Connettività privata

Panoramica

La connettività privata è una connessione tra la rete Virtual Private Cloud (VPC) e la rete privata di Datastream, che consente a Datastream di comunicare con le risorse utilizzando indirizzi IP interni. L'utilizzo della connettività privata stabilisce una connessione dedicata sulla rete Datastream, il che significa che nessun altro cliente può condividerla.

Puoi utilizzare la connettività privata per connettere Datastream a qualsiasi origine. Tuttavia, solo le reti VPC con peering diretto possono comunicare tra loro.

Il peering transitivo non è supportato. Se la rete con cui Datastream è in peering non è quella in cui è ospitata l'origine, è necessario un proxy inverso. È necessario un proxy inverso sia se l'origine è Cloud SQL sia se l'origine è ospitata in un altro VPC o al di fuori della rete Google.

In questa pagina imparerai a utilizzare i proxy per stabilire una connettività privata tra Datastream e Cloud SQL o tra Datastream e origini ospitate in un altro VPC o al di fuori della rete Google.

Perché hai bisogno di un proxy inverso per Cloud SQL?

Quando configuri un'istanza Cloud SQL per MySQL o Cloud SQL per PostgreSQL per utilizzare indirizzi IP privati, utilizzi una connessione di peering VPC tra la tua rete VPC e la rete VPC dei servizi Google sottostanti in cui risiede l'istanza Cloud SQL.

Poiché la rete di Datastream non può essere in peering direttamente con la rete dei servizi privati di Cloud SQL e poiché il peering VPC non è transitivo, è necessario un proxy inverso per Cloud SQL per collegare la connessione da Datastream all'istanza Cloud SQL.

Il seguente diagramma illustra l'utilizzo di un proxy inverso per stabilire una connessione privata tra Datastream e Cloud SQL.

Diagramma del flusso utente di Datastream

Perché è necessario un proxy inverso per un'origine ospitata in un altro VPC?

Se la rete VPC di Datastream è in peering con la tua rete VPC ("Network1") e la tua origine è accessibile da un'altra rete VPC ("Network2"), Datastream non può utilizzare solo il peering di rete VPC per comunicare con l'origine. È necessario anche un proxy inverso per creare un ponte tra la connessione tra Datastream e l'origine.

Il seguente diagramma illustra l'utilizzo di un proxy inverso per stabilire una connessione privata tra Datastream e un'origine ospitata al di fuori della rete Google.

Diagramma di flusso utente di Datastream

Configura un proxy inverso

  1. Identifica la rete VPC tramite la quale Datastream si connette all'origine.
  2. In questa rete VPC, crea una nuova macchina virtuale (VM) utilizzando l'immagine di base Debian o Ubuntu. Questa VM ospiterà il proxy inverso.
  3. Verifica che la subnet si trovi nella stessa regione di Datastream e che il proxy inverso inoltri il traffico all'origine (e non da quest'ultima).
  4. Connettiti alla VM proxy tramite SSH. Per informazioni sulle connessioni SSH, vedi Informazioni sulle connessioni SSH.
  5. Conferma che la VM proxy possa comunicare con l'origine eseguendo un comando ping o telnet dalla VM all'indirizzo IP interno e alla porta dell'origine.
  6. Sulla VM proxy, crea uno script di avvio utilizzando il codice seguente. Per ulteriori informazioni sugli script di avvio, consulta la sezione Utilizzo degli script di avvio sulle VM Linux.

    #! /bin/bash
    
    export DB_ADDR=[IP]
    export DB_PORT=[PORT]
    
    export ETH_NAME=$(ip -o link show | awk -F': ' '{print $2}' | grep -v lo)
    
    export LOCAL_IP_ADDR=$(ip -4 addr show $ETH_NAME | grep -Po 'inet \K[\d.]+')
    
    echo 1 > /proc/sys/net/ipv4/ip_forward
    iptables -t nat -A PREROUTING -p tcp -m tcp --dport $DB_PORT -j DNAT \
    --to-destination $DB_ADDR:$DB_PORT
    iptables -t nat -A POSTROUTING -j SNAT --to-source $LOCAL_IP_ADDR

    Lo script viene eseguito a ogni riavvio della VM.

  7. Crea una configurazione di connettività privata in Datastream per stabilire il peering VPC tra il tuo VPC e quello di Datastream.

  8. Verifica che le regole firewall consentano il traffico dagli intervalli di indirizzi IP selezionati per la connettività privata.

  9. Crea un profilo di connessione in Datastream.

Best practice per la configurazione di un proxy inverso

Questa sezione descrive le best practice da utilizzare per configurare il gateway e le VM proxy.

Tipo di macchina

Per determinare quale tipo di macchina funziona meglio per te, inizia con una semplice configurazione e per misurare il carico e la velocità effettiva. Se l'utilizzo è basso e i picchi di throughput vengono gestiti senza problemi, valuta la possibilità di ridurre il numero di CPU e la quantità di memoria. Ad esempio, se la velocità effettiva è fino a 2 GBps, seleziona un'opzione Tipo di macchina n1-standard-1. Se la velocità effettiva è superiore a 2 Gbps, seleziona un tipo di macchina e2-standard-2. Il tipo e2-standard-2 è una configurazione economica per una maggiore efficienza.

Tipo di architettura

Istanze non a disponibilità elevata (non ad alta disponibilità)

Esegui il deployment di una singola VM con un sistema operativo a tua scelta. Per una maggiore resilienza, puoi utilizzare un gruppo di istanze gestite con una singola VM. Se la VM si arresta in modo anomalo, un gruppo di istanze gestite ripara automaticamente l'istanza non riuscita ricreandola. Per maggiori informazioni Per ulteriori informazioni, consulta Gruppi di istanze.

Istanze a disponibilità elevata (HA)

Configura un gruppo di istanze gestite con due VM, ciascuna in una regione diversa (se applicabile) o in una zona diversa. Per creare il gruppo di istanze gestite, devi avere un modello di istanza utilizzabili dal gruppo. Il gruppo di istanze gestite viene creato dietro un bilanciatore del carico di livello 4 interno, utilizzando un indirizzo IP hop successivo interno.

Passaggi successivi