Connettività privata

Panoramica

La connettività privata è una connessione tra la tua rete Virtual Private Cloud (VPC) e la rete privata di Datastream, che consente a Datastream di comunicare con le risorse utilizzando indirizzi IP interni. L'utilizzo della connettività privata stabilisce una connessione dedicata sulla rete Datastream, il che significa che nessun altro cliente può condividerla.

Puoi utilizzare la connettività privata per connettere Datastream a qualsiasi origine. Tuttavia, solo le reti VPC connesse direttamente in peering possono comunicare tra loro.

Il peering transitivo non è supportato. Se la rete con cui Datastream è connessa in peering non è quella su cui è ospitata l'origine, è necessario un proxy inverso. Hai bisogno di un proxy inverso sia se l'origine è Cloud SQL sia se l'origine è ospitata in un altro VPC o all'esterno della rete Google.

In questa pagina imparerai a utilizzare i proxy per stabilire una connettività privata tra Datastream e Cloud SQL oppure tra Datastream e le origini ospitate in un altro VPC o all'esterno della rete Google.

Perché è necessario un proxy inverso per Cloud SQL?

Quando configuri Cloud SQL per MySQL o Cloud SQL per PostgreSQL per l'utilizzo di indirizzi IP privati, utilizzi una connessione in peering VPC tra la tua rete VPC e la rete VPC dei servizi Google sottostanti in cui si trova l'istanza Cloud SQL.

Poiché la rete Datastream non può essere connessa in peering direttamente con la rete di servizi privati di Cloud SQL e poiché il peering VPC non è transitivo, è necessario un proxy inverso per Cloud SQL per collegare la connessione da Datastream alla tua istanza Cloud SQL.

Il seguente diagramma illustra l'utilizzo di un proxy inverso per stabilire una connessione privata tra Datastream e Cloud SQL.

Diagramma di flusso utente di Datastream

Perché è necessario un proxy inverso per un'origine ospitata in un altro VPC?

Se la rete VPC di Datastream è connessa in peering con la tua rete VPC ("Network1") e l'origine è accessibile da un'altra rete VPC ("Rete2"), Datastream non può utilizzare solo il peering di rete VPC per comunicare con l'origine. È necessario anche un proxy inverso per collegare la connessione tra Datastream e l'origine.

Il seguente diagramma mostra l'utilizzo di un proxy inverso per stabilire una connessione privata tra Datastream e un'origine ospitata al di fuori della rete Google.

Diagramma di flusso utente di Datastream

Configura un proxy inverso

Identifica la rete VPC tramite la quale Datastream si connette all'origine.
In questa rete VPC, crea una nuova macchina virtuale (VM) utilizzando l'immagine Debian o Ubuntu di base. Questa VM ospiterà il proxy inverso.
Verifica che la subnet si trovi nella stessa regione di Datastream e che il proxy inverso inoltri il traffico all'origine (e non a quest'ultima).
Connettiti alla VM proxy tramite SSH. Per informazioni sulle connessioni SSH, consulta Informazioni sulle connessioni SSH.
Verifica che la VM proxy possa comunicare con l'origine eseguendo un comando ping o telnet dalla VM all'indirizzo IP interno e alla porta dell'origine.
Sulla VM proxy, crea uno script di avvio utilizzando il codice seguente. Per ulteriori informazioni sugli script di avvio, consulta Utilizzo degli script di avvio sulle VM Linux.
```
#! /bin/bash

export DB_ADDR=[IP]
export DB_PORT=[PORT]

export ETH_NAME=$(ip -o link show | awk -F': ' '{print $2}' | grep -v lo)

export LOCAL_IP_ADDR=$(ip -4 addr show $ETH_NAME | grep -Po 'inet \K[\d.]+')

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -p tcp -m tcp --dport $DB_PORT -j DNAT \
--to-destination $DB_ADDR:$DB_PORT
iptables -t nat -A POSTROUTING -j SNAT --to-source $LOCAL_IP_ADDR
```
Nota: sostituisci i segnaposto [IP] e [PORT] con l'indirizzo IP interno e il numero di porta dell'origine. Lo script richiede di indicare l'indirizzo IP dell'origine e non risolve i nomi host in indirizzi IP.

Lo script viene eseguito a ogni riavvio della VM.
Crea una configurazione di connettività privata in Datastream per stabilire il peering VPC tra il tuo VPC e il VPC di Datastream.
Verifica che le regole firewall consentano il traffico dagli intervalli di indirizzi IP selezionati per la connettività privata.
Crea un profilo di connessione in Datastream.

Importante: per i dettagli della connessione, inserisci l'indirizzo IP interno e la porta della VM che ospita il proxy.
Nota: se utilizzi ProxySQL come proxy tra un'origine MySQL e una destinazione in Datastream, devi impostare il flag fast_forward su 1 nella tabella mysql_users. Per saperne di più, consulta la documentazione di ProxySQL.

Best practice per la configurazione di un proxy inverso

Questa sezione descrive le best practice da utilizzare per la configurazione delle VM gateway e proxy.

Tipo di macchina

Per determinare quale tipo di macchina funziona meglio per te, inizia con una configurazione semplice e misura il carico e la velocità effettiva. Se l'utilizzo è ridotto e i picchi di velocità effettiva vengono gestiti senza problemi, valuta la possibilità di ridurre il numero di CPU e la quantità di memoria. Ad esempio, se la velocità effettiva è fino a 2 GBps, seleziona un tipo di macchina n1-standard-1. Se la velocità effettiva è superiore a 2 GBps, seleziona un tipo di macchina e2-standard-2. Il tipo e2-standard-2 è una configurazione conveniente per una maggiore efficienza.

Tipo di architettura

Istanze non ad alta disponibilità (non ad alta disponibilità)

Esegui il deployment di una singola VM con un sistema operativo a tua scelta. Per una maggiore resilienza, puoi utilizzare un gruppo di istanze gestite con una singola VM. Se la VM si arresta in modo anomalo, un gruppo di istanze gestite ripara automaticamente l'istanza non riuscita ricreandola. Per ulteriori informazioni, vedi Gruppi di istanze.

Istanze ad alta disponibilità

Configura un gruppo di istanze gestite con due VM, ognuna in un'altra regione (se applicabile) o in una zona diversa. Per creare il gruppo di istanze gestite, devi disporre di un modello di istanza che possa essere utilizzato dal gruppo. Il gruppo di istanze gestite viene creato dietro un bilanciatore del carico di livello 4 interno, utilizzando un indirizzo IP hop successivo interno.

Passaggi successivi

Scopri come creare una configurazione di connettività privata.