Überblick
Private Verbindungen sind Verbindungen zwischen Ihrem VPC-Netzwerk (Virtual Private Cloud) und dem privaten Netzwerk von Datastream. Dadurch kann Datastream über interne IP-Adressen mit Ressourcen kommunizieren. Die Verwendung privater Verbindungen stellt eine dedizierte Verbindung im Datastream-Netzwerk her, das heißt, keine anderen Kunden können sie nutzen.
Sie können private Verbindungen verwenden, um Datastream mit einer beliebigen Quelle zu verbinden. Nur VPC-Netzwerke, die direkt per Peering verbunden sind, können jedoch miteinander kommunizieren.
Transitives Peering wird nicht unterstützt. Wenn das Netzwerk, mit dem Datastream über Peering verbunden ist, nicht das Netzwerk ist, in dem Ihre Quelle gehostet wird, ist ein Reverse-Proxy erforderlich. Sie benötigen einen Reverse-Proxy sowohl, wenn Ihre Quelle Cloud SQL ist, als auch wenn Ihre Quelle in einer anderen VPC oder außerhalb des Google-Netzwerks gehostet wird.
Auf dieser Seite erfahren Sie, wie Sie mithilfe von Proxys eine private Verbindung zwischen Datastream und Cloud SQL oder zwischen Datastream und Quellen herstellen, die entweder in einer anderen VPC oder außerhalb des Google-Netzwerks gehostet werden.
Warum benötigen Sie einen Reverse-Proxy für Cloud SQL?
Wenn Sie eine Cloud SQL for MySQL- oder Cloud SQL for PostgreSQL-Instanz für die Verwendung privater IP-Adressen konfigurieren, verwenden Sie eine VPC-Peering-Verbindung zwischen Ihrem VPC-Netzwerk und dem VPC-Netzwerk der zugrunde liegenden Google-Dienste, in denen sich Ihre Cloud SQL-Instanz befindet.
Da das Netzwerk von Datastream nicht direkt mit dem privaten Dienstnetzwerk von Cloud SQL verbunden werden kann und das VPC-Peering nicht transitiv ist, ist ein Reverse-Proxy für Cloud SQL erforderlich, um die Verbindung von Datastream zu Ihrer Cloud SQL-Instanz zu überbrücken.
Das folgende Diagramm veranschaulicht die Verwendung eines Reverse-Proxys zum Herstellen einer privaten Verbindung zwischen Datastream und Cloud SQL.
Warum benötigen Sie einen Reverse-Proxy für eine in einer anderen VPC gehostete Quelle?
Wenn das VPC-Netzwerk von Datastream per Peering mit Ihrem VPC-Netzwerk ("Network1") verbunden ist und Ihre Quelle über ein anderes VPC-Netzwerk ("Network2") zugänglich ist, kann Datastream nicht allein per VPC-Netzwerk-Peering mit der Quelle kommunizieren. Zum Herstellen der Verbindung zwischen Datastream und der Quelle ist auch ein Reverse-Proxy erforderlich.
Im folgenden Diagramm wird gezeigt, wie ein Reverse-Proxy verwendet wird, um eine private Verbindung zwischen Datastream und einer Quelle herzustellen, die außerhalb des Google-Netzwerks gehostet wird.
Reverse-Proxy einrichten
- Ermitteln Sie das VPC-Netzwerk, über das Datastream eine Verbindung zur Quelle herstellt.
- Erstellen Sie in diesem VPC-Netzwerk eine neue virtuelle Maschine (VM) mit dem grundlegenden Debian- oder Ubuntu-Image. Auf dieser VM wird der Reverse-Proxy gehostet.
- Kontrollieren Sie, dass sich das Subnetz in derselben Region wie Datastream befindet und dass der Reverse-Proxy Traffic an die Quelle weiterleitet (und nicht von ihr weg).
- Stellen Sie über SSH eine Verbindung zur Proxy-VM her. Informationen zu SSH-Verbindungen finden Sie unter Informationen zu SSH-Verbindungen.
- Prüfen Sie, ob die Proxy-VM mit der Quelle kommunizieren kann. Führen Sie dazu einen
ping- odertelnet-Befehl von der VM zur internen IP-Adresse und zum Port der Quelle aus. Erstellen Sie auf der Proxy-VM ein Startup-Skript mit dem folgenden Code. Weitere Informationen zu Startup-Skripts finden Sie unter Startskripts auf Linux-VMs verwenden.
#! /bin/bash export DB_ADDR=[IP] export DB_PORT=[PORT] export ETH_NAME=$(ip -o link show | awk -F': ' '{print $2}' | grep -v lo) export LOCAL_IP_ADDR=$(ip -4 addr show $ETH_NAME | grep -Po 'inet \K[\d.]+') echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A PREROUTING -p tcp -m tcp --dport $DB_PORT -j DNAT \ --to-destination $DB_ADDR:$DB_PORT iptables -t nat -A POSTROUTING -j SNAT --to-source $LOCAL_IP_ADDRDas Skript wird bei jedem VM-Neustart ausgeführt.
Erstellen Sie eine Konfiguration für private Verbindungen in Datastream, um VPC-Peering zwischen Ihrer VPC und der VPC von Datastream einzurichten.
Prüfen Sie, ob Ihre Firewallregeln Traffic von den IP-Adressbereichen zulassen, die für private Verbindungen ausgewählt wurden.
Erstellen Sie ein Verbindungsprofil in Datastream.
Best Practices zum Einrichten eines Reverse-Proxys
In diesem Abschnitt werden Best Practices beschrieben, die Sie beim Einrichten Ihrer Gateway- und Proxy-VMs verwenden sollten.
Maschinentyp
Um herauszufinden, welcher Maschinentyp für Sie am besten geeignet ist, beginnen Sie mit einer einfachen Einrichtung und messen die Last und den Durchsatz. Wenn die Auslastung gering ist und die Durchsatzspitzen problemlos verarbeitet werden können, sollten Sie die Anzahl der CPUs und den Arbeitsspeicher reduzieren. Beträgt Ihr Durchsatz beispielsweise 2 Gbit/s, wählen Sie den Maschinentyp n1-standard-1 aus. Wenn Ihr Durchsatz über 2 Gbit/s liegt, wählen Sie den Maschinentyp e2-standard-2 aus. Der Typ e2-standard-2 ist eine kostengünstige Konfiguration für erhöhte Effizienz.
Architekturtyp
Nicht hochverfügbare Instanzen (ohne Hochverfügbarkeit)
Stellen Sie eine einzelne VM mit einem Betriebssystem Ihrer Wahl bereit. Für zusätzliche Ausfallsicherheit können Sie eine verwaltete Instanzgruppe mit einer einzelnen VM verwenden. Wenn Ihre VM abstürzt, repariert eine MIG die fehlgeschlagene Instanz automatisch, indem sie sie neu erstellt. Weitere Informationen finden Sie unter Instanzgruppen.
Hochverfügbare Instanzen (HA)
Richten Sie eine MIG mit zwei VMs ein, die sich jeweils in einer anderen Region (falls zutreffend) oder in einer anderen Zone befinden. Zum Erstellen der MIG benötigen Sie eine Instanzvorlage, die die Gruppe verwenden kann. Die MIG wird hinter einem internen Layer-4-Load-Balancer mit einer internen IP-Adresse für den nächsten Hop erstellt.