Opciones de conectividad de red

Descripción general

Si deseas usar Datastream para crear una transmisión desde la base de datos de origen hasta el destino, debes establecer conectividad con la base de datos de origen.

Datastream admite los métodos de conectividad de red de lista de IP permitidas, túnel SSH de reenvío e intercambio de tráfico entre VPC.

Usa la información de la siguiente tabla para decidir qué método funciona mejor para tu carga de trabajo específica.

Método de red Descripción Ventajas Desventajas
Lista de IP de anunciantes permitidos

Configura el servidor de la base de datos de origen para permitir las conexiones entrantes desde las direcciones IP públicas de Datastream. Para saber las direcciones IP de tus regiones, consulta Listas de IP permitidas y regiones de IP.

  • Fácil de configurar
  • La base de datos de origen se expone a una dirección IP pública.
  • La conexión no está encriptada de forma predeterminada. Se debe habilitar SSL en la base de datos de origen para encriptar la conexión.
  • Es posible que la configuración del firewall requiera asistencia del departamento de TI.
Túnel SSH de reenvío

(Este método no es compatible con fuentes de SQL Server)

Establece una conexión encriptada en redes públicas entre Datastream y el origen a través de un túnel SSH de reenvío.

Obtén más información sobre los túneles SSH.

  • Seguro
  • Ancho de banda limitado
  • Debes configurar y mantener el host de bastión.
Intercambio de tráfico entre VPC Funciona mediante la creación de una configuración de conectividad privada. Datastream usa esta configuración para comunicarse con la fuente de datos a través de una red privada. Esta comunicación se realiza a través de una conexión de intercambio de tráfico de nube privada virtual (VPC).
  • Canal privado y seguro
  • Fácil de configurar
  • Requiere una conexión de red privada (VPN, interconexión, etc.) entre la base de datos y Google Cloud.

Configura la conectividad mediante listas de IP permitidas

Para que Datastream transfiera datos de una base de datos de origen a un destino, primero debe conectarse a ella.

Una forma de configurar esta conectividad es a través de las listas de IP permitidas. La conectividad de IP pública es más apropiada cuando la base de datos de origen es externa a Google Cloud y tiene un puerto TCP y una dirección IPv4 de acceso externo.

Si tu base de datos de origen es externa a Google Cloud, agrega las direcciones IP públicas de Datastream como una regla de firewall entrante en la red de origen. En términos genéricos (su configuración de red específica puede variar), haz lo siguiente:

  1. Abre las reglas de firewall de red de la máquina de la base de datos de origen.

  2. Crea una regla de entrada.

  3. Establece la dirección IP de la base de datos de origen en las direcciones IP de Datastream.

  4. Configura el protocolo en TCP.

  5. Configura el puerto asociado con el protocolo TCP como 1521.

  6. Guarda la regla de firewall y, luego, sal.

Usa un túnel SSH

Paso 1: Elige el host en el que deseas finalizar el túnel

El primer paso para configurar el acceso al túnel SSH para tu base de datos es elegir el host que se usará para finalizar el túnel. El túnel se puede finalizar en el mismo host de la base de datos o en un host independiente (el servidor del túnel).

Usa el servidor de la base de datos

Finalizar el túnel en la base de datos tiene la ventaja de ser simple. Hay un host menos involucrado, por lo que no hay máquinas adicionales y sus costos asociados. La desventaja es que el servidor de la base de datos podría estar en una red protegida que no tiene acceso directo desde Internet.

Usa un servidor de túnel

Finalizar el túnel en un servidor independiente tiene la ventaja de mantener tu servidor de base de datos inaccesible desde Internet. Si el servidor del túnel está comprometido, se quita un paso del servidor de la base de datos. Te recomendamos que quites del servidor del túnel todo el software y los usuarios que no sean esenciales, y que lo supervises de cerca con herramientas, como un sistema de detección de intrusiones (IDS).

El servidor de túnel puede ser cualquier host de Unix o Linux que cumpla con las siguientes condiciones:

  1. Se puede acceder desde Internet con SSH.
  2. Pueda acceder a la base de datos.

Paso 2: Crea una lista de IP permitidas

El segundo paso para configurar el acceso al túnel SSH para tu base de datos es permitir que el tráfico de red llegue al servidor del túnel o al host de la base de datos a través de SSH, que generalmente se encuentra en el puerto TCP 22.

Permite el tráfico de red desde cada una de las direcciones IP de la región en la que se crean los recursos de Datastream.

Paso 3: Usa el túnel SSH

Proporciona los detalles del túnel en la configuración del perfil de conexión. Para obtener más información, consulta Crea un perfil de conexión.

Para autenticar la sesión del túnel SSH, Datastream requiere la contraseña de la cuenta del túnel o una clave privada única. Para usar una clave privada única, puedes generar claves con las herramientas de línea de comandos OpenSSL o OpenSSH.

Datastream almacena la clave privada de forma segura como parte de la configuración del perfil de conexión de Datastream. Debes agregar la clave pública de forma manual al archivo ~/.ssh/authorized_keys del host de bastión.

Genera claves privadas y públicas

Puedes generar claves SSH con el siguiente método:

  • ssh-keygen: Es una herramienta de línea de comandos de OpenSSH para generar pares de claves SSH.

    Marcas útiles:

    • -t: Especifica el tipo de clave que se creará, por ejemplo:

      ssh-keygen -t rsa

      ssh-keygen -t ed25519

    • -b: Especifica la longitud de la clave que se creará, por ejemplo:

      ssh-keygen -t rsa -b 2048

    • -y: Lee un archivo privado en formato OpenSSH y, luego, imprime una clave pública OpenSSH en el resultado estándar.

    • -f: Especifica el nombre del archivo de claves, por ejemplo:

      ssh-keygen -y [-f KEY_FILENAME]

    Para obtener más información sobre las marcas compatibles, consulta la documentación de OpenBSD.

Puedes generar una clave PEM privada con el siguiente método:

  • openssl genpkey: Es una herramienta de línea de comandos de OpenSSL para generar una clave privada de PEM.

    Marcas útiles:

    • algorithm: Especifica el algoritmo de clave pública que se usará, por ejemplo:

      openssl genpkey -algorithm RSA

    • -out: Especifica el nombre de archivo en el que se debe generar la clave, por ejemplo:

      openssl genpkey -algorithm RSA -out PRIVATE_KEY_FILENAME.pem

    Para obtener más información sobre las marcas compatibles, consulta la documentación de OpenSSL.

Usa la conectividad privada

La conectividad privada es una conexión entre tu red de VPC y la red privada de Datastream, lo que permite que Datastream se comunique con recursos internos mediante direcciones IP internas. El uso de conectividad privada establece una conexión dedicada en la red de Datastream, lo que significa que ningún otro cliente puede compartirla.

Si tu base de datos de origen es externa a Google Cloud, la conectividad privada permite que Datastream se comunique con tu base de datos a través de VPN o interconexión.

Después de crear una configuración de conectividad privada, una sola configuración puede servir para todas las transmisiones en un proyecto dentro de una misma región.

A grandes rasgos, establecer una conectividad privada requiere lo siguiente:

  • Una nube privada virtual (VPC) existente
  • Un rango de IP disponible con un bloque CIDR de /29

Si tu proyecto usa una VPC compartida, también deberás habilitar las API de Datastream y Google Compute Engine, además de otorgar permisos a la cuenta de servicio de Datastream en el proyecto host.

Obtén más información sobre cómo crear una configuración de conectividad privada.