Conectividade particular para provedores no local ou outros provedores de nuvem
Esta página descreve como configurar a conectividade particular do Integration Connectors para seu serviço de back-end, como MySQL, Postgres e SQL Server hospedado no seu data center local ou em outros provedores de nuvem.
A imagem a seguir mostra a configuração de conectividade de rede particular dos Integration Connectors para o serviço de back-end hospedado na rede local.
Nesta página, consideramos que você esteja familiarizado com os seguintes conceitos:
- Anexos de endpoint
- Zonas gerenciadas
- Private Service Connect (PSC)
- Balanceador de carga do Google Cloud
Considerações
Ao criar um anexo de serviço para PSC, considere os seguintes pontos-chave:
- Como produtor de serviços, você precisa configurar um anexo de serviço PSC que os Integration Connectors possam usar para consumir o serviço. Depois que o anexo de serviço estiver pronto, você poderá configurar a conexão para consumir o anexo de serviço usando um anexo de endpoint.
- O anexo de serviço do PSC e o balanceador de carga precisam estar em sub-redes diferentes. dentro da mesma VPC. E, especificamente, o anexo de serviço precisa estar em uma sub-rede NAT.
- O software em execução nas VMs de back-end precisa responder às sondagens de tráfego com carga balanceada e às verificações de integridade enviadas ao endereço IP de cada regra de encaminhamento. O software precisa detectar em
0.0.0.0:<port>
e não em um endereço IP específico atribuído a uma interface de rede. Para mais informações, consulte Verificação de integridade. - Configure as regras de firewall para facilitar o fluxo de tráfego.
Regras de entrada
- O tráfego da sub-rede do anexo de serviço do PSC precisa alcançar a sub-rede do ILB.
- Na sub-rede do ILB, o ILB precisa enviar tráfego para o sistema de back-end.
- A sondagem de verificação de integridade precisa acessar seu sistema de back-end. O
As sondagens de verificação de integridade do Google Cloud têm um intervalo de IP fixo (
35.191.0.0/16, 130.211.0.0/22
). Portanto, é possível permitir que esses IPs enviem tráfego para seu servidor de back-end.
Regras de saída
O tráfego de saída é ativado por padrão em um projeto do Google Cloud, a menos que especificado de negação são configuradas.
- Todos os componentes do Google Cloud, como o anexo do serviço do PSC e o balanceador de carga, precisam estar na mesma região.
O sistema de back-end não pode estar aberto para a rede pública, porque isso pode ser um problema de segurança. No entanto, verifique se o sistema de back-end aceita tráfego no seguinte cenário:
Balanceadores de carga HTTP/baseados em proxy (ILB L4, ILB L7): todas as novas solicitações são originados do balanceador de carga. Portanto, seu back-end precisa aceitar solicitações do sub-rede de proxy da sua rede VPC. Para mais informações, consulte Sub-redes somente proxy para balanceadores de carga baseados no Envoy.
Configurar a conectividade particular
Para configurar a conectividade privada, faça o seguinte:
- Crie um anexo de serviço do PSC.
- Crie um anexo de endpoint para consumir o anexo do serviço PSC.
- Configure sua conexão para usar o anexo de endpoint.
Criar um anexo de serviço do PSC
Para estabelecer a conectividade particular dos Integration Connectors, exponha o serviço usando um anexo de serviço do PSC. Um anexo de serviço sempre tem como alvo um balanceador de carga. Portanto, se o serviço não estiver atrás de um balanceador de carga, será necessário configurar um.
Para criar um anexo de serviço do PSC, faça o seguinte:- Crie uma sondagem de verificação de integridade e um balanceador de carga. Para informações sobre como configurar um balanceador de carga de rede de proxy interno regional com conectividade híbrida, consulte Configurar um balanceador de carga de rede de proxy interno regional com conectividade híbrida.
- Crie um anexo de serviço na mesma região que o balanceador de carga do serviço. Para mais informações sobre como criar um anexo de serviço, consulte Publicar um serviço.
Criar um anexo de endpoint
Anexo de endpoint como um endereço IPPara instruções sobre como criar um anexo de endpoint como um endereço IP, consulte Criar um anexo de endpoint como um endereço IP.
Anexo de endpoint como um nome de hostEm determinados casos, como back-ends com TLS ativado, o destino exige o uso de em vez de IPs privados para realizar a validação TLS. Nos casos em que um objeto privado O DNS é usado no lugar de um endereço IP para o destino do host, além de criar um endpoint como um endereço IP, também é preciso configurar zonas gerenciadas. Para instruções sobre como criar um anexo de endpoint como um nome de host, consulte Criar um anexo de endpoint como um nome de host.
Depois, quando você configurar a conexão para usar o anexo de endpoint, poderá selecionar esse anexo.
Configurar uma conexão para usar o anexo de endpoint
Agora que você criou um anexo de endpoint, use-o na sua conexão. Ao criar uma nova conexão ou atualizar uma existente, na seção "Destinos", selecione Anexo do endpoint como Tipo de destino e escolha o anexo de endpoint que você criou na lista Anexo do endpoint.
Se você criou uma zona gerenciada, selecione Endereço do host como Tipo de destino e use o registro A que você criou ao criar a zona gerenciada.
Dicas de solução de problemas
Se você tiver problemas com a conectividade particular, siga as diretrizes listadas nesta seção para evitar problemas comuns.
- Para verificar se o anexo de endpoint está configurado corretamente e se a conexão PSC foi estabelecida, verifique o status da conexão. Para mais informações, consulte Verificar a conexão do anexo de endpoint.
- Verifique se as regras de firewall estão configuradas da seguinte forma:
- O tráfego da sub-rede do anexo de serviço do PSC precisa ter permissão para alcançar seu serviço de back-end.
- O balanceador de carga precisa enviar tráfego para o sistema de back-end. Os NEGs híbridos são compatíveis apenas com balanceadores de carga de proxy. As solicitações de um balanceador de carga de proxy se originam da sub-rede somente proxy da região. Portanto, suas regras de firewall precisam ser configuradas para permitir que solicitações de intervalos de sub-redes somente de proxy alcancem seu back-end.
- A sondagem de verificação de integridade precisa ter acesso ao sistema de back-end. O Google Cloud as sondagens de verificação de integridade têm um intervalo de IP fixo (35.191.0.0/16, 130.211.0.0/22). Então, os endereços IP precisam ter permissão para enviar tráfego ao servidor de back-end.
- Teste de conectividade do Google Cloud para identificar lacunas na configuração da rede. Para mais informações, consulte Crie e execute testes de conectividade.
- Verifique se as regras de firewall foram atualizadas em ambientes locais ou em outros ambientes de nuvem para permitir o tráfego da sub-rede somente proxy da região do Google Cloud.