Créer une configuration de connectivité privée

Présentation

Dans cette section, vous allez apprendre à créer une configuration de connectivité privée. Ce type de configuration contient des informations que Datastream utilise pour communiquer avec une source de données sur un réseau privé (en interne dans Google Cloud, ou avec des sources externes connectées via VPN ou interconnexion). Cette communication se fait via une connexion d'appairage de cloud privé virtuel (VPC).

Une connexion d'appairage de VPC est une connexion réseau entre deux VPC qui vous permet d'acheminer le trafic entre eux à l'aide d'adresses IPv4 privées internes. Vous devez fournir les adresses IP privées lorsque vous configurez la connectivité privée, car Datastream n'est pas compatible avec la résolution DNS (Domain Name System) dans les connexions privées.

Avant de commencer

Avant de créer une configuration de connectivité privée, vous devez suivre les étapes ci-dessous pour que Datastream puisse créer la connexion d'appairage de VPC vers votre projet:

  • Vous devez disposer d'un réseau VPC pouvant être appairé au réseau privé de Datastream et répondant aux exigences décrites dans les restrictions. Pour en savoir plus sur la création de ce réseau, consultez la page Utiliser l'appairage de réseaux VPC.
  • Identifiez une plage d'adresses IP disponible (avec un bloc CIDR de /29) sur le réseau VPC. Il ne peut pas s'agir d'une plage d'adresses IP qui existe déjà en tant que sous-réseau, d'une plage d'adresses IP préallouée pour l'accès aux services privés ni de toute route (autre que la route par défaut 0.0.0.0) qui inclut la plage d'adresses IP. Datastream utilise cette plage d'adresses IP pour créer un sous-réseau afin de pouvoir communiquer avec la base de données source. Le tableau suivant décrit les plages d'adresses IP valides.
Plage Description
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
Adresses IP privées RFC 1918
100.64.0.0/10 Espace d'adressage partagé RFC 6598
192.0.0.0/24 Attributions de protocole IETF RFC 6890
192.0.2.0/24 (TEST-NET-1)
198.51.100.0/24 (TEST-NET-2)
203.0.113.0/24 (TEST-NET-3)
Documentation RFC 5737
192.88.99.0/24 Relais IPv6 vers IPv4 (obsolète) RFC 7526
198.18.0.0/15 Série de tests comparatifs RFC 2544
  • Vérifiez que Google Cloud et le pare-feu sur site autorisent le trafic provenant de la plage d'adresses IP sélectionnée. Si ce n'est pas le cas, créez une règle de pare-feu d'entrée. qui autorise le trafic sur le port de base de données source, et assurez-vous que l'adresse IPv4 plage d'adresses IP de la règle de pare-feu est identique à la plage d'adresses IP allouée lors de la création de la ressource de connectivité privée:

    gcloud compute firewall-rules create FIREWALL-RULE-NAME \
      --direction=INGRESS \
      --priority=PRIORITY \
      --network=PRIVATE_CONNECTIVITY_VPC \
      --project=VPC_PROJECT \
      --action=ALLOW \
      --rules=FIREWALL_RULES \
      --source-ranges=IP-RANGE
      

    Remplacez les éléments suivants :

    • FIREWALL-RULE-NAME : nom de la règle de pare-feu à créer.
    • PRIORITY : priorité de la règle, exprimée sous la forme d'un entier compris entre 0 et 65 535 inclus. La valeur doit être inférieure à celle définie pour la règle de blocage du trafic, le cas échéant. Valeurs de priorité inférieure impliquent une priorité plus élevée.
    • PRIVATE_CONNECTIVITY_VPC : réseau VPC pouvant être appairé au réseau privé de Datastream et qui répond aux exigences décrites comme des restrictions. Il s'agit du VPC que vous spécifiez lorsque vous créez votre configuration de connectivité privée.
    • VPC_PROJECT: projet du réseau VPC.
    • FIREWALL_RULES: liste des protocoles et des ports auxquels une règle de pare-feu s'applique, par exemple tcp:80. La règle doit autoriser le protocole TCP le trafic vers l'adresse IP et le port de la base de données source, ou de la proxy. Étant donné que la connectivité privée peut prendre en charge plusieurs bases de données, la règle doit tenir compte de l'utilisation réelle de votre configuration.
    • IP-RANGE : plage d'adresses IP utilisée par Datastream pour communiquer avec la base de données source. C'est la même plage que indiquer dans le champ Attribuer une plage d'adresses IP lorsque vous créez votre mode privé configuration de la connectivité.

      Vous devrez peut-être également créer une règle de pare-feu de sortie identique pour autoriser le trafic vers Datastream.

  • Vous disposez d'un rôle contenant l'autorisation compute.networks.list. Vous disposez ainsi des autorisations IAM requises pour répertorier les réseaux VPC de votre projet. Pour connaître les rôles qui contiennent cette autorisation, consultez la documentation de référence sur les autorisations IAM.

Conditions préalables liées au VPC partagé

Si vous utilisez un VPC partagé, vous devez effectuer les actions suivantes en plus de celles décrites dans la section Avant de commencer :

  1. Dans le projet de service :

    1. Activez l'API Datastream.
    2. Obtenez l'adresse e-mail utilisée pour le compte de service Datastream. Les comptes de service Datastream sont créés lorsque vous effectuez l'une des opérations suivantes :

      • Vous créez une ressource Datastream, telle qu'un profil de connexion ou un flux.
      • Vous créez une configuration de connectivité privée, sélectionnez votre VPC partagé, puis cliquez sur Créer un compte de service Datastream. Le compte de service est créé dans le projet hôte.

      Pour obtenir l'adresse e-mail utilisée pour le compte de service Datastream, recherchez le numéro du projet sur la page d'accueil de la console Google Cloud. L'adresse e-mail du compte de service est service-[project_number]@gcp-sa-datastream.iam.gserviceaccount.com.

  2. Sur le projet hôte :

    1. Accordez le rôle IAM (Identity and Access Management) compute.networkAdmin au compte de service Datastream. Ce rôle n'est requis que lorsque vous créez l'appairage de VPC. Une fois l'association établie, vous n'avez plus besoin de ce rôle.

      Si votre organisation ne permet pas d'accorder l'autorisation, créez un rôle personnalisé doté des autorisations minimales suivantes pour créer et supprimer des ressources de connexion privées :

    Pour en savoir plus sur les rôles personnalisés, consultez Créer et gérer des rôles personnalisés.

Créer la configuration

  1. Passez en revue les prérequis afin de comprendre la façon dont l'environnement doit être préparé pour une configuration de connectivité privée. Pour plus d'informations sur ces prérequis, consultez la section Avant de commencer.

  2. Accédez à la page Configurations de connectivité privée dans Google Cloud Console.

    Accéder à la page "Configurations de connectivité privée"

  3. Cliquez sur CREATE CONFIGURATION (CRÉER UNE CONFIGURATION).

  4. Utilisez le tableau suivant pour remplir les champs de la section Configurer la connectivité privée de la page Créer une configuration de connectivité privée :

    ChampDescription
    Nom de la configurationSaisissez le nom à afficher de la configuration de connectivité privée.
    ID de configurationDatastream renseigne automatiquement ce champ en fonction du nom de configuration que vous saisissez. Vous pouvez conserver l'ID généré automatiquement ou le modifier.
    Région

    Sélectionnez la région dans laquelle la configuration de connectivité privée est stockée. Les configurations de connectivité privée sont enregistrées dans une région. Le choix de région peut avoir un impact sur la disponibilité si la région subit un temps d'arrêt.

  5. Utilisez le tableau suivant pour renseigner les champs de la section Configurer la connexion sur la page Créer une configuration de connectivité privée :

    ChampDescription
    Réseau VPC autoriséSélectionnez le réseau VPC que vous avez créé dans Avant de commencer.
    Allouer une plage d'adresses IPSaisissez une plage d'adresses IP disponible sur le réseau VPC. Vous avez déterminé cette plage d'adresses IP dans la section Avant de commencer.
  6. Cliquez sur CREATE (CRÉER).

Après avoir créé une configuration de connectivité privée, vous pouvez afficher des informations générales et détaillées à son sujet.

Étape suivante