Configurar endereços IP de saída estáticos para conexões

Nesta página, explicamos como atribuir endereços IP estáticos às suas conexões. Ao usar os endereços IP estáticos, é possível restringir o acesso aos sistemas de back-end, o que, por sua vez, torna a conectividade mais segura.

Se você quiser que os Integration Connectors se conectem aos seus sistemas de back-end, use a conectividade particular. No entanto, se você não quiser seguir as etapas elaboradas para configurar a conectividade particular, considere expor seu sistema de back-end por um endereço IP público e, em seguida, restringir o acesso dele por regras de firewall. Nas regras de firewall, é possível permitir que apenas os endereços IP originados dos Integration Connectors se conectem ao sistema de back-end. Para permitir que uma conexão se conecte a um endpoint público, siga estas etapas gerais:

  1. Criar um firewall e rotear o tráfego de saída por ele.
  2. Atribua um endereço IP estático à conexão.
  3. Autorize o endereço IP estático atribuído no seu firewall.

As etapas para criar e configurar um firewall estão fora do escopo desta página. Nesta página, descrevemos apenas como atribuir endereços IP estáticos às suas conexões.

Por padrão, o Integration Connectors aloca endereços IP automaticamente. No entanto, é possível configurar os Integration Connectors para gerar endereços IP estáticos em vez de endereços IP automáticos. O Integration Connectors atribui os endereços IP estáticos no nível da região. Por exemplo, os endereços IP estáticos da região us-east1 serão diferentes dos endereços IP estáticos da região us-west2.

Para atribuir endereços IP estáticos à sua conexão, siga estas etapas:

  1. Encontre a região da conexão para a qual você quer alocar o endereço IP estático. É possível ver a região da conexão na coluna Location da página "Conexões".

    Acessar a página "Conexões"

  2. No Console do Google Cloud, ative o Cloud Shell.

    Ativar o Cloud Shell

    Na parte inferior do Console do Google Cloud, uma sessão do Cloud Shell é iniciada e exibe um prompt de linha de comando. O Cloud Shell é um ambiente shell com a CLI do Google Cloud já instalada e com valores já definidos para o projeto atual. A inicialização da sessão pode levar alguns segundos.

  3. Configure os Integration Connectors para atribuir endereço IP estático à região que você recebeu na etapa 1. Execute o comando a seguir no Cloud Shell.
    curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    -d '{"networkConfig": {"egressMode": "static_ip"}}' \
    https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/regionalSettings

    Defina LOCATION como a região da etapa 1.

    A execução desse comando retorna uma resposta semelhante a esta:

    {
    "name": "projects/test-01/locations/us-central1/operations/operation-1696840994443-6074494b6d138-8215226d-516faaf8",
    "metadata": {
      "@type": "type.googleapis.com/google.cloud.connectors.v1.OperationMetadata",
      "createTime": "2023-10-09T08:43:14.467058513Z",
      "target": "projects/test-01/locations/us-central1/regionalSettings",
      "verb": "update",
      "requestedCancellation": false,
      "apiVersion": "v1"
     },
    "done": false
    }

    Esse comando retorna um ID e inicia uma operação de longa duração (LRO, na sigla em inglês) que pode levar algum tempo para ser concluída. Aguarde a conclusão da LRO. É possível acompanhar o progresso da operação usando o seguinte comando:

    curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID

    Se a alocação do endereço IP estático for bem-sucedida, você vai receber uma resposta semelhante a esta:

    ...
    ...
    "response": {
      "@type": "type.googleapis.com/google.cloud.connectors.v1.RegionalSettings",
      "name": "projects/test-01/locations/us-central1/regionalSettings",
      "networkConfig": {
       "egressMode": "STATIC_IP",
        "egressIps": [
          "35.193.227.203",
          "34.133.63.9",
          "35.223.253.58",
          "34.170.27.253"
        ]
      }
    }
    

    Nesta resposta de amostra, quatro endereços IP estáticos são alocados para a região us-central1, e o egressMode para a região está definido como STATIC_IP.

  4. Adicione os endereços IP estáticos da etapa 4 à lista de permissões das regras de firewall.

Receber endereços IP estáticos de uma região

Se você quiser receber os endereços IP estáticos alocados a uma região (local) a qualquer momento, execute o seguinte comando:

curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/regionalSettings

A execução desse comando retorna uma resposta semelhante a esta:

  "response": {
    "@type": "type.googleapis.com/google.cloud.connectors.v1.RegionalSettings",
    "name": "projects/test-01/locations/us-central1/regionalSettings",
    "networkConfig": {
     "egressMode": "STATIC_IP",
      "egressIps": [
        "35.193.227.203",
        "34.133.63.9",
        "35.223.253.58",
        "34.170.27.253"
      ]
    }
  }

Atribuir endereços IP automáticos a uma região

Para remover a configuração de endereço IP estático de uma região e atribuir os endereços IP automaticamente, execute o seguinte comando no terminal:

curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    -d '{"networkConfig": {"egressMode": "auto_ip"}}' \
    https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/regionalSettings

Semelhante ao comando anterior para configurar endereços IP estáticos, esse comando também retorna um ID de operação e inicia uma operação de longa duração (LRO, na sigla em inglês) que pode levar algum tempo para ser concluída. Aguarde a conclusão da LRO.

Considerações

Considere os seguintes pontos ao alocar endereços IP estáticos para uma região:

  • O conjunto reservado de endereços IP estáticos é diferente para regiões distintas dentro de um projeto.
  • Quando você altera o modo de saída de uma região de STATIC_IP para AUTO_IP, o conjunto original de endereços IP estáticos não é mantido. Portanto, quando você altera novamente o modo de saída de AUTO_IP para STATIC_IP, um novo conjunto de endereços IP estáticos é alocado.
  • Ao alterar o modo de saída de AUTO_IP para STATIC_IP ou vice-versa, a inatividade pode ser de segundos.