Conectividade privada

Visão geral

A conectividade privada é uma conexão entre sua rede de nuvem privada virtual (VPC) e a rede privada do Datastream, permitindo que o Datastream se comunique com recursos usando endereços IP internos. O uso da conectividade particular estabelece uma conexão dedicada na rede do Datastream, ou seja, nenhum outro cliente pode compartilhá-la.

É possível usar a conectividade privada para conectar o Datastream a qualquer origem. No entanto, somente as redes VPC com peering direto podem se comunicar.

O peering transitivo não é aceito. Se a rede com que o Datastream faz peering não for aquela em que sua origem está hospedada, será necessário usar um proxy reverso. Você vai precisar de um proxy reverso se a origem for o Cloud SQL e se estiver hospedada em outra VPC ou fora da rede do Google.

Nesta página, você aprenderá a usar proxies para estabelecer conectividade privada entre o Datastream e o Cloud SQL ou entre o Datastream e as origens hospedadas em outra VPC ou fora da Rede do Google.

Por que você precisa de um proxy reverso para o Cloud SQL?

Ao configurar uma instância do Cloud SQL para MySQL ou do Cloud SQL para PostgreSQL para usar endereços IP particulares, você usa uma conexão de peering VPC entre a rede VPC e a rede VPC dos serviços subjacentes do Google em que a instância do Cloud SQL está localizada.

Como a rede do Datastream não pode fazer peering diretamente com a rede de serviços privados do Cloud SQL, e o peering de VPC não é transitivo, um proxy reverso do Cloud SQL é necessário para fazer a ponte entre o Datastream e sua instância do Cloud SQL.

O diagrama a seguir ilustra o uso de um proxy reverso para estabelecer uma conexão particular entre o Datastream e o Cloud SQL.

Diagrama de fluxo de usuários do Datastream

Por que você precisa de um proxy reverso para uma origem hospedada em outra VPC?

Se a rede VPC do Datastream tiver peering com sua rede VPC ("Network1") e sua origem puder ser acessada por outra rede VPC ("Network2"), não será possível usar apenas o peering de rede VPC apenas para se comunicar com a origem. Também é necessário um proxy reverso para conectar a conexão entre o Datastream e a origem.

O diagrama a seguir ilustra o uso de um proxy reverso para estabelecer uma conexão privada entre o Datastream e uma fonte hospedada fora da rede do Google.

Diagrama de fluxo de usuários do Datastream

Configurar um proxy reverso

Identifique a rede VPC por que o Datastream se conecta à origem.
Nesta rede VPC, crie uma máquina virtual (VM) usando a imagem básica do Debian ou do Ubuntu. Esta VM hospedará o proxy reverso.
Verifique se a sub-rede está na mesma região que o Datastream e se o proxy reverso encaminha o tráfego para a origem (e não para ela).
Conecte-se à VM do proxy usando SSH. Para mais informações sobre conexões SSH, consulte Sobre conexões SSH.
Confirme se a VM do proxy pode se comunicar com a origem. Para isso, execute o comando ping ou telnet da VM na porta e no endereço IP interno da origem.
Na VM do proxy, crie um script de inicialização usando o código a seguir. Para mais informações sobre scripts de inicialização, consulte Como usar scripts de inicialização em VMs do Linux.
```
#! /bin/bash

export DB_ADDR=[IP]
export DB_PORT=[PORT]

export ETH_NAME=$(ip -o link show | awk -F': ' '{print $2}' | grep -v lo)

export LOCAL_IP_ADDR=$(ip -4 addr show $ETH_NAME | grep -Po 'inet \K[\d.]+')

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -p tcp -m tcp --dport $DB_PORT -j DNAT \
--to-destination $DB_ADDR:$DB_PORT
iptables -t nat -A POSTROUTING -j SNAT --to-source $LOCAL_IP_ADDR
```
Observação: substitua os marcadores [IP] e [PORT] pelo endereço IP interno e pelo número da porta da origem. O script exige que você indique o endereço IP da origem. Ele não resolve nomes de host para endereços IP.

O script é executado sempre que a VM é reinicializada.
Crie uma configuração de conectividade privada no Datastream para estabelecer o peering de VPC entre sua VPC e a VPC do Datastream.
Verifique se as regras de firewall permitem o tráfego vindo dos intervalos de endereços IP selecionados para conectividade particular.
Crie um perfil de conexão no Datastream.

Importante:para ver os detalhes da conexão, insira o endereço IP interno e a porta da VM que hospeda o proxy.
Observação:se você estiver usando o ProxySQL como proxy entre uma origem do MySQL e seu destino no Datastream, defina a flag fast_forward como 1 na tabela mysql_users. Para mais informações, consulte a documentação do ProxySQL.

Práticas recomendadas para configurar um proxy reverso

Nesta seção, descrevemos as práticas recomendadas para configurar as VMs de gateway e proxy.

Tipo de máquina

Para determinar qual tipo de máquina funciona melhor para você, comece com uma configuração simples e meça a carga e a capacidade. Se o uso for baixo e os picos de capacidade forem processados sem problemas, reduza o número de CPUs e a quantidade de memória. Por exemplo, se a sua capacidade for de até 2 GBps, selecione um tipo de máquina n1-standard-1. Se a sua capacidade for superior a 2 GBps, selecione um tipo de máquina e2-standard-2. O tipo e2-standard-2 é uma configuração econômica que aumenta a eficiência.

Tipo de arquitetura

Instâncias não altamente disponíveis (não de alta disponibilidade)

Implante uma única VM com o sistema operacional de sua escolha. Para aumentar a resiliência, use um grupo gerenciado de instâncias (MIG) com uma única VM. Se a VM falhar, um MIG repara automaticamente a instância com falha, recriando-a. Para mais informações, consulte Grupos de instâncias.

Instâncias altamente disponíveis (HA)

Configure um MIG com duas VMs, cada uma em uma região diferente (se aplicável) ou em uma zona diferente. Para criar o MIG, você precisa ter um modelo de instância que o grupo possa usar. O MIG é criado por trás de um balanceador de carga interno de camada 4, usando um endereço IP interno do próximo salto.

A seguir

Saiba como criar uma configuração de conectividade particular.