Configura direcciones IP salientes estáticas para las conexiones

En esta página, se explica cómo asignar direcciones IP estáticas a tus conexiones. Mediante el uso de direcciones IP estáticas, puedes restringir el acceso a tus sistemas de backend, lo que, a su vez, hace que la conectividad sea más segura.

Si quieres que Integration Connectors se conecte a tus sistemas de backend, puedes usar la conectividad privada. Sin embargo, si no quieres seguir los pasos elaborados para configurar la conectividad privada, puedes exponer tu sistema de backend a través de una dirección IP pública y, luego, restringir su acceso a través de reglas de firewall. En las reglas de firewall, puedes permitir que solo las direcciones IP que se originan en Integration Connectors se conecten a tu sistema de backend. Para permitir que una conexión se conecte a un extremo público, debes realizar los siguientes pasos de alto nivel:

Crea un firewall y enruta el tráfico de salida a través de él.
Asigna una dirección IP estática a tu conexión.
Incluye en la lista de entidades permitidas la dirección IP estática asignada en tu firewall.

Los pasos para crear y configurar un firewall están fuera del alcance de esta página. En esta página, solo se describe cómo asignar direcciones IP estáticas a las conexiones.

De forma predeterminada, Integration Connectors asigna direcciones IP automáticamente. Sin embargo, puedes configurar Integration Connectors para generar direcciones IP estáticas en lugar de una dirección IP automática. Integration Connectors asigna las direcciones IP estáticas a nivel de la región. Por ejemplo, las direcciones IP estáticas para la región us-east1 serán diferentes de las direcciones IP estáticas en la región us-west2.

Para asignar direcciones IP estáticas a tu conexión, sigue estos pasos:

Obtén la región de la conexión para la que deseas asignar la dirección IP estática. Puedes ver la región de conexión en la columna Location de la página Conexiones.
Ir a la página Conexiones
En la consola de Google Cloud, activa Cloud Shell.

Activar Cloud Shell

En la parte inferior de la consola de Google Cloud, se inicia una sesión de Cloud Shell en la que se muestra una ventana de línea de comandos. Cloud Shell es un entorno de shell con Google Cloud CLI ya instalada y con valores ya establecidos para el proyecto actual. La sesión puede tardar unos segundos en inicializarse.

Sugerencia: Aunque en este paso se menciona cómo abrir Cloud Shell, puedes ejecutar los comandos incluso en tu terminal normal, ya que llamarás a las APIs públicas de Integration Connectors.

Configura Integration Connectors para asignar una dirección IP estática a la región que obtuviste en el paso 1. Ejecuta el siguiente comando en Cloud Shell.

curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{"networkConfig": {"egressMode": "static_ip"}}' \
https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/regionalSettings

Establece LOCATION en la región que obtuviste en el paso 1.

Cuando ejecutas este comando, se muestra una respuesta similar a la siguiente:

{
"name": "projects/test-01/locations/us-central1/operations/operation-1696840994443-6074494b6d138-8215226d-516faaf8",
"metadata": {
  "@type": "type.googleapis.com/google.cloud.connectors.v1.OperationMetadata",
  "createTime": "2023-10-09T08:43:14.467058513Z",
  "target": "projects/test-01/locations/us-central1/regionalSettings",
  "verb": "update",
  "requestedCancellation": false,
  "apiVersion": "v1"
 },
"done": false
}

Este comando muestra un ID de operación y, luego, inicia una operación de larga duración (LRO) que puede tardar en completarse. Espera a que se complete la LRO. Puedes realizar un seguimiento del progreso de la operación con el siguiente comando:

curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID

Si la asignación de la dirección IP estática se realiza correctamente, obtendrás una respuesta similar a la siguiente:

...
...
"response": {
  "@type": "type.googleapis.com/google.cloud.connectors.v1.RegionalSettings",
  "name": "projects/test-01/locations/us-central1/regionalSettings",
  "networkConfig": {
   "egressMode": "STATIC_IP",
    "egressIps": [
      "35.193.227.203",
      "34.133.63.9",
      "35.223.253.58",
      "34.170.27.253"
    ]
  }
}

En esta respuesta de muestra, se asignan cuatro direcciones IP estáticas para la región us-central1, y egressMode de la región se establece en STATIC_IP.

Incluye en la lista de entidades permitidas las direcciones IP estáticas (en el paso 4) en tus reglas de firewall.

Obtén las direcciones IP estáticas de una región

Si en algún momento deseas asignar las direcciones IP estáticas a una región (ubicación), ejecuta el siguiente comando:

curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/regionalSettings

Cuando ejecutas este comando, se muestra una respuesta similar a la siguiente:

  "response": {
    "@type": "type.googleapis.com/google.cloud.connectors.v1.RegionalSettings",
    "name": "projects/test-01/locations/us-central1/regionalSettings",
    "networkConfig": {
     "egressMode": "STATIC_IP",
      "egressIps": [
        "35.193.227.203",
        "34.133.63.9",
        "35.223.253.58",
        "34.170.27.253"
      ]
    }
  }

Asigna direcciones IP automáticas a una región

Si quieres quitar la configuración de la dirección IP estática de una región y asignar las direcciones IP de forma automática, debes ejecutar el siguiente comando en la terminal:

curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    -d '{"networkConfig": {"egressMode": "auto_ip"}}' \
    https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/regionalSettings

Al igual que el comando anterior para configurar direcciones IP estáticas, este comando también muestra un ID de operación y, luego, inicia una operación de larga duración (LRO) que puede tardar un tiempo en completarse. Espera a que se complete la LRO.

Consideraciones

Ten en cuenta los siguientes puntos cuando asignes direcciones IP estáticas para una región:

El conjunto reservado de direcciones IP estáticas es diferente para diferentes regiones dentro de un proyecto.
Cuando cambias el modo de salida para una región de STATIC_IP a AUTO_IP, no se conserva el conjunto original de direcciones IP estáticas y, por lo tanto, cuando vuelves a cambiar el modo de salida de AUTO_IP a STATIC_IP, se asigna un nuevo conjunto de direcciones IP estáticas.
Cuando cambias el modo de salida de AUTO_IP a STATIC_IP o viceversa, es posible que se produzca un tiempo de inactividad de segundos.