Descripción general
Para usar Datastream y crear una transmisión de la base de datos de origen al destino, debes establecer conectividad con la base de datos de origen.
Datastream admite los métodos de conectividad de red de lista de IP permitidas, túnel SSH de reenvío e intercambio de tráfico entre VPC.
Usa la información de la siguiente tabla para decidir qué método funciona mejor para tu carga de trabajo específica.
Método de red | Descripción | Ventajas | Desventajas |
---|---|---|---|
Lista de IP de anunciantes permitidos | Funciona configurando el servidor de la base de datos de origen para permitir conexiones entrantes desde direcciones IP externas de Datastream. Para averiguar las direcciones IP de tus regiones, consulta Listas de IP permitidas y regiones de IP. |
|
|
Túnel SSH de reenvío |
Establece una conexión encriptada a través de redes públicas entre Datastream y la fuente a través de un túnel SSH de reenvío. Obtén más información sobre túneles SSH. |
|
|
Intercambio de tráfico entre VPC | Funciona a través de la creación de una configuración de conectividad privada. Datastream usa esta configuración para comunicarse con la fuente de datos a través de una red privada. Esta comunicación se produce a través de una conexión de intercambio de tráfico de nube privada virtual (VPC). |
|
|
Cómo configurar la conectividad mediante listas de IP permitidas
Para que Datastream transfiera datos de una base de datos de origen a un destino, primero debe conectarse a esta base de datos.
Una forma de configurar esta conectividad es a través de las listas de IP permitidas. La conectividad de IP pública es más apropiada cuando la base de datos de origen es externa a Google Cloud y tiene un puerto TCP y una dirección IPv4 de acceso externo.
Si tu base de datos de origen es externa a Google Cloud, agrega las direcciones IP públicas de Datastream como una regla de firewall entrante en la red de origen. En términos generales (la configuración de red específica puede diferir), haz lo siguiente:
Abre las reglas de firewall de red de la máquina de la base de datos de origen.
Crea una regla entrante.
Configura la dirección IP de la base de datos de origen en las direcciones IP de Datastream.
Configura el protocolo en
TCP
.Establece el puerto asociado con el protocolo
TCP
. Los valores predeterminados son:1521
para una base de datos de Oracle3306
para una base de datos de MySQL5432
para una base de datos de PostgreSQL1433
para una base de datos de SQL Server
Guarda la regla de firewall y sal.
Usa un túnel SSH
En los siguientes pasos, se describe cómo configurar la conectividad a una base de datos de origen con un túnel SSH de reenvío.
Paso 1: Elige un host para finalizar el túnel
El primer paso para configurar el acceso al túnel SSH de tu base de datos es elegir el host que se usará para finalizar el túnel. El túnel se puede finalizar en el host de la base de datos o en un host independiente (el servidor de túnel).
Usa el servidor de la base de datos
Finalizar el túnel en la base de datos tiene la ventaja de ser más simple. Hay un host menos involucrado, por lo que no hay máquinas adicionales ni sus costos asociados. La desventaja es que tu servidor de base de datos podría estar en una red protegida que no tiene acceso directo desde Internet.
Usa un servidor de túnel
Finalizar el túnel en un servidor independiente tiene la ventaja de mantener al servidor de la base de datos inaccesible desde Internet. Si el servidor de túnel está comprometido, se quita un paso del servidor de base de datos. Te recomendamos que quites todo el software y los usuarios no esenciales del servidor de túnel y lo supervises de cerca con herramientas, como un sistema de detección de intrusiones (IDS).
El servidor de túnel puede ser cualquier host Unix o Linux que cumpla con las siguientes condiciones:
- Se puede acceder a él desde Internet mediante SSH.
- Pueda acceder a la base de datos.
Paso 2: Crea una lista de IP permitidas
El segundo paso para configurar el acceso al túnel SSH de tu base de datos es permitir que el tráfico de red llegue al servidor del túnel o al host de la base de datos a través de SSH, que generalmente se encuentra en el puerto TCP 22.
Permite el tráfico de red desde cada una de las direcciones IP de la región en la que se crean los recursos de Datastream.
Paso 3: Usa el túnel SSH
Proporciona los detalles del túnel en la configuración del perfil de conexión. Para obtener más información, consulta Cómo crear un perfil de conexión.
Para autenticar la sesión del túnel SSH, Datastream requiere la contraseña de la cuenta del túnel o una clave privada única. Para usar una clave privada única, puedes usar las herramientas de línea de comandos de OpenSSH o OpenSSL para generar claves.
Datastream almacena la clave privada de forma segura como parte de la configuración del perfil de conexión de Datastream. Debes agregar la clave pública de forma manual al archivo ~/.ssh/authorized_keys
del host de bastión.
Genera claves privadas y públicas
Puedes generar claves SSH con el siguiente método:
ssh-keygen
: Es una herramienta de línea de comandos de OpenSSH para generar pares de claves SSH.Marcas útiles:
-t
: Especifica el tipo de clave que se creará, por ejemplo:ssh-keygen -t rsa
ssh-keygen -t ed25519
-b
: Especifica la longitud de la clave que se creará, por ejemplo:ssh-keygen -t rsa -b 2048
-y
: Lee un archivo privado de formato OpenSSH y, luego, imprime una clave pública de OpenSSH en el resultado estándar.-f
: Especifica el nombre del archivo de claves, por ejemplo:ssh-keygen -y [-f KEY_FILENAME]
Para obtener más información sobre las marcas compatibles, consulta la documentación de OpenBSD.
Puedes generar una clave PEM privada con el siguiente método:
openssl genpkey
: Es una herramienta de línea de comandos de OpenSSL para generar una clave privada PEM.Marcas útiles:
algorithm
: Especifica el algoritmo de clave pública que se usará, por ejemplo:openssl genpkey -algorithm RSA
-out
: Especifica el nombre de archivo al que se debe enviar la clave, por ejemplo:openssl genpkey -algorithm RSA -out PRIVATE_KEY_FILENAME.pem
Para obtener más información sobre las marcas compatibles, consulta la documentación de OpenSSL.
Usa la conectividad privada
La conectividad privada es una conexión entre tu red de VPC y la red privada de Datastream, que le permite comunicarse con recursos internos usando direcciones IP internas. Usar la conectividad privada establece una conexión dedicada en la red de Datastream, lo que significa que ningún otro cliente puede compartirla.
Si tu base de datos de origen es externa a Google Cloud, la conectividad privada permite que Datastream se comunique con tu base de datos a través de VPN o interconexión.
Después de crear una configuración de conectividad privada, una sola configuración puede servir para todas las transmisiones en un proyecto dentro de una misma región.
En un nivel superior, establecer la conectividad privada requiere lo siguiente:
- Una nube privada virtual (VPC) existente
- Un rango de IP disponible con un bloque CIDR de /29
Si tu proyecto usa una VPC compartida, también deberás habilitar las API de Datastream y Google Compute Engine, además de otorgar permisos a la cuenta de servicio de Datastream en el proyecto host.
Obtén más información para crear una configuración de conectividad privada.
¿Qué sigue?
- Obtén más información sobre la conectividad privada.
- Obtén más información para crear una configuración de conectividad privada.