Datastream utilizza le interfacce Private Service Connect per consentirti di replicare i dati in modo che il traffico rimanga interamente all'interno di Google Cloud.
Un'interfaccia Private Service Connect è una risorsa che consente a una rete Virtual Private Cloud (VPC) producer di avviare connessioni e ricevere connessioni da un collegamento di rete in una rete VPC consumer. Le reti di produttori e consumatori possono trovarsi in progetti e organizzazioni diversi.
Figura 1. Le interfacce Private Service Connect consentono ai producer di servizi di avviare connessioni ai consumer di servizi.
Per le definizioni dei termini chiave, consulta la sezione seguente.
Per ulteriori informazioni su Private Service Connect, consulta la documentazione di Virtual Private Cloud.
Termini chiave
Questa sezione fornisce una panoramica dei termini e dei concetti chiave applicabili a Private Service Connect.
Producer: un'entità, in genere un servizio o una VM all'interno di una rete VPC, che avvia la connessione alla rete consumer. Il produttore fornisce il servizio: nel contesto di Datastream, recupera e replica i dati in una destinazione.
Consumer: un'entità, in genere una VM all'interno di una rete VPC, che riceve la connessione dal producer. Quando il consumer accetta la connessione, Google Cloud alloca all'interfaccia Private Service Connect un indirizzo IP da una subnet nella rete VPC consumer specificata dal collegamento di rete. La VM dell'interfaccia Private Service Connect ha una seconda interfaccia di rete che si connette alla rete VPC del producer.
Collegamento di rete: una risorsa di regione che consente a una rete VPC producer di avviare connessioni a una rete VPC consumer tramite un'interfaccia Private Service Connect. Nella rete VPC consumer, il collegamento di rete funge da punto di ingresso designato per le connessioni dalle interfacce Private Service Connect nella rete producer. Quando un'interfaccia Private Service Connect viene stabilita su un collegamento di rete, alla VM producer viene assegnato un IP della subnet del collegamento di rete. L'istanza di macchina virtuale dell'interfaccia Private Service Connect ha almeno un'altra interfaccia di rete normale che si connette a una subnet producer. Per saperne di più, consulta Informazioni sui collegamenti di rete.
Progetto produttore: un progetto di proprietà di Google in cui sono ospitate le macchine virtuali (VM) che eseguono Datastream. Per accedere alle risorse nel VPC del cliente, le VM Datastream utilizzano l'indirizzo IP assegnato dalla propria subnet dall'interfaccia di rete Private Service Connect.
Prerequisiti di Private Service Connect
Prima di creare una configurazione di connettività privata utilizzando un'interfaccia Private Service Connect, devi eseguire i passaggi riportati di seguito affinché Datastream possa stabilire una connessione al tuo progetto:
Assicurati di avere una rete VPC che puoi connettere alla rete privata di Datastream. Per ulteriori informazioni sulla creazione di una rete VPC, consulta Crea e gestisci le reti VPC.
Crea un collegamento di rete nel progetto VPC.
Verifica che Google Cloud e il firewall on-premise consentano il traffico dall'intervallo di indirizzi IP del collegamento di rete al database di origine da cui vuoi trasmettere i flussi di dati. Per informazioni su come creare regole firewall, vedi Utilizzo delle regole firewall VPC.
Prezzi
L'ingresso e l'uscita dei dati tramite Private Service Connect vengono addebitati. Per ulteriori informazioni, consulta i prezzi di Private Service Connect.
Ruoli e autorizzazioni richiesti
Per ottenere le autorizzazioni necessarie per creare un collegamento di rete, chiedi all'amministratore di concederti i seguenti ruoli Identity and Access Management (IAM) nel tuo progetto:
- Crea, visualizza ed elimina collegamenti di rete:
Compute Network Admin
(
roles/compute.networkAdmin
)
Se il collegamento di rete si trova in un progetto diverso da Datastream,
devi concedere il seguente ruolo all'account di servizio
service-DATASTREAM-PROJECT-NUMBER@gcp-sa-datastream.iam.gserviceaccount.com
:
Accesso di sola lettura alle risorse di networking: Compute Network Viewer (
roles/compute.networkViewer
)Concedi il ruolo sul progetto in cui si trova il collegamento di rete e sostituisci DATASTREAM-PROJECT-NUMBER con il numero del progetto in cui è stato eseguito il deployment di Datastream.
Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestire l'accesso.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Per ulteriori informazioni sulle opzioni di controllo dell'accesso in Datastream, consulta Controllo dell'accesso con IAM.
Configurazione di Private Service Connect
Per consentire a Datastream di stabilire la connettività in uscita alla tua rete utilizzando un'interfaccia Private Service Connect:
- Crea un collegamento di rete nel tuo progetto.
- Crea una configurazione di connettività privata.
Crea un collegamento di rete
Per configurare Private Service Connect in Datastream, devi prima creare un collegamento di rete.
Console
Nella console Google Cloud , vai alla pagina Allegati di rete:
Fai clic su Crea collegamento di rete.
Nel campo Nome, inserisci un nome per il collegamento di rete.
Dall'elenco Rete, seleziona una rete VPC o un VPC condiviso.
Dall'elenco Regione, seleziona una regione Google Cloud . Questa regione deve essere la stessa utilizzata per la subnet della rete VPC in peering con la rete privata Datastream. Per ulteriori informazioni, consulta Prerequisiti di Private Service Connect.
Dall'elenco Subnet, seleziona un intervallo di subnet.
In Preferenza di connessione, seleziona Accetta connessioni per i progetti selezionati.
Datastream aggiunge automaticamente il progetto producer all'elenco Progetti accettati quando crei la risorsa di connettività privata di Datastream.
Non aggiungere Progetti accettati o Progetti rifiutati.
Fai clic su Crea collegamento di rete.
gcloud
Crea una o più subnet. Ad esempio:
gcloud compute networks subnets create subnet-1 --network=network-0 --range=10.10.1.0/24 --region=REGION
Il collegamento di rete utilizza queste subnet nei passaggi successivi.
Crea una risorsa di collegamento di rete nella stessa regione del progetto Datastream, con la proprietà
connection-preference
impostata suACCEPT_MANUAL
:gcloud compute network-attachments create NAME --region=REGION --connection-preference=ACCEPT_MANUAL --subnets=SUBNET
Sostituisci quanto segue:
NAME
: il nome del collegamento di rete.REGION
: il nome della regione Google Cloud . Questa regione deve essere la stessa della rete privata Datastream.SUBNET
: il nome della subnet.
L'output di questo comando è un URL di collegamento di rete nel seguente formato:
projects/PROJECT/locations/REGION/network-attachments/NETWORK_ATTACHMENT_ID
.Prendi nota di questo URL perché Datastream ne ha bisogno per la connettività. Per informazioni su come creare una configurazione di connettività privata dell'interfaccia Private Service Connect utilizzando Google Cloud, consulta Gestire le configurazioni di connettività privata.
Creazione di una configurazione di connettività privata
Dopo aver creato un collegamento di rete nel tuo progetto Google Cloud , devi configurare la connettività privata utilizzando le interfacce Private Service Connect. Quando crei la configurazione, inserisci nella lista consentita il progetto che ospita l'interfaccia Private Service Connect. Quindi, fornisci l'URL del collegamento di rete a Datastream come parte della risorsa Private Service Connect.
Per ulteriori informazioni, consulta Creare una configurazione di connettività privata.
Passaggi successivi
- Scopri come visualizzare la configurazione di connettività privata.
- Scopri come eliminare una configurazione di connettività privata.