Conectividad privada

Descripción general

La conectividad privada es una conexión entre tu red de nube privada virtual (VPC) y la red privada de Datastream, lo que permite que Datastream se comunique con los recursos mediante direcciones IP internas. El uso de la conectividad privada establece una conexión dedicada en la red de Datastream, lo que significa que ningún otro cliente puede compartirla.

Puedes usar la conectividad privada para conectar Datastream a cualquier fuente. Sin embargo, solo las redes de VPC que intercambian tráfico de forma directa pueden comunicarse entre sí.

No se admite el intercambio de tráfico transitivo. Si la red con la que realiza el intercambio de tráfico de Datastream no es la red en la que se aloja la fuente, se requiere un proxy.

En esta página, aprenderás a usar proxies para establecer conectividad privada entre Datastream y Cloud SQL, o entre Datastream y fuentes que se alojan en otra VPC o fuera de la red de Google.

¿Por qué necesitas un proxy de autenticación de Cloud SQL?

Cuando configuras una instancia de Cloud SQL para que use direcciones IP privadas, debes usar una conexión de intercambio de tráfico de VPC entre su red de VPC y la red de VPC de los servicios subyacentes de Google en los que reside su instancia de Cloud SQL.

Debido a que la red de Datastream no puede intercambiar tráfico directamente con la red de servicios privados de Cloud SQL y a que el intercambio de tráfico de VPC no es transitivo, se requiere un proxy de autenticación de Cloud SQL para conectar la conexión de Datastream con tu instancia de Cloud SQL.

En el siguiente diagrama, se ilustra cómo usar un proxy de autenticación de Cloud SQL para establecer una conexión privada entre Datastream y Cloud SQL.

Diagrama de flujo del usuario de Datastream

Configura un proxy de autenticación de Cloud SQL

  1. Identifica la red de VPC a través de la cual Datastream se conectará a la instancia de Cloud SQL de origen. Esta red de VPC debería poder conectarse a la instancia.

  2. En esta red de VPC, crea una VM nueva con la imagen básica de Debian o Ubuntu. Esta VM alojará el cliente del proxy de autenticación de Cloud SQL.

  3. Sigue los pasos de esta guía para configurar un proxy de Auth de Cloud SQL.

  4. Crea una configuración de conectividad privada en Datastream para establecer el intercambio de tráfico de VPC entre tu VPC y la VPC de Datastream.

  5. Crea un perfil de conexión en Datastream. Para los detalles de la conexión, ingresa la dirección IP y el puerto de la VM que aloja el cliente del proxy.

¿Por qué necesitas un proxy inverso?

Si la red de VPC de Datastream intercambia tráfico con tu red de VPC ("Network1"), y tu fuente es accesible desde otra red de VPC ("Network2"), entonces Datastream no puede usar solo el intercambio de tráfico entre redes de VPC para comunicarse con la fuente. También se necesita un proxy inverso para conectar la conexión entre Datastream y el origen.

En el siguiente diagrama, se ilustra cómo usar un proxy inverso para establecer una conexión privada entre Datastream y una fuente alojada fuera de la red de Google.

Diagrama de flujo del usuario de Datastream

Configura un proxy inverso

  1. Identifica la red de VPC a través de la cual Datastream se conectará a la fuente.
  2. En esta red de VPC, crea una VM nueva con la imagen básica de Debian o Ubuntu. Esta VM alojará el proxy inverso.
  3. Verifica que la subred esté en la misma región que Datastream y que el proxy inverso reenvíe el tráfico al origen (y no desde él).
  4. Confirma que tu VM pueda comunicarse con el origen mediante la ejecución de ping o un comando telnet desde la VM a la dirección IP interna y al puerto de la fuente.
  5. Establece una conexión SSH al proxy inverso y crea un archivo con la siguiente secuencia de comandos:
        #! /bin/bash
    
        export DB_ADDR=[IP]
        export DB_PORT=[PORT]
    
        export ETH_NAME=$(ip -o link show | awk -F': ' '{print $2}' |
        grep -v lo)
    
        export REMOTE_IP_ADDR=$(getent hosts $DB_ADDR | awk '{print $1}')
    
        export LOCAL_IP_ADDR=$(ip -4 addr show $ETH_NAME |
        grep -Po 'inet \K[\d.]+')
    
        echo 1 > /proc/sys/net/ipv4/ip_forward
        iptables -t nat -A PREROUTING -p tcp -m tcp --dport $DB_PORT
        -j DNAT --to-destination       $REMOTE_IP_ADDR:$DB_PORT
        iptables -t nat -A POSTROUTING -j SNAT --to-source $LOCAL_IP_ADDR
        
  6. Ejecuta la secuencia de comandos.
  7. Crea una configuración de conectividad privada en Datastream para establecer el intercambio de tráfico de VPC entre tu VPC y la VPC de Datastream.
  8. Crea un perfil de conexión en Datastream. Para los detalles de la conexión, ingresa la dirección IP interna y el puerto de la VM que aloja el proxy.