Configurar endereços IP de saída estáticos para conexões
Nesta página, explicamos como atribuir endereços IP estáticos às suas conexões. Ao usar os endereços IP estáticos, é possível restringir o acesso aos sistemas de back-end, o que, por sua vez, torna a conectividade mais segura.
Se você quiser que os Integration Connectors se conectem aos seus sistemas de back-end, use a conectividade particular. No entanto, se você não quiser seguir as etapas elaboradas para configurar a conectividade particular, considere expor seu sistema de back-end por um endereço IP público e, em seguida, restringir o acesso dele por regras de firewall. Nas regras de firewall, é possível permitir que apenas os endereços IP originados dos Integration Connectors se conectem ao sistema de back-end. Para permitir que uma conexão se conecte a um endpoint público, siga estas etapas gerais:
- Criar um firewall e rotear o tráfego de saída por ele.
- Atribua um endereço IP estático à conexão.
- Autorize o endereço IP estático atribuído no seu firewall.
As etapas para criar e configurar um firewall estão fora do escopo desta página. Nesta página, descrevemos apenas como atribuir endereços IP estáticos às suas conexões.
Por padrão, o Integration Connectors aloca endereços IP automaticamente. No entanto, é possível
configurar os Integration Connectors para gerar endereços IP estáticos em vez de endereços IP automáticos. O Integration Connectors atribui os endereços IP estáticos
no nível da região. Por exemplo, os endereços IP estáticos da região us-east1
serão diferentes dos endereços IP estáticos da região us-west2
.
Para atribuir endereços IP estáticos à sua conexão, siga estas etapas:
- Encontre a região da conexão para a qual você quer alocar o endereço IP estático.
É possível ver a região da conexão na coluna
Location
da página "Conexões". -
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
- Configure os Integration Connectors para atribuir endereço IP estático à região
que você recebeu na etapa 1. Execute o comando a seguir no Cloud Shell.
curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ -d '{"networkConfig": {"egressMode": "static_ip"}}' \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/regionalSettings
Defina LOCATION como a região da etapa 1.
A execução desse comando retorna uma resposta semelhante a esta:
{ "name": "projects/test-01/locations/us-central1/operations/operation-1696840994443-6074494b6d138-8215226d-516faaf8", "metadata": { "@type": "type.googleapis.com/google.cloud.connectors.v1.OperationMetadata", "createTime": "2023-10-09T08:43:14.467058513Z", "target": "projects/test-01/locations/us-central1/regionalSettings", "verb": "update", "requestedCancellation": false, "apiVersion": "v1" }, "done": false }
Esse comando retorna um ID e inicia uma operação de longa duração (LRO, na sigla em inglês) que pode levar algum tempo para ser concluída. Aguarde a conclusão da LRO. É possível acompanhar o progresso da operação usando o seguinte comando:
curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID
Se a alocação do endereço IP estático for bem-sucedida, você vai receber uma resposta semelhante a esta:
... ... "response": { "@type": "type.googleapis.com/google.cloud.connectors.v1.RegionalSettings", "name": "projects/test-01/locations/us-central1/regionalSettings", "networkConfig": { "egressMode": "STATIC_IP", "egressIps": [ "35.193.227.203", "34.133.63.9", "35.223.253.58", "34.170.27.253" ] } }
Nesta resposta de amostra, quatro endereços IP estáticos são alocados para a região
us-central1
, e oegressMode
para a região está definido comoSTATIC_IP
. - Adicione os endereços IP estáticos da etapa 4 à lista de permissões das regras de firewall.
Receber endereços IP estáticos de uma região
Se você quiser receber os endereços IP estáticos alocados a uma região (local) a qualquer momento, execute o seguinte comando:
curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/regionalSettings
A execução desse comando retorna uma resposta semelhante a esta:
"response": { "@type": "type.googleapis.com/google.cloud.connectors.v1.RegionalSettings", "name": "projects/test-01/locations/us-central1/regionalSettings", "networkConfig": { "egressMode": "STATIC_IP", "egressIps": [ "35.193.227.203", "34.133.63.9", "35.223.253.58", "34.170.27.253" ] } }
Atribuir endereços IP automáticos a uma região
Para remover a configuração de endereço IP estático de uma região e atribuir os endereços IP automaticamente, execute o seguinte comando no terminal:
curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ -d '{"networkConfig": {"egressMode": "auto_ip"}}' \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/regionalSettings
Semelhante ao comando anterior para configurar endereços IP estáticos, esse comando também retorna um ID de operação e inicia uma operação de longa duração (LRO, na sigla em inglês) que pode levar algum tempo para ser concluída. Aguarde a conclusão da LRO.
Considerações
Considere os seguintes pontos ao alocar endereços IP estáticos para uma região:
- O conjunto reservado de endereços IP estáticos é diferente para regiões distintas dentro de um projeto.
- Quando você altera o modo de saída de uma região de
STATIC_IP
paraAUTO_IP
, o conjunto original de endereços IP estáticos não é mantido. Portanto, quando você altera novamente o modo de saída deAUTO_IP
paraSTATIC_IP
, um novo conjunto de endereços IP estáticos é alocado. - Ao alterar o modo de saída de
AUTO_IP
paraSTATIC_IP
ou vice-versa, a inatividade pode ser de segundos.