Connettività privata per provider cloud on-premise o di altro tipo

Questa pagina descrive come configurare la connettività privata da Integration Connectors al servizio di backend, ad esempio MySQL, Postgres e SQL Server ospitati nel data center on-premise o in altri provider cloud.

L'immagine seguente mostra la configurazione della connettività di rete privata da Integration Connectors al servizio di backend ospitato nella tua rete on-premise.

Questa pagina presuppone che tu abbia familiarità con i seguenti concetti:

Considerazioni

Quando crei un allegato del servizio PSC, tieni presente i seguenti punti chiave:

  • In qualità di producer di servizi, devi configurare un collegamento di servizio PSC che Integration Connectors possa utilizzare per utilizzare il servizio. Quando il collegamento al servizio è pronto, puoi configurare la connessione in modo che utilizzi il collegamento al servizio utilizzando un collegamento endpoint.
  • Il collegamento del servizio PSC e il bilanciatore del carico devono trovarsi in subnet diverse all'interno dello stesso VPC. Nello specifico, il collegamento al servizio deve trovarsi in una subnet NAT.
  • Il software in esecuzione sulle VM di backend deve rispondere al bilanciamento del carico probe di traffico e controllo di integrità inviati a ogni forwarding indirizzo IP della regola (il software deve rimanere in ascolto su 0.0.0.0:<port> e non su un indirizzo IP specifico assegnato a un'interfaccia di rete). Per ulteriori informazioni, vedi Controllo di integrità.
  • Configura le regole del firewall per facilitare il flusso di traffico.

    Regole in entrata

    • Il traffico dalla subnet dell'attacco del servizio PSC deve raggiungere la subnet dell'ILB.
    • All'interno della sottorete dell'ILB, quest'ultimo deve essere in grado di inviare traffico al sistema di backend.
    • Il probe del controllo di integrità deve essere in grado di accedere al sistema di backend. I probe del controllo di integrità di Google Cloud hanno un intervallo IP fisso (35.191.0.0/16, 130.211.0.0/22). Pertanto, questi IP possono essere autorizzati a inviare traffico al tuo server di backend.

    Regole in uscita

    Il traffico in uscita è abilitato per impostazione predefinita in un progetto Google Cloud, a meno che non siano configurate regole di rifiuto specifiche.

  • Tutti i componenti di Google Cloud, come il collegamento al servizio PSC e il bilanciatore del carico, devono trovarsi nella stessa regione.
  • Il sistema di backend non deve essere aperto alla rete pubblica, in quanto potrebbe rappresentare un problema di sicurezza. Tuttavia, assicurati che il sistema di backend accetti il traffico nel seguente scenario:

    Bilanciatori del carico HTTP(S)/basati su proxy (ILB proxy L4, ILB L7): tutte le nuove richieste provengono dal bilanciatore del carico. Pertanto, il backend deve accettare le richieste dalla subnet proxy della rete VPC. Per ulteriori informazioni, vedi Subnet solo proxy per bilanciatori del carico basati su Envoy.

Configura la connettività privata

Per configurare la connettività privata, svolgi le seguenti attività:

  1. Crea il collegamento di un servizio PSC.
  2. Crea un collegamento dell'endpoint per utilizzare il collegamento al servizio PSC.
  3. Configura la connessione per utilizzare il collegamento endpoint.

Creare un collegamento del servizio PSC

Per stabilire la connettività privata da Integration Connectors, devi esporre il servizio a Integration Connectors utilizzando un collegamento di servizio PSC. Un allegato del servizio ha sempre come target un bilanciatore del carico. Pertanto, se il servizio non è dietro un bilanciatore del carico, è necessario configurarne uno.

Per creare un collegamento a un servizio PSC, segui questi passaggi:
  1. Crea una sonda di controllo di integrità e poi un bilanciatore del carico. Per informazioni sulla configurazione di un bilanciatore del carico di rete proxy interno regionale, consulta Configurare un bilanciatore del carico di rete proxy interno regionale con connettività ibrida.
  2. Crea un allegato del servizio nella stessa regione del bilanciatore del carico del servizio. Per informazioni sulla creazione di un collegamento a un servizio, vedi Pubblicare un servizio.

Crea un collegamento dell'endpoint

Collegamento dell'endpoint come indirizzo IP

Per istruzioni su come creare un allegato dell'endpoint come indirizzo IP, consulta Creare un allegato dell'endpoint come indirizzo IP.

Collegamento dell'endpoint come nome host

In alcuni casi, ad esempio con i backend abilitati per TLS, la destinazione richiede l'utilizzo di nomi host anziché di IP privati per eseguire la convalida TLS. Nei casi in cui un utente Il DNS viene utilizzato al posto di un indirizzo IP per la destinazione host, oltre a creare un endpoint come indirizzo IP, devi anche configurare le zone gestite. Per istruzioni su come creare un collegamento endpoint come nome host, consulta Creare un collegamento dell'endpoint come nome host.

In seguito, quando configuri la connessione per utilizzare il collegamento dell'endpoint, puoi selezionare questo collegamento.

Configura una connessione per utilizzare il collegamento dell'endpoint

Ora che hai creato un collegamento endpoint, utilizzalo nella tua connessione. Quando crei una nuova connessione o aggiorni una esistente, nella sezione Destinazioni seleziona Collegamento di endpoint come Tipo di destinazione e seleziona il collegamento di endpoint che hai creato dall'elenco Collegamento di endpoint.

Se hai creato una zona gestita, seleziona Indirizzo host come Tipo di destinazione e utilizza il record A che hai creato durante la creazione della zona gestita.

Suggerimenti per la risoluzione dei problemi

Se hai problemi di connettività privata, segui le linee guida elencate in questa sezione per evitare i problemi più comuni.

  • Per verificare che il collegamento dell'endpoint sia configurato correttamente e che la connessione al PSC sia stabilita, controlla lo stato della connessione. Per ulteriori informazioni, vedi Verificare la connessione del collegamento dell'endpoint.
  • Assicurati che le regole firewall siano configurate come segue:
    • Il traffico dalla sottorete dell'attacco del servizio PSC deve essere consentito per raggiungere il servizio di backend.
    • Il bilanciatore del carico deve essere in grado di inviare traffico al sistema di backend. I NEG ibridi sono supportati solo sui bilanciatori del carico proxy. Origine delle richieste da un bilanciatore del carico proxy dalla subnet solo proxy della regione. Pertanto, le regole firewall devono essere configurate per consentire alle richieste provenienti da intervalli di subnet solo proxy di raggiungere il tuo backend.
    • Il probe del controllo di integrità deve essere in grado di accedere al sistema di backend. I probe di controllo di integrità di Google Cloud hanno un intervallo IP fisso (35.191.0.0/16, 130.211.0.0/22). Quindi... questi indirizzi IP devono poter inviare traffico al server di backend.
  • Il test di connettività di Google Cloud può essere utilizzato per identificare eventuali lacune nella configurazione della rete. Per ulteriori informazioni, vedi Crea ed esegui Connectivity Tests.
  • Assicurati che le regole firewall vengano aggiornate in ambienti on-premise o in altri ambienti cloud per consentire il traffico dalla subnet solo proxy della regione Google Cloud.