Configurar endereços IP de saída estáticos para conexões

Nesta página, explicamos como atribuir endereços IP estáticos às suas conexões. Ao usar os endereços IP estáticos, é possível restringir o acesso aos sistemas de back-end, o que, por sua vez, torna a conectividade mais segura.

Se você quiser que os Integration Connectors se conectem aos seus sistemas de back-end, use a conectividade particular. No entanto, se você não quiser seguir as etapas elaboradas para configurar a conectividade particular, considere expor seu sistema de back-end por um endereço IP público e, em seguida, restringir o acesso dele por regras de firewall. Nas regras de firewall, é possível permitir que apenas os endereços IP originados dos Integration Connectors se conectem ao sistema de back-end. Para permitir que uma conexão se conecte a um endpoint público, siga estas etapas gerais:

Criar um firewall e rotear o tráfego de saída por ele.
Atribua um endereço IP estático à conexão.
Autorize o endereço IP estático atribuído no seu firewall.

As etapas para criar e configurar um firewall estão fora do escopo desta página. Nesta página, descrevemos apenas como atribuir endereços IP estáticos às suas conexões.

Por padrão, o Integration Connectors aloca endereços IP automaticamente. No entanto, é possível configurar os Integration Connectors para gerar endereços IP estáticos em vez de endereços IP automáticos. O Integration Connectors atribui os endereços IP estáticos no nível da região. Por exemplo, os endereços IP estáticos da região us-east1 serão diferentes dos endereços IP estáticos da região us-west2.

Para atribuir endereços IP estáticos à sua conexão, siga estas etapas:

Encontre a região da conexão para a qual você quer alocar o endereço IP estático. É possível ver a região da conexão na coluna Location da página "Conexões".
Acessar a página "Conexões"
No Console do Google Cloud, ative o Cloud Shell.

Ativar o Cloud Shell

Na parte inferior do Console do Google Cloud, uma sessão do Cloud Shell é iniciada e exibe um prompt de linha de comando. O Cloud Shell é um ambiente shell com a CLI do Google Cloud já instalada e com valores já definidos para o projeto atual. A inicialização da sessão pode levar alguns segundos.

Dica : embora esta etapa mencione a abertura de um Cloud Shell, é possível executar os comandos até mesmo no seu terminal normal, porque você chamará as APIs públicas dos Integration Connectors.

Configure os Integration Connectors para atribuir endereço IP estático à região que você recebeu na etapa 1. Execute o comando a seguir no Cloud Shell.

curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{"networkConfig": {"egressMode": "static_ip"}}' \
https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/regionalSettings

Defina LOCATION como a região da etapa 1.

A execução desse comando retorna uma resposta semelhante a esta:

{
"name": "projects/test-01/locations/us-central1/operations/operation-1696840994443-6074494b6d138-8215226d-516faaf8",
"metadata": {
  "@type": "type.googleapis.com/google.cloud.connectors.v1.OperationMetadata",
  "createTime": "2023-10-09T08:43:14.467058513Z",
  "target": "projects/test-01/locations/us-central1/regionalSettings",
  "verb": "update",
  "requestedCancellation": false,
  "apiVersion": "v1"
 },
"done": false
}

Esse comando retorna um ID e inicia uma operação de longa duração (LRO, na sigla em inglês) que pode levar algum tempo para ser concluída. Aguarde a conclusão da LRO. É possível acompanhar o progresso da operação usando o seguinte comando:

curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID

Se a alocação do endereço IP estático for bem-sucedida, você vai receber uma resposta semelhante a esta:

...
...
"response": {
  "@type": "type.googleapis.com/google.cloud.connectors.v1.RegionalSettings",
  "name": "projects/test-01/locations/us-central1/regionalSettings",
  "networkConfig": {
   "egressMode": "STATIC_IP",
    "egressIps": [
      "35.193.227.203",
      "34.133.63.9",
      "35.223.253.58",
      "34.170.27.253"
    ]
  }
}

Nesta resposta de amostra, quatro endereços IP estáticos são alocados para a região us-central1, e o egressMode para a região está definido como STATIC_IP.

Adicione os endereços IP estáticos da etapa 4 à lista de permissões das regras de firewall.

Receber endereços IP estáticos de uma região

Se você quiser receber os endereços IP estáticos alocados a uma região (local) a qualquer momento, execute o seguinte comando:

curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/regionalSettings

A execução desse comando retorna uma resposta semelhante a esta:

  "response": {
    "@type": "type.googleapis.com/google.cloud.connectors.v1.RegionalSettings",
    "name": "projects/test-01/locations/us-central1/regionalSettings",
    "networkConfig": {
     "egressMode": "STATIC_IP",
      "egressIps": [
        "35.193.227.203",
        "34.133.63.9",
        "35.223.253.58",
        "34.170.27.253"
      ]
    }
  }

Atribuir endereços IP automáticos a uma região

Para remover a configuração de endereço IP estático de uma região e atribuir os endereços IP automaticamente, execute o seguinte comando no terminal:

curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    -d '{"networkConfig": {"egressMode": "auto_ip"}}' \
    https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/regionalSettings

Semelhante ao comando anterior para configurar endereços IP estáticos, esse comando também retorna um ID de operação e inicia uma operação de longa duração (LRO, na sigla em inglês) que pode levar algum tempo para ser concluída. Aguarde a conclusão da LRO.

Considerações

Considere os seguintes pontos ao alocar endereços IP estáticos para uma região:

O conjunto reservado de endereços IP estáticos é diferente para regiões distintas dentro de um projeto.
Quando você altera o modo de saída de uma região de STATIC_IP para AUTO_IP, o conjunto original de endereços IP estáticos não é mantido. Portanto, quando você altera novamente o modo de saída de AUTO_IP para STATIC_IP, um novo conjunto de endereços IP estáticos é alocado.
Ao alterar o modo de saída de AUTO_IP para STATIC_IP ou vice-versa, a inatividade pode ser de segundos.