Opções de conectividade de rede

Visão geral

Para usar o Datastream e criar um fluxo do banco de dados de origem para o destino, é preciso estabelecer conectividade com o banco de dados de origem.

O Datastream é compatível com a lista de permissões de IP, com um túnel SSH de encaminhamento e com métodos de conectividade de rede de peering de VPC.

Use as informações da tabela a seguir para decidir qual método funciona melhor para sua carga de trabalho específica.

Método de rede Descrição Vantagens Desvantagens
Lista de permissões de IP

Funciona configurando o servidor de banco de dados de origem para permitir conexões de entrada dos endereços IP públicos do Datastream. Para encontrar os endereços IP das suas regiões, consulte Regiões e listas de permissões de IP.
  • Fácil de configurar
  • O banco de dados de origem é exposto a um endereço IP público.
  • A conexão não é criptografada por padrão. O SSL precisa estar ativado no banco de dados de origem para criptografar a conexão.
  • A configuração do firewall pode exigir assistência do departamento de TI.
Túnel SSH com encaminhamento

Esse método não é compatível com origens do SQL Server.

Estabelecer uma conexão criptografada em redes públicas entre o Datastream e a origem por meio de um túnel SSH encaminhado.

Saiba mais sobre túneis SSH.
  • Seguro
  • Largura de banda limitada
  • Você precisa configurar e manter o Bastion Host.
Peering de VPC Funciona criando uma configuração de conectividade privada. O Datastream usa essa configuração para se comunicar com a fonte de dados por uma rede particular. Essa comunicação acontece por meio de uma conexão de peering de nuvem privada virtual (VPC).
  • Canal privado e seguro
  • Fácil de configurar
  • Requer uma conexão de rede privada (VPN, Interconnect etc.) entre o banco de dados e o Google Cloud.

Configurar a conectividade usando listas de permissões de IP

Para que o Datastream transfira dados de um banco de dados de origem para um destino, primeiro o Datastream precisa se conectar a esse banco de dados.

Uma maneira de configurar essa conectividade é por meio de listas de permissões de IP. A conectividade de IP público é mais adequada quando o banco de dados de origem é externo ao Google Cloud e tem um endereço IPv4 e uma porta TCP com acesso externo.

Se o banco de dados de origem for externo ao Google Cloud, adicione os endereços IP públicos do Datastream como uma regra de firewall de entrada na rede de origem. Em termos genéricos (suas configurações de rede específicas podem ser diferentes), faça o seguinte:

  1. Abra as regras de firewall de rede da máquina de banco de dados de origem.

  2. Crie uma regra de entrada.

  3. Defina o endereço IP do banco de dados de origem como endereços IP do Datastream.

  4. Defina o protocolo como TCP.

  5. Defina a porta associada ao protocolo TCP como 1521.

  6. Salve a regra de firewall e saia.

Usar um túnel SSH

Etapa 1: escolher o host em que o túnel será encerrado

A primeira etapa para configurar o acesso ao túnel SSH para seu banco de dados é escolher o host que será usado para encerrar o túnel. O túnel pode ser encerrado no host do banco de dados ou em um host separado (o servidor do túnel).

Usar o servidor de banco de dados

O encerramento do túnel no banco de dados tem a vantagem da simplicidade. Como há um host a menos envolvido, não há máquinas adicionais e os custos associados. A desvantagem é que o servidor do banco de dados pode estar em uma rede protegida sem acesso direto da Internet.

Usar um servidor de túnel

O encerramento do túnel em um servidor separado tem a vantagem de manter o servidor de banco de dados inacessível na Internet. Se o servidor do túnel for comprometido, será removido apenas uma etapa do servidor de banco de dados. Recomendamos remover todo o software e os usuários não essenciais do servidor do túnel e monitorá-lo de perto com ferramentas como um sistema de detecção de intrusões (IDS).

O servidor de túnel pode ser qualquer host Unix ou Linux que:

  1. podem ser acessados pela Internet usando SSH;
  2. Pode acessar o banco de dados.

Etapa 2: criar uma lista de permissões de IP

A segunda etapa para configurar o acesso ao túnel SSH para o banco de dados é permitir que o tráfego de rede alcance o servidor do túnel ou o host do banco de dados usando SSH, que geralmente fica na porta TCP 22.

Permita o tráfego de rede de cada um dos endereços IP da região em que os recursos do Datastream são criados.

Etapa 3: usar o túnel SSH

Forneça os detalhes do túnel na configuração do perfil de conexão. Para mais informações, consulte Criar um perfil de conexão.

Para autenticar a sessão do túnel SSH, o Datastream requer a senha da conta de túnel ou uma chave privada exclusiva. Para usar uma chave privada exclusiva, utilize as ferramentas de linha de comando OpenSSH ou OpenSSL para gerar chaves.

O Datastream armazena a chave privada com segurança como parte da configuração do perfil de conexão do Datastream. Você precisa adicionar a chave pública manualmente ao arquivo ~/.ssh/authorized_keys do Bastion Host.

Gerar chaves privadas e públicas

É possível gerar chaves SSH usando o seguinte método:

  • ssh-keygen: uma ferramenta de linha de comando OpenSSH para gerar pares de chaves SSH.

    Sinalizações úteis:

    • -t: especifica o tipo de chave a ser criada. Por exemplo:

      ssh-keygen -t rsa

      ssh-keygen -t ed25519

    • -b: especifica o comprimento da chave a ser criada, por exemplo:

      ssh-keygen -t rsa -b 2048

    • -y: lê um arquivo particular no formato OpenSSH e mostra uma chave pública OpenSSH na saída padrão.

    • -f: especifica o nome do arquivo de chave, por exemplo:

      ssh-keygen -y [-f KEY_FILENAME]

    Para mais informações sobre flags compatíveis, consulte a documentação do OpenBSD.

É possível gerar uma chave PEM privada usando o seguinte método:

  • openssl genpkey: uma ferramenta de linha de comando OpenSSL para gerar uma chave privada PEM.

    Sinalizações úteis:

    • algorithm: especifica o algoritmo de chave pública a ser usado, por exemplo:

      openssl genpkey -algorithm RSA

    • -out: especifica o nome do arquivo para a saída da chave, por exemplo:

      openssl genpkey -algorithm RSA -out PRIVATE_KEY_FILENAME.pem

    Para mais informações sobre sinalizações compatíveis, consulte a documentação do OpenSSL (link em inglês).

Usar a conectividade particular

A conectividade privada é uma conexão entre sua rede VPC e a rede privada do Datastream, permitindo que o Datastream se comunique com recursos internos usando endereços IP internos. O uso da conectividade particular estabelece uma conexão dedicada na rede do Datastream, ou seja, nenhum outro cliente pode compartilhá-la.

Se o banco de dados de origem for externo ao Google Cloud, a conectividade particular permitirá que o Datastream se comunique com o banco de dados por meio de uma VPN ou do Interconnect.

Depois que uma configuração de conectividade privada é criada, uma única configuração pode atender a todos os streams em um projeto dentro de uma única região.

Em geral, o estabelecimento da conectividade privada requer o seguinte:

  • Uma nuvem privada virtual (VPC, na sigla em inglês) atual
  • Um intervalo de IP disponível com um bloco CIDR de /29

Caso seu projeto use uma VPC compartilhada, você também precisará ativar as APIs Datastream e Google Compute Engine, além de conceder permissões à conta de serviço do Datastream no projeto host.

Saiba mais sobre como criar uma configuração de conectividade privada.