Untuk menggunakan Datastream guna membuat aliran data dari database sumber ke tujuan, Anda harus membuat konektivitas ke database sumber. Gunakan informasi dalam tabel berikut untuk membantu Anda memutuskan metode mana yang paling cocok untuk beban kerja tertentu.
| Metode jaringan | Deskripsi | Hal-hal yang perlu dipertimbangkan |
|---|---|---|
| Daftar IP yang diizinkan | Berfungsi dengan mengonfigurasi server database sumber untuk mengizinkan koneksi masuk dari alamat IP eksternal Datastream. Untuk mengetahui alamat IP untuk region Anda, lihat Daftar yang diberi akses dan region IP. |
|
| Tunnel SSH penerusan |
Buat koneksi terenkripsi melalui jaringan publik antara Datastream dan sumber, melalui tunnel SSH penerusan. Pelajari tunnel SSH lebih lanjut. |
|
| Antarmuka Private Service Connect | Berfungsi dengan membuat konfigurasi konektivitas pribadi. Datastream menggunakan konfigurasi ini untuk berkomunikasi dengan sumber data melalui jaringan pribadi. Komunikasi ini terjadi melalui lampiran jaringan yang disiapkan di jaringan VPC pelanggan. |
|
| Peering VPC | Berfungsi dengan membuat konfigurasi konektivitas pribadi. Datastream menggunakan konfigurasi ini untuk berkomunikasi dengan sumber data melalui jaringan pribadi. Komunikasi ini terjadi melalui koneksi peering Virtual Private Cloud (VPC). |
|
Menggunakan daftar IP yang diizinkan
Agar Datastream dapat mentransfer data dari database sumber ke tujuan, Datastream harus terhubung ke database ini terlebih dahulu.
Salah satu cara untuk mengonfigurasi konektivitas ini adalah melalui daftar IP yang diizinkan. Konektivitas IP publik paling sesuai jika database sumber bersifat eksternal terhadap Google Cloud dan memiliki alamat IPv4 dan port TCP yang dapat diakses secara eksternal.
Jika database sumber Anda bersifat eksternal terhadap Google Cloud, tambahkan alamat IP publik Datastream sebagai aturan firewall masuk di jaringan sumber. Secara umum (setelan jaringan spesifik Anda mungkin berbeda), lakukan hal berikut:
Buka aturan firewall jaringan mesin database sumber Anda.
Buat aturan masuk.
Tetapkan alamat IP database sumber ke alamat IP Datastream.
Tetapkan protokol ke
TCP.Tetapkan port yang terkait dengan protokol
TCP. Nilai defaultnya adalah:1521untuk database Oracle3306untuk database MySQL5432untuk database PostgreSQL1433untuk database SQL Server
Simpan aturan firewall, lalu keluar.
Menggunakan tunnel SSH
Langkah-langkah berikut menjelaskan cara menyiapkan konektivitas ke database sumber menggunakan tunnel SSH penerusan.
Langkah 1: Pilih host tempat tunnel akan dihentikan
Langkah pertama untuk menyiapkan akses tunnel SSH untuk database Anda adalah memilih host yang akan digunakan untuk menghentikan tunnel. Tunnel dapat dihentikan di host database itu sendiri, atau di host terpisah (server tunnel).
Menggunakan server database
Menghentikan tunnel di database memiliki keunggulan dalam hal kesederhanaan. Hanya ada satu host yang terlibat, sehingga tidak ada mesin tambahan dan biaya terkaitnya. Kelemahannya adalah server database Anda mungkin berada di jaringan terlindungi yang tidak memiliki akses langsung dari internet.
Menggunakan server tunnel
Mengakhiri tunnel di server terpisah memiliki keunggulan untuk menjaga server database Anda agar tidak dapat diakses dari internet. Jika server tunnel disusupi, server tersebut akan dihapus satu langkah dari server database. Sebaiknya hapus semua software dan pengguna yang tidak penting dari server tunnel dan pantau dengan cermat menggunakan alat, seperti sistem deteksi intrusi (IDS).
Server tunnel dapat berupa host Unix atau Linux yang:
- Dapat diakses dari internet menggunakan SSH.
- Dapat mengakses database.
Langkah 2: Buat daftar IP yang diizinkan
Langkah kedua untuk menyiapkan akses tunnel SSH untuk database Anda adalah mengizinkan traffic jaringan menjangkau server tunnel atau host database menggunakan SSH, yang biasanya berada di port TCP 22.
Izinkan traffic jaringan dari setiap alamat IP untuk region tempat resource Datastream dibuat.
Langkah 3: Gunakan tunnel SSH
Berikan detail tunnel dalam konfigurasi profil koneksi. Untuk informasi selengkapnya, lihat Membuat profil koneksi.
Untuk mengautentikasi sesi tunnel SSH, Datastream memerlukan sandi untuk akun tunnel, atau kunci pribadi unik. Untuk menggunakan kunci pribadi yang unik, Anda dapat menggunakan alat command line OpenSSH atau OpenSSL untuk membuat kunci.
Datastream menyimpan kunci pribadi dengan aman sebagai bagian dari konfigurasi profil koneksi Datastream. Anda harus menambahkan kunci publik secara manual ke file ~/.ssh/authorized_keys host bastion.
Membuat kunci pribadi dan publik
Anda dapat membuat kunci SSH menggunakan metode berikut:
ssh-keygen: Alat command line OpenSSH untuk membuat pasangan kunci SSH.Flag yang berguna:
-t: Menentukan jenis kunci yang akan dibuat, misalnya:ssh-keygen -t rsassh-keygen -t ed25519-b: Menentukan panjang kunci dalam kunci yang akan dibuat, misalnya:ssh-keygen -t rsa -b 2048-y: Membaca file format OpenSSH pribadi dan mencetak kunci publik OpenSSH ke output standar.-f: Menentukan nama file kunci, misalnya:ssh-keygen -y [-f KEY_FILENAME]
Untuk mengetahui informasi selengkapnya tentang flag yang didukung, lihat dokumentasi OpenBSD.
Anda dapat membuat kunci PEM pribadi menggunakan metode berikut:
openssl genpkey: Alat command line OpenSSL untuk membuat kunci pribadi PEM.Flag yang berguna:
algorithm: Menentukan algoritma kunci publik yang akan digunakan, misalnya:openssl genpkey -algorithm RSA-out: Menentukan nama file tempat kunci akan di-output, misalnya:openssl genpkey -algorithm RSA -out PRIVATE_KEY_FILENAME.pem
Untuk mengetahui informasi selengkapnya tentang flag yang didukung, lihat dokumentasi OpenSSL.
Menggunakan konektivitas pribadi
Jika database sumber Anda bersifat eksternal terhadap Google Cloud, konektivitas pribadi akan memungkinkan Datastream berkomunikasi dengan database Anda melalui VPN atau Interconnect. Setelah konfigurasi konektivitas pribadi dibuat, satu konfigurasi dapat melayani semua streaming dalam project dalam satu region.
Anda dapat menggunakan dua metode untuk terhubung secara pribadi: antarmuka Private Service Connect atau peering VPC. Saat Anda menggunakan konektivitas pribadi, traffic di jaringan Anda tidak akan melewati internet publik.
Antarmuka Private Service Connect
Datastream memungkinkan Anda mengakses layanan atau resource secara pribadi dari dalam jaringan VPC menggunakan antarmuka Private Service Connect. Hal ini dilakukan dengan membuat koneksi ke lampiran jaringan yang disiapkan di project konsumen. Dengan cara ini, konsumen dapat menggunakan alamat IP internal mereka untuk mengakses resource seperti database sumber tanpa keluar dari jaringan VPC mereka. Traffic tetap berada sepenuhnya di dalam Google Cloud.
Pada tingkat tinggi, untuk membuat konektivitas pribadi menggunakan antarmuka Private Service Connect, Anda memerlukan:
- Lampiran jaringan
- Aturan firewall yang mengizinkan traffic dari lampiran jaringan ke database sumber
Untuk mengetahui informasi selengkapnya tentang Private Service Connect, lihat dokumentasi VPC.
Untuk mengetahui informasi tentang cara menyiapkan koneksi pribadi menggunakan antarmuka Private Service Connect di Datastream, lihat Antarmuka Private Service Connect.
Peering VPC
Peering VPC adalah koneksi antara jaringan VPC Anda dan jaringan pribadi Datastream, yang memungkinkan Datastream berkomunikasi dengan resource internal menggunakan alamat IP internal. Menggunakan konektivitas pribadi akan membuat koneksi khusus di jaringan Datastream, yang berarti tidak ada pelanggan lain yang dapat menggunakannya.
Pada tingkat tinggi, pembuatan konektivitas pribadi peering VPC memerlukan:
- Virtual Private Cloud (VPC) yang ada
- Rentang IP yang tersedia dengan blok CIDR /29
Jika project Anda menggunakan VPC bersama, Anda juga harus mengaktifkan Datastream dan Google Compute Engine API, serta memberikan izin ke akun layanan Datastream di project host.
Pelajari lebih lanjut cara membuat konfigurasi konektivitas pribadi.
Langkah berikutnya
- Pelajari antarmuka Private Service Connect lebih lanjut.
- Pelajari peering VPC lebih lanjut.
- Pelajari cara membuat konfigurasi konektivitas pribadi.