Conectividad privada

Descripción general

La conectividad privada es una conexión entre tu red de nube privada virtual (VPC) y la red privada de Datastream, lo que le permite comunicarse con los recursos mediante direcciones IP internas. El uso de la conectividad privada establece una conexión dedicada en la red de Datastream, lo que significa que ningún otro cliente puede compartirla.

Puedes usar la conectividad privada para conectar Datastream a cualquier fuente. Sin embargo, solo las redes de VPC con intercambio de tráfico directo pueden comunicarse entre sí.

No se admite el intercambio de tráfico transitivo. Si la red con la que Datastream intercambia el tráfico no es la que aloja tu fuente, se requiere un proxy inverso. Necesitas un proxy inverso si tu fuente es Cloud SQL y si está alojada en otra VPC o fuera de la red de Google.

En esta página, aprenderás a usar proxies para establecer conectividad privada entre Datastream y Cloud SQL, o entre Datastream y fuentes alojadas en otra VPC o fuera de la red de Google.

¿Por qué necesitas un proxy inverso para Cloud SQL?

Cuando configuras una instancia de Cloud SQL para MySQL o de Cloud SQL para PostgreSQL con el objetivo de usar direcciones IP privadas, usas una conexión de intercambio de tráfico de VPC entre tu red de VPC y la red de VPC de los servicios de Google subyacentes en los que reside tu instancia de Cloud SQL.

Debido a que la red de Datastream no puede intercambiar tráfico directamente con la red de servicios privados de Cloud SQL y, como el intercambio de tráfico entre VPC no es transitivo, se requiere un proxy inverso para Cloud SQL para conectar la conexión de Datastream a tu instancia de Cloud SQL.

En el siguiente diagrama, se ilustra el uso de un proxy inverso para establecer una conexión privada entre Datastream y Cloud SQL.

Diagrama de flujo de usuarios de Datastream

¿Por qué necesitas un proxy inverso para una fuente alojada en otra VPC?

Si la red de VPC de Datastream intercambia tráfico con tu red de VPC ("Network1") y se puede acceder al origen desde otra red de VPC ("Network2"), Datastream solo podrá usar el intercambio de tráfico entre redes de VPC para comunicarse con el origen. También se necesita un proxy inverso para establecer la conexión entre Datastream y la fuente.

En el siguiente diagrama, se ilustra el uso de un proxy inverso para establecer una conexión privada entre Datastream y una fuente alojada fuera de la red de Google.

Diagrama de flujo de usuarios de Datastream

Configura un proxy inverso

  1. Identifica la red de VPC a través de la cual Datastream se conecta a la fuente.
  2. En esta red de VPC, crea una máquina virtual (VM) nueva con la imagen básica de Debian o Ubuntu. Esta VM alojará el proxy inverso.
  3. Verifica que la subred esté en la misma región que Datastream y que el proxy inverso reenvíe el tráfico al origen (y no desde él).
  4. Conéctate a la VM del proxy con SSH. Para obtener información sobre las conexiones SSH, consulta Acerca de las conexiones SSH.
  5. Confirma que la VM del proxy puede comunicarse con el origen ejecutando un comando ping o telnet desde la VM a la dirección IP interna y al puerto de origen.

  6. En la VM del proxy, crea una secuencia de comandos de inicio con el siguiente código. Para obtener más información sobre las secuencias de comandos de inicio, consulta Cómo usar secuencias de comandos de inicio en VMs de Linux.

    #! /bin/bash

export DB_ADDR=[IP]
export DB_PORT=[PORT]

export ETH_NAME=$(ip -o link show | awk -F': ' '{print $2}' | grep -v lo)

export LOCAL_IP_ADDR=$(ip -4 addr show $ETH_NAME | grep -Po 'inet \K[\d.]+')

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -p tcp -m tcp --dport $DB_PORT -j DNAT \
--to-destination $DB_ADDR:$DB_PORT
iptables -t nat -A POSTROUTING -j SNAT --to-source $LOCAL_IP_ADDR

    La secuencia de comandos se ejecuta cada vez que se reinicia la VM.

  7. Crea una configuración de conectividad privada en Datastream para establecer el intercambio de tráfico de VPC entre tu VPC y la VPC de Datastream.

  8. Verifica que las reglas de firewall permitan el tráfico de los rangos de direcciones IP seleccionados para la conectividad privada.

  9. Crea un perfil de conexión en Datastream.

Prácticas recomendadas para configurar un proxy inverso

En esta sección, se describen las prácticas recomendadas para configurar la puerta de enlace y las VMs del proxy de seguridad en la nube.

Tipo de máquina

Para determinar qué tipo de máquina funciona mejor, comienza con una configuración simple y mide la carga y la capacidad de procesamiento. Si el uso es bajo y los picos de la capacidad de procesamiento son sin problemas, considera reducir la cantidad de CPU de memoria. Por ejemplo, si tu capacidad de procesamiento es de hasta 2 GBps, selecciona un tipo de máquina n1-standard-1. Si la capacidad de procesamiento es superior a 2 GBps, selecciona un tipo de máquina e2-standard-2. El tipo e2-standard-2 es una configuración rentable para mejorar la eficiencia.

Tipo de arquitectura

Instancias sin alta disponibilidad (sin alta disponibilidad)

Implementa una sola VM con el sistema operativo que quieras. Para mayor resiliencia, puedes usar un grupo de instancias administrado (MIG) con una sola VM. Si tu VM falla, un MIG repara automáticamente la instancia fallida recréala. Para obtener más información, consulta Grupos de instancias.

Instancias de alta disponibilidad (HA)

Configura un MIG con dos VMs, cada una en una región diferente (si corresponde) o en una una zona diferente. Para crear el MIG, debes tener una plantilla de instancias que el grupo puede usar. La MIG se crea detrás de un balanceador de cargas interno de la capa 4 con una dirección IP de siguiente salto interna.

¿Qué sigue?