Opções de conectividade de rede

Visão geral

Para usar o Datastream e criar um fluxo do banco de dados de origem para o destino, é preciso estabelecer conectividade com o banco de dados de origem.

O Datastream é compatível com a lista de permissões de IP, com um túnel SSH de encaminhamento e com métodos de conectividade de rede de peering de VPC.

Use as informações da tabela a seguir para decidir qual método funciona melhor para sua carga de trabalho específica.

Método de rede Descrição Prós Contras
Lista de permissões de IP

Funciona configurando o servidor de banco de dados de origem para permitir conexões de entrada dos endereços IP públicos do Datastream. Para encontrar os endereços IP das suas regiões, consulte Regiões e listas de permissões de IP.

  • Fácil de configurar
  • O banco de dados de origem é exposto a um endereço IP público.
  • A conexão não é criptografada por padrão. O SSL precisa estar ativado no banco de dados de origem para criptografar a conexão.
  • A configuração do firewall pode exigir assistência do departamento de TI.
Túnel SSH com encaminhamento

Estabelecer uma conexão criptografada em redes públicas entre o Datastream e a origem por meio de um túnel SSH encaminhado.

Saiba mais sobre túneis SSH.

  • Seguro
  • Largura de banda limitada
  • Você precisa configurar e manter o Bastion Host.
Peering de VPC Funciona criando uma configuração de conectividade privada. O Datastream usa essa configuração para se comunicar com a fonte de dados por uma rede particular. Essa comunicação acontece por meio de uma conexão de peering de nuvem privada virtual (VPC).
  • Canal privado e seguro
  • Fácil de configurar
  • Requer uma conexão de rede privada (VPN, Interconnect etc.) entre o banco de dados e o Google Cloud.

Configurar a conectividade usando listas de permissões de IP

Para que o Datastream transfira dados de um banco de dados de origem para um destino, primeiro o Datastream precisa se conectar a esse banco de dados.

Uma maneira de configurar essa conectividade é por meio de listas de permissões de IP. A conectividade de IP público é mais adequada quando o banco de dados de origem é externo ao Google Cloud e tem um endereço IPv4 e uma porta TCP com acesso externo.

Se o banco de dados de origem for externo ao Google Cloud, adicione os endereços IP públicos do Datastream como uma regra de firewall de entrada na rede de origem. Em termos genéricos (suas configurações de rede específicas podem ser diferentes), faça o seguinte:

  1. Abra as regras de firewall de rede da máquina de banco de dados de origem.

  2. Crie uma regra de entrada.

  3. Defina o endereço IP do banco de dados de origem como endereços IP do Datastream.

  4. Defina o protocolo como TCP.

  5. Defina a porta associada ao protocolo TCP como 1521.

  6. Salve a regra de firewall e saia.

Usar um túnel SSH

Etapa 1: escolher o host em que o túnel será encerrado

A primeira etapa para configurar o acesso ao túnel SSH para seu banco de dados é escolher o host que será usado para encerrar o túnel. O túnel pode ser encerrado no host do banco de dados ou em um host separado (o servidor do túnel).

Usar o servidor de banco de dados

O encerramento do túnel no banco de dados tem a vantagem da simplicidade. Como há um host a menos envolvido, não há máquinas adicionais e os custos associados. A desvantagem é que seu servidor de banco de dados pode estar em uma rede protegida que não tem acesso direto da Internet.

Usar um servidor de túnel

O encerramento do túnel em um servidor separado tem a vantagem de manter o servidor de banco de dados inacessível na Internet. Se o servidor do túnel for comprometido, será removido apenas uma etapa do servidor de banco de dados. Recomendamos remover todo o software e os usuários não essenciais do servidor do túnel e monitorá-lo de perto com ferramentas como um sistema de detecção de intrusões (IDS).

O servidor do túnel pode ser qualquer host Unix/Linux que:

  1. Pode ser acessado pela Internet via SSH.
  2. Pode acessar o banco de dados.

Etapa 2: criar uma lista de permissões de IP

A segunda etapa da configuração do acesso do túnel SSH ao seu banco de dados é permitir que o tráfego de rede atinja o servidor de túnel ou o host de banco de dados via SSH, que geralmente está na porta TCP 22.

Permita o tráfego de rede de cada um dos endereços IP da região em que os recursos do Datastream são criados.

Etapa 3: usar o túnel SSH

Forneça os detalhes do túnel na configuração do perfil de conexão. Para mais informações, consulte Como criar um perfil de conexão.

Para autenticar a sessão do túnel SSH, o Datastream requer a senha da conta de túnel ou uma chave privada exclusiva. Para usar uma chave privada exclusiva, use as ferramentas de linha de comando OpenSSL para gerar um par de chaves, que consistem em uma chave privada e uma chave pública.

A chave privada é armazenada com segurança pelo Datastream como parte da configuração do perfil de conexão. Você precisa adicionar a chave pública manualmente ao arquivo ~/.ssh/authorized_hosts do Bastion Host.

Usar a conectividade particular

A conectividade privada é uma conexão entre sua rede VPC e a rede privada do Datastream, permitindo que o Datastream se comunique com recursos internos usando endereços IP internos. O uso da conectividade particular estabelece uma conexão dedicada na rede do Datastream, ou seja, nenhum outro cliente pode compartilhá-la.

Se o banco de dados de origem for externo ao Google Cloud, a conectividade particular permitirá que o Datastream se comunique com o banco de dados por meio de uma VPN ou do Interconnect.

Depois que uma configuração de conectividade privada é criada, uma única configuração pode atender a todos os streams em um projeto dentro de uma única região.

Em geral, o estabelecimento da conectividade privada requer o seguinte:

  • Uma nuvem privada virtual (VPC, na sigla em inglês) atual
  • Um intervalo de IP disponível com um bloco CIDR mínimo de /29.

Caso seu projeto use uma VPC compartilhada, você também precisará ativar as APIs Datastream e Google Compute Engine, além de conceder permissões à conta de serviço do Datastream no projeto host.

Saiba mais sobre como criar uma configuração de conectividade privada.