Présentation
La connectivité privée est une connexion entre votre réseau cloud privé virtuel (VPC) et le réseau privé de Datastream. Elle permet à Datastream de communiquer avec des ressources en utilisant des adresses IP internes. L'utilisation d'une connectivité privée établit une connexion dédiée sur le réseau Datastream, ce qui signifie que vous ne partagez cette connexion avec aucun autre client.
Vous pouvez utiliser une connectivité privée pour connecter Datastream à n'importe quelle source. Cependant, seuls les réseaux VPC appairés directement peuvent communiquer entre eux.
L'appairage transitif n'est pas compatible. Si le réseau auquel Datastream est appairé n'est pas celui sur lequel votre source est hébergée, un proxy inverse est requis. Vous avez besoin d'un proxy inverse si votre source est Cloud SQL et si votre source est hébergée dans un autre VPC ou en dehors du réseau Google.
Cette page explique comment utiliser des proxys pour établir une connectivité privée entre Datastream et Cloud SQL, ou entre Datastream et des sources hébergées dans un autre VPC ou en dehors du réseau Google.
Pourquoi avez-vous besoin d'un proxy inverse pour Cloud SQL ?
Lorsque vous configurez une instance Cloud SQL pour MySQL ou Cloud SQL pour PostgreSQL afin d'utiliser des adresses IP privées, vous utilisez une connexion d'appairage de VPC entre votre réseau VPC et le réseau VPC des services Google sous-jacents sur lesquels réside votre instance Cloud SQL.
Étant donné que le réseau de Datastream ne peut pas être appairé directement au réseau de services privés de Cloud SQL et que l'appairage de VPC n'est pas transitif, un proxy inverse pour Cloud SQL est nécessaire pour relier la connexion entre Datastream à votre instance Cloud SQL.
Le schéma suivant illustre l'utilisation d'un proxy inverse pour établir une connexion privée entre Datastream et Cloud SQL.
Pourquoi avez-vous besoin d'un proxy inverse pour une source hébergée dans un autre VPC ?
Si le réseau VPC de Datastream est appairé à votre réseau VPC ("Network1") et que votre source est accessible à partir d'un autre réseau VPC ("Network2"), Datastream ne peut pas utiliser uniquement l'appairage de réseaux VPC pour communiquer avec la source. Un proxy inverse est également nécessaire pour créer un pont de connexion entre Datastream et la source.
Le schéma suivant illustre l'utilisation d'un proxy inverse pour établir une connexion privée entre Datastream et une source hébergée en dehors du réseau Google.
Configurer un proxy inverse
- Identifiez le réseau VPC via lequel Datastream se connecte à la source.
- Dans ce réseau VPC, créez une machine virtuelle (VM) à l'aide de l'image Debian ou Ubuntu de base. Cette VM hébergera le proxy inverse.
- Vérifiez que le sous-réseau se trouve dans la même région que Datastream, et que le proxy inverse transfère bien le trafic vers la source (et non depuis celle-ci).
- Connectez-vous à la VM proxy à l'aide de SSH. Pour en savoir plus sur les connexions SSH, consultez la section À propos des connexions SSH.
- Vérifiez que votre VM proxy peut communiquer avec la source en exécutant une commande
pingoutelnetdepuis la VM vers l'adresse IP interne et le port de la source. Sur la VM proxy, créez un script de démarrage à l'aide du code suivant. Pour en savoir plus sur les scripts de démarrage, consultez Utiliser des scripts de démarrage sur des VM Linux.
#! /bin/bash export DB_ADDR=[IP] export DB_PORT=[PORT] export ETH_NAME=$(ip -o link show | awk -F': ' '{print $2}' | grep -v lo) export LOCAL_IP_ADDR=$(ip -4 addr show $ETH_NAME | grep -Po 'inet \K[\d.]+') echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A PREROUTING -p tcp -m tcp --dport $DB_PORT -j DNAT \ --to-destination $DB_ADDR:$DB_PORT iptables -t nat -A POSTROUTING -j SNAT --to-source $LOCAL_IP_ADDRLe script s'exécute à chaque redémarrage de votre VM.
Créez une configuration de connectivité privée dans Datastream pour établir un appairage VPC entre votre VPC et le VPC de Datastream.
Vérifiez que vos règles de pare-feu autorisent le trafic provenant des plages d'adresses IP sélectionnées pour la connectivité privée.
Créez un profil de connexion dans Datastream.
Bonnes pratiques pour configurer un proxy inverse
Cette section décrit les bonnes pratiques à suivre lors de la configuration de votre passerelle et de vos VM proxy.
Type de machine
Pour déterminer le type de machine qui vous convient le mieux, commencez par une configuration simple, puis mesurez la charge et le débit. Si l'utilisation est faible et que les pics de débit sont gérés sans problème, envisagez de réduire le nombre de processeurs et la quantité de mémoire. Par exemple, si votre débit est de 2 Gbit/s, sélectionnez un type de machine n1-standard-1. Si votre débit est supérieur à 2 Gbit/s, sélectionnez un type de machine e2-standard-2. Le type e2-standard-2 est une configuration économique pour une efficacité accrue.
Type d'architecture
Instances non disponibilité élevée (standard)
Déployez une VM unique avec le système d'exploitation de votre choix. Pour une résilience accrue, vous pouvez utiliser un groupe d'instances géré (MIG) avec une seule VM. Si votre VM plante, un MIG répare automatiquement l'instance défaillante en la recréant. Pour en savoir plus, consultez la page Groupes d'instances.
Instances à haute disponibilité
Configurez un MIG avec deux VM, chacune dans une région différente (le cas échéant) ou dans une zone différente. Pour créer le MIG, vous devez disposer d'un modèle d'instance que le groupe peut utiliser. Le MIG est créé derrière un équilibreur de charge interne de couche 4, à l'aide d'une adresse IP interne de saut suivant.
Étapes suivantes
- Découvrez comment créer une configuration de connectivité privée.