Configurar interfaces de Private Service Connect

Datastream usa interfaces de Private Service Connect para replicar datos de forma que el tráfico se mantenga completamente dentro deGoogle Cloud.

Una interfaz de Private Service Connect es un recurso que permite que una red de nube privada virtual (VPC) de un productor inicie conexiones con una vinculación de red en una red de VPC de un consumidor y reciba conexiones de ella. Las redes de productores y consumidores pueden estar en proyectos y organizaciones diferentes.

Imagen 1. Las interfaces de Private Service Connect permiten que los productores de servicios inicien conexiones con los consumidores de servicios.

Para ver las definiciones de los términos clave, consulta la sección siguiente.

Para obtener más información sobre Private Service Connect, consulta la documentación de la nube privada virtual.

Términos clave

En esta sección se ofrece una descripción general de los términos y conceptos clave que se aplican a Private Service Connect.

  • Productor: una entidad, normalmente un servicio o una VM de una red de VPC, que inicia la conexión a la red del consumidor. El productor proporciona el servicio: en el contexto de Datastream, obtiene y replica datos en un destino.

  • Consumidor: una entidad, normalmente una VM de una red de VPC, que recibe la conexión del productor. Cuando el consumidor acepta la conexión,Google Cloud asigna a la interfaz de Private Service Connect una dirección IP de una subred de la red de VPC del consumidor especificada por la vinculación de red. La VM de la interfaz de Private Service Connect tiene una segunda interfaz de red que se conecta a la red de VPC del productor.

  • Vinculación de red: un recurso regional que permite que una red de VPC de un productor inicie conexiones con una red de VPC de un consumidor a través de una interfaz de Private Service Connect. En la red de VPC del consumidor, la vinculación de red actúa como punto de entrada designado para las conexiones de las interfaces de Private Service Connect de la red del productor. Cuando se establece una interfaz de Private Service Connect en una vinculación de red, se asigna una IP de la subred de la vinculación de red a la VM del productor. La instancia de máquina virtual de la interfaz de Private Service Connect tiene al menos otra interfaz de red normal que se conecta a una subred de productor. Para obtener más información, consulta Acerca de los archivos adjuntos de red.

  • Proyecto productor: un proyecto propiedad de Google en el que se alojan las máquinas virtuales que ejecutan Datastream. Para acceder a los recursos de la VPC del cliente, las VMs de Datastream usan la dirección IP que la interfaz de red de Private Service Connect asigna desde su subred.

Requisitos previos de Private Service Connect

Antes de crear una configuración de conectividad privada mediante una interfaz de Private Service Connect, debes seguir estos pasos para que Datastream pueda establecer una conexión con tu proyecto:

  • Tener una red de VPC a la que puedas conectarte a la red privada de Datastream. Para obtener más información sobre cómo crear una red de VPC, consulta el artículo Crear y gestionar redes de VPC.

  • Crea un adjunto de red en tu proyecto de VPC.

  • Verifica que Google Cloud y el cortafuegos local permitan el tráfico desde el intervalo de direcciones IP de la conexión de red a la base de datos de origen desde la que quieras transmitir datos.

Precios

La entrada y la salida de datos a través de Private Service Connect se cobran. Para obtener más información, consulta los precios de Private Service Connect.

Roles y permisos necesarios

Para obtener los permisos que necesitas para crear un adjunto de red, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos (IAM) en tu proyecto:

Si tu adjunto de red está en un proyecto distinto al de Datastream, debes conceder el siguiente rol a la service-DATASTREAM-PROJECT-NUMBER@gcp-sa-datastream.iam.gserviceaccount.comcuenta de servicio:

  • Acceso de solo lectura a recursos de red: Lector de red de Compute (roles/compute.networkViewer)

    Asigna el rol al proyecto en el que se encuentra tu adjunto de red y sustituye DATASTREAM-PROJECT-NUMBER por el número del proyecto en el que se ha implementado Datastream.

Para obtener más información sobre cómo conceder roles, consulta el artículo sobre cómo gestionar el acceso.

También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.

Para obtener más información sobre las opciones de control de acceso en Datastream, consulta Control de acceso con IAM.

Configurar Private Service Connect

Para permitir que Datastream establezca una conexión saliente con tu red mediante una interfaz de Private Service Connect, haz lo siguiente:

  1. Crea una vinculación de red en tu proyecto.
  2. Crea una configuración de conectividad privada.

Crear un archivo adjunto de red

Para configurar Private Service Connect en Datastream, primero debe crear una vinculación de red.

Consola

  1. En la Google Cloud consola, ve a la página Conexiones de red:

    Ir a archivos adjuntos de red

  2. Haz clic en Crear conexión de red.

  3. En el campo Name (Nombre), introduce el nombre del archivo adjunto de red.

  4. En la lista Red, selecciona una VPC o una red de VPC compartida.

  5. En la lista Región, selecciona una región Google Cloud . Esta región debe ser la misma que la que se usa para la subred de la red de VPC emparejada con la red privada de Datastream. Para obtener más información, consulta los requisitos previos de Private Service Connect.

  6. En la lista Subred, seleccione un intervalo de subred.

  7. En Preferencia de conexión, selecciona Aceptar conexiones de los proyectos seleccionados.

    Datastream añade automáticamente el proyecto productor a la lista Proyectos aceptados cuando crea el recurso de conectividad privada de Datastream.

  8. No añadas Proyectos aceptados ni Proyectos rechazados.

  9. Haz clic en Crear conexión de red.

gcloud

  1. Crea una o varias subredes. Por ejemplo:

    gcloud compute networks subnets create subnet-1 --network=network-0 --range=10.10.1.0/24 --region=REGION

    El adjunto de red usa estas subredes en los pasos siguientes.

  2. Crea un recurso de vinculación de red en la misma región que el proyecto de Datastream, con la propiedad connection-preference definida como ACCEPT_MANUAL:

    gcloud compute network-attachments create NAME
--region=REGION
--connection-preference=ACCEPT_MANUAL
--subnets=SUBNET

    Haz los cambios siguientes:

    • NAME: el nombre del archivo adjunto de red.
    • REGION: el nombre de la Google Cloud región. Esta región debe ser la misma que la red privada de Datastream.
    • SUBNET: el nombre de la subred.

    El resultado de este comando es una URL de adjunto de red con el siguiente formato:

    projects/PROJECT/locations/REGION/network-attachments/NETWORK_ATTACHMENT_ID.

    Apunta esta URL, ya que Datastream la necesita para la conectividad. Para obtener información sobre cómo crear una configuración de conectividad privada de interfaz de Private Service Connect con Google Cloud, consulta Gestionar configuraciones de conectividad privada.

Crear una configuración de conectividad privada

Después de crear una vinculación de red en tu proyecto Google Cloud , debes configurar la conectividad privada mediante interfaces de Private Service Connect. Cuando creas la configuración, incluyes en la lista de permitidos el proyecto que aloja la interfaz de Private Service Connect. A continuación, proporciona la URL de la vinculación de red a Datastream como parte del recurso Private Service Connect.

Para obtener más información, consulta el artículo Crear una configuración de conectividad privada.

Siguientes pasos