Connectivité privée pour les fournisseurs cloud sur site ou autres

Cette page explique comment configurer la connectivité privée des connecteurs d'intégration à votre service backend, tel que MySQL, Postgres et SQL Server hébergés dans votre centre de données sur site ou chez d'autres fournisseurs de services cloud.

L'image suivante montre la configuration de la connectivité réseau privée d'Integration Connectors vers votre service de backend hébergé sur votre réseau sur site.

Sur cette page, nous partons du principe que vous connaissez bien les éléments suivants :

• Rattachements de point de terminaison
• Zones gérées
• Private Service Connect (PSC)
• Équilibreur de charge Google Cloud

Remarques

Lorsque vous créez un rattachement de service PSC, tenez compte des points clés suivants:

• En tant que producteur de services, vous devez configurer un rattachement de service PSC que les connecteurs d'intégration peuvent utiliser pour consommer le service. Une fois le rattachement de service prêt, vous pouvez configurer la connexion pour consommer le rattachement de service à l'aide d'un rattachement de point de terminaison.
• Le rattachement de service PSC et l'équilibreur de charge doivent se trouver dans des sous-réseaux différents du même VPC. Plus précisément, le rattachement de service doit se trouver dans un sous-réseau NAT.
• Le logiciel s'exécutant sur vos VM de backend doit répondre à la fois au trafic soumis à l'équilibrage de charge et aux tests de vérification d'état envoyés à l'adresse IP de chaque règle de transfert (le logiciel doit écouter sur 0.0.0.0:<port> plutôt que sur une adresse IP spécifique attribuée à une interface réseau). Pour en savoir plus, consultez Vérification de l'état.
• Configurer les règles de pare-feu pour faciliter le flux de trafic

  Règles d'entrée

  • Le trafic provenant du sous-réseau du rattachement de service PSC doit atteindre le sous-réseau de l'ILB.
  • Dans le sous-réseau de l'ILB, l'ILB doit pouvoir envoyer du trafic vers votre système backend.
  • La vérification de l'état doit pouvoir accéder à votre système backend. Les sondes de vérification de l'état Google Cloud ont une plage d'adresses IP fixe (35.191.0.0/16, 130.211.0.0/22). Par conséquent, ces adresses IP peuvent être autorisées à envoyer du trafic vers votre serveur backend.

  Règles de sortie

  Le trafic de sortie est activé par défaut dans un projet Google Cloud, sauf si des règles de refus spécifiques sont configurées.

• Tous vos composants Google Cloud, tels que le rattachement de service PSC et l'équilibreur de charge, doivent se trouver dans la même région.

• Votre système backend ne doit pas être ouvert au réseau public, car cela peut poser des problèmes de sécurité. Toutefois, assurez-vous que votre système backend accepte le trafic dans le scénario suivant:

  Équilibreurs de charge HTTP(S)/basés sur un proxy (équilibreur de charge proxy de couche 4, équilibreur de charge de couche 7) : toutes les nouvelles requêtes proviennent de l'équilibreur de charge. Par conséquent, votre backend doit accepter les requêtes provenant du sous-réseau proxy de votre réseau VPC. Pour en savoir plus, consultez la section Sous-réseaux proxy réservés pour les équilibreurs de charge basés sur Envoy.

Configurer la connectivité privée

Pour configurer une connectivité privée, procédez comme suit:

1. Créez un rattachement de service PSC.
2. Créez un rattachement de point de terminaison pour utiliser le rattachement de service PSC.
3. Configurez votre connexion pour utiliser le rattachement de point de terminaison.

Créer un rattachement de service PSC

Pour établir une connectivité privée à partir d'Integration Connectors, vous devez exposer le service à Integration Connectors à l'aide d'un rattachement de service PSC. Un rattachement de service cible toujours un équilibreur de charge. Par conséquent, si votre service n'est pas situé derrière un équilibreur de charge, un équilibreur de charge doit être configuré.

Pour créer un rattachement de service PSC, procédez comme suit :

1. Créez une vérification de l'état, puis un équilibreur de charge. Pour en savoir plus sur la configuration d'un équilibreur de charge réseau proxy interne régional, consultez Configurer un équilibreur de charge réseau proxy interne régional avec une connectivité hybride.
2. Créez un rattachement de service dans la même région que l'équilibreur de charge du service. Pour en savoir plus sur la création d'un rattachement de service, consultez Publier un service.

Créer un rattachement de point de terminaison

Rattachement de point de terminaison en tant qu'adresse IP

Pour savoir comment créer un rattachement de point de terminaison en tant qu'adresse IP, consultez la section Créer un rattachement de point de terminaison en tant qu'adresse IP.

Rattachement de point de terminaison en tant que nom d'hôte

Dans certains cas, comme les backends compatibles avec TLS, la destination vous oblige à utiliser des noms d'hôte au lieu d'adresses IP privées pour effectuer la validation TLS. Dans les cas où un DNS privé est utilisé au lieu d'une adresse IP pour la destination de l'hôte, en plus de créer une pièce jointe de point de terminaison en tant qu'adresse IP, vous devez également configurer des zones gérées. Pour savoir comment créer un rattachement de point de terminaison en tant que nom d'hôte, consultez la section Créer un rattachement de point de terminaison en tant que nom d'hôte.

Plus tard, lorsque vous configurerez votre connexion pour utiliser le rattachement du point de terminaison, vous pourrez le sélectionner.

Configurer une connexion pour utiliser le rattachement de point de terminaison

Maintenant que vous avez créé un rattachement de point de terminaison, utilisez-le dans votre connexion. Lorsque vous créez une connexion ou mettez à jour une connexion existante, dans la section "Destinations", sélectionnez Rattachement de point de terminaison comme Type de destination, puis sélectionnez le rattachement de point de terminaison que vous avez créé dans la liste Rattachement de point de terminaison.

Si vous avez créé une zone gérée, sélectionnez Adresse hôte comme Type de destination et utilisez l'enregistrement A que vous avez créé lors de la création de la zone gérée.

Conseils de dépannage

Si vous rencontrez des problèmes de connectivité privée, suivez les consignes indiquées dans cette section pour éviter les problèmes courants.

• Pour vérifier que l'association du point de terminaison est correctement configurée et que la connexion PSC est établie, vérifiez l'état de la connexion. Pour en savoir plus, consultez la section Vérifier la connexion du rattachement de point de terminaison.
• Vérifiez que les règles de pare-feu sont configurées comme suit :
  • Le trafic provenant du sous-réseau du rattachement de service PSC doit être autorisé à atteindre votre service de backend.
  • L'équilibreur de charge doit pouvoir envoyer du trafic à votre système backend. Les NEG hybrides sont n'est compatible qu'avec les équilibreurs de charge proxy. Les requêtes d'un équilibreur de charge proxy proviennent du sous-réseau proxy réservé de la région. Par conséquent, vos règles de pare-feu doivent être configurées pour autoriser les requêtes provenant des plages de sous-réseaux proxy réservés à atteindre votre backend.
  • La vérification de l'état doit pouvoir accéder à votre système backend. Les tests de vérification de l'état Google Cloud ont une plage d'adresses IP fixe (35.191.0.0/16, 130.211.0.0/22). Donc ces adresses IP doivent être autorisées à envoyer du trafic vers votre serveur backend.
• Le test de connectivité Google Cloud peut être utilisé pour identifier les lacunes de votre configuration réseau. Pour en savoir plus, consultez la page Créer et exécuter des tests de connectivité.
• Assurez-vous que les règles de pare-feu sont mises à jour dans les environnements sur site ou dans d'autres environnements cloud pour autoriser le trafic provenant du sous-réseau proxy réservé de la région Google Cloud.