Connectivité privée

Présentation

La connectivité privée est une connexion entre votre réseau cloud privé virtuel (VPC) et le réseau privé de Datastream. Elle permet à Datastream de communiquer avec des ressources en utilisant des adresses IP internes. L'utilisation d'une connectivité privée établit une connexion dédiée sur le réseau Datastream, ce qui signifie que vous ne partagez cette connexion avec aucun autre client.

Vous pouvez utiliser une connectivité privée pour connecter Datastream à n'importe quelle source. Cependant, seuls les réseaux VPC appairés directement peuvent communiquer entre eux.

L'appairage transitif n'est pas compatible. Si le réseau avec lequel Datastream est appairé n'est pas le réseau sur lequel votre source est hébergée, un proxy est nécessaire.

Cette page explique comment utiliser des proxys pour établir une connectivité privée entre Datastream et Cloud SQL, ou entre Datastream et des sources hébergées dans un autre VPC ou en dehors du réseau Google.

Pourquoi avez-vous besoin d'un proxy d'authentification Cloud SQL ?

Lorsque vous configurez une instance Cloud SQL pour qu'elle utilise des adresses IP privées, vous utilisez une connexion d'appairage VPC entre votre réseau VPC et le réseau VPC des services Google sous-jacents, où réside votre instance Cloud SQL.

Étant donné que le réseau de Datastream ne peut pas être appairé directement avec le réseau de services privés de Cloud SQL et comme l'appairage de VPC n'est pas transitif, un proxy d'authentification Cloud SQL est requis pour créer un pont de connexion entre Datastream et votre instance Cloud SQL.

Le schéma suivant illustre l'utilisation d'un proxy Auth Cloud SQL pour établir une connexion privée entre Datastream et Cloud SQL.

Schéma de parcours utilisateur de Datastream

Configurer un proxy d'authentification Cloud SQL

  1. Identifiez le réseau VPC via lequel Datastream se connectera à l'instance Cloud SQL source. Ce réseau VPC doit pouvoir se connecter à l'instance.

  2. Dans ce réseau VPC, créez une VM en utilisant l'image de base Debian ou Ubuntu. Cette VM hébergera le client de proxy d'authentification Cloud SQL.

  3. Suivez les étapes décrites dans ce guide pour configurer un proxy d'authentification Cloud SQL.

  4. Créez une configuration de connectivité privée dans Datastream pour établir un appairage VPC entre votre VPC et le VPC de Datastream.

  5. Créez un profil de connexion dans Datastream. Pour les informations de connexion, saisissez l'adresse IP et le port de la VM qui héberge le client proxy.

Pourquoi avez-vous besoin d'un proxy inverse ?

Si le réseau VPC de Datastream est appairé à votre réseau VPC ("Network1") et que votre source est accessible à partir d'un autre réseau VPC ("Network2"), Datastream ne peut pas utiliser uniquement l'appairage de réseaux VPC pour communiquer avec la source. Un proxy inverse est également nécessaire pour créer un pont de connexion entre Datastream et la source.

Le schéma suivant illustre l'utilisation d'un proxy inverse pour établir une connexion privée entre Datastream et une source hébergée en dehors du réseau Google.

Schéma de parcours utilisateur de Datastream

Configurer un proxy inverse

  1. Identifiez le réseau VPC via lequel Datastream se connectera à la source.
  2. Dans ce réseau VPC, créez une VM en utilisant l'image de base Debian ou Ubuntu. Cette VM hébergera le proxy inverse.
  3. Vérifiez que le sous-réseau se trouve dans la même région que Datastream, et que le proxy inverse transfère bien le trafic vers la source (et non depuis celle-ci).
  4. Vérifiez que votre VM peut communiquer avec la source en exécutant ping ou une commande telnet à partir de la VM et à destination de l'adresse IP interne et du port de la source.
  5. Connectez-vous en SSH au proxy inverse et créez un fichier en utilisant le script ci-dessous :
        #! /bin/bash
    
        export DB_ADDR=[IP]
        export DB_PORT=[PORT]
    
        export ETH_NAME=$(ip -o link show | awk -F': ' '{print $2}' |
        grep -v lo)
    
        export REMOTE_IP_ADDR=$(getent hosts $DB_ADDR | awk '{print $1}')
    
        export LOCAL_IP_ADDR=$(ip -4 addr show $ETH_NAME |
        grep -Po 'inet \K[\d.]+')
    
        echo 1 > /proc/sys/net/ipv4/ip_forward
        iptables -t nat -A PREROUTING -p tcp -m tcp --dport $DB_PORT
        -j DNAT --to-destination       $REMOTE_IP_ADDR:$DB_PORT
        iptables -t nat -A POSTROUTING -j SNAT --to-source $LOCAL_IP_ADDR
        
  6. Exécutez le script.
  7. Créez une configuration de connectivité privée dans Datastream pour établir un appairage VPC entre votre VPC et le VPC de Datastream.
  8. Créez un profil de connexion dans Datastream. Pour les informations de connexion, saisissez l'adresse IP interne et le port de la VM qui héberge le proxy.