Membuat konfigurasi konektivitas pribadi

Ringkasan

Di bagian ini, Anda akan mempelajari cara membuat konfigurasi konektivitas pribadi. Jenis konfigurasi ini berisi informasi yang digunakan Datastream untuk berkomunikasi dengan sumber data melalui jaringan pribadi (secara internal dalam Google Cloud, atau dengan sumber eksternal yang terhubung melalui VPN atau Interconnect). Komunikasi ini terjadi melalui koneksi peering Virtual Private Cloud (VPC).

Koneksi peering VPC adalah koneksi jaringan antara dua VPC yang memungkinkan Anda merutekan traffic di antara dua VPC tersebut menggunakan alamat IPv4 pribadi internal. Anda harus memberikan alamat IP pribadi saat menyiapkan konfigurasi konektivitas pribadi karena Datastream tidak mendukung resolusi Domain Name System (DNS) di koneksi pribadi.

Sebelum memulai

Sebelum membuat konfigurasi konektivitas pribadi, Anda perlu melakukan langkah-langkah berikut agar Datastream dapat membuat koneksi peering VPC ke project Anda:

  • Memiliki jaringan VPC yang dapat melakukan peering ke jaringan pribadi Datastream dan memenuhi persyaratan yang dijelaskan sebagai batasan. Untuk mengetahui informasi selengkapnya tentang cara membuat jaringan ini, lihat Menggunakan Peering Jaringan VPC.
  • Identifikasi rentang IP yang tersedia (dengan blok CIDR /29) di jaringan VPC. Rentang IP ini tidak boleh berupa rentang IP yang sudah ada sebagai subnet, rentang IP yang telah dialokasikan sebelumnya di Koneksi Layanan Pribadi, atau rentang IP rute apa pun yang telah dialokasikan sebelumnya. Datastream menggunakan rentang IP ini untuk membuat subnet agar dapat berkomunikasi dengan database sumber. Tabel berikut menjelaskan rentang IP yang valid.
Rentang Deskripsi
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
Alamat IP pribadi RFC 1918
100.64.0.0/10 Ruang alamat bersama RFC 6598
192.0.0.0/24 Penetapan protokol IETF RFC 6890
192.0.2.0/24 (TEST-NET-1)
198.51.100.0/24 (TEST-NET-2)
203.0.113.0/24 (TEST-NET-3)
Dokumentasi RFC 5737
192.88.99.0/24 Relai IPv6 ke IPv4 (tidak digunakan lagi) RFC 7526
198.18.0.0/15 Pengujian benchmark RFC 2544
  • Pastikan Google Cloud dan firewall lokal mengizinkan traffic dari rentang IP yang dipilih. Jika tidak, buat aturan firewall masuk yang mengizinkan traffic pada port database sumber, dan pastikan rentang alamat IPv4 di aturan firewall sama dengan rentang alamat IP yang dialokasikan saat membuat resource konektivitas pribadi:

    gcloud compute firewall-rules create FIREWALL-RULE-NAME \
      --direction=INGRESS \
      --priority=PRIORITY \
      --network=PRIVATE_CONNECTIVITY_VPC \
      --project=VPC_PROJECT \
      --action=ALLOW \
      --rules=FIREWALL_RULES \
      --source-ranges=IP-RANGE
      

    Ganti kode berikut:

    • FIREWALL-RULE-NAME: Nama aturan firewall yang akan dibuat.
    • PRIORITY: Prioritas untuk aturan, yang dinyatakan sebagai bilangan bulat antara 0 dan 65535, inklusif. Nilai harus lebih rendah dari nilai yang ditetapkan untuk aturan pemblokiran, jika ada. Nilai prioritas yang lebih rendah berarti prioritas yang lebih tinggi.
    • PRIVATE_CONNECTIVITY_VPC: Jaringan VPC yang dapat melakukan peering ke jaringan pribadi Datastream dan yang memenuhi persyaratan yang dijelaskan sebagai batasan. Ini adalah VPC yang Anda tentukan saat membuat konfigurasi konektivitas pribadi.
    • VPC_PROJECT: Project jaringan VPC.
    • FIREWALL_RULES: Daftar protokol dan port tempat aturan firewall diterapkan, misalnya tcp:80. Aturan tersebut harus mengizinkan traffic TCP ke alamat IP dan port database sumber, atau proxy. Karena konektivitas pribadi dapat mendukung beberapa database, aturan tersebut harus mempertimbangkan penggunaan sebenarnya dari konfigurasi Anda.
    • IP-RANGE: Rentang alamat IP yang digunakan Datastream untuk berkomunikasi dengan database sumber. Ini adalah rentang yang sama dengan yang Anda tunjukkan di kolom Alokasikan rentang IP saat Anda membuat konfigurasi konektivitas pribadi.

      Anda mungkin juga perlu membuat aturan firewall keluar yang identik untuk mengizinkan traffic kembali ke Datastream.

  • Ditetapkan ke peran yang berisi izin compute.networks.list. Izin ini memberi Anda izin IAM yang diperlukan untuk mencantumkan jaringan VPC di project Anda. Anda dapat menemukan peran mana yang berisi izin ini dengan melihat referensi izin IAM.

Prasyarat VPC Bersama

Jika menggunakan VPC Bersama, Anda harus menyelesaikan tindakan berikut selain langkah yang dijelaskan di bagian Sebelum memulai:

  1. Pada project layanan:

    1. Aktifkan Datastream API.
    2. Dapatkan alamat email yang digunakan untuk akun layanan Datastream. Akun layanan Datastream akan dibuat saat Anda melakukan salah satu tindakan berikut:

      • Anda perlu membuat resource Datastream, seperti profil koneksi atau aliran data.
      • Anda membuat konfigurasi konektivitas pribadi, pilih VPC bersama, lalu klik Create Datastream Service Account. Akun layanan dibuat di project host.

      Untuk mendapatkan alamat email yang digunakan untuk akun layanan Datastream, cari Nomor project di halaman beranda Konsol Google Cloud. Alamat email akun layanan adalah service-[project_number]@gcp-sa-datastream.iam.gserviceaccount.com.

  2. Di project host:

    1. Memberikan izin peran Identity and Access Management (IAM) compute.networkAdmin ke akun layanan Datastream. Peran ini hanya diperlukan saat Anda membuat peering VPC. Setelah peering dibuat, Anda tidak lagi memerlukan peran tersebut.

      Jika organisasi Anda tidak mengizinkan pemberian izin, buat peran khusus dengan izin minimum berikut untuk membuat dan menghapus resource koneksi pribadi:

    Untuk mengetahui informasi selengkapnya tentang peran khusus, lihat artikel Membuat dan mengelola peran khusus.

Membuat konfigurasi

  1. Tinjau prasyarat yang diperlukan guna merefleksikan cara menyiapkan lingkungan untuk konfigurasi konektivitas pribadi. Untuk informasi selengkapnya tentang prasyarat ini, lihat Sebelum Anda memulai.

  2. Buka halaman PrivateConnectivity configurations di Google Cloud Console.

    Buka halaman Konfigurasi konektivitas pribadi

  3. Klik BUAT KONFIGURASI.

  4. Gunakan tabel berikut untuk mengisi kolom di bagian Mengonfigurasi konektivitas pribadi di halaman Membuat konfigurasi konektivitas pribadi:

    KolomDeskripsi
    Nama konfigurasiMasukkan nama tampilan konfigurasi konektivitas pribadi.
    ID KonfigurasiDatastream mengisi kolom ini secara otomatis berdasarkan nama konfigurasi yang Anda masukkan. Anda dapat mempertahankan ID yang dibuat secara otomatis atau mengubahnya.
    Region

    Pilih region tempat konfigurasi konektivitas pribadi disimpan. Konfigurasi konektivitas pribadi disimpan di region. Pemilihan region dapat memengaruhi ketersediaan jika region mengalami periode nonaktif.

  5. Gunakan tabel berikut untuk mengisi kolom di bagian Menyiapkan koneksi di halaman Membuat konfigurasi konektivitas pribadi:

    KolomDeskripsi
    Jaringan VPC yang diizinkanPilih jaringan VPC yang Anda buat di Sebelum memulai.
    Alokasikan rentang IPMasukkan rentang IP yang tersedia di jaringan VPC. Anda menentukan rentang IP ini di bagian Sebelum memulai.
  6. Klik CREATE.

Setelah membuat konfigurasi konektivitas pribadi, Anda dapat melihat informasi tingkat tinggi dan mendetail tentang konfigurasi tersebut.