Opciones de conectividad de red

Para usar Datastream y crear una transmisión de la base de datos de origen al destino, debes establecer conectividad con la base de datos de origen. Usa la información de la siguiente tabla para decidir qué método es mejor para tu carga de trabajo específica.

Método de red Descripción Aspectos para tener en cuenta
Lista de IP de anunciantes permitidos

Funciona configurando el servidor de base de datos de origen para permitir conexiones entrantes desde las direcciones IP externas de Datastream. Para conocer las direcciones IP de tus regiones, consulta Listas de IP permitidas y regiones de IP.
  • La base de datos de origen está expuesta a una dirección IP pública.
  • La conexión no está encriptada de forma predeterminada. Se debe habilitar SSL en la base de datos de origen para encriptar la conexión.
  • Es posible que la configuración del firewall requiera asistencia del departamento de TI.
Túnel SSH de reenvío

Establece una conexión encriptada a través de redes públicas entre Datastream y la fuente mediante un túnel de SSH de reenvío.

Obtén más información sobre los túneles SSH.
  • Ancho de banda limitado
  • Debes configurar y mantener el host de bastión.
Interfaces de Private Service Connect Funciona a través de la creación de una configuración de conectividad privada. Datastream usa esta configuración para comunicarse con la fuente de datos a través de una red privada. Esta comunicación se realiza a través de un adjunto de red configurado en la red de VPC del cliente.
  • Es necesario configurar un archivo adjunto de red y ajustar las reglas de firewall.
  • No puedes migrar las configuraciones de conectividad privada existentes a las interfaces de Private Service Connect.
  • No puedes cambiar el adjunto de red después de crear la conexión de interfaz de Private Service Connect.
  • La lista de entidades permitidas de conexiones entrantes desde las direcciones IP de Datastream solo está disponible por ID de proyecto.
Intercambio de tráfico entre VPC Funciona a través de la creación de una configuración de conectividad privada. Datastream usa esta configuración para comunicarse con la fuente de datos a través de una red privada. Esta comunicación se realiza a través de una conexión de intercambio de tráfico de nube privada virtual (VPC).
  • Requiere una conexión de red privada (VPN, Interconnect, etc.) entre la base de datos y Google Cloud.

Usa listas de IP permitidas

Para que Datastream transfiera datos de una base de datos de origen a un destino, primero debe conectarse a esta base de datos.

Una forma de configurar esta conectividad es a través de las listas de IP permitidas. La conectividad de IP pública es más apropiada cuando la base de datos de origen es externa a Google Cloud y tiene un puerto TCP y una dirección IPv4 de acceso externo.

Si tu base de datos de origen es externa a Google Cloud, agrega las direcciones IP públicas de Datastream como una regla de firewall entrante en la red de origen. En términos generales (la configuración de red específica puede diferir), haz lo siguiente:

  1. Abre las reglas de firewall de red de la máquina de la base de datos de origen.

  2. Crea una regla entrante.

  3. Establece la dirección IP de la base de datos de origen en las direcciones IP de Datastream.

  4. Configura el protocolo en TCP.

  5. Establece el puerto asociado con el protocolo TCP. Los valores predeterminados son los siguientes:

    • 1521 para una base de datos de Oracle
    • 3306 para una base de datos de MySQL
    • 5432 para una base de datos de PostgreSQL
    • 1433 para una base de datos de SQL Server

  6. Guarda la regla de firewall y, luego, sal.

Usa un túnel SSH

En los siguientes pasos, se describe cómo configurar la conectividad a una base de datos de origen con un túnel SSH de reenvío.

Paso 1: Elige un host en el que finalizar el túnel

El primer paso para configurar el acceso al túnel SSH de tu base de datos es elegir el host que se usará para finalizar el túnel. El túnel se puede finalizar en el host de la base de datos o en un host independiente (el servidor de túnel).

Usa el servidor de la base de datos

La terminación del túnel en la base de datos tiene la ventaja de la simplicidad. Hay un host menos involucrado, por lo que no hay máquinas adicionales ni sus costos asociados. La desventaja es que tu servidor de base de datos podría estar en una red protegida que no tiene acceso directo desde Internet.

Usa un servidor de túnel

Terminar el túnel en un servidor independiente tiene la ventaja de mantener el servidor de base de datos inaccesible desde Internet. Si el servidor de túnel está comprometido, se quita un paso del servidor de base de datos. Te recomendamos que quites todo el software y los usuarios no esenciales del servidor de túnel y lo supervises de cerca con herramientas, como un sistema de detección de intrusiones (IDS).

El servidor de túnel puede ser cualquier host Unix o Linux que cumpla con los siguientes requisitos:

  1. Se puede acceder a él desde Internet a través de SSH.
  2. Pueda acceder a la base de datos.

Paso 2: Crea una lista de IP permitidas

El segundo paso para configurar el acceso al túnel SSH de tu base de datos es permitir que el tráfico de red llegue al servidor del túnel o al host de la base de datos a través de SSH, que generalmente se encuentra en el puerto TCP 22.

Permite el tráfico de red desde cada una de las direcciones IP de la región en la que se crean los recursos de Datastream.

Paso 3: Usa el túnel SSH

Proporciona los detalles del túnel en la configuración del perfil de conexión. Para obtener más información, consulta Cómo crear un perfil de conexión.

Para autenticar la sesión del túnel SSH, Datastream requiere la contraseña de la cuenta del túnel o una clave privada única. Para usar una clave privada única, puedes usar las herramientas de línea de comandos de OpenSSH o OpenSSL para generar claves.

Datastream almacena la clave privada de forma segura como parte de la configuración del perfil de conexión de Datastream. Debes agregar la clave pública manualmente al archivo ~/.ssh/authorized_keys del host de bastión.

Genera claves privadas y públicas

Puedes generar claves SSH con el siguiente método:

  • ssh-keygen: Es una herramienta de línea de comandos de OpenSSH para generar pares de claves SSH.

    Marcas útiles:

    • -t: Especifica el tipo de clave que se creará, por ejemplo:

      ssh-keygen -t rsa

      ssh-keygen -t ed25519

    • -b: Especifica la longitud de la clave que se creará, por ejemplo:

      ssh-keygen -t rsa -b 2048

    • -y: Lee un archivo de formato OpenSSH privado y escribe una clave pública de OpenSSH en el resultado estándar.

    • -f: Especifica el nombre del archivo de claves, por ejemplo:

      ssh-keygen -y [-f KEY_FILENAME]

    Para obtener más información sobre las marcas compatibles, consulta la documentación de OpenBSD.

Puedes generar una clave PEM privada con el siguiente método:

  • openssl genpkey: Es una herramienta de línea de comandos de OpenSSL para generar una clave privada PEM.

    Marcas útiles:

    • algorithm: Especifica el algoritmo de clave pública que se usará, por ejemplo:

      openssl genpkey -algorithm RSA

    • -out: Especifica el nombre de archivo al que se debe enviar la clave, por ejemplo:

      openssl genpkey -algorithm RSA -out PRIVATE_KEY_FILENAME.pem

    Para obtener más información sobre las marcas compatibles, consulta la documentación de OpenSSL.

Usa la conectividad privada

Si tu base de datos de origen es externa a Google Cloud, la conectividad privada permite que Datastream se comunique con tu base de datos a través de VPN o interconexión. Después de crear una configuración de conectividad privada, una sola configuración puede servir para todas las transmisiones en un proyecto dentro de una misma región.

Puedes usar dos métodos para conectarte de forma privada: las interfaces de Private Service Connect o el intercambio de tráfico de VPC. Cuando usas la conectividad privada, el tráfico de tu red no pasa por la Internet pública.

Interfaces de Private Service Connect

Datastream te permite acceder a servicios o recursos de forma privada desde tu red de VPC mediante interfaces de Private Service Connect. Para ello, establece una conexión a un archivo adjunto de red configurado en el proyecto consumidor. De esta manera, los consumidores pueden usar sus direcciones IP internas para acceder a recursos, como bases de datos de origen, sin salir de sus redes de VPC. El tráfico permanece completamente dentro de Google Cloud.

En un nivel alto, establecer conectividad privada con interfaces de Private Service Connect requiere lo siguiente:

  • Un adjunto de red
  • Reglas de firewall que permiten el tráfico del adjunto de red a la base de datos de origen

Para obtener más información sobre Private Service Connect, consulta la documentación de VPC.

Para obtener información sobre cómo configurar una conexión privada con interfaces de Private Service Connect en Datastream, consulta Interfaces de Private Service Connect.

Intercambio de tráfico entre VPC

El intercambio de tráfico de VPC es una conexión entre tu red de VPC y la red privada de Datastream, lo que permite que Datastream se comunique con recursos internos mediante direcciones IP internas. El uso de la conectividad privada establece una conexión dedicada en la red de Datastream, lo que significa que ningún otro cliente puede compartirla.

En un nivel alto, establecer la conectividad privada de intercambio de tráfico entre VPC requiere lo siguiente:

  • Una nube privada virtual (VPC) existente
  • Un rango de IP disponible con un bloque CIDR de /29

Si tu proyecto usa una VPC compartida, también deberás habilitar las API de Datastream y Google Compute Engine, además de otorgar permisos a la cuenta de servicio de Datastream en el proyecto host.

Obtén más información para crear una configuración de conectividad privada.

¿Qué sigue?