Visão geral
Para usar o Datastream e criar um fluxo do banco de dados de origem para o destino, é preciso estabelecer conectividade com o banco de dados de origem.
O Datastream é compatível com a lista de permissões de IP, com um túnel SSH de encaminhamento e com métodos de conectividade de rede de peering de VPC.
Use as informações da tabela a seguir para decidir qual método funciona melhor para sua carga de trabalho específica.
Método de rede | Descrição | Vantagens | Desvantagens |
---|---|---|---|
Lista de permissões de IP | Funciona configurando o servidor do banco de dados de origem para permitir conexões de entrada de endereços IP externo do Datastream. Para encontrar os endereços IP das suas regiões, consulte Regiões e listas de permissões de IP. |
|
|
Túnel SSH com encaminhamento |
Estabelecer uma conexão criptografada em redes públicas entre o Datastream e a origem por meio de um túnel SSH encaminhado. Saiba mais sobre túneis SSH. |
|
|
Peering de VPC | Funciona criando uma configuração de conectividade privada. O Datastream usa essa configuração para se comunicar com a fonte de dados por uma rede particular. Essa comunicação acontece por meio de uma conexão de peering de nuvem privada virtual (VPC). |
|
|
Configurar a conectividade usando listas de permissões de IP
Para que o Datastream transfira dados de um banco de dados de origem para um destino, primeiro o Datastream precisa se conectar a esse banco de dados.
Uma maneira de configurar essa conectividade é por meio de listas de permissões de IP. A conectividade de IP público é mais adequada quando o banco de dados de origem é externo ao Google Cloud e tem um endereço IPv4 e uma porta TCP com acesso externo.
Se o banco de dados de origem for externo ao Google Cloud, adicione os endereços IP públicos do Datastream como uma regra de firewall de entrada na rede de origem. Em termos genéricos (suas configurações de rede específicas podem ser diferentes), faça o seguinte:
Abra as regras de firewall de rede da máquina de banco de dados de origem.
Crie uma regra de entrada.
Defina o endereço IP do banco de dados de origem como endereços IP do Datastream.
Defina o protocolo como
TCP
.Defina a porta associada ao protocolo
TCP
. Os valores padrão são:1521
para um banco de dados Oracle3306
para um banco de dados MySQL5432
para um banco de dados PostgreSQL1433
para um banco de dados do SQL Server
Salve a regra de firewall e saia.
Usar um túnel SSH
As etapas a seguir descrevem como configurar a conectividade com um banco de dados de origem usando um túnel SSH de encaminhamento.
Etapa 1: escolher o host em que o túnel será encerrado
A primeira etapa para configurar o acesso ao túnel SSH para seu banco de dados é escolher o host que será usado para encerrar o túnel. O túnel pode ser encerrado no host do banco de dados ou em um host separado (o servidor do túnel).
Usar o servidor de banco de dados
O encerramento do túnel no banco de dados tem a vantagem da simplicidade. Como há um host a menos envolvido, não há máquinas adicionais e os custos associados. A desvantagem é que seu servidor de banco de dados pode estar em uma rede protegida sem acesso direto pela Internet.
Usar um servidor de túnel
O encerramento do túnel em um servidor separado tem a vantagem de manter o servidor de banco de dados inacessível na Internet. Se o servidor do túnel for comprometido, será removido apenas uma etapa do servidor de banco de dados. Recomendamos remover todo o software e os usuários não essenciais do servidor do túnel e monitorá-lo de perto com ferramentas como um sistema de detecção de intrusões (IDS).
O servidor de túnel pode ser qualquer host Unix ou Linux que:
- Pode ser acessado pela Internet usando SSH.
- Pode acessar o banco de dados.
Etapa 2: criar uma lista de permissões de IP
A segunda etapa da configuração do acesso do túnel SSH ao seu banco de dados é permitir que o tráfego de rede atinja o servidor de túnel ou o host de banco de dados usando SSH, que geralmente está na porta TCP 22.
Permita o tráfego de rede de cada um dos endereços IP da região em que os recursos do Datastream são criados.
Etapa 3: usar o túnel SSH
Forneça os detalhes do túnel na configuração do perfil de conexão. Para mais informações, consulte Criar um perfil de conexão.
Para autenticar a sessão do túnel SSH, o Datastream requer a senha da conta de túnel ou uma chave privada exclusiva. Para usar uma chave privada exclusiva, gere chaves com as ferramentas de linha de comando OpenSSH ou OpenSSL.
O Datastream armazena a chave privada com segurança como parte da configuração do perfil de conexão do Datastream. Você precisa adicionar a chave pública manualmente ao arquivo ~/.ssh/authorized_keys
do Bastion Host.
Gerar chaves privadas e públicas
É possível gerar chaves SSH usando o seguinte método:
ssh-keygen
: uma ferramenta de linha de comando do OpenSSH para gerar pares de chaves SSH.Flags úteis
-t
: especifica o tipo de chave a ser criada, por exemplo:ssh-keygen -t rsa
ssh-keygen -t ed25519
-b
: especifica o comprimento da chave a ser criada, por exemplo:ssh-keygen -t rsa -b 2048
-y
: lê um arquivo de formato OpenSSH privado e imprime uma chave pública OpenSSH na saída padrão.-f
: especifica o nome do arquivo de chave, por exemplo:ssh-keygen -y [-f KEY_FILENAME]
Para saber mais sobre as flags compatíveis, consulte a documentação do OpenBSD.
É possível gerar uma chave PEM privada usando o seguinte método:
openssl genpkey
: uma ferramenta de linha de comando OpenSSL para gerar uma chave privada PEM.Flags úteis
algorithm
: especifica o algoritmo de chave pública a ser usado, por exemplo:openssl genpkey -algorithm RSA
-out
: especifica o nome do arquivo para a saída da chave, por exemplo:openssl genpkey -algorithm RSA -out PRIVATE_KEY_FILENAME.pem
Para mais informações sobre as flags aceitas, consulte a documentação do OpenSSL.
Usar a conectividade particular
A conectividade privada é uma conexão entre sua rede VPC e a rede privada do Datastream, permitindo que o Datastream se comunique com recursos internos usando endereços IP internos. O uso da conectividade particular estabelece uma conexão dedicada na rede do Datastream, ou seja, nenhum outro cliente pode compartilhá-la.
Se o banco de dados de origem for externo ao Google Cloud, a conectividade particular permitirá que o Datastream se comunique com o banco de dados por meio de uma VPN ou do Interconnect.
Depois que uma configuração de conectividade privada é criada, uma única configuração pode atender a todos os streams em um projeto dentro de uma única região.
Em geral, o estabelecimento da conectividade privada requer o seguinte:
- Uma nuvem privada virtual (VPC, na sigla em inglês) atual
- Um intervalo de IP disponível com um bloco CIDR de /29
Caso seu projeto use uma VPC compartilhada, você também precisará ativar as APIs Datastream e Google Compute Engine, além de conceder permissões à conta de serviço do Datastream no projeto host.
Saiba mais sobre como criar uma configuração de conectividade privada.
A seguir
- Saiba mais sobre conexão privada.
- Saiba como criar uma configuração de conectividade particular.