Configure interfaces do Private Service Connect

O Datastream usa interfaces do Private Service Connect para lhe permitir replicar dados de uma forma que mantém o tráfego totalmente dentro da Google Cloud.

Uma interface do Private Service Connect é um recurso que permite a uma rede da nuvem virtual privada (VPC) do produtor iniciar ligações e receber ligações de um anexo de rede numa rede da VPC do consumidor. As redes de produtores e consumidores podem estar em projetos e organizações diferentes.

Figura 1. As interfaces do Private Service Connect permitem que os produtores de serviços iniciem ligações aos consumidores de serviços.

Para ver as definições dos termos principais, consulte a secção seguinte.

Para mais informações sobre o Private Service Connect, consulte a documentação do Virtual Private Cloud.

Palavras-chave

Esta secção oferece uma vista geral dos principais termos e conceitos que se aplicam ao Private Service Connect.

  • Produtor: uma entidade, normalmente um serviço ou uma VM numa rede VPC, que inicia a ligação à rede do consumidor. O produtor fornece o serviço: no contexto do fluxo de dados, obtém e replica dados para um destino.

  • Consumidor: uma entidade, normalmente uma VM numa rede VPC, que recebe a ligação do produtor. Quando o consumidor aceita a ligação, o Private Service Connect atribui à interface um endereço IP de uma sub-rede na rede VPC do consumidor especificada pelo anexo de rede.Google Cloud A VM da interface do Private Service Connect tem uma segunda interface de rede que se liga à rede VPC do produtor.

  • Anexo de rede: um recurso regional que permite a uma rede VPC do produtor iniciar ligações a uma rede VPC do consumidor através de uma interface do Private Service Connect. Na rede VPC do consumidor, a associação da rede funciona como um ponto de entrada designado para ligações de interfaces do Private Service Connect na rede do produtor. Quando é estabelecida uma interface do Private Service Connect numa associação de rede, é atribuído um IP à VM do produtor a partir da sub-rede da associação de rede. A instância de máquina virtual da interface do Private Service Connect tem, pelo menos, mais uma interface de rede normal que se liga a uma sub-rede do produtor. Para mais informações, consulte o artigo Acerca das associações de rede.

  • Projeto produtor: um projeto pertencente à Google onde as máquinas virtuais (VMs) que executam o Datastream estão alojadas. Para aceder aos recursos na VPC do cliente, as VMs do Datastream usam o endereço IP que a interface de rede do Private Service Connect atribui a partir da respetiva sub-rede.

Pré-requisitos do Private Service Connect

Antes de criar uma configuração de conetividade privada através de uma interface do Private Service Connect, tem de seguir os passos abaixo para que o Datastream possa estabelecer uma ligação ao seu projeto:

  • Ter uma rede de VPC à qual pode ligar a rede privada do Datastream. Para mais informações sobre como criar uma rede VPC, consulte o artigo Crie e faça a gestão de redes VPC.

  • Crie uma associação da rede no seu projeto de VPC.

  • Verifique se Google Cloud e a firewall no local permitem o tráfego do intervalo de endereços IP de ligação à rede para a base de dados de origem a partir da qual quer transmitir dados. Para ver informações sobre como criar regras de firewall, consulte o artigo Use regras de firewall da VPC.

Preços

A entrada e a saída de dados através do Private Service Connect são cobrados. Para mais informações, consulte os preços do Private Service Connect.

Funções e autorizações necessárias

Para receber as autorizações necessárias para criar uma associação de rede, peça ao seu administrador para lhe conceder as seguintes funções de gestão de identidades e acessos (IAM) no seu projeto:

Se a associação de rede estiver num projeto diferente do Datastream, tem de conceder a seguinte função à service-DATASTREAM-PROJECT-NUMBER@gcp-sa-datastream.iam.gserviceaccount.com conta de serviço:

  • Acesso só de leitura aos recursos de rede: Visitante da rede de computação (roles/compute.networkViewer)

    Conceda a função no projeto onde o anexo de rede se encontra e substitua DATASTREAM-PROJECT-NUMBER pelo número do projeto onde o fluxo de dados está implementado.

Para mais informações sobre a concessão de funções, consulte o artigo Gerir acesso.

Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.

Para mais informações sobre as opções de controlo de acesso no Datastream, consulte o artigo Controlo de acesso com a IAM.

Configure o Private Service Connect

Para permitir que o Datastream estabeleça conectividade de saída com a sua rede através de uma interface do Private Service Connect:

  1. Crie uma associação da rede no seu projeto.
  2. Crie uma configuração de conetividade privada.

Crie uma associação de rede

Para configurar o Private Service Connect no Datastream, tem de criar primeiro uma associação da rede.

Consola

  1. Na Google Cloud consola, aceda à página Anexos de rede:

    Aceda a Anexos de rede

  2. Clique em Criar anexo de rede.

  3. No campo Nome, introduza um nome para a associação de rede.

  4. Na lista Rede, selecione uma rede de VPC ou uma rede de VPC partilhada.

  5. Na lista Região, selecione uma Google Cloud região. Esta região tem de ser igual à região usada para a sub-rede da rede VPC com peering para a rede privada do Datastream. Para mais informações, consulte os pré-requisitos do Private Service Connect.

  6. Na lista Sub-rede, selecione um intervalo de sub-rede.

  7. Em Preferência de associação, selecione Aceitar associações para projetos selecionados.

    A stream de dados adiciona automaticamente o projeto do produtor à lista de Projetos aceites quando cria o recurso de conetividade privada da stream de dados.

  8. Não adicione Projetos aceites nem Projetos rejeitados.

  9. Clique em Criar anexo de rede.

gcloud

  1. Crie uma ou mais subredes. Por exemplo:

    gcloud compute networks subnets create subnet-1 --network=network-0 --range=10.10.1.0/24 --region=REGION

    A associação de rede usa estas sub-redes nos passos subsequentes.

  2. Crie um recurso de anexo de rede na mesma região que o projeto da stream de dados, com a propriedade connection-preference definida como ACCEPT_MANUAL:

    gcloud compute network-attachments create NAME
--region=REGION
--connection-preference=ACCEPT_MANUAL
--subnets=SUBNET

    Substitua o seguinte:

    • NAME: o nome do anexo de rede.
    • REGION: o nome da Google Cloud região. Esta região tem de ser a mesma que a rede privada do fluxo de dados.
    • SUBNET: o nome da sub-rede.

    O resultado deste comando é um URL de anexo de rede no seguinte formato:

    projects/PROJECT/locations/REGION/network-attachments/NETWORK_ATTACHMENT_ID.

    Tome nota deste URL, uma vez que o fluxo de dados precisa dele para a conetividade. Para obter informações sobre como criar uma configuração de conetividade privada da interface do Private Service Connect usando o Google Cloud, consulte o artigo Gerir configurações de conetividade privada.

Crie uma configuração de conetividade privada

Depois de criar uma associação da rede no seu Google Cloud projeto, tem de configurar a configuração de conectividade privada através das interfaces do Private Service Connect. Quando cria a configuração, adiciona o projeto que aloja a interface do Private Service Connect à lista de autorizações. Em seguida, faculta o URL da associação da rede ao Datastream como parte do recurso do Private Service Connect.

Para mais informações, consulte o artigo Crie uma configuração de conetividade privada.

O que se segue?