Datastream utilise des interfaces Private Service Connect pour vous permettre de répliquer des données de manière à ce que le trafic reste entièrement dansGoogle Cloud.
Une interface Private Service Connect est une ressource qui permet à un réseau cloud privé virtuel (VPC) producteur d'établir des connexions avec un rattachement de réseau dans un réseau VPC consommateur, et d'en recevoir. Les réseaux de producteurs et les réseaux consommateurs peuvent appartenir à différents projets et organisations.
Figure 1 : Les interfaces Private Service Connect permettent aux producteurs de services d'établir des connexions avec les clients de services.
Pour obtenir la définition des termes clés, consultez la section suivante.
Pour en savoir plus sur Private Service Connect, consultez la documentation sur le cloud privé virtuel.
Termes clés
Cette section présente les termes et concepts clés qui s'appliquent à Private Service Connect.
Producteur : entité, généralement un service ou une VM dans un réseau VPC, qui établit la connexion au réseau consommateur. Le producteur fournit le service : dans le contexte Datastream, il récupère et réplique les données vers une destination.
Consommateur : entité, généralement une VM dans un réseau VPC, qui reçoit la connexion du producteur. Lorsque le consommateur accepte la connexion,Google Cloud attribue à l'interface Private Service Connect une adresse IP provenant d'un sous-réseau dans le réseau VPC du consommateur qui est spécifié par le rattachement de réseau. La VM de l'interface Private Service Connect possède une deuxième interface réseau qui se connecte au réseau VPC du producteur.
Rattachement de réseau : ressource régionale qui permet à un réseau VPC producteur d'établir des connexions à un réseau VPC consommateur via une interface Private Service Connect. Dans le réseau VPC consommateur, le rattachement de réseau sert de point d'entrée désigné pour les connexions à partir des interfaces Private Service Connect du réseau producteur. Lorsqu'une interface Private Service Connect est établie sur un rattachement de réseau, une adresse IP du sous-réseau du rattachement de réseau est attribuée à la VM du producteur. L'instance de machine virtuelle de l'interface Private Service Connect comporte au moins une interface réseau standard supplémentaire qui se connecte à un sous-réseau de producteur. Pour en savoir plus, consultez À propos des rattachements de réseau.
Projet producteur : projet appartenant à Google dans lequel sont hébergées les machines virtuelles (VM) exécutant Datastream. Pour accéder aux ressources du VPC client, les VM Datastream utilisent l'adresse IP que l'interface réseau Private Service Connect attribue à partir de son sous-réseau.
Conditions préalables pour Private Service Connect
Avant de créer une configuration de connectivité privée à l'aide d'une interface Private Service Connect, vous devez suivre les étapes suivantes pour que Datastream puisse établir une connexion à votre projet :
Vous devez disposer d'un réseau VPC que vous pouvez connecter au réseau privé de Datastream. Pour en savoir plus sur la création d'un réseau VPC, consultez Créer et gérer des réseaux VPC.
Créez un rattachement de réseau dans votre projet VPC.
Vérifiez que Google Cloud et le pare-feu sur site autorisent le trafic depuis la plage d'adresses IP du rattachement de réseau vers la base de données source à partir de laquelle vous souhaitez diffuser des données. Pour savoir comment créer des règles de pare-feu, consultez Utiliser des règles de pare-feu VPC.
Tarifs
L'entrée et la sortie de données via Private Service Connect sont facturées. Pour en savoir plus, consultez la page Tarifs de Private Service Connect.
Rôles et autorisations requis
Pour obtenir les autorisations nécessaires pour créer une pièce jointe réseau, demandez à votre administrateur de vous accorder les rôles IAM (Identity and Access Management) suivants sur votre projet :
- Créer, afficher et supprimer des pièces jointes réseau :
Administrateur de réseaux Compute
(
roles/compute.networkAdmin)
Si votre pièce jointe réseau se trouve dans un projet différent de celui de Datastream, vous devez accorder le rôle suivant au compte de service service-DATASTREAM-PROJECT-NUMBER@gcp-sa-datastream.iam.gserviceaccount.com :
Accès en lecture seule aux ressources réseau : Lecteur de réseau Compute (
roles/compute.networkViewer)Attribuez le rôle au projet dans lequel se trouve votre attachement réseau, et remplacez DATASTREAM-PROJECT-NUMBER par le numéro du projet dans lequel Datastream est déployé.
Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.
Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.
Pour en savoir plus sur les options de contrôle des accès dans Datastream, consultez Contrôle des accès avec IAM.
Configurer Private Service Connect
Pour permettre à Datastream d'établir une connectivité sortante à votre réseau à l'aide d'une interface Private Service Connect :
- Créez un rattachement de réseau dans votre projet.
- Créez une configuration de connectivité privée.
Créer un rattachement de réseau
Pour configurer Private Service Connect dans Datastream, vous devez d'abord créer un rattachement de réseau.
Console
Dans la console Google Cloud , accédez à la page Attachements réseau :
Cliquez sur Créer un rattachement de réseau.
Dans le champ Nom, saisissez le nom du rattachement de réseau.
Dans la liste Réseau, sélectionnez un réseau VPC ou un réseau VPC partagé.
Dans la liste Région, sélectionnez une région Google Cloud . Cette région doit être identique à celle utilisée pour le sous-réseau du réseau VPC appairé au réseau privé Datastream. Pour en savoir plus, consultez Conditions requises pour Private Service Connect.
Dans la liste Sous-réseau, sélectionnez une plage de sous-réseaux.
Dans Préférences de connexion, sélectionnez Accepter les connexions pour les projets sélectionnés.
Datastream ajoute automatiquement le projet producteur à la liste Projets acceptés lorsque vous créez la ressource de connectivité privée Datastream.
N'ajoutez pas de projets acceptés ni de projets refusés.
Cliquez sur Créer un rattachement de réseau.
gcloud
Créez un ou plusieurs sous-réseaux. Exemple :
gcloud compute networks subnets create subnet-1 --network=network-0 --range=10.10.1.0/24 --region=REGIONL'association réseau utilise ces sous-réseaux lors des étapes suivantes.
Créez une ressource de rattachement de réseau dans la même région que le projet Datastream, avec la propriété
connection-preferencedéfinie surACCEPT_MANUAL:gcloud compute network-attachments create NAME --region=REGION --connection-preference=ACCEPT_MANUAL --subnets=SUBNETRemplacez les éléments suivants :
NAME: nom de votre rattachement de réseau.REGION: nom de la région Google Cloud . Cette région doit être identique à celle du réseau privé Datastream.SUBNET: nom du sous-réseau.
Le résultat de cette commande est une URL d'association réseau au format suivant :
projects/PROJECT/locations/REGION/network-attachments/NETWORK_ATTACHMENT_ID.Notez cette URL, car Datastream en a besoin pour la connectivité. Pour savoir comment créer une configuration de connectivité privée d'interface Private Service Connect à l'aide de Google Cloud, consultez Gérer les configurations de connectivité privée.
Créer une configuration de connectivité privée
Une fois que vous avez créé un rattachement de réseau dans votre projet Google Cloud , vous devez configurer votre connectivité privée à l'aide des interfaces Private Service Connect. Lorsque vous créez la configuration, vous ajoutez à la liste d'autorisation le projet qui héberge l'interface Private Service Connect. Vous fournissez ensuite l'URL du rattachement réseau à Datastream dans le cadre de la ressource Private Service Connect.
Pour en savoir plus, consultez Créer une configuration de connectivité privée.
Étapes suivantes
- Découvrez comment afficher votre configuration de connectivité privée.
- Découvrez comment supprimer une configuration de connectivité privée.