Criar uma configuração de conectividade privada

Visão geral

Nesta seção, você aprende a criar uma configuração de conectividade particular. Esse tipo de configuração contém informações que o Datastream usa para se comunicar com uma fonte de dados em uma rede privada (internamente no Google Cloud ou com fontes externas conectadas por VPN ou Interconnect). Essa comunicação acontece por meio de uma conexão de peering de nuvem privada virtual (VPC).

Uma conexão de peering de VPC é uma conexão de rede entre duas VPCs que permite rotear o tráfego entre elas usando endereços IPv4 internos e particulares. É necessário informar os endereços IP particulares ao definir a configuração da conectividade particular porque o Datastream não é compatível com a resolução do Sistema de Nomes de Domínio (DNS) em conexões particulares.

Antes de começar

Antes de criar uma configuração de conectividade particular, você precisa seguir as etapas abaixo para que o Datastream crie a conexão de peering de VPC com seu projeto:

• Ter uma rede VPC que faça peering para a rede privada do Datastream e que atenda aos requisitos descritos como restrições. Para mais informações sobre como criar essa rede, consulte Como usar peering de rede VPC.
• Identifique um intervalo de IP disponível (com um bloco CIDR de /29) na rede VPC. Ele não pode ser um intervalo de IP que já exista como uma sub-rede, um intervalo de IPs pré-alocado de uma conexão de serviço particular ou qualquer tipo de intervalo de IP de rota pré-alocado. O Datastream usa esse intervalo de IP para criar uma sub-rede e se comunicar com o banco de dados de origem. A tabela a seguir descreve intervalos de IP válidos.

• Verifique se o Google Cloud e o firewall local permitem tráfego do intervalo de IP selecionado. Caso contrário, crie uma regra de firewall de entrada que permita o tráfego na porta do banco de dados de origem e verifique se o intervalo de endereços IPv4 na regra de firewall é o mesmo do intervalo de endereços IP alocado ao criar o recurso de conectividade particular:

  gcloud compute firewall-rules create FIREWALL-RULE-NAME \
    --direction=INGRESS \
    --priority=PRIORITY \
    --network=PRIVATE_CONNECTIVITY_VPC \
    --project=VPC_PROJECT \
    --action=ALLOW \
    --rules=FIREWALL_RULES \
    --source-ranges=IP-RANGE
    

  Substitua:

  • FIREWALL-RULE-NAME: o nome da regra de firewall a ser criada.
  • PRIORITY: a prioridade da regra, expressa como um número inteiro entre 0 e 65.535, inclusive. O valor precisa ser menor que o valor definido para a regra de bloqueio de tráfego, se houver. Valores de prioridade mais baixos significam maior precedência.
  • PRIVATE_CONNECTIVITY_VPC: a rede VPC que pode fazer peering com a rede privada do Datastream e que atende aos requisitos descritos como restrições. Essa é a VPC que você especifica ao criar a configuração de conectividade particular.
  • VPC_PROJECT: o projeto da rede VPC.
  • FIREWALL_RULES: a lista de protocolos e portas às quais a regra de firewall se aplica, por exemplo, tcp:80. A regra precisa permitir o tráfego TCP para o endereço IP e a porta do banco de dados de origem ou do proxy. Como a conectividade particular pode oferecer suporte a vários bancos de dados, a regra precisa considerar o uso real da configuração.

  • IP-RANGE: o intervalo de endereços IP que o Datastream usa para se comunicar com o banco de dados de origem. Esse é o mesmo intervalo que você indica no campo Alocar um intervalo de IP ao criar a configuração de conectividade particular.

    Talvez também seja necessário criar uma regra de firewall de saída idêntica para permitir o tráfego de volta ao Datastream.

• São atribuídas a um papel que contém a permissão compute.networks.list. Essa permissão fornece as permissões do IAM necessárias para listar redes VPC no projeto. Para descobrir quais papéis contêm essa permissão, consulte a Referência de permissões do IAM.

Pré-requisitos da VPC compartilhada

Se você estiver usando a VPC compartilhada, além das etapas descritas na seção Antes de começar, siga estas etapas:

1. No projeto de serviço:

   1. Ative a API Datastream.

   2. Consiga o endereço de e-mail usado para a conta de serviço do Datastream. As contas de serviço do Datastream são criadas quando você executa uma das seguintes ações:

      • Você cria um recurso do Datastream, como um perfil de conexão ou um stream.
      • Para criar uma configuração de conectividade particular, selecione sua VPC compartilhada e clique em Criar conta de serviço do Datastream. A conta de serviço é criada no projeto host.

      Para conseguir o endereço de e-mail usado para a conta de serviço do Datastream, encontre o Número do projeto na página inicial do Console do Google Cloud. O endereço de e-mail da conta de serviço é service-[project_number]@gcp-sa-datastream.iam.gserviceaccount.com.

2. No projeto host:

   1. Conceda a permissão do papel compute.networkAdmin Identity and Access Management (IAM) à conta de serviço do Datastream. Esse papel só é necessário quando você cria o peering de VPC. Depois que o peering é estabelecido, o papel não é mais necessário.

      Caso sua organização não permita a concessão da permissão, crie um papel personalizado com as seguintes permissões mínimas para criar e excluir recursos de conexão particular:

      compute.globalAddresses.*

      • compute.globalAddresses.create
      • compute.globalAddresses.createInternal
      • compute.globalAddresses.delete
      • compute.globalAddresses.deleteInternal
      • compute.globalAddresses.get

      compute.globalOperations.*

      • compute.globalOperations.get

      compute.networks.*

      • compute.networks.addPeering
      • compute.networks.get
      • compute.networks.listPeeringRoutes
      • compute.networks.removePeering
      • compute.networks.use

      compute.routes.*

      • compute.routes.get
      • compute.routes.list

      compute.subnetworks.*

      • compute.subnetworks.get
      • compute.subnetworks.list

   Para mais informações sobre papéis personalizados, consulte Criar e gerenciar papéis personalizados.

Criar a configuração

1. Revise os pré-requisitos para refletir como o ambiente precisa estar preparado para uma configuração de conectividade privada. Para mais informações sobre esses pré-requisitos, consulte Antes de começar.

2. Acesse a página Configurações de conectividade privada no Console do Google Cloud.

   Acessar a página "Configurações de conectividade particular"

3. Clique em CRIAR CONFIGURAÇÕES.

4. Use a tabela a seguir para preencher os campos da seção Configurar conectividade privada da página Criar configuração de conectividade privada:

   Campo	Descrição
   Nome da configuração	Digite o nome de exibição da configuração de conectividade particular.
   ID de configuração	O Datastream preenche esse campo automaticamente com base no nome de configuração inserido. É possível manter o ID gerado automaticamente ou alterá-lo.
   Região	Selecione a região em que a configuração de conectividade privada está armazenada. As configurações de conectividade particular são salvas em uma região. A seleção da região pode afetar a disponibilidade se a região passar por um período de inatividade. .

5. Use a tabela a seguir para preencher os campos da seção Configurar conexão da página Criar configuração de conectividade privada:

   Campo	Descrição
   Rede VPC autorizada	Selecione a rede VPC criada em Antes de começar.
   Aloque um intervalo de IP	Aloque um intervalo de IP disponível na rede VPC. Você determinou esse intervalo de IP em Antes de começar.

6. Clique em CRIAR.

Depois de criar uma configuração de conectividade privada, é possível visualizar informações detalhadas e de alto nível sobre ela.