Descripción general
En esta sección, aprenderás a crear una configuración de conectividad privada. Este tipo de configuración contiene información que Datastream usa para comunicarse con una fuente de datos a través de una red privada (de forma interna en Google Cloud o con fuentes externas conectadas a través de VPN o Interconnect). Esta comunicación se produce a través de una conexión de intercambio de tráfico de nube privada virtual (VPC).
Una conexión de intercambio de tráfico entre VPC es una conexión de red entre dos VPC que te permite enrutar el tráfico entre ellas con direcciones IPv4 internas y privadas. Debes proporcionar las direcciones IP privadas cuando configures la configuración de conectividad privada, ya que Datastream no admite la resolución del sistema de nombres de dominio (DNS) en conexiones privadas.
Antes de comenzar
Antes de crear una configuración de conectividad privada, debes seguir los pasos que se indican a continuación para que Datastream pueda crear la conexión de intercambio de tráfico de VPC con tu proyecto:
- Tener una red de VPC que pueda intercambiar tráfico con la red privada de Datastream y que cumpla con los requisitos descritos como restricciones Para obtener más información sobre cómo crear esta red, consulta Usa el intercambio de tráfico entre redes de VPC.
- Identifica un rango de IP disponible (con un bloque CIDR de /29) en la red de VPC. No puede ser un rango de IP que ya exista como subred, un rango de IP preasignado de acceso privado a servicios ni ninguna ruta (aparte de la ruta predeterminada 0.0.0.0) que incluya el rango de IP. Datastream usa este rango de IP para crear una subred, de modo que pueda comunicarse con la base de datos de origen. En la siguiente tabla, se describen los rangos de IP válidos.
Rango | Descripción |
---|---|
10.0.0.0/8 172.16.0.0/12 192.168.0.0/16
|
Direcciones IP privadas de RFC 1918 |
100.64.0.0/10 |
Espacio de direcciones compartidas de RFC 6598 |
192.0.0.0/24 |
Asignaciones de protocolo IETF de RFC 6890 |
192.0.2.0/24 (TEST-NET-1)198.51.100.0/24 (TEST-NET-2)203.0.113.0/24 (TEST-NET-3) |
Documentación de RFC 5737 |
192.88.99.0/24 |
Retransmisión de IPv6 a IPv4 (obsoleta) de RFC 7526 |
198.18.0.0/15 |
Pruebas comparativas de RFC 2544 |
Verifica que Google Cloud y el firewall local permitan el tráfico del rango de IP seleccionado. Si no es así, crea una regla de firewall de entrada. que permite el tráfico en el puerto de la base de datos de origen y asegurarse de que la dirección de direcciones IP en la regla de firewall es el mismo que el rango de direcciones IP cuando se crea el recurso de conectividad privada:
gcloud compute firewall-rules create FIREWALL-RULE-NAME \ --direction=INGRESS \ --priority=PRIORITY \ --network=PRIVATE_CONNECTIVITY_VPC \ --project=VPC_PROJECT \ --action=ALLOW \ --rules=FIREWALL_RULES \ --source-ranges=IP-RANGE
Reemplaza lo siguiente:
- FIREWALL-RULE-NAME: Es el nombre de la regla de firewall que se creará.
- PRIORITY: La prioridad de la regla, expresada como un número entero entre 0 y 65,535, inclusive. El valor debe ser inferior al valor establecido para la regla de bloqueo de tráfico, si existe. Valores de prioridad más bajos implican una prioridad más alta.
- PRIVATE_CONNECTIVITY_VPC: La red de VPC con la que se puede intercambiar tráfico la red privada de Datastream y que cumpla con los requisitos descritos como restricciones. Esta es la VPC que especificas cuando creas tu conectividad privada actual.
- VPC_PROJECT: Es el proyecto de la red de VPC.
- FIREWALL_RULES: Es la lista de protocolos y puertos a los que se aplica la regla de firewall, por ejemplo,
tcp:80
. La regla debe permitir el tráfico de TCP a la dirección IP y al puerto de la base de datos de origen o del proxy. Debido a que la conectividad privada puede admitir varias bases de datos, la regla debe considerar el uso real de tu configuración. IP-RANGE: Es el rango de direcciones IP que usa Datastream para comunicarse con la base de datos de origen. Este es el mismo rango que indica en el campo Asignar un rango de IP cuando crees tu cuenta privada la configuración de conectividad.
También es posible que debas crear una regla de firewall de salida idéntica para permitir que el tráfico vuelva a Datastream.
Se asignan a un rol que contiene el permiso
compute.networks.list
. Este permiso te otorga los permisos de IAM necesarios para enumerar las redes de VPC de tu proyecto. Para averiguar qué roles contienen este permiso, consulta la referencia de permisos de IAM.
Requisitos previos de la VPC compartida
Si usas una VPC compartida, debes completar las siguientes acciones, además de los pasos que se describen en la sección Antes de comenzar:
En el proyecto de servicio:
- Habilita la API de Datastream.
Obtén la dirección de correo electrónico que se usa para la cuenta de servicio de Datastream. Las cuentas de servicio de Datastream se crean cuando realizas una de las siguientes acciones:
- Creas un recurso de Datastream, como un perfil de conexión o una transmisión.
- Creas una configuración de conectividad privada, seleccionas tu VPC compartida y haces clic en Create Datastream Service Account. La cuenta de servicio se crea en el proyecto host.
Para obtener la dirección de correo electrónico que se usa para la cuenta de servicio de Datastream, busca el Número de proyecto en la página principal de la consola de Google Cloud. La dirección de correo electrónico de la cuenta de servicio es
service-[project_number]@gcp-sa-datastream.iam.gserviceaccount.com
.
En el proyecto host, haz lo siguiente:
Otorga el permiso de rol de administración de identidades y accesos (IAM)
compute.networkAdmin
a la cuenta de servicio de Datastream. Esta función solo es necesaria cuando creas el intercambio de tráfico entre VPC. Una vez establecido el intercambio de tráfico, ya no necesitarás el rol.Si tu organización no permite otorgar el permiso, crea un rol personalizado con los siguientes permisos mínimos para crear y borrar recursos de conexión privada:
Para obtener más información sobre los roles personalizados, consulta Crea y administra roles personalizados.
Crea la configuración
Revisa los requisitos previos necesarios para reflejar cómo se debe preparar el entorno para una configuración de conectividad privada. Para obtener más información sobre estos requisitos previos, consulta Antes de comenzar.
Ve a la página Configuración de conectividad privada en la consola de Google Cloud.
Haga clic en CREAR CONFIGURACIÓN.
Usa la siguiente tabla para propagar los campos de la sección Configurar conectividad privada de la página Crear configuración de conectividad privada:
Campo Descripción Nombre de la configuración Ingresa el nombre visible de la configuración de conectividad privada. ID de configuración Datastream propaga este campo automáticamente según el nombre de la configuración que ingreses. Puedes conservar el ID generado automáticamente o cambiarlo. Región Selecciona la región en la que se almacena la configuración de conectividad privada. Las configuraciones de conectividad privada se guardan en una región. La selección de la región puede afectar la disponibilidad si la región experimenta tiempo de inactividad.
Usa la siguiente tabla para completar los campos de la sección Configurar conexión de la página Crear configuración de conectividad privada:
Campo Descripción Red de VPC autorizada Selecciona la red de VPC que creaste en Antes de comenzar. Asigna un rango de IP Ingresa un rango de IP disponible en la red de VPC. Determinaste este rango de IP en Antes de comenzar. Haz clic en CREAR.
Después de crear una configuración de conectividad privada, puedes ver información detallada y de alto nivel sobre ella.
¿Qué sigue?
- Obtén más información sobre la conectividad privada.
- Obtén más información para ver tu configuración de conectividad privada.
- Descubre cómo borrar una configuración de conectividad privada.