Présentation
La connectivité privée est une connexion entre votre réseau cloud privé virtuel (VPC) et le réseau privé de Datastream. Elle permet à Datastream de communiquer avec des ressources en utilisant des adresses IP internes. L'utilisation d'une connectivité privée établit une connexion dédiée sur le réseau Datastream, ce qui signifie que vous ne partagez cette connexion avec aucun autre client.
Vous pouvez utiliser une connectivité privée pour connecter Datastream à n'importe quelle source. Cependant, seuls les réseaux VPC appairés directement peuvent communiquer entre eux.
L'appairage transitif n'est pas compatible. Si le réseau avec lequel Datastream est appairé n'est pas celui sur lequel votre source est hébergée, un proxy inverse est requis. Vous avez besoin d'un proxy inverse si votre source est Cloud SQL et si votre source est hébergée dans un autre VPC ou en dehors du réseau Google.
Cette page explique comment utiliser des proxys pour établir une connectivité privée entre Datastream et Cloud SQL, ou entre Datastream et des sources hébergées dans un autre VPC ou en dehors du réseau Google.
Pourquoi avez-vous besoin d'un proxy inverse pour Cloud SQL ?
Lorsque vous configurez une instance Cloud SQL pour MySQL ou Cloud SQL pour PostgreSQL afin d'utiliser des adresses IP privées, vous utilisez une connexion d'appairage de VPC entre votre réseau VPC et le réseau VPC des services Google sous-jacents sur lesquels réside votre instance Cloud SQL.
Étant donné que le réseau de Datastream ne peut pas être appairé directement au réseau de services privés de Cloud SQL et que l'appairage de VPC n'est pas transitif, un proxy inverse pour Cloud SQL est nécessaire pour établir la liaison entre Datastream et votre instance Cloud SQL.
Le schéma suivant illustre l'utilisation d'un proxy inverse pour établir une connexion privée entre Datastream et Cloud SQL.
Pourquoi avez-vous besoin d'un proxy inverse pour une source hébergée dans un autre VPC ?
Si le réseau VPC de Datastream est appairé à votre réseau VPC ("Network1") et que votre source est accessible à partir d'un autre réseau VPC ("Network2"), Datastream ne peut pas utiliser uniquement l'appairage de réseaux VPC pour communiquer avec la source. Un proxy inverse est également nécessaire pour créer un pont de connexion entre Datastream et la source.
Le schéma suivant illustre l'utilisation d'un proxy inverse pour établir une connexion privée entre Datastream et une source hébergée en dehors du réseau Google.
Configurer un proxy inverse
- Identifiez le réseau VPC via lequel Datastream se connecte à la source.
- Dans ce réseau VPC, créez une machine virtuelle (VM) à l'aide de l'image de base Debian ou Ubuntu. Cette VM hébergera le proxy inverse.
- Vérifiez que le sous-réseau se trouve dans la même région que Datastream, et que le proxy inverse transfère bien le trafic vers la source (et non depuis celle-ci).
- Connectez-vous à la VM proxy à l'aide de SSH. Pour en savoir plus sur les connexions SSH, consultez la section À propos des connexions SSH.
- Vérifiez que votre VM proxy peut communiquer avec la source en exécutant une commande
pingoutelnetdepuis la VM vers l'adresse IP interne et le port de la source. Sur la VM proxy, créez un script de démarrage à l'aide du code suivant. Pour en savoir plus sur les scripts de démarrage, consultez la page Utiliser des scripts de démarrage sur des VM Linux.
#! /bin/bash export DB_ADDR=[IP] export DB_PORT=[PORT] export ETH_NAME=$(ip -o link show | awk -F': ' '{print $2}' | grep -v lo) export LOCAL_IP_ADDR=$(ip -4 addr show $ETH_NAME | grep -Po 'inet \K[\d.]+') echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A PREROUTING -p tcp -m tcp --dport $DB_PORT -j DNAT \ --to-destination $DB_ADDR:$DB_PORT iptables -t nat -A POSTROUTING -j SNAT --to-source $LOCAL_IP_ADDR
Le script s'exécute à chaque redémarrage de la VM.
Créez une configuration de connectivité privée dans Datastream pour établir un appairage VPC entre votre VPC et le VPC de Datastream.
Vérifiez que vos règles de pare-feu autorisent le trafic provenant des plages d'adresses IP sélectionnées pour la connectivité privée.
Créez un profil de connexion dans Datastream.
Bonnes pratiques pour configurer un proxy inverse
Cette section décrit les bonnes pratiques à suivre lorsque vous configurez votre passerelle et des VM proxy.
Type de machine
Pour déterminer le type de machine qui vous convient le mieux, commencez par une configuration simple et mesurez la charge et le débit. Si l'utilisation est faible et que les pics de débit sont traitées sans aucun problème, pensez à réduire le nombre de CPU et la quantité de mémoire. Par exemple, si votre débit peut atteindre 2 Gbits/s, sélectionnez un type de machine n1-standard-1. Si votre débit dépasse 2 Gbits/s, sélectionnez un type de machine e2-standard-2. Le type e2-standard-2 est une solution économique pour plus d'efficacité.
Type d'architecture
Instances non disponibilité élevée (haute disponibilité)
Déployez une seule VM avec le système d'exploitation de votre choix. Pour plus de résilience, vous pouvez utiliser un groupe d'instances géré (MIG) avec une seule VM. Si votre VM plante, un MIG répare automatiquement l'instance défaillante en la recréant. Pour plus plus d'informations, consultez la page Groupes d'instances.
Instances à disponibilité élevée
Configurez un MIG avec deux VM, chacune dans une région différente (le cas échéant) ou dans une zone différente. Pour créer le MIG, vous devez disposer d'un modèle d'instance que le groupe peut utiliser. Le MIG est créé derrière une charge interne de couche 4 à l'aide d'un saut suivant interne l'adresse IP.
Étape suivante
- Découvrez comment créer une configuration de connectivité privée.
- Découvrez comment afficher votre configuration de connectivité privée.
- Découvrez comment supprimer une configuration de connectivité privée.