Questa pagina è stata tradotta dall'API Cloud Translation.

Opzioni di connettività di rete

Panoramica

Per utilizzare Datastream per creare un flusso dal database di origine alla destinazione, devi stabilire la connettività al database di origine.

Datastream supporta i metodi di connettività di rete con peering VPC, lista consentita IP, tunnel SSH di inoltro e peering VPC.

Utilizza le informazioni nella tabella seguente per decidere quale metodo funziona meglio per te per il tuo carico di lavoro specifico.

Metodo di networking	Descrizione	Vantaggi	Svantaggi
Lista consentita IP	Funziona configurando il server del database di origine per consentire le connessioni in entrata dagli indirizzi IP pubblici di Datastream. Per trovare gli indirizzi IP per le tue regioni, consulta l'articolo Liste consentite e regioni IP.	Facile da configurare	Il database di origine è esposto a un indirizzo IP pubblico. La connessione non è criptata per impostazione predefinita. Per criptare la connessione, è necessario che il protocollo SSL sia abilitato sul database di origine. La configurazione del firewall potrebbe richiedere l'assistenza del reparto IT.
Tunnel SSH di forwarding (Questo metodo non è supportato per le origini SQL Server)	Stabilisci una connessione criptata sulle reti pubbliche tra Datastream e l'origine, tramite un tunnel SSH di forwarding. Scopri di più sui tunnel SSH.	Sicuro	Larghezza di banda limitata Devi configurare e gestire il bastion host.
Peering VPC	Funziona creando una configurazione di connettività privata. Datastream utilizza questa configurazione per comunicare con l'origine dati su una rete privata. Questa comunicazione avviene attraverso una connessione in peering Virtual Private Cloud (VPC).	Canale sicuro e privato Facile da configurare	Richiede una connessione di rete privata (VPN, Interconnect e così via) tra il database e Google Cloud.

Metodo di networking

Descrizione

Vantaggi

Svantaggi

Lista consentita IP

Funziona configurando il server del database di origine per consentire le connessioni in entrata dagli indirizzi IP pubblici di Datastream. Per trovare gli indirizzi IP per le tue regioni, consulta l'articolo Liste consentite e regioni IP.

Facile da configurare

Il database di origine è esposto a un indirizzo IP pubblico.
La connessione non è criptata per impostazione predefinita. Per criptare la connessione, è necessario che il protocollo SSL sia abilitato sul database di origine.
La configurazione del firewall potrebbe richiedere l'assistenza del reparto IT.

Tunnel SSH di forwarding

(Questo metodo non è supportato per le origini SQL Server)

Stabilisci una connessione criptata sulle reti pubbliche tra Datastream e l'origine, tramite un tunnel SSH di forwarding.

Scopri di più sui tunnel SSH.

Sicuro

Larghezza di banda limitata
Devi configurare e gestire il bastion host.

Peering VPC

Funziona creando una configurazione di connettività privata. Datastream utilizza questa configurazione per comunicare con l'origine dati su una rete privata. Questa comunicazione avviene attraverso una connessione in peering Virtual Private Cloud (VPC).

Canale sicuro e privato
Facile da configurare

Richiede una connessione di rete privata (VPN, Interconnect e così via) tra il database e Google Cloud.

Configura la connettività mediante liste consentite IP

Affinché Datastream possa trasferire i dati da un database di origine a una destinazione, Datastream deve prima connettersi a questo database.

Un modo per configurare questa connettività è tramite le liste consentite di IP. La connettività con IP pubblico è più appropriata quando il database di origine è esterno a Google Cloud e ha un indirizzo IPv4 e una porta TCP accessibili dall'esterno.

Se il database di origine è esterno a Google Cloud, aggiungi gli indirizzi IP pubblici di Datastream come regola firewall in entrata sulla rete di origine. In termini generici (le impostazioni di rete specifiche possono variare), procedi nel seguente modo:

Apri le regole firewall di rete del computer di origine.
Creare una regola in entrata.
Imposta l'indirizzo IP del database di origine sugli indirizzi IP di Datastream.
Imposta il protocollo su TCP.
Imposta la porta associata al protocollo TCP su 1521.
Salva la regola firewall ed esci.

Per informazioni su

Usa un tunnel SSH

Passaggio 1: scegli un host su cui terminare il tunnel

Il primo passaggio per configurare l'accesso al tunnel SSH per il tuo database è scegliere l'host che verrà utilizzato per terminare il tunnel. Il tunnel può essere terminato sull'host del database stesso o su un host separato (il server del tunnel).

Utilizza il server di database

La chiusura del tunnel sul database offre il vantaggio della semplicità. Poiché l'host è in meno, non ci sono macchine aggiuntive e i relativi costi associati. Lo svantaggio è che il server del database potrebbe trovarsi su una rete protetta che non ha accesso diretto da internet.

Usa un server tunnel

La chiusura del tunnel su un server separato offre il vantaggio di mantenere il server del database inaccessibile da internet. Se il server del tunnel viene compromesso, viene rimosso un passaggio dal server del database. Ti consigliamo di rimuovere dal server del tunnel tutto il software e gli utenti non essenziali e di monitorarlo attentamente con strumenti come un sistema di rilevamento delle intrusioni (IDS).

Il server del tunnel può essere un host Unix o Linux che:

Accessibile da internet tramite SSH.
Può accedere al database.

Passaggio 2: crea una lista consentita di IP

Il secondo passaggio per configurare l'accesso al tunnel SSH per il database è consentire al traffico di rete di raggiungere il server del tunnel o l'host del database mediante SSH, che in genere si trova sulla porta TCP 22.

Consenti il traffico di rete da ciascuno degli indirizzi IP per la regione in cui vengono create le risorse Datastream.

Passaggio 3: utilizza il tunnel SSH

Fornisci i dettagli del tunnel nella configurazione del profilo di connessione. Per maggiori informazioni, vedi Creare un profilo di connessione.

Per autenticare la sessione del tunnel SSH, Datastream richiede la password per l'account del tunnel o una chiave privata univoca. Per utilizzare una chiave privata univoca, puoi generare le chiavi con gli strumenti a riga di comando OpenSSH o OpenSSL.

Datastream archivia la chiave privata in modo sicuro come parte della configurazione del profilo di connessione Datastream. Devi aggiungere manualmente la chiave pubblica al file ~/.ssh/authorized_keys del bastion host.

Genera chiavi private e pubbliche

Puoi generare chiavi SSH utilizzando il seguente metodo:

ssh-keygen: strumento a riga di comando OpenSSH per generare coppie di chiavi SSH.

Flag utili:
- -t: specifica il tipo di chiave da creare, ad esempio:
  
  ssh-keygen -t rsa
  
  ssh-keygen -t ed25519
- -b: specifica la lunghezza della chiave nella chiave da creare, ad esempio:
  
  ssh-keygen -t rsa -b 2048
- -y: legge un file in formato OpenSSH privato e stampa una chiave pubblica OpenSSH nell'output standard.
- -f: specifica il nome del file della chiave, ad esempio:
  
  ssh-keygen -y [-f KEY_FILENAME]
Per ulteriori informazioni sui flag supportati, consulta la documentazione di OpenBSD.

Puoi generare una chiave PEM privata utilizzando il seguente metodo:

openssl genpkey: strumento a riga di comando OpenSSL per generare una chiave privata PEM.

Flag utili:
- algorithm: specifica l'algoritmo della chiave pubblica da utilizzare, ad esempio:
  
  openssl genpkey -algorithm RSA
- -out: specifica il nome file in cui generare la chiave, ad esempio:
  
  openssl genpkey -algorithm RSA -out PRIVATE_KEY_FILENAME.pem
  Per utilizzare la chiave generata da questo comando, devi generare una chiave OpenSSH pubblica utilizzando questo comando:
  ssh-keygen -y -f PRIVATE_KEY_FILENAME.pem > PUBLIC_KEY_FILENAME.pub.
  Puoi quindi aggiungere la chiave PUBLIC_KEY_FILENAME.pub al file ~/.ssh/authorized_keys.
Per ulteriori informazioni sui flag supportati, consulta la documentazione di OpenSSL.

Usa connettività privata

La connettività privata è una connessione tra la tua rete VPC e la rete privata di Datastream, consentendo a Datastream di comunicare con le risorse interne utilizzando indirizzi IP interni. L'utilizzo della connettività privata stabilisce una connessione dedicata sulla rete Datastream, il che significa che nessun altro cliente può condividerla.

Se il database di origine è esterno a Google Cloud, la connettività privata consente a Datastream di comunicare con il database tramite VPN o Interconnect.

Dopo aver creato una configurazione di connettività privata, una singola configurazione può gestire tutti i flussi di un progetto all'interno di una singola regione.

A livello generale, per stabilire una connettività privata è necessario:

Un Virtual Private Cloud (VPC) esistente
Un intervallo IP disponibile con un blocco CIDR di /29

Se il progetto utilizza un VPC condiviso, dovrai anche abilitare le API Datastream e Google Compute Engine, nonché concedere le autorizzazioni all'account di servizio Datastream sul progetto host.

Scopri di più su come creare una configurazione di connettività privata.