Questa pagina è stata tradotta dall'API Cloud Translation.

Opzioni di connettività di rete

Per utilizzare Datastream per creare uno stream dal database di origine alla destinazione, devi stabilire la connettività al database di origine. Utilizza le informazioni riportate nella tabella seguente per decidere quale metodo è più adatto al tuo carico di lavoro specifico.

Metodo di networking	Descrizione	Aspetti da considerare
Lista consentita di IP	Funziona configurando il server del database di origine in modo da consentire le connessioni in entrata dagli indirizzi IP esterni di Datastream. Per conoscere gli indirizzi IP delle tue regioni, consulta Liste consentite e regioni IP.	Il database di origine è esposto a un indirizzo IP pubblico. Per impostazione predefinita, la connessione non è criptata. Per criptare la connessione, è necessario avere abilitato SSL sul database di origine. La configurazione del firewall potrebbe richiedere l'assistenza del reparto IT.
Tunnel SSH di forwarding	Stabilisci una connessione criptata su reti pubbliche tra Datastream e l'origine tramite un tunnel SSH di forwarding. Scopri di più sui tunnel SSH.	Larghezza di banda limitata Devi configurare e gestire il bastion host.
Interfacce Private Service Connect	Funziona creando una configurazione di connettività privata. Datastream utilizza questa configurazione per comunicare con l'origine dati su una rete privata. Questa comunicazione avviene tramite un collegamento di rete configurato nella rete VPC del cliente.	Richiede la configurazione di un allegato di rete e la modifica delle regole firewall. Non puoi eseguire la migrazione delle configurazioni di connettività privata esistenti alle interfacce Private Service Connect. Non puoi modificare il collegamento di rete dopo aver creato la connessione dell'interfaccia Private Service Connect. L'inserimento nella lista consentita delle connessioni in entrata dagli indirizzi IP di Datastream è disponibile solo in base all'ID progetto.
Peering VPC	Funziona creando una configurazione di connettività privata. Datastream utilizza questa configurazione per comunicare con l'origine dati su una rete privata. Questa comunicazione avviene tramite una connessione in peering VPC (Virtual Private Cloud).	Richiede una connessione di rete privata (VPN, Interconnect e così via) tra il database e Google Cloud.

Utilizzare le liste consentite IP

Affinché Datastream possa trasferire i dati da un database di origine a una destinazione, deve prima connettersi a questo database.

Un modo per configurare questa connettività è tramite le liste consentite IP. La connettività IP pubblica è più appropriata quando il database di origine è esterno a Google Cloud e ha un indirizzo IPv4 e una porta TCP accessibili dall'esterno.

Se il database di origine è esterno a Google Cloud, aggiungi gli indirizzi IP pubblici di Datastream come regola del firewall in entrata sulla rete di origine. In termini generici (le impostazioni di rete specifiche potrebbero variare), svolgi i seguenti passaggi:

Apri le regole del firewall di rete della macchina del database di origine.
Crea una regola in entrata.
Imposta l'indirizzo IP del database di origine sugli indirizzi IP di Datastream.
Imposta il protocollo su TCP.
Imposta la porta associata al protocollo TCP. I valori predefiniti sono:
- 1521 per un database Oracle
- 3306per un database MySQL
- 5432per un database PostgreSQL
- 1433 per un database SQL Server
Salva la regola firewall ed esci.

Utilizzare un tunnel SSH

I passaggi riportati di seguito descrivono come configurare la connettività a un database di origine utilizzando un tunnel SSH di forwarding.

Passaggio 1: scegli un host in corrispondenza del quale terminare il tunnel

Il primo passaggio per configurare un tunnel SSH per il tuo database consiste nella scelta dell'host da utilizzare come elemento finale del tunnel. Il tunnel può terminare sull'host del database stesso o su un host separato (server del tunnel).

Utilizzare il server di database

La terminazione del tunnel sul database offre il vantaggio della semplicità. Poiché si utilizza un host in meno, non sono necessari sistemi aggiuntivi e si evitano i costi associati. Lo svantaggio è costituito dal fatto che il server di database potrebbe trovarsi su una rete protetta non accessibile direttamente da internet.

Utilizzare un server del tunnel

La terminazione del tunnel su un server separato offre la possibilità di mantenere il server di database inaccessibile da internet. Se il server del tunnel viene compromesso, può essere rimosso in un singolo passaggio dal server di database. Ti consigliamo di rimuovere tutto il software e tutti gli utenti non essenziali dal server del tunnel e di monitorarlo attentamente con strumenti come un sistema di rilevamento delle intrusioni (IDS).

Il server del tunnel può essere costituito da un host Unix o Linux che sia:

Accessibile da internet tramite SSH.
Possa accedere al database.

Passaggio 2: crea una lista consentita di indirizzi IP

Il secondo passaggio per configurare un tunnel SSH per il tuo database consiste nell'autorizzare il traffico di rete a raggiungere il server del tunnel o l'host del database tramite SSH, solitamente sulla porta TCP 22.

Consenti il traffico di rete da tutti gli indirizzi IP per la regione in cui vengono create le risorse Datastream.

Passaggio 3: utilizza il tunnel SSH

Fornisci i dettagli del tunnel nella configurazione del profilo di connessione. Per ulteriori informazioni, vedi Creare un profilo di connessione.

Per autenticare la sessione del tunnel SSH, Datastream richiede la password dell'account del tunnel o una chiave privata univoca. Per utilizzare una chiave privata univoca, puoi utilizzare gli strumenti a riga di comando OpenSSH o OpenSSL per generare le chiavi.

Datastream memorizza la chiave privata in modo sicuro nell'ambito della configurazione del profilo di connessione di Datastream. Devi aggiungere la chiave pubblica manualmente al file ~/.ssh/authorized_keys dell'host bastione.

Generare chiavi private e pubbliche

Puoi generare chiavi SSH utilizzando il seguente metodo:

ssh-keygen: uno strumento a riga di comando OpenSSH per generare coppie di chiavi SSH.

Flag utili:
- -t: specifica il tipo di chiave da creare, ad esempio:
  
  ssh-keygen -t rsa
  
  ssh-keygen -t ed25519
- -b: specifica la lunghezza della chiave da creare, ad esempio:
  
  ssh-keygen -t rsa -b 2048
- -y: legge un file in formato OpenSSH privato e stampa una chiave pubblica OpenSSH nell'output standard.
- -f: specifica il nome del file della chiave, ad esempio:
  
  ssh-keygen -y [-f KEY_FILENAME]
Per ulteriori informazioni sui flag supportati, consulta la documentazione di OpenBSD.

Puoi generare una chiave PEM privata utilizzando il seguente metodo:

openssl genpkey: uno strumento a riga di comando OpenSSL per generare una chiave privata PEM.

Flag utili:
- algorithm: specifica l'algoritmo della chiave pubblica da utilizzare, ad esempio:
  
  openssl genpkey -algorithm RSA
- -out: specifica il nome del file a cui deve essere inviata la chiave, ad esempio:
  
  openssl genpkey -algorithm RSA -out PRIVATE_KEY_FILENAME.pem
  Per utilizzare la chiave generata da questo comando, devi generare una chiave OpenSSH pubblica utilizzando il seguente comando:
  ssh-keygen -y -f PRIVATE_KEY_FILENAME.pem > PUBLIC_KEY_FILENAME.pub.
  Puoi quindi aggiungere la chiave PUBLIC_KEY_FILENAME.pub al file ~/.ssh/authorized_keys.
Per ulteriori informazioni sui flag supportati, consulta la documentazione di OpenSSL.

Utilizzare la connettività privata

Se il database di origine è esterno a Google Cloud, la connettività privata consente a Datastream di comunicare con il database tramite VPN o Interconnect. Una volta creata una configurazione di connettività privata, una singola configurazione può gestire tutti i flussi di un progetto all'interno di una singola regione.

Puoi utilizzare due metodi per connetterti in privato: le interfacce Private Service Connect o il peering VPC. Quando utilizzi la connettività privata, il traffico sulla tua rete non passa attraverso la rete internet pubblica.

Interfacce Private Service Connect

Datastream ti consente di accedere privatamente a servizi o risorse dall'interno della tua rete VPC utilizzando le interfacce Private Service Connect. A tal fine, stabilisce una connessione a un collegamento di rete configurato nel progetto consumer. In questo modo, i consumatori possono utilizzare i propri indirizzi IP interni per accedere a risorse come i database di origine senza uscire dalle proprie reti VPC. Il traffico rimane interamente all'interno di Google Cloud.

A un livello generale, la creazione di una connettività privata utilizzando le interfacce Private Service Connect richiede:

Un collegamento di rete
Regole firewall che consentono il traffico dal collegamento di rete al database di origine

Per ulteriori informazioni su Private Service Connect, consulta la documentazione VPC.

Per informazioni su come configurare una connessione privata utilizzando le interfacce Private Service Connect in Datastream, consulta Interfacce Private Service Connect.

Peering VPC

Il peering VPC è una connessione tra la rete VPC e la rete privata di Datastream, che consente a Datastream di comunicare con le risorse interne utilizzando indirizzi IP interni. L'utilizzo della connettività privata stabilisce una connessione dedicata sulla rete Datastream, il che significa che nessun altro cliente può condividerla.

In linea generale, per stabilire la connettività privata del peering VPC sono necessari:

Un Virtual Private Cloud (VPC) esistente
Un intervallo IP disponibile con un blocco CIDR di /29

Se il progetto utilizza un VPC condiviso, devi anche attivare le API Datastream e Google Compute Engine, nonché concedere le autorizzazioni all'account di servizio di Datastream nel progetto host.

Scopri di più su come creare una configurazione di connettività privata.

Passaggi successivi

Scopri di più sulle interfacce di Private Service Connect.
Scopri di più sul peering VPC.
Scopri come creare una configurazione di connettività privata.