Crear una configuración de conectividad privada

Descripción general

En esta sección, aprenderás a crear una configuración de conectividad privada. Este tipo de configuración contiene información que Datastream usa para comunicarse con una fuente de datos a través de una red privada (de forma interna en Google Cloud o con fuentes externas conectadas a través de VPN o Interconnect). Esta comunicación se realiza a través de una conexión de intercambio de tráfico de nube privada virtual (VPC).

Una conexión de intercambio de tráfico entre redes de VPC es una conexión de red entre dos VPC que te permite enrutar el tráfico entre ellas con direcciones IPv4 privadas internas. Debes proporcionar las direcciones IP privadas cuando establezcas la configuración de conectividad privada, ya que Datastream no admite la resolución del sistema de nombres de dominio (DNS) en las conexiones privadas.

Antes de comenzar

Antes de crear una configuración de conectividad privada, debes seguir estos pasos para que Datastream pueda crear la conexión de intercambio de tráfico entre redes de VPC en tu proyecto:

Debes tener una red de VPC que pueda intercambiar tráfico con la red privada de Datastream y que cumpla con los requisitos descritos como restricciones. Para obtener más información sobre cómo crear esta red, consulta Usa el intercambio de tráfico entre redes de VPC.
Identifica un rango de IP disponible (con un bloque CIDR de /29) en la red de VPC. No puede ser un rango de IP que ya exista como una subred, un rango de IP preasignado de conexión de servicio privado o cualquier tipo de rango de IP de ruta asignado previamente. Datastream usa este rango de IP para crear una subred que pueda comunicarse con la base de datos de origen. En la siguiente tabla, se describen los rangos de IP válidos.

Rango	Descripción
`10.0.0.0/8` `172.16.0.0/12` `192.168.0.0/16`	Direcciones IP privadas de RFC 1918
`100.64.0.0/10`	Espacio de direcciones compartidas de RFC 6598
`192.0.0.0/24`	Asignaciones de protocolo IETF de RFC 6890
`192.0.2.0/24` (TEST-NET-1) `198.51.100.0/24` (TEST-NET-2) `203.0.113.0/24` (TEST-NET-3)	Documentación de RFC 5737
`192.88.99.0/24`	Retransmisión de IPv6 a IPv4 (obsoleta) de RFC 7526
`198.18.0.0/15`	Pruebas comparativas de RFC 2544

Verifica que Google Cloud y el firewall local permitan el tráfico desde el rango de IP seleccionado. Si no es así, crea una regla de firewall de entrada que permita el tráfico en el puerto de la base de datos de origen y asegúrate de que el rango de direcciones IPv4 en la regla de firewall sea el mismo que el rango de direcciones IP asignado cuando creaste el recurso de conectividad privada:
```
gcloud compute firewall-rules create FIREWALL-RULE-NAME \
  --direction=INGRESS \
  --priority=PRIORITY \
  --network=PRIVATE_CONNECTIVITY_VPC \
  --project=VPC_PROJECT \
  --action=ALLOW \
  --rules=FIREWALL_RULES \
  --source-ranges=IP-RANGE
  
```
Reemplaza lo siguiente:
- FIREWALL-RULE-NAME: El nombre de la regla de firewall que se creará.
- PRIORITY: La prioridad de la regla, expresada como un número entero entre 0 y 65,535, inclusive. El valor debe ser menor que el establecido para la regla de bloqueo de tráfico, si existe. Los valores de prioridad más bajos implican una prioridad más alta.
- PRIVATE_CONNECTIVITY_VPC: Es la red de VPC que puede intercambiar tráfico con la red privada de Datastream y que cumple con los requisitos descritos como restricciones. Esta es la VPC que especificas cuando creas tu configuración de conectividad privada.
- VPC_PROJECT: Es el proyecto de la red de VPC.
- FIREWALL_RULES: La lista de protocolos y puertos a los que se aplica la regla de firewall, por ejemplo, tcp:80 La regla debe permitir el tráfico de TCP a la dirección IP y al puerto de la base de datos de origen o del proxy. Debido a que la conectividad privada puede admitir varias bases de datos, la regla debe considerar el uso real de tu configuración.
- IP-RANGE: Es el rango de direcciones IP que usa Datastream para comunicarse con la base de datos de origen. Este es el mismo rango que indicas en el campo Asigna un rango de IP cuando creas tu configuración de conectividad privada.
  
  Es posible que también debas crear una regla de firewall de salida idéntica para permitir que el tráfico vuelva a Datastream.
Se asignan a un rol que contiene el permiso compute.networks.list. Este permiso te otorga los permisos de IAM necesarios para enumerar las redes de VPC de tu proyecto. Para saber qué roles contienen este permiso, consulta la referencia de permisos de IAM.

Requisitos previos de la VPC compartida

Si usas una VPC compartida, debes realizar las siguientes acciones, además de los pasos descritos en la sección Antes de comenzar:

En el proyecto de servicio, haz lo siguiente:
1. Habilita la API de Datastream.
2. Obtén la dirección de correo electrónico que se usa para la cuenta de servicio de Datastream. Las cuentas de servicio de Datastream se crean cuando realizas una de las siguientes acciones:
  - Creas un recurso de Datastream, como un perfil de conexión o una transmisión.
  - Crea una configuración de conectividad privada, selecciona tu VPC compartida y haz clic en Crear cuenta de servicio de Datastream. La cuenta de servicio se crea en el proyecto host.
  Si quieres obtener la dirección de correo electrónico que se usa para la cuenta de servicio de Datastream, busca el número de proyecto en la página principal de la consola de Google Cloud. La dirección de correo electrónico de la cuenta de servicio es service-[project_number]@gcp-sa-datastream.iam.gserviceaccount.com.
En el proyecto host, haz lo siguiente:
1. Otorga el permiso de rol de Identity and Access Management (IAM) compute.networkAdmin a la cuenta de servicio de Datastream. Esta función solo es necesaria cuando creas el intercambio de tráfico entre VPC. Una vez establecido el intercambio de tráfico, ya no necesitas la función.
  
  Si tu organización no permite otorgar el permiso, crea un rol personalizado con los siguientes permisos mínimos para crear y borrar recursos de conexión privada:
  compute.globalAddresses.*
  - compute.globalAddresses.create
  - compute.globalAddresses.createInternal
  - compute.globalAddresses.delete
  - compute.globalAddresses.deleteInternal
  - compute.globalAddresses.get
  compute.globalOperations.*
  - compute.globalOperations.get
  compute.networks.*
  - compute.networks.addPeering
  - compute.networks.get
  - compute.networks.listPeeringRoutes
  - compute.networks.removePeering
  - compute.networks.use
  compute.routes.*
  - compute.routes.get
  - compute.routes.list
  compute.subnetworks.*
  - compute.subnetworks.get
  - compute.subnetworks.list
Para obtener más información sobre los roles personalizados, consulta Crea y administra roles personalizados.

Crea la configuración

Revisa los requisitos previos necesarios para reflejar cómo se debe preparar el entorno para una configuración de conectividad privada. Para obtener más información sobre estos requisitos previos, consulta Antes de comenzar.
Ve a la página Configuración de conectividad privada en la consola de Google Cloud.

Ir a la página Configuración de conectividad privada
Haga clic en CREAR CONFIGURACIÓN.

Usa la siguiente tabla para propagar los campos de la sección Configura la conectividad privada de la página Crear la configuración de conectividad privada:

Campo	Descripción
Nombre de la configuración	Ingresa el nombre visible de la configuración de conectividad privada.
ID de configuración	Datastream propaga este campo automáticamente según el nombre de la configuración que ingreses. Puedes conservar el ID generado automáticamente o cambiarlo.
Región	Selecciona la región en la que se almacena la configuración de conectividad privada. Los parámetros de configuración de conectividad privada se guardan en una región. La selección de la región puede afectar la disponibilidad si la región experimenta tiempo de inactividad. Para usar una conexión privada, las transmisiones y los perfiles de conexión que usen esta configuración deben estar en la misma región.

Campo

Descripción

Nombre de la configuración

Ingresa el nombre visible de la configuración de conectividad privada.

ID de configuración

Datastream propaga este campo automáticamente según el nombre de la configuración que ingreses. Puedes conservar el ID generado automáticamente o cambiarlo.

Región

Selecciona la región en la que se almacena la configuración de conectividad privada. Los parámetros de configuración de conectividad privada se guardan en una región. La selección de la región puede afectar la disponibilidad si la región experimenta tiempo de inactividad.

Usa la siguiente tabla para propagar los campos de la sección Configurar conexión de la página Crear configuración de conectividad privada:

Campo	Descripción
Red de VPC autorizada	Selecciona la red de VPC que creaste en Antes de comenzar.
Asigna un rango de IP	Ingresa un rango de IP disponible en la red de VPC. Determinaste este rango de IP en Antes de comenzar.

Haz clic en CREAR.

La configuración de conectividad privada tardará unos minutos en crearse. Es necesario crear recursos en segundo plano para poder crear la configuración.

Después de crear una configuración de conectividad privada, puedes ver información detallada y de alto nivel sobre ella.

Configura un destino de Cloud Storage

Ver parámetros de configuración de conectividad privada