Opciones de conectividad de red

Descripción general

Si quieres usar Datastream para crear una transmisión de la base de datos de origen al destino, debes establecer conectividad con la base de datos de origen.

Datastream admite los métodos de conectividad de red de lista de IP permitidas, túnel SSH de reenvío e intercambio de tráfico entre VPC.

Usa la información de la siguiente tabla para decidir qué método funciona mejor para tu carga de trabajo específica.

Método de red Descripción Ventajas Desventajas
Lista de IP de anunciantes permitidos

Funciona configurando el servidor de la base de datos de origen para permitir conexiones entrantes desde direcciones IP públicas de Datastream. Para averiguar las direcciones IP de tus regiones, consulta Listas de IP permitidas y regiones de IP.
  • Fácil de configurar
  • La base de datos de origen se expone a una dirección IP pública.
  • La conexión no está encriptada de forma predeterminada. Se debe habilitar SSL en la base de datos de origen para encriptar la conexión.
  • La configuración del firewall puede requerir asistencia del departamento de TI.
Túnel SSH de reenvío

(Este método no es compatible con fuentes de SQL Server)

Establece una conexión encriptada a través de redes públicas entre Datastream y la fuente a través de un túnel SSH de reenvío.

Obtén más información sobre túneles SSH.
  • Seguro
  • Ancho de banda limitado
  • Debes configurar y mantener el host de bastión.
Intercambio de tráfico entre VPC Crea una configuración de conectividad privada. Datastream usa esta configuración para comunicarse con la fuente de datos a través de una red privada. Esta comunicación se produce a través de una conexión de intercambio de tráfico de nube privada virtual (VPC).
  • Canal privado y seguro
  • Fácil de configurar
  • Requiere una conexión de red privada (VPN, Interconnect, etc.) entre la base de datos y Google Cloud.

Cómo configurar la conectividad mediante listas de IP permitidas

Para que Datastream transfiera datos de una base de datos de origen a un destino, primero debe conectarse a esta base de datos.

Una forma de configurar esta conectividad es a través de las listas de IP permitidas. La conectividad de IP pública es más apropiada cuando la base de datos de origen es externa a Google Cloud y tiene un puerto TCP y una dirección IPv4 de acceso externo.

Si tu base de datos de origen es externa a Google Cloud, agrega las direcciones IP públicas de Datastream como una regla de firewall entrante en la red de origen. En términos genéricos (la configuración de red específica puede variar), haz lo siguiente:

  1. Abre las reglas de firewall de red de la máquina de la base de datos de origen.

  2. Crea una regla de entrada.

  3. Configura la dirección IP de la base de datos de origen en las direcciones IP de Datastream.

  4. Configura el protocolo en TCP.

  5. Configura el puerto asociado con el protocolo TCP como 1521.

  6. Guarda la regla de firewall y sal.

Para obtener información sobre

Usa un túnel SSH

Paso 1: Elige un host para finalizar el túnel

El primer paso para configurar el acceso al túnel SSH de tu base de datos es elegir el host que se usará para finalizar el túnel. El túnel puede finalizarse en el host de la base de datos o en un host independiente (el servidor del túnel).

Usa el servidor de la base de datos

Finalizar el túnel en la base de datos tiene la ventaja de ser más simple. Hay un host menos involucrado, por lo que no hay máquinas adicionales ni sus costos asociados. La desventaja es que tu servidor de base de datos podría estar en una red protegida que no tiene acceso directo desde Internet.

Usa un servidor de túnel

Finalizar el túnel en un servidor independiente tiene la ventaja de mantener al servidor de la base de datos inaccesible desde Internet. Si el servidor del túnel está comprometido, entonces se quita un paso del servidor de la base de datos. Te recomendamos que quites del servidor del túnel todo el software no esencial y los usuarios, y que lo supervises de cerca con herramientas, como un sistema de detección de intrusiones (IDS).

El servidor de túnel puede ser cualquier host Unix o Linux que cumpla con las siguientes características:

  1. Se puede acceder desde Internet a través de SSH.
  2. Pueda acceder a la base de datos.

Paso 2: Crea una lista de IP permitidas

El segundo paso para configurar el acceso al túnel SSH de tu base de datos es permitir que el tráfico de red llegue al servidor del túnel o al host de la base de datos mediante SSH, que generalmente se encuentra en el puerto TCP 22.

Permite el tráfico de red desde cada una de las direcciones IP de la región en la que se crean los recursos de Datastream.

Paso 3: Usa el túnel SSH

Proporciona los detalles del túnel en la configuración del perfil de conexión. Para obtener más información, consulta Crea un perfil de conexión.

Para autenticar la sesión del túnel SSH, Datastream requiere la contraseña de la cuenta del túnel o una clave privada única. Para usar una clave privada única, puedes usar las herramientas de línea de comandos de OpenSSL o OpenSSH para generar claves.

Datastream almacena la clave privada de forma segura como parte de la configuración del perfil de conexión de Datastream. Debes agregar la clave pública de forma manual al archivo ~/.ssh/authorized_keys del host de bastión.

Genera claves privadas y públicas

Puedes generar claves SSH con el siguiente método:

  • ssh-keygen: Es una herramienta de línea de comandos de OpenSSH para generar pares de claves SSH.

    Marcas útiles:

    • -t: Especifica el tipo de clave que se creará, por ejemplo:

      ssh-keygen -t rsa

      ssh-keygen -t ed25519

    • -b: Especifica la longitud de la clave en la clave que se creará, por ejemplo:

      ssh-keygen -t rsa -b 2048

    • -y: Lee un archivo privado de formato OpenSSH y, luego, imprime una clave pública de OpenSSH en el resultado estándar.

    • -f: Especifica el nombre del archivo de claves, por ejemplo:

      ssh-keygen -y [-f KEY_FILENAME]

    Para obtener más información sobre las marcas compatibles, consulta la documentación de OpenBSD.

Puedes generar una clave PEM privada con el siguiente método:

  • openssl genpkey: Es una herramienta de línea de comandos de OpenSSL para generar una clave privada PEM.

    Marcas útiles:

    • algorithm: Especifica el algoritmo de clave pública que se usará, por ejemplo:

      openssl genpkey -algorithm RSA

    • -out: Especifica el nombre de archivo al que se debe enviar la clave, por ejemplo:

      openssl genpkey -algorithm RSA -out PRIVATE_KEY_FILENAME.pem

    Para obtener más información sobre las marcas compatibles, consulta la documentación de OpenSSL.

Usa la conectividad privada

La conectividad privada es una conexión entre tu red de VPC y la red privada de Datastream, que le permite comunicarse con recursos internos usando direcciones IP internas. El uso de conectividad privada establece una conexión dedicada en la red de Datastream, lo que significa que ningún otro cliente puede compartirla.

Si tu base de datos de origen es externa a Google Cloud, la conectividad privada permite que Datastream se comunique con tu base de datos a través de VPN o interconexión.

Después de crear una configuración de conectividad privada, una sola configuración puede servir para todas las transmisiones en un proyecto dentro de una misma región.

En un nivel alto, el establecimiento de la conectividad privada requiere lo siguiente:

  • Una nube privada virtual (VPC) existente
  • Un rango de IP disponible con un bloque CIDR de /29

Si tu proyecto usa una VPC compartida, también deberás habilitar las API de Datastream y Google Compute Engine, además de otorgar permisos a la cuenta de servicio de Datastream en el proyecto host.

Obtén más información para crear una configuración de conectividad privada.