Conectividade privada

Visão geral

A conectividade privada é uma conexão entre sua rede de nuvem privada virtual (VPC) e a rede privada do Datastream, permitindo que o Datastream se comunique com recursos usando endereços IP internos. O uso da conectividade particular estabelece uma conexão dedicada na rede do Datastream, ou seja, nenhum outro cliente pode compartilhá-la.

É possível usar a conectividade privada para conectar o Datastream a qualquer origem. No entanto, somente as redes VPC com peering direto podem se comunicar.

O peering transitivo não é aceito. Se a rede com que o Datastream fizer peering não for a rede em que a origem está hospedada, um proxy será necessário.

Nesta página, você aprenderá a usar proxies para estabelecer conectividade privada entre o Datastream e o Cloud SQL ou entre o Datastream e as origens hospedadas em outra VPC ou fora da Rede do Google.

Por que você precisa de um proxy de autenticação do Cloud SQL?

Ao configurar uma instância do Cloud SQL para usar endereços IP particulares, você usa uma conexão de peering de VPC entre sua rede VPC e a rede VPC dos serviços do Google subjacentes em que a instância do Cloud SQL reside.

Como não é possível fazer o peering da rede do Datastream diretamente com a rede de serviços particulares do Cloud SQL, e como o peering de VPC não é transitivo, é necessário ter um proxy de autenticação do Cloud SQL para conectar o Datastream à instância do Cloud SQL.

O diagrama a seguir ilustra o uso de um proxy de autenticação do Cloud SQL para estabelecer uma conexão particular entre o Datastream e o Cloud SQL.

Diagrama de fluxo de usuários do Datastream

Configurar um proxy de autenticação do Cloud SQL

  1. Identifique a rede VPC pela qual o Datastream se conectará à instância de origem do Cloud SQL. Essa rede VPC deve poder se conectar à instância.

  2. Nessa rede VPC, crie uma nova VM usando a imagem básica do Debian ou do Ubuntu. Esta VM hospedará o cliente do Cloud SQL Auth do Cloud SQL.

  3. Siga as etapas neste guia para configurar um proxy de autenticação do Cloud SQL.

  4. Crie uma configuração de conectividade privada no Datastream para estabelecer o peering de VPC entre sua VPC e a VPC do Datastream.

  5. Crie um perfil de conexão no Datastream. Para ver os detalhes da conexão, digite o endereço IP e a porta da VM que hospeda o cliente proxy.

Por que você precisa de um proxy reverso?

Se a rede VPC do Datastream tiver peering com sua rede VPC ("Network1") e sua origem puder ser acessada por outra rede VPC ("Network2"), não será possível usar apenas o peering de rede VPC apenas para se comunicar com a origem. Também é necessário um proxy reverso para conectar a conexão entre o Datastream e a origem.

O diagrama a seguir ilustra o uso de um proxy reverso para estabelecer uma conexão privada entre o Datastream e uma fonte hospedada fora da rede do Google.

Diagrama de fluxo de usuários do Datastream

Configurar um proxy reverso

  1. Identifique a rede VPC pela qual o Datastream se conectará à origem.
  2. Nessa rede VPC, crie uma nova VM usando a imagem básica do Debian ou do Ubuntu. Esta VM hospedará o proxy reverso.
  3. Verifique se a sub-rede está na mesma região que o Datastream e se o proxy reverso encaminha o tráfego para a origem (e não para ela).
  4. Confirme se a VM pode se comunicar com a origem executando ping ou um comando telnet da VM para o endereço IP interno e a porta da origem.
  5. Execute SSH no proxy reverso e crie um arquivo usando o seguinte script:
        #! /bin/bash
    
        export DB_ADDR=[IP]
        export DB_PORT=[PORT]
    
        export ETH_NAME=$(ip -o link show | awk -F': ' '{print $2}' |
        grep -v lo)
    
        export REMOTE_IP_ADDR=$(getent hosts $DB_ADDR | awk '{print $1}')
    
        export LOCAL_IP_ADDR=$(ip -4 addr show $ETH_NAME |
        grep -Po 'inet \K[\d.]+')
    
        echo 1 > /proc/sys/net/ipv4/ip_forward
        iptables -t nat -A PREROUTING -p tcp -m tcp --dport $DB_PORT
        -j DNAT --to-destination       $REMOTE_IP_ADDR:$DB_PORT
        iptables -t nat -A POSTROUTING -j SNAT --to-source $LOCAL_IP_ADDR
        
  6. Execute o script.
  7. Crie uma configuração de conectividade privada no Datastream para estabelecer o peering de VPC entre sua VPC e a VPC do Datastream.
  8. Crie um perfil de conexão no Datastream. Para ver detalhes da conexão, insira o endereço IP interno e a porta da VM que hospeda o proxy.