Visão geral
Nesta seção, você aprende a criar uma configuração de conectividade particular. Esse tipo de configuração contém informações que o Datastream usa para se comunicar com uma fonte de dados em uma rede privada (internamente no Google Cloud ou com fontes externas conectadas por VPN ou Interconnect). Essa comunicação acontece por meio de uma conexão de peering de nuvem privada virtual (VPC).
Uma conexão de peering de VPC é uma conexão de rede entre duas VPCs que permite rotear o tráfego entre elas usando endereços IPv4 internos particulares. É necessário fornecer os endereços IP particulares ao configurar a conectividade privada, porque o Datastream não oferece suporte à resolução do Sistema de Nomes de Domínio (DNS) em conexões particulares.
Antes de começar
Antes de criar uma configuração de conectividade particular, siga as etapas abaixo para que o Datastream crie a conexão de peering de VPC com seu projeto:
- ter uma rede VPC que possa fazer peering com a rede privada do Datastream e que atenda aos requisitos descritos como restrições; Para mais informações sobre como criar essa rede, consulte Como usar o Peering de redes VPC.
- Identifique um intervalo de IP disponível (com um bloco CIDR de /29) na rede VPC. Não pode ser um intervalo de IP que já exista como uma sub-rede, um intervalo de IP pré-alocado do acesso a serviços particulares ou qualquer rota (exceto a rota padrão 0.0.0.0) que inclua o intervalo de IP. O Datastream usa esse intervalo de IP para criar uma sub-rede e se comunicar com o banco de dados de origem. A tabela a seguir descreve os intervalos de IP válidos.
Intervalo | Descrição |
---|---|
10.0.0.0/8 172.16.0.0/12 192.168.0.0/16
|
Endereços IP privados RFC 1918 |
100.64.0.0/10 |
Espaço de endereços compartilhado RFC 6598 |
192.0.0.0/24 |
Atribuições do protocolo IETF RFC 6890 |
192.0.2.0/24 (TEST-NET-1)198.51.100.0/24 (TEST-NET-2)203.0.113.0/24 (TEST-NET-3) |
Documentação RFC 5737 |
192.88.99.0/24 |
Retransmissão IPv6 para IPv4 (obsoleta) RFC 7526 |
198.18.0.0/15 |
Teste de comparativo de mercado RFC 2544 |
Verifique se o Google Cloud e o firewall local permitem o tráfego do intervalo de IP selecionado. Caso contrário, crie uma regra de firewall de entrada. que permita o tráfego na porta do banco de dados de origem o intervalo de endereços na regra de firewall é igual ao intervalo de endereços IP alocada ao criar o recurso de conectividade particular:
gcloud compute firewall-rules create FIREWALL-RULE-NAME \ --direction=INGRESS \ --priority=PRIORITY \ --network=PRIVATE_CONNECTIVITY_VPC \ --project=VPC_PROJECT \ --action=ALLOW \ --rules=FIREWALL_RULES \ --source-ranges=IP-RANGE
Substitua:
- FIREWALL-RULE-NAME: o nome da regra de firewall a ser criada.
- PRIORITY: a prioridade da regra, expressa como um número inteiro entre 0 e 65.535. O valor precisa ser menor que o definido para a regra de bloqueio de tráfego, se houver. Valores de prioridade mais baixos implicam precedência mais alta.
- PRIVATE_CONNECTIVITY_VPC: a rede VPC que pode fazer peering com à rede privada do Datastream e que atenda aos requisitos descritos como restrições. Essa é a VPC que você especifica ao criar sua configuração de conectividade particular.
- VPC_PROJECT: o projeto da rede VPC.
- FIREWALL_RULES: a lista de protocolos e portas em que o
regra de firewall é aplicável, por exemplo,
tcp:80
. A regra precisa permitir o tráfego TCP o tráfego para o endereço IP e a porta do banco de dados de origem ou do proxy. Como a conectividade particular pode oferecer suporte a vários bancos de dados, a regra precisa considerar o uso real da configuração. IP-RANGE: o intervalo de endereços IP que o Datastream usa para se comunicar com o banco de dados de origem. Esse é o mesmo intervalo que você indica no campo Alocar um intervalo de IP ao criar sua configuração de conectividade particular.
Talvez também seja necessário criar uma regra de firewall de saída idêntica para permitir o tráfego de volta para o Datastream.
São atribuídas a um papel que contém a permissão
compute.networks.list
. Essa permissão fornece as permissões do IAM necessárias para listar redes VPC no projeto. Para saber quais papéis contêm essa permissão, consulte a referência de permissões do IAM.
Pré-requisitos da VPC compartilhada
Se você estiver usando a VPC compartilhada, realize as seguintes ações além das etapas descritas na seção Antes de começar:
No projeto de serviço:
- Ative a API Datastream.
Encontre o endereço de e-mail usado para a conta de serviço do Datastream. As contas de serviço do Datastream são criadas quando você realiza uma das seguintes ações:
- Você cria um recurso do Datastream, como um perfil de conexão ou um fluxo.
- Crie uma configuração de conectividade particular, selecione a VPC compartilhada e clique em Criar conta de serviço do Datastream. A conta de serviço é criada no projeto host.
Para encontrar o endereço de e-mail usado na conta de serviço do Datastream, encontre o Número do projeto na página inicial do console do Google Cloud. O endereço de e-mail da conta de serviço é
service-[project_number]@gcp-sa-datastream.iam.gserviceaccount.com
.
No projeto host:
Conceda a permissão do papel
compute.networkAdmin
Identity and Access Management (IAM) à conta de serviço do Datastream. Esse papel só é necessário quando você cria o peering da VPC. Depois que o peering for estabelecido, o papel não será mais necessário.Se a sua organização não permitir a concessão da permissão, crie um papel personalizado com as seguintes permissões mínimas para criar e excluir recursos de conexão particulares:
Para mais informações sobre funções personalizadas, consulte Criar e gerenciar funções personalizadas.
Criar a configuração
Revise os pré-requisitos para refletir como o ambiente precisa estar preparado para uma configuração de conectividade privada. Para mais informações sobre esses pré-requisitos, consulte Antes de começar.
Acesse a página Configurações de conectividade privada no Console do Google Cloud.
Acessar a página "Configurações de conectividade particular"
Clique em CRIAR CONFIGURAÇÕES.
Use a tabela a seguir para preencher os campos da seção Configurar conectividade privada da página Criar configuração de conectividade privada:
Campo Descrição Nome da configuração Digite o nome de exibição da configuração de conectividade particular. ID de configuração O Datastream preenche esse campo automaticamente com base no nome de configuração inserido. É possível manter o ID gerado automaticamente ou alterá-lo. Região Selecione a região em que a configuração de conectividade privada está armazenada. As configurações de conectividade particular são salvas em uma região. A seleção da região pode afetar a disponibilidade se a região passar por um período de inatividade.
.Use a tabela a seguir para preencher os campos da seção Configurar conexão da página Criar configuração de conectividade privada:
Campo Descrição Rede VPC autorizada Selecione a rede VPC criada em Antes de começar. Aloque um intervalo de IP Aloque um intervalo de IP disponível na rede VPC. Você determinou esse intervalo de IP em Antes de começar. Clique em CRIAR.
Depois de criar uma configuração de conectividade privada, é possível visualizar informações detalhadas e de alto nível sobre ela.
A seguir
- Saiba mais sobre conexão privada.
- Saiba como acessar a configuração de conectividade privada.
- Saiba como excluir uma configuração de conectividade particular.