esistente. Valori di priorità più bassi implicano una precedenza più alta.
- PRIVATE_CONNECTIVITY_VPC: la rete VPC in grado di connettersi in peering la rete privata Datastream e che soddisfi i requisiti descritte come limitazioni. Questo è il VPC che specifichi quando crei la tua connettività privata configurazione.
- VPC_PROJECT: il progetto della rete VPC.
- FIREWALL_RULES: l'elenco di protocolli e porte a cui
si applica una regola firewall, ad esempio
tcp:80. La regola deve autorizzare TCP il traffico verso l'indirizzo IP e la porta del database di origine, oppure del proxy. Poiché la connettività privata può supportare più database, deve considerare l'utilizzo effettivo della configurazione. IP-RANGE: l'intervallo di indirizzi IP che Datastream per comunicare con il database di origine. Si tratta dello stesso intervallo nel campo Alloca un intervallo IP quando crei il tuo configurazione della connettività.
Potresti anche dover creare una regola firewall in uscita identica per consentire di ritorno a Datastream.
Vengono assegnati a un ruolo che contiene l'autorizzazione
compute.networks.list. Questa autorizzazione ti concede le autorizzazioni IAM necessarie per elencare le reti VPC nel tuo progetto. Puoi trovare i ruoli che contengono questa autorizzazione consultando la documentazione di riferimento sulle autorizzazioni IAM.
Prerequisiti per il VPC condiviso
Se utilizzi un VPC condiviso, devi completare le seguenti azioni oltre a quelli descritti nella sezione Prima di iniziare:
Nel progetto di servizio:
- Abilitare l'API Datastream.
Recupera l'indirizzo email utilizzato per l'account di servizio Datastream. Gli account di servizio Datastream vengono creati quando esegui una delle seguenti operazioni:
- Puoi creare una risorsa Datastream, ad esempio un profilo di connessione o un flusso.
- Crea una configurazione di connettività privata, seleziona il VPC condiviso e fai clic su Crea account di servizio Datastream. L'account di servizio viene creato nel progetto host.
Per ottenere l'indirizzo email utilizzato per l'account di servizio Datastream, individua il numero di progetto nella home page della console Google Cloud. L'indirizzo email dell'account di servizio è
service-[project_number]@gcp-sa-datastream.iam.gserviceaccount.com.
Nel progetto host:
Concedi l'autorizzazione del ruolo Identity and Access Management (IAM)
compute.networkAdminall'account di servizio Datastream. Questo ruolo è richiesto solo quando crei il peering VPC. Una volta stabilito il peering, il ruolo non è più necessario.Se la tua organizzazione non consente di concedere l'autorizzazione, crea un ruolo personalizzato con le seguenti autorizzazioni minime per creare ed eliminare le risorse di connessione privata:
Per saperne di più sui ruoli personalizzati, consulta Creare e gestire ruoli personalizzati.
Crea la configurazione
Esamina i prerequisiti richiesti per riflettere il modo in cui l'ambiente deve essere preparato per una configurazione della connettività privata. Per ulteriori informazioni su questi prerequisiti, vedi Prima di iniziare.
Vai alla pagina Configurazioni di connettività privata nella Google Cloud Console.
Vai alla pagina delle configurazioni della connettività privata
Fai clic su CREA CONFIGURAZIONE.
Utilizza la seguente tabella per compilare i campi della sezione Configura la connettività privata della pagina Crea configurazione di connettività privata:
Campo Descrizione Nome della configurazione Inserisci il nome visualizzato della configurazione di connettività privata. ID configurazione Datastream compila questo campo automaticamente in base al nome della configurazione che inserisci. Puoi mantenere l'ID generato automaticamente o modificarlo. Regione Seleziona la regione in cui è archiviata la configurazione della connettività privata. Le configurazioni di connettività privata vengono salvate in una regione. La selezione della regione può influire sulla disponibilità se si verifica un tempo di inattività per la regione.
Utilizza la seguente tabella per compilare i campi della sezione Configura connessione della pagina Crea configurazione di connettività privata:
Campo Descrizione Rete VPC autorizzata Seleziona la rete VPC che hai creato in Prima di iniziare. Alloca un intervallo IP Inserisci un intervallo IP disponibile sulla rete VPC. Hai determinato questo intervallo IP nella sezione Prima di iniziare. Fai clic su CREA.
Dopo aver creato una configurazione di connettività privata, puoi visualizzare informazioni dettagliate e di alto livello al riguardo.