Esta página foi traduzida pela API Cloud Translation.

Opções de conectividade de rede
Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Para usar o Datastream e criar um fluxo do banco de dados de origem para o destino, é preciso estabelecer conectividade com o banco de dados de origem. Use as informações na tabela a seguir para decidir qual método funciona melhor para sua carga de trabalho específica.

Método de rede	Descrição	Informações importantes
Lista de permissões de IP	Funciona configurando o servidor de banco de dados de origem para permitir conexões de entrada dos endereços IP externos do Datastream. Para encontrar os endereços IP das suas regiões, consulte Regiões e listas de permissões de IP.	O banco de dados de origem é exposto a um endereço IP público. A conexão não é criptografada por padrão. O SSL precisa estar ativado no banco de dados de origem para criptografar a conexão. A configuração do firewall pode exigir assistência do departamento de TI.
Túnel SSH com encaminhamento	Estabelecer uma conexão criptografada em redes públicas entre o Datastream e a origem por meio de um túnel SSH encaminhado. Saiba mais sobre túneis SSH.	Largura de banda limitada Você precisa configurar e manter o Bastion Host.
Interfaces do Private Service Connect	Funciona criando uma configuração de conectividade privada. O Datastream usa essa configuração para se comunicar com a fonte de dados por uma rede particular. Essa comunicação acontece por meio de um anexo de rede configurado na rede VPC do cliente.	É necessário configurar um anexo de rede e ajustar as regras de firewall. Não é possível migrar as configurações de conectividade particulares atuais para interfaces do Private Service Connect. Não é possível mudar o anexo de rede depois de criar a conexão da interface do Private Service Connect. A lista de permissões de conexões de entrada dos endereços IP do Datastream está disponível apenas para um ID de projeto.
Peering de VPC	Funciona criando uma configuração de conectividade privada. O Datastream usa essa configuração para se comunicar com a fonte de dados por uma rede particular. Essa comunicação acontece por meio de uma conexão de peering de nuvem privada virtual (VPC).	Requer uma conexão de rede privada (VPN, Interconnect etc.) entre o banco de dados e Google Cloud.

Usar listas de permissões de IP

Para que o Datastream transfira dados de um banco de dados de origem para um destino, primeiro o Datastream precisa se conectar a esse banco de dados.

Uma maneira de configurar essa conectividade é por meio de listas de permissões de IP. A conectividade de IP público é mais adequada quando o banco de dados de origem é externo a Google Cloud e tem um endereço IPv4 e uma porta TCP com acesso externo.

Se o banco de dados de origem for externo a Google Cloud, adicione os endereços IP públicos do Datastream como uma regra de firewall de entrada na rede de origem. Em termos genéricos (suas configurações de rede específicas podem ser diferentes), faça o seguinte:

Abra as regras de firewall de rede da máquina de banco de dados de origem.
Crie uma regra de entrada.
Defina o endereço IP do banco de dados de origem como endereços IP do Datastream.
Defina o protocolo como TCP.
Defina a porta associada ao protocolo TCP. Os valores padrão são:
- 1521 para um banco de dados Oracle
- 3306para um banco de dados MySQL
- 5432para um banco de dados PostgreSQL
- 1433 para um banco de dados do SQL Server
Salve a regra de firewall e saia.

Usar um túnel SSH

As etapas a seguir descrevem como configurar a conectividade a um banco de dados de origem usando um túnel SSH encaminhado.

Etapa 1: escolher o host em que o túnel será encerrado

A primeira etapa para configurar o acesso ao túnel SSH para seu banco de dados é escolher o host que será usado para encerrar o túnel. O túnel pode ser encerrado no host do banco de dados ou em um host separado (o servidor do túnel).

Usar o servidor de banco de dados

O encerramento do túnel no banco de dados tem a vantagem da simplicidade. Como há um host a menos envolvido, não há máquinas adicionais e os custos associados. A desvantagem é que seu servidor de banco de dados pode estar em uma rede protegida que não tem acesso direto da Internet.

Usar um servidor de túnel

O encerramento do túnel em um servidor separado tem a vantagem de manter o servidor de banco de dados inacessível na Internet. Se o servidor do túnel for comprometido, será removido apenas uma etapa do servidor de banco de dados. Recomendamos remover todo o software e os usuários não essenciais do servidor do túnel e monitorá-lo de perto com ferramentas como um sistema de detecção de intrusões (IDS).

O servidor do túnel pode ser qualquer host Unix ou Linux que:

Pode ser acessado pela Internet usando SSH.
Pode acessar o banco de dados.

Etapa 2: criar uma lista de permissões de IP

A segunda etapa da configuração do acesso do túnel SSH ao seu banco de dados é permitir que o tráfego de rede atinja o servidor de túnel ou o host de banco de dados usando SSH, que geralmente está na porta TCP 22.

Permita o tráfego de rede de cada um dos endereços IP da região em que os recursos do Datastream são criados.

Etapa 3: usar o túnel SSH

Forneça os detalhes do túnel na configuração do perfil de conexão. Para mais informações, consulte Criar um perfil de conexão.

Para autenticar a sessão do túnel SSH, o Datastream requer a senha da conta de túnel ou uma chave privada exclusiva. Para usar uma chave privada exclusiva, use as ferramentas de linha de comando OpenSSH ou OpenSSL para gerar chaves.

O Datastream armazena a chave privada com segurança como parte da configuração do perfil de conexão. Você precisa adicionar a chave pública manualmente ao arquivo ~/.ssh/authorized_keys do Bastion Host.

Gerar chaves privadas e públicas

É possível gerar chaves SSH usando o seguinte método:

ssh-keygen: uma ferramenta de linha de comando do OpenSSH para gerar pares de chaves SSH.

Flags úteis
- -t: especifica o tipo de chave a ser criado, por exemplo:
  
  ssh-keygen -t rsa
  
  ssh-keygen -t ed25519
- -b: especifica o comprimento da chave a ser criada, por exemplo:
  
  ssh-keygen -t rsa -b 2048
- -y: lê um arquivo de formato OpenSSH privado e imprime uma chave pública OpenSSH na saída padrão.
- -f: especifica o nome do arquivo de chave, por exemplo:
  
  ssh-keygen -y [-f KEY_FILENAME]
Para mais informações sobre as flags aceitas, consulte a documentação do OpenBSD.

É possível gerar uma chave PEM privada usando o seguinte método:

openssl genpkey: uma ferramenta de linha de comando OpenSSL para gerar uma chave privada PEM.

Flags úteis
- algorithm: especifica o algoritmo de chave pública a ser usado, por exemplo:
  
  openssl genpkey -algorithm RSA
- -out: especifica o nome do arquivo para a saída da chave, por exemplo:
  
  openssl genpkey -algorithm RSA -out PRIVATE_KEY_FILENAME.pem
  Para usar a chave gerada por esse comando, você precisa gerar uma chave OpenSSH pública para ela usando o seguinte comando:
  ssh-keygen -y -f PRIVATE_KEY_FILENAME.pem > PUBLIC_KEY_FILENAME.pub
  Em seguida, adicione a chave PUBLIC_KEY_FILENAME.pub ao arquivo ~/.ssh/authorized_keys.
Para mais informações sobre as flags aceitas, consulte a documentação do OpenSSL.

Usar a conectividade particular

Se o banco de dados de origem for externo a Google Cloud, a conectividade particular permitirá que o Datastream se comunique com o banco de dados por meio de uma VPN ou do Interconnect. Depois que uma configuração de conectividade particular é criada, uma única configuração pode atender a todos os streams em um projeto dentro de uma única região.

É possível usar dois métodos para se conectar de forma privada: interfaces do Private Service Connect ou peering de VPC. Quando você usa a conectividade particular, o tráfego da sua rede não passa pela Internet pública.

Interfaces do Private Service Connect

O Datastream permite acessar serviços ou recursos de maneira particular na rede VPC usando interfaces do Private Service Connect. Para isso, ele estabelece uma conexão com um anexo de rede configurado no projeto de consumidor. Dessa forma, os consumidores podem usar os próprios endereços IP internos para acessar recursos, como bancos de dados de origem, sem sair das redes VPC. O tráfego permanece inteiramente dentro de Google Cloud.

Em geral, o estabelecimento da conectividade privada usando interfaces do Private Service Connect requer:

Um anexo de rede
Regras de firewall que permitem o tráfego do anexo de rede para o banco de dados de origem

Para mais informações sobre o Private Service Connect, consulte a documentação da VPC.

Para saber como configurar uma conexão particular usando interfaces do Private Service Connect no Datastream, consulte Interfaces do Private Service Connect.

Peering de VPC

O peering de VPC é uma conexão entre sua rede VPC e a rede privada do Datastream, permitindo que o Datastream se comunique com recursos internos usando endereços IP internos. O uso da conectividade particular estabelece uma conexão dedicada na rede do Datastream, ou seja, nenhum outro cliente pode compartilhá-la.

Em geral, o estabelecimento da conectividade particular de peering de VPC requer:

Uma nuvem privada virtual (VPC, na sigla em inglês) atual
Um intervalo de IP disponível com um bloco CIDR de /29

Caso seu projeto use uma VPC compartilhada, você também precisará ativar as APIs Datastream e Google Compute Engine, além de conceder permissões à conta de serviço do Datastream no projeto host.

Saiba mais sobre como criar uma configuração de conectividade privada.

A seguir

Saiba mais sobre as interfaces do Private Service Connect.
Saiba mais sobre o peering de VPC.
Saiba como criar uma configuração de conectividade particular.