Visão geral
A conectividade privada é uma conexão entre sua rede de nuvem privada virtual (VPC) e a rede privada do Datastream, permitindo que o Datastream se comunique com recursos usando endereços IP internos. O uso da conectividade particular estabelece uma conexão dedicada na rede do Datastream, ou seja, nenhum outro cliente pode compartilhá-la.
É possível usar a conectividade privada para conectar o Datastream a qualquer origem. No entanto, somente as redes VPC com peering direto podem se comunicar.
O peering transitivo não é aceito. Se a rede com que o Datastream faz peering não for a mesma em que a origem está hospedada, será necessário usar um proxy reverso. Você vai precisar de um proxy reverso se a origem for o Cloud SQL e estiver hospedada em outra VPC ou fora da rede do Google.
Nesta página, você aprenderá a usar proxies para estabelecer conectividade privada entre o Datastream e o Cloud SQL ou entre o Datastream e as origens hospedadas em outra VPC ou fora da Rede do Google.
Por que você precisa de um proxy reverso para o Cloud SQL?
Ao configurar uma instância do Cloud SQL para MySQL ou do Cloud SQL para PostgreSQL para usar endereços IP particulares, você usa uma conexão de peering de VPC entre a rede VPC e a rede VPC dos serviços subjacentes do Google onde a instância do Cloud SQL reside.
Como a rede do Datastream não pode fazer peering diretamente com a rede de serviços particulares do Cloud SQL e o peering de VPC não é transitivo, é necessário um proxy reverso para o Cloud SQL para vincular a conexão do Datastream à sua instância do Cloud SQL.
O diagrama a seguir ilustra o uso de um proxy reverso para estabelecer uma conexão particular entre o Datastream e o Cloud SQL.
Por que você precisa de um proxy reverso para uma origem hospedada em outra VPC?
Se a rede VPC do Datastream tiver peering com sua rede VPC ("Network1") e sua origem puder ser acessada por outra rede VPC ("Network2"), não será possível usar apenas o peering de rede VPC apenas para se comunicar com a origem. Também é necessário um proxy reverso para conectar a conexão entre o Datastream e a origem.
O diagrama a seguir ilustra o uso de um proxy reverso para estabelecer uma conexão privada entre o Datastream e uma fonte hospedada fora da rede do Google.
Configurar um proxy reverso
- Identifique a rede VPC que o Datastream usa para se conectar à origem.
- Nessa rede VPC, crie uma nova máquina virtual (VM) usando a imagem básica do Debian ou do Ubuntu. Esta VM hospedará o proxy reverso.
- Verifique se a sub-rede está na mesma região que o Datastream e se o proxy reverso encaminha o tráfego para a origem (e não para ela).
- Conecte-se à VM de proxy usando SSH. Para mais informações sobre conexões SSH, consulte Sobre conexões SSH.
- Confirme se a VM proxy pode se comunicar com a origem executando um comando
ping
outelnet
da VM para o endereço IP interno e a porta da origem. Na VM do proxy, crie um script de inicialização usando o código a seguir. Para mais informações sobre scripts de inicialização, consulte Como usar scripts de inicialização em VMs do Linux.
#! /bin/bash export DB_ADDR=[IP] export DB_PORT=[PORT] export ETH_NAME=$(ip -o link show | awk -F': ' '{print $2}' | grep -v lo) export LOCAL_IP_ADDR=$(ip -4 addr show $ETH_NAME | grep -Po 'inet \K[\d.]+') echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A PREROUTING -p tcp -m tcp --dport $DB_PORT -j DNAT \ --to-destination $DB_ADDR:$DB_PORT iptables -t nat -A POSTROUTING -j SNAT --to-source $LOCAL_IP_ADDR
O script é executado sempre que a VM é reinicializada.
Crie uma configuração de conectividade privada no Datastream para estabelecer o peering de VPC entre sua VPC e a VPC do Datastream.
Verifique se as regras do firewall permitem o tráfego dos intervalos de endereços IP selecionados para conectividade privada.
Crie um perfil de conexão no Datastream.
Práticas recomendadas para configurar um proxy reverso
Esta seção descreve as práticas recomendadas para usar ao configurar o gateway e as VMs de proxy.
Tipo de máquina
Para determinar qual tipo de máquina funciona melhor para você, comece com uma configuração simples e meça a carga e a taxa de transferência. Se o uso for baixo e os picos de capacidade forem sem problemas, considere reduzir o número de CPUs e a quantidade de memória. Por exemplo, se a taxa de transferência for de até 2 GBps, selecione um tipo de máquina n1-standard-1. Se a capacidade de processamento for superior a 2 GBps, selecione um tipo de máquina e2-standard-2. O tipo e2-standard-2 é uma opção configuração para aumentar a eficiência.
Tipo de arquitetura
Instâncias não altamente disponíveis (não alta disponibilidade)
Implante uma única VM com o sistema operacional que você escolher. Para aumentar a resiliência, use um grupo gerenciado de instâncias (MIG) com uma única VM. Se a VM falhar, um MIG vai recriar a instância com falha automaticamente. Para mais informações, consulte Grupos de instâncias.
Instâncias altamente disponíveis (HA)
configurar um MIG com duas VMs, cada uma em uma região diferente (se aplicável), ou em uma em uma zona diferente. Para criar o MIG, você precisa ter um modelo de instância que o grupo possa usar. O MIG é criado por trás de uma carga interna da Camada 4 usando um próximo salto interno o endereço IP público.
A seguir
- Saiba como criar uma configuração de conectividade particular.
- Saiba como ver a configuração da conectividade particular.
- Saiba como excluir uma configuração de conectividade particular.