Configura indirizzi IP in uscita statici per le connessioni

In questa pagina viene spiegato come assegnare indirizzi IP statici alle connessioni. Utilizzando gli indirizzi IP statici, puoi limitare l'accesso ai sistemi di backend, il che a sua volta rende la connettività più sicura.

Se vuoi che Integration Connectors si connetta ai tuoi sistemi di backend, puoi utilizzare la connettività privata. Tuttavia, se non vuoi eseguire i passaggi elaborati per la configurazione della connettività privata, puoi valutare di esporre il sistema di backend su un indirizzo IP pubblico e quindi limitarne l'accesso tramite le regole firewall. Nelle regole firewall puoi consentire solo agli indirizzi IP provenienti da Integration Connectors di connettersi al sistema di backend. Per consentire a una connessione di connettersi a un endpoint pubblico, devi eseguire i seguenti passaggi di alto livello:

Crea un firewall e instrada il traffico in uscita attraverso il firewall.
Assegna un indirizzo IP statico alla tua connessione.
Inserisci l'indirizzo IP statico assegnato nel firewall nella lista consentita.

I passaggi per creare e configurare un firewall non rientrano nell'ambito di questa pagina. In questa pagina viene descritto solo come assegnare indirizzi IP statici alle connessioni.

Per impostazione predefinita, Integration Connectors alloca automaticamente gli indirizzi IP. Tuttavia, puoi configurare Integration Connectors per generare indirizzi IP statici anziché indirizzi IP automatici. Integration Connectors assegna gli indirizzi IP statici a livello di regione. Ad esempio, gli indirizzi IP statici per l'area geografica us-east1 saranno diversi da quelli per la regione us-west2.

Per assegnare indirizzi IP statici alla tua connessione, segui questi passaggi:

Ottieni la regione della connessione per cui vuoi allocare l'indirizzo IP statico. Puoi visualizzare la regione della connessione nella colonna Location della pagina Connessioni.
Vai alla pagina Connessioni
Nella console Google Cloud, attiva Cloud Shell.

Attiva Cloud Shell

Nella parte inferiore della console Google Cloud viene avviata una sessione di Cloud Shell che mostra un prompt della riga di comando. Cloud Shell è un ambiente shell con Google Cloud CLI già installato e con valori già impostati per il progetto attuale. L'inizializzazione della sessione può richiedere alcuni secondi.

Suggerimento : anche se in questo passaggio viene menzionato l'apertura di Cloud Shell, puoi eseguire i comandi anche sul tuo terminale normale, perché chiamerai le API pubbliche di Integration Connectors.

Configura Integration Connectors per assegnare un indirizzo IP statico per la regione ottenuta nel passaggio 1. Esegui questo comando in Cloud Shell.

curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{"networkConfig": {"egressMode": "static_ip"}}' \
https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/regionalSettings

Imposta LOCATION sulla regione che hai ottenuto nel passaggio 1.

L'esecuzione di questo comando restituisce una risposta simile alla seguente:

{
"name": "projects/test-01/locations/us-central1/operations/operation-1696840994443-6074494b6d138-8215226d-516faaf8",
"metadata": {
  "@type": "type.googleapis.com/google.cloud.connectors.v1.OperationMetadata",
  "createTime": "2023-10-09T08:43:14.467058513Z",
  "target": "projects/test-01/locations/us-central1/regionalSettings",
  "verb": "update",
  "requestedCancellation": false,
  "apiVersion": "v1"
 },
"done": false
}

Questo comando restituisce un ID operazione e avvia un'operazione a lunga esecuzione (LRO), il cui completamento potrebbe richiedere del tempo. Attendi il completamento dell'LRO. Puoi tenere traccia dell'avanzamento dell'operazione utilizzando il seguente comando:

curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID

Se l'allocazione dell'indirizzo IP statico ha esito positivo, riceverai una risposta simile alla seguente:

...
...
"response": {
  "@type": "type.googleapis.com/google.cloud.connectors.v1.RegionalSettings",
  "name": "projects/test-01/locations/us-central1/regionalSettings",
  "networkConfig": {
   "egressMode": "STATIC_IP",
    "egressIps": [
      "35.193.227.203",
      "34.133.63.9",
      "35.223.253.58",
      "34.170.27.253"
    ]
  }
}

In questa risposta di esempio, vengono allocati quattro indirizzi IP statici per la regione us-central1 e il valore egressMode per la regione è impostato su STATIC_IP.

Inserisci gli indirizzi IP statici (inclusi nel passaggio 4) nella lista consentita delle regole firewall.

Ottieni gli indirizzi IP statici di una regione

Se in qualsiasi momento vuoi ottenere gli indirizzi IP statici allocati a una regione (località), esegui questo comando:

curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/regionalSettings

L'esecuzione di questo comando restituisce una risposta simile alla seguente:

  "response": {
    "@type": "type.googleapis.com/google.cloud.connectors.v1.RegionalSettings",
    "name": "projects/test-01/locations/us-central1/regionalSettings",
    "networkConfig": {
     "egressMode": "STATIC_IP",
      "egressIps": [
        "35.193.227.203",
        "34.133.63.9",
        "35.223.253.58",
        "34.170.27.253"
      ]
    }
  }

Assegna indirizzi IP automatici a una regione

Se vuoi rimuovere la configurazione degli indirizzi IP statici per una regione e assegnare automaticamente gli indirizzi IP, devi eseguire questo comando nel terminale:

curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    -d '{"networkConfig": {"egressMode": "auto_ip"}}' \
    https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/regionalSettings

Analogamente al comando precedente per la configurazione di indirizzi IP statici, anche questo comando restituisce un ID operazione e avvia un'operazione a lunga esecuzione (LRO) il cui completamento può richiedere del tempo. Attendi il completamento dell'LRO.

Considerazioni

Considera i seguenti punti quando assegni indirizzi IP statici per una regione:

Il set riservato di indirizzi IP statici è diverso a seconda delle regioni all'interno di un progetto.
Quando modifichi la modalità in uscita per una regione da STATIC_IP a AUTO_IP, il set originale di indirizzi IP statici non viene conservato e, di conseguenza, se cambi nuovamente la modalità in uscita da AUTO_IP a STATIC_IP, viene allocato un nuovo insieme di indirizzi IP statici.
Quando cambi la modalità in uscita da AUTO_IP a STATIC_IP o viceversa, puoi aspettarti un tempo di inattività dell'ordine di secondi.