Opsi konektivitas jaringan

Ringkasan

Untuk menggunakan Datastream agar dapat membuat aliran dari database sumber ke tujuan, Anda harus membuat konektivitas ke database sumber.

Datastream mendukung metode konektivitas jaringan peering yang diizinkan, tunnel SSH penerusan, dan VPC.

Gunakan informasi dalam tabel berikut untuk membantu memutuskan metode mana yang paling cocok untuk beban kerja spesifik Anda.

Metode jaringan	Deskripsi	Kelebihan	Kekurangan
Daftar IP yang diizinkan	Berfungsi dengan mengonfigurasi server database sumber untuk mengizinkan koneksi masuk dari alamat IP publik Datastream. Guna mengetahui alamat IP untuk wilayah Anda, lihat Daftar dan wilayah yang diizinkan IP.	Mudah dikonfigurasi	Database sumber diekspos ke alamat IP publik. Koneksi tidak dienkripsi secara default. SSL harus diaktifkan pada database sumber untuk mengenkripsi koneksi. Mengonfigurasi {i>firewall<i} mungkin memerlukan bantuan dari departemen IT.
Tunnel SSH penerusan (Metode ini tidak didukung untuk sumber SQL Server)	Membuat koneksi terenkripsi melalui jaringan publik antara Datastream dan sumber, melalui tunnel SSH maju. Pelajari tunnel SSH lebih lanjut.	Menjaga keamanan	Bandwidth terbatas Anda harus menyiapkan dan memelihara bastion host.
Peering VPC	Berfungsi dengan membuat konfigurasi konektivitas pribadi. Datastream menggunakan konfigurasi ini untuk berkomunikasi dengan sumber data melalui jaringan pribadi. Komunikasi ini terjadi melalui koneksi peering Virtual Private Cloud (VPC).	Channel pribadi yang aman Mudah dikonfigurasi	Memerlukan koneksi jaringan pribadi (VPN, Interconnect, dll.) antara database dan Google Cloud.

Metode jaringan

Deskripsi

Kelebihan

Kekurangan

Daftar IP yang diizinkan

Berfungsi dengan mengonfigurasi server database sumber untuk mengizinkan koneksi masuk dari alamat IP publik Datastream. Guna mengetahui alamat IP untuk wilayah Anda, lihat Daftar dan wilayah yang diizinkan IP.

Mudah dikonfigurasi

Database sumber diekspos ke alamat IP publik.
Koneksi tidak dienkripsi secara default. SSL harus diaktifkan pada database sumber untuk mengenkripsi koneksi.
Mengonfigurasi {i>firewall<i} mungkin memerlukan bantuan dari departemen IT.

Tunnel SSH penerusan

(Metode ini tidak didukung untuk sumber SQL Server)

Membuat koneksi terenkripsi melalui jaringan publik antara Datastream dan sumber, melalui tunnel SSH maju.

Pelajari tunnel SSH lebih lanjut.

Menjaga keamanan

Bandwidth terbatas
Anda harus menyiapkan dan memelihara bastion host.

Peering VPC

Berfungsi dengan membuat konfigurasi konektivitas pribadi. Datastream menggunakan konfigurasi ini untuk berkomunikasi dengan sumber data melalui jaringan pribadi. Komunikasi ini terjadi melalui koneksi peering Virtual Private Cloud (VPC).

Channel pribadi yang aman
Mudah dikonfigurasi

Memerlukan koneksi jaringan pribadi (VPN, Interconnect, dll.) antara database dan Google Cloud.

Mengonfigurasi konektivitas menggunakan daftar IP yang diizinkan

Agar Datastream dapat mentransfer data dari database sumber ke tujuan, Datastream harus terhubung ke database ini terlebih dahulu.

Salah satu cara untuk mengonfigurasi konektivitas ini adalah melalui daftar IP yang diizinkan. Konektivitas IP publik paling cocok jika database sumber berada di luar Google Cloud serta memiliki alamat IPv4 dan port TCP yang dapat diakses secara eksternal.

Jika database sumber Anda berada di luar Google Cloud, tambahkan alamat IP publik Datastream sebagai aturan firewall masuk di jaringan sumber. Secara umum (setelan jaringan spesifik Anda mungkin berbeda), lakukan hal berikut:

Buka aturan firewall jaringan mesin database sumber Anda.
Buat aturan masuk.
Tetapkan alamat IP database sumber ke alamat IP Datastream.
Setel protokol ke TCP.
Setel port yang terkait dengan protokol TCP ke 1521.
Simpan aturan firewall, lalu keluar.

Menggunakan tunnel SSH

Langkah 1: Pilih host untuk menghentikan tunnel

Langkah pertama untuk menyiapkan akses tunnel SSH untuk database Anda adalah memilih host yang akan digunakan untuk menghentikan tunnel. Tunnel dapat dihentikan pada host database itu sendiri, atau pada host yang terpisah (server tunnel).

Menggunakan server {i>database<i}

Mengakhiri tunnel pada database memiliki keuntungan berupa kemudahan. Jumlah {i>host<i} yang diperlukan berkurang, sehingga tidak ada mesin tambahan dan biaya-biaya terkaitnya. Kekurangannya adalah server {i>database<i} Anda mungkin berada di jaringan yang dilindungi dan tidak memiliki akses langsung dari internet.

Menggunakan server tunnel

Menghentikan tunnel pada server terpisah dapat membuat server database Anda tidak dapat diakses dari internet. Jika server tunnel disusupi, satu langkah saja akan dihapus dari server database. Sebaiknya Anda menghapus semua pengguna dan software yang tidak penting dari server tunnel dan memantaunya secara cermat menggunakan alat, seperti sistem deteksi intrusi (IDS).

Server tunnel dapat berupa host Unix atau Linux yang:

Dapat diakses dari internet menggunakan SSH.
Dapat mengakses database.

Langkah 2: Buat daftar IP yang diizinkan

Langkah kedua untuk menyiapkan akses tunnel SSH untuk database Anda adalah mengizinkan traffic jaringan untuk mencapai server tunnel atau host database menggunakan SSH, yang umumnya ada di TCP port 22.

Mengizinkan traffic jaringan dari setiap alamat IP untuk region tempat resource Datastream dibuat.

Langkah 3: Gunakan tunnel SSH

Berikan detail tunnel dalam konfigurasi profil koneksi. Untuk mengetahui informasi selengkapnya, lihat Membuat profil koneksi.

Untuk mengautentikasi sesi tunnel SSH, Datastream memerlukan sandi untuk akun tunnel, atau kunci pribadi yang unik. Untuk menggunakan kunci pribadi unik, Anda dapat menggunakan alat command line OpenSSH atau OpenSSL untuk membuat kunci.

Datastream menyimpan kunci pribadi dengan aman sebagai bagian dari konfigurasi profil koneksi Datastream. Anda harus menambahkan kunci publik secara manual ke file ~/.ssh/authorized_keys bastion host.

Membuat kunci pribadi dan publik

Anda dapat membuat kunci SSH menggunakan metode berikut:

ssh-keygen: Alat command line OpenSSH untuk membuat pasangan kunci SSH.

Flag yang berguna:
- -t: Menentukan jenis kunci yang akan dibuat, misalnya:
  
  ssh-keygen -t rsa
  
  ssh-keygen -t ed25519
- -b: Menentukan panjang kunci dalam kunci yang akan dibuat, misalnya:
  
  ssh-keygen -t rsa -b 2048
- -y: Membaca file format OpenSSH pribadi dan mencetak kunci publik OpenSSH ke output standar.
- -f: Menentukan nama file kunci, misalnya:
  
  ssh-keygen -y [-f KEY_FILENAME]
Untuk mengetahui informasi selengkapnya tentang flag yang didukung, lihat dokumentasi OpenBSD.

Anda dapat membuat kunci PEM pribadi menggunakan metode berikut:

openssl genpkey: Alat command line OpenSSL untuk membuat kunci pribadi PEM.

Flag yang berguna:
- algorithm: Menentukan algoritma kunci publik yang akan digunakan, misalnya:
  
  openssl genpkey -algorithm RSA
- -out: Menentukan nama file yang akan digunakan untuk menghasilkan kunci, misalnya:
  
  openssl genpkey -algorithm RSA -out PRIVATE_KEY_FILENAME.pem
  Untuk menggunakan kunci yang dihasilkan oleh perintah ini, Anda harus membuat kunci OpenSSH publik untuk kunci tersebut menggunakan perintah berikut:
  ssh-keygen -y -f PRIVATE_KEY_FILENAME.pem > PUBLIC_KEY_FILENAME.pub.
  Anda kemudian dapat menambahkan kunci PUBLIC_KEY_FILENAME.pub ke file ~/.ssh/authorized_keys.
Untuk mengetahui informasi selengkapnya tentang tanda yang didukung, lihat dokumentasi OpenSSL.

Gunakan konektivitas pribadi

Konektivitas pribadi adalah koneksi antara jaringan VPC Anda dan jaringan pribadi Datastream, yang memungkinkan Datastream berkomunikasi dengan resource internal menggunakan alamat IP internal. Menggunakan konektivitas pribadi akan membuat koneksi khusus pada jaringan Datastream, yang berarti tidak ada pelanggan lain yang dapat membagikannya.

Jika database sumber Anda berada di luar Google Cloud, konektivitas pribadi memungkinkan Datastream berkomunikasi dengan database Anda melalui VPN atau Interconnect.

Setelah konfigurasi konektivitas pribadi dibuat, satu konfigurasi dapat melayani semua streaming di suatu project dalam satu region.

Pada tingkat tinggi, membangun konektivitas pribadi memerlukan:

Virtual Private Cloud (VPC) yang sudah ada
Rentang IP yang tersedia dengan blok CIDR /29

Jika project menggunakan VPC bersama, Anda juga harus mengaktifkan Datastream dan Google Compute Engine API, serta memberikan izin ke akun layanan Datastream di project host.

Pelajari lebih lanjut cara membuat konfigurasi konektivitas pribadi.