Cette page a été traduite par l'API Cloud Translation.

Options de connectivité réseau

Présentation

Pour créer un flux entre la base de données source et la destination à l'aide de Datastream, vous devez établir la connectivité avec la base de données source.

Datastream est compatible avec les listes d'autorisation d'adresses IP, les tunnels SSH de transfert et les méthodes de connectivité réseau d'appairage VPC.

Utilisez les informations du tableau suivant pour vous aider à choisir la méthode la plus adaptée à votre charge de travail spécifique.

Méthode de mise en réseau	Description	Avantages	Inconvénients
Liste d'autorisation d'adresses IP	Cette méthode permet de configurer le serveur de base de données source pour autoriser les connexions entrantes provenant d'adresses IP publiques de Datastream. Pour connaître les adresses IP de vos régions, consultez Listes d'autorisation d'adresses IP et régions.	Facile à configurer.	La base de données source est exposée à une adresse IP publique. La connexion n'est pas chiffrée par défaut. Pour chiffrer la connexion, SSL doit être activé sur la base de données source. Vous devrez peut-être faire appel au service informatique pour configurer le pare-feu.
Tunnel SSH de transfert (Cette méthode n'est pas compatible avec les sources SQL Server.)	Établissez une connexion chiffrée via des réseaux publics entre Datastream et la source, via un tunnel SSH de transfert. En savoir plus sur les tunnels SSH.	Secure	Bande passante limitée Vous devez configurer et gérer l'hôte bastion.
Appairage de VPC	Cette opération consiste à créer une configuration de connectivité privée. Datastream utilise cette configuration pour communiquer avec la source de données via un réseau privé. Cette communication se fait via une connexion d'appairage de cloud privé virtuel (VPC).	Canal privé et sécurisé Facile à configurer.	Nécessite une connexion réseau privée (VPN, Interconnect, etc.) entre la base de données et Google Cloud.

Méthode de mise en réseau

Description

Avantages

Inconvénients

Liste d'autorisation d'adresses IP

Cette méthode permet de configurer le serveur de base de données source pour autoriser les connexions entrantes provenant d'adresses IP publiques de Datastream. Pour connaître les adresses IP de vos régions, consultez Listes d'autorisation d'adresses IP et régions.

Facile à configurer.

La base de données source est exposée à une adresse IP publique.
La connexion n'est pas chiffrée par défaut. Pour chiffrer la connexion, SSL doit être activé sur la base de données source.
Vous devrez peut-être faire appel au service informatique pour configurer le pare-feu.

Tunnel SSH de transfert

(Cette méthode n'est pas compatible avec les sources SQL Server.)

Établissez une connexion chiffrée via des réseaux publics entre Datastream et la source, via un tunnel SSH de transfert.

En savoir plus sur les tunnels SSH.

Secure

Bande passante limitée
Vous devez configurer et gérer l'hôte bastion.

Appairage de VPC

Cette opération consiste à créer une configuration de connectivité privée. Datastream utilise cette configuration pour communiquer avec la source de données via un réseau privé. Cette communication se fait via une connexion d'appairage de cloud privé virtuel (VPC).

Canal privé et sécurisé
Facile à configurer.

Nécessite une connexion réseau privée (VPN, Interconnect, etc.) entre la base de données et Google Cloud.

Configurer la connectivité à l'aide des listes d'autorisation d'adresses IP

Pour que DataStream puisse transférer des données d'une base de données source vers une destination, il doit d'abord se connecter à cette base de données.

Pour configurer cette connectivité, vous pouvez utiliser des listes d'autorisations d'adresses IP. La connectivité IP publique est plus appropriée lorsque la base de données source est externe à Google Cloud et qu'elle dispose d'une adresse IPv4 et d'un port TCP accessibles en externe.

Si votre base de données source est externe à Google Cloud, ajoutez les adresses IP publiques de Datastream dans une règle de pare-feu entrante sur le réseau source. En termes génériques (vos paramètres réseau spécifiques peuvent être différents), procédez comme suit :

Ouvrez les règles de pare-feu réseau de votre machine de base de données source.
Créez une règle entrante.
Définissez l'adresse IP de la base de données source sur les Adresses IP de Datastream.
Définissez le protocole sur TCP.
Définissez le port associé au protocole TCP sur 1521.
Enregistrez la règle de pare-feu, puis quittez l'outil.

Pour en savoir plus sur

Utiliser un tunnel SSH

Étape 1 : Choisir l'hôte sur lequel mettre fin au tunnel

La première étape de configuration de l'accès au tunnel SSH pour votre base de données consiste à choisir l'hôte qui sera utilisé pour terminer le tunnel. Le tunnel peut être arrêté sur l'hôte de la base de données lui-même ou sur un hôte distinct (le serveur du tunnel).

Utiliser le serveur de base de données

La suppression du tunnel sur la base de données présente l'avantage d'être simple. Comme il y a moins d'hôtes impliqués, il n'y a pas de machines supplémentaires ni leurs coûts associés. L'inconvénient est que votre serveur de base de données peut se trouver sur un réseau protégé sans accès direct depuis Internet.

Utiliser un serveur de tunnel

La fermeture du tunnel sur un serveur distinct a l'avantage de maintenir votre serveur de base de données inaccessible depuis Internet. Si le serveur du tunnel est compromis, une étape supprimée du serveur de base de données. Nous vous recommandons de supprimer tous les logiciels et utilisateurs non essentiels du serveur du tunnel et de le surveiller de près à l'aide d'outils tels qu'un système de détection des intrusions (IDS).

Le serveur du tunnel peut être n'importe quel hôte Unix ou Linux qui:

Il est accessible depuis Internet à l'aide de SSH.
Peut accéder à la base de données.

Étape 2 : Créer une liste d'autorisation d'adresses IP

La deuxième étape de configuration de l'accès au tunnel SSH pour votre base de données consiste à autoriser le trafic réseau à atteindre le serveur du tunnel ou l'hôte de la base de données à l'aide de SSH, généralement sur le port TCP 22.

Autorisez le trafic réseau en provenance de chacune des adresses IP de la région où les ressources Datastream sont créées.

Étape 3 : Utiliser le tunnel SSH

Indiquez les détails du tunnel dans la configuration du profil de connexion. Pour en savoir plus, consultez Créer un profil de connexion.

Pour authentifier la session de tunnel SSH, Datastream a besoin du mot de passe du compte du tunnel ou d'une clé privée unique. Si vous souhaitez utiliser une clé privée unique, vous pouvez générer des clés à l'aide des outils de ligne de commande OpenSSH ou OpenSSL.

Datastream stocke la clé privée de manière sécurisée dans le cadre de la configuration du profil de connexion Datastream. Vous devez ajouter la clé publique manuellement au fichier ~/.ssh/authorized_keys de l'hôte bastion.

Générer des clés privées et publiques

Vous pouvez générer des clés SSH à l'aide de la méthode suivante:

ssh-keygen: outil de ligne de commande OpenSSH permettant de générer des paires de clés SSH.

Options utiles :
- -t: spécifie le type de clé à créer, par exemple:
  
  ssh-keygen -t rsa
  
  ssh-keygen -t ed25519
- -b: spécifie la longueur de la clé à créer, par exemple:
  
  ssh-keygen -t rsa -b 2048
- -y: lit un fichier au format OpenSSH privé et imprime une clé publique OpenSSH sur la sortie standard.
- -f: spécifie le nom du fichier de clé, par exemple:
  
  ssh-keygen -y [-f KEY_FILENAME]
Pour en savoir plus sur les indicateurs compatibles, consultez la documentation OpenBSD.

Vous pouvez générer une clé PEM privée à l'aide de la méthode suivante:

openssl genpkey: outil de ligne de commande OpenSSL permettant de générer une clé privée PEM.

Options utiles :
- algorithm: spécifie l'algorithme de clé publique à utiliser, par exemple:
  
  openssl genpkey -algorithm RSA
- -out: spécifie le nom de fichier auquel la clé doit être générée, par exemple:
  
  openssl genpkey -algorithm RSA -out PRIVATE_KEY_FILENAME.pem
  Pour utiliser la clé générée par cette commande, vous devez générer une clé OpenSSH publique à l'aide de la commande suivante:
  ssh-keygen -y -f PRIVATE_KEY_FILENAME.pem > PUBLIC_KEY_FILENAME.pub.
  Vous pouvez ensuite ajouter la clé PUBLIC_KEY_FILENAME.pub au fichier ~/.ssh/authorized_keys.
Pour en savoir plus sur les indicateurs compatibles, consultez la documentation OpenSSL.

Utiliser une connectivité privée

La connectivité privée est une connexion entre votre réseau VPC et le réseau privé de Datastream, ce qui permet à Datastream de communiquer avec les ressources internes à l'aide d'adresses IP internes. L'utilisation d'une connectivité privée établit une connexion dédiée sur le réseau Datastream, ce qui signifie que vous ne partagez cette connexion avec aucun autre client.

Si votre base de données source est externe à Google Cloud, la connectivité privée permet à Datastream de communiquer avec votre base de données via un VPN ou une interconnexion.

Une fois la configuration de connectivité privée créée, une seule configuration peut desservir tous les flux d'un projet au sein d'une même région.

En règle générale, l'établissement d'une connectivité privée nécessite les éléments suivants :

Un cloud privé virtuel (VPC) existant
Une plage d'adresses IP disponible avec un bloc CIDR de /29

Si votre projet utilise un VPC partagé, vous devez également activer les API Datastream et Google Compute Engine, et accorder des autorisations au compte de service de Datastream sur le projet hôte.

Découvrez comment créer une configuration de connectivité privée.