Options de connectivité réseau

Présentation

Pour créer un flux de la base de données source vers la destination à l'aide de Datastream, vous devez établir la connectivité avec la base de données source.

Datastream est compatible avec les listes d'autorisation d'adresses IP, les tunnels SSH de transfert et les méthodes de connectivité réseau d'appairage VPC.

Utilisez les informations du tableau suivant pour vous aider à choisir la méthode la mieux adaptée à votre charge de travail spécifique.

Méthode de mise en réseau	Description	Avantages	Inconvénients
Liste d'autorisation d'adresses IP	Fonctionne avec la configuration du serveur de base de données source pour autoriser les connexions entrantes provenant des adresses IP publiques de Datastream. Pour connaître les adresses IP correspondant à vos régions, consultez Listes d'autorisation d'adresses IP et régions.	Facile à configurer.	La base de données source est exposée à une adresse IP publique. La connexion n'est pas chiffrée par défaut. Pour chiffrer la connexion, SSL doit être activé sur la base de données source. La configuration du pare-feu peut nécessiter l'aide du service informatique.
Tunnel SSH de transfert (Cette méthode n'est pas compatible avec les sources SQL Server.)	Établissez une connexion chiffrée via des réseaux publics entre Datastream et la source, via un tunnel SSH de transfert. En savoir plus sur les tunnels SSH.	Sécurité	Bande passante limitée Vous devez configurer et gérer l'hôte bastion.
Appairage de VPC	Pour cela, vous devez créer une configuration de connectivité privée. Datastream utilise cette configuration pour communiquer avec la source de données via un réseau privé. Cette communication se fait via une connexion d'appairage de cloud privé virtuel (VPC).	Chaîne privée et sécurisée Facile à configurer.	Nécessite une connexion réseau privée (VPN, Interconnect, etc.) entre la base de données et Google Cloud.

Méthode de mise en réseau

Description

Avantages

Inconvénients

Liste d'autorisation d'adresses IP

Fonctionne avec la configuration du serveur de base de données source pour autoriser les connexions entrantes provenant des adresses IP publiques de Datastream. Pour connaître les adresses IP correspondant à vos régions, consultez Listes d'autorisation d'adresses IP et régions.

Facile à configurer.

La base de données source est exposée à une adresse IP publique.
La connexion n'est pas chiffrée par défaut. Pour chiffrer la connexion, SSL doit être activé sur la base de données source.
La configuration du pare-feu peut nécessiter l'aide du service informatique.

Tunnel SSH de transfert

(Cette méthode n'est pas compatible avec les sources SQL Server.)

Établissez une connexion chiffrée via des réseaux publics entre Datastream et la source, via un tunnel SSH de transfert.

En savoir plus sur les tunnels SSH.

Sécurité

Bande passante limitée
Vous devez configurer et gérer l'hôte bastion.

Appairage de VPC

Pour cela, vous devez créer une configuration de connectivité privée. Datastream utilise cette configuration pour communiquer avec la source de données via un réseau privé. Cette communication se fait via une connexion d'appairage de cloud privé virtuel (VPC).

Chaîne privée et sécurisée
Facile à configurer.

Nécessite une connexion réseau privée (VPN, Interconnect, etc.) entre la base de données et Google Cloud.

Configurer la connectivité à l'aide des listes d'autorisation d'adresses IP

Pour que DataStream puisse transférer des données d'une base de données source vers une destination, il doit d'abord se connecter à cette base de données.

Pour configurer cette connectivité, vous pouvez utiliser des listes d'autorisations d'adresses IP. La connectivité IP publique est plus appropriée lorsque la base de données source est externe à Google Cloud et qu'elle dispose d'une adresse IPv4 et d'un port TCP accessibles en externe.

Si votre base de données source est externe à Google Cloud, ajoutez les adresses IP publiques de Datastream dans une règle de pare-feu entrante sur le réseau source. En termes génériques (vos paramètres réseau spécifiques peuvent être différents), procédez comme suit :

Ouvrez les règles de pare-feu réseau de votre machine de base de données source.
Créez une règle entrante.
Définissez l'adresse IP de la base de données source sur les Adresses IP de Datastream.
Définissez le protocole sur TCP.
Définissez le port associé au protocole TCP sur 1521.
Enregistrez la règle de pare-feu, puis quittez l'outil.

Utiliser un tunnel SSH

Étape 1 : Choisir l'hôte sur lequel mettre fin au tunnel

La première étape pour configurer l'accès au tunnel SSH pour votre base de données consiste à choisir l'hôte qui sera utilisé pour terminer le tunnel. Le tunnel peut être arrêté sur l'hôte de base de données lui-même ou sur un hôte distinct (le serveur de tunnel).

Utiliser le serveur de base de données

La suppression du tunnel sur la base de données présente l'avantage d'être simple. Comme il y a moins d'hôtes impliqués, il n'y a pas de machines supplémentaires ni leurs coûts associés. L'inconvénient est que votre serveur de base de données peut se trouver sur un réseau protégé sans accès direct depuis Internet.

Utiliser un serveur de tunnel

La terminaison du tunnel sur un serveur distinct a l'avantage de garder votre serveur de base de données inaccessible depuis Internet. Si le serveur du tunnel est compromis, une étape est supprimée du serveur de base de données. Nous vous recommandons de supprimer tous les logiciels et utilisateurs non essentiels du serveur du tunnel et de les surveiller de près à l'aide d'outils tels qu'un système de détection des intrusions (IDS).

Le serveur de tunnel peut être n'importe quel hôte Unix ou Linux:

Il est accessible depuis Internet à l'aide de SSH.
Peut accéder à la base de données.

Étape 2 : Créer une liste d'autorisation d'adresses IP

La deuxième étape pour configurer l'accès au tunnel SSH pour votre base de données consiste à autoriser le trafic réseau à atteindre le serveur du tunnel ou l'hôte de la base de données à l'aide de SSH, généralement sur le port TCP 22.

Autorisez le trafic réseau provenant de chacune des adresses IP de la région dans laquelle les ressources Datastream sont créées.

Étape 3 : Utiliser le tunnel SSH

Indiquez les détails du tunnel dans la configuration du profil de connexion. Pour en savoir plus, consultez Créer un profil de connexion.

Pour authentifier la session du tunnel SSH, Datastream a besoin du mot de passe du compte du tunnel ou d'une clé privée unique. Pour utiliser une clé privée unique, vous pouvez générer des clés à l'aide des outils de ligne de commande OpenSSH ou OpenSSL.

Datastream stocke la clé privée de manière sécurisée lors de la configuration du profil de connexion Datastream. Vous devez ajouter la clé publique manuellement au fichier ~/.ssh/authorized_keys de l'hôte bastion.

Générer des clés privées et publiques

Vous pouvez générer des clés SSH à l'aide de la méthode suivante:

ssh-keygen: outil de ligne de commande OpenSSH permettant de générer des paires de clés SSH.

Indicateurs utiles:
- -t: spécifie le type de clé à créer, par exemple:
  
  ssh-keygen -t rsa
  
  ssh-keygen -t ed25519
- -b: spécifie la longueur de la clé à créer, par exemple:
  
  ssh-keygen -t rsa -b 2048
- -y: lit un fichier privé au format OpenSSH et affiche une clé publique OpenSSH sur la sortie standard.
- -f: spécifie le nom du fichier de clé, par exemple:
  
  ssh-keygen -y [-f KEY_FILENAME]
Pour en savoir plus sur les indicateurs compatibles, consultez la documentation OpenBSD.

Vous pouvez générer une clé PEM privée à l'aide de la méthode suivante:

openssl genpkey: outil de ligne de commande OpenSSL pour générer une clé privée PEM.

Indicateurs utiles:
- algorithm: spécifie l'algorithme de clé publique à utiliser, par exemple:
  
  openssl genpkey -algorithm RSA
- -out: spécifie le nom de fichier dans lequel générer la clé, par exemple:
  
  openssl genpkey -algorithm RSA -out PRIVATE_KEY_FILENAME.pem
  Pour utiliser la clé générée par cette commande, vous devez générer une clé OpenSSH publique à l'aide de la commande suivante:
  ssh-keygen -y -f PRIVATE_KEY_FILENAME.pem > PUBLIC_KEY_FILENAME.pub.
  Vous pouvez ensuite ajouter la clé PUBLIC_KEY_FILENAME.pub au fichier ~/.ssh/authorized_keys.
Pour en savoir plus sur les indicateurs compatibles, consultez la documentation OpenSSL.

Utiliser une connectivité privée

La connectivité privée est une connexion entre votre réseau VPC et le réseau privé de Datastream. Elle permet à Datastream de communiquer avec des ressources internes à l'aide d'adresses IP internes. L'utilisation d'une connectivité privée établit une connexion dédiée sur le réseau Datastream, ce qui signifie que vous ne partagez cette connexion avec aucun autre client.

Si votre base de données source est externe à Google Cloud, la connectivité privée permet à Datastream de communiquer avec votre base de données via un VPN ou Interconnect.

Une fois qu'une configuration de connectivité privée est créée, une seule configuration peut desservir tous les flux d'un projet dans une même région.

En règle générale, l'établissement d'une connectivité privée nécessite les éléments suivants :

Un cloud privé virtuel (VPC) existant
Une plage d'adresses IP disponible avec un bloc CIDR de /29

Si votre projet utilise un VPC partagé, vous devez également activer les API Datastream et Google Compute Engine, et accorder des autorisations au compte de service Datastream sur le projet hôte.

Découvrez comment créer une configuration de connectivité privée.