本頁面由 Cloud Translation API 翻譯而成。

網路連線選項

如要使用 Datastream 建立從來源資料庫到目的地的資料流，您必須建立與來源資料庫的連線。請參考下表資訊，判斷哪種方法最適合您的特定工作負載。

網路方法	說明	注意事項
IP 許可清單	只要將來源資料庫伺服器設為接受 Datastream 外部 IP 位址傳出的連入連線，即可使用這項功能。如要找出您的區域 IP 位址，請參閱「IP 許可清單和區域」。	來源資料庫會公開至公開 IP 位址。根據預設，這類連線不會經過加密。您必須在來源資料庫中啟用安全資料傳輸層 (SSL)，才能將連線加密。如要設定防火牆，您可能需要 IT 部門的協助。
轉送 SSH 通道	透過轉送 SSH 通道，在公用網路上建立 Datastream 與來源之間的加密連線。進一步瞭解安全殼層通道。	頻寬有限您必須設定及維護防禦主機。
Private Service Connect 介面	運作方式是建立私人連線設定。Datastream 則會運用這項設定透過私人網路與資料來源進行通訊。這類通訊會透過在客戶虛擬私有雲網路中設定的網路連結發生。	需要設定網路附件並調整防火牆規則。您無法將現有的私人連線設定遷移至 Private Service Connect 介面。建立 Private Service Connect 介面連線後，就無法變更網路連結。您只能根據專案 ID 設定 Datastream IP 位址的許可清單。
虛擬私有雲對等互連	運作方式是建立私人連線設定。Datastream 則會運用這項設定透過私人網路與資料來源進行通訊。這類通訊會透過虛擬私有雲 (VPC) 對等互連連線進行。	資料庫和 Google Cloud之間必須有私人網路連線 (VPN、Interconnect 等)。

使用 IP 許可清單

如要讓 Datastream 將資料從來源資料庫傳輸至目的地，Datastream 必須先連線至這個資料庫。

設定這類連線的方法之一，就是使用 IP 許可清單。當來源資料庫位於 Google Cloud 之外，且具備可從外部存取的 IPv4 位址和 TCP 通訊埠時，公開 IP 連線最適合用於此情況。

如果來源資料庫位於 Google Cloud之外，請在來源網路上將 Datastream 的公開 IP 位址設為內送防火牆規則。一般來說 (具體的網路設定可能有所不同)，請執行下列操作：

開啟來源資料庫機器的網路防火牆規則。
建立內送規則。
將來源資料庫的 IP 位址設為 Datastream 的 IP 位址。
將通訊協定設為 TCP。
設定與 TCP 通訊協定相關聯的通訊埠。預設值如下：
- 1521 (適用於 Oracle 資料庫)
- 3306 (適用於 MySQL 資料庫)
- 5432適用於 PostgreSQL 資料庫
- 1433 (適用於 SQL Server 資料庫)
儲存防火牆規則，然後退出。

使用 SSH 通道

下列步驟說明如何使用轉送安全殼層通道，設定與來源資料庫的連線。

步驟 1：選擇終止通道的主機

設定資料庫的 SSH 通道存取權的第一步，就是選擇用來終止通道的主機。隧道可以終止於資料庫主機本身，也可以終止於個別主機 (隧道伺服器)。

使用資料庫伺服器

在資料庫上終止隧道的好處是簡單易懂。由於主機減少一個，因此不會有額外的機器和相關費用。缺點是資料庫伺服器可能位於受保護的網路中，無法從網際網路直接存取。

使用隧道伺服器

在不同的伺服器上終止隧道的好處是，可確保資料庫伺服器不會受到來自網際網路的存取。如果通道伺服器遭到入侵，則會從資料庫伺服器移除一個步驟。建議您從隧道伺服器中移除所有非必要的軟體和使用者，並使用入侵偵測系統 (IDS) 等工具密切監控隧道伺服器。

隧道伺服器可以是任何 Unix 或 Linux 主機，且必須符合以下條件：

可透過網路使用 SSH 存取。
可存取資料庫。

步驟 2：建立 IP 許可清單

為資料庫設定 SSH 通道存取權的第二個步驟，就是允許網路流量透過 SSH 連線至通道伺服器或資料庫主機，通常是 TCP 通訊埠 22。

允許來自各個區域 IP 位址的網路流量，這些區域是建立 Datastream 資源的地方。

步驟 3：使用 SSH 通道

在連線設定檔設定中提供隧道詳細資料。詳情請參閱「建立連線設定檔」。

如要驗證 SSH 通道工作階段，DataStream 需要通道帳戶的密碼或專屬私密金鑰。如要使用專屬的私密金鑰，您可以使用 OpenSSH 或 OpenSSL 指令列工具產生金鑰。

Datastream 會將私密金鑰安全地儲存在 Datastream 連線設定檔中。您必須手動將公開金鑰新增至防禦主機的 ~/.ssh/authorized_keys 檔案。

產生私密金鑰和公開金鑰

您可以使用下列方法產生安全殼層金鑰：

ssh-keygen：OpenSSH 指令列工具，可用來產生安全殼層金鑰組。

實用旗標：
- -t：指定要建立的鍵類型，例如：
  
  ssh-keygen -t rsa
  
  ssh-keygen -t ed25519
- -b：指定要建立的金鑰長度，例如：
  
  ssh-keygen -t rsa -b 2048
- -y：讀取私密 OpenSSH 格式檔案，並將 OpenSSH 公開金鑰列印到標準輸出內容。
- -f：指定金鑰檔案的檔案名稱，例如：
  
  ssh-keygen -y [-f KEY_FILENAME]
如要進一步瞭解支援的標記，請參閱 OpenBSD 說明文件。

您可以使用下列方法產生私密 PEM 金鑰：

openssl genpkey：OpenSSL 指令列工具，用於產生 PEM 私密金鑰。

實用旗標：
- algorithm：指定要使用的公開金鑰演算法，例如：
  
  openssl genpkey -algorithm RSA
- -out：指定要輸出金鑰的檔案名稱，例如：
  
  openssl genpkey -algorithm RSA -out PRIVATE_KEY_FILENAME.pem
  如要使用此指令產生的金鑰，您必須使用下列指令產生公開的 OpenSSH 金鑰：
  ssh-keygen -y -f PRIVATE_KEY_FILENAME.pem > PUBLIC_KEY_FILENAME.pub。
  接著，您可以將 PUBLIC_KEY_FILENAME.pub 鍵加入 ~/.ssh/authorized_keys 檔案。
如要進一步瞭解支援的標記，請參閱 OpenSSL 說明文件。

使用私人連線

如果來源資料庫位於 Google Cloud外，私人連線可讓 Datastream 透過 VPN 或 Interconnect 與資料庫通訊。建立私人連線設定後，單一設定即可處理單一區域內專案的所有串流。

您可以使用兩種私人連線方法：Private Service Connect 介面或 VPC 對等互連。使用私人連線時，網路上的流量不會經過公開網際網路。

Private Service Connect 介面

您可以使用 Private Service Connect 介面，透過私人連線存取虛擬私有雲網路中的服務或資源。方法是建立與消費者專案中設定的網路附件連線。這樣一來，消費者就能使用內部 IP 位址存取資源 (例如來源資料庫)，而無須離開 VPC 網路。流量會完全保留在 Google Cloud中。

整體來說，使用 Private Service Connect 介面建立私人連線需要：

網路連結
防火牆規則允許從網路連結傳送至來源資料庫的流量

如要進一步瞭解 Private Service Connect，請參閱 VPC 說明文件。

如要瞭解如何使用 Datastream 中的 Private Service Connect 介面設定私人連線，請參閱「Private Service Connect 介面」。

虛擬私有雲對等互連

虛擬私有雲對等互連是虛擬私有雲網路與 Datastream 私人網路之間的連線，可讓 Datastream 使用內部 IP 位址與內部資源通訊。使用私人連線會在 Datastream 網路中建立專屬連線，這代表其他客戶都無法共用這個連線。

大致來說，建立虛擬私有雲對等互連私人連線需要：

現有的虛擬私有雲 (VPC)
可用的 IP 範圍，CIDR 區塊為 /29

如果專案使用共用虛擬私有雲，您也必須啟用 Datastream 和 Google Compute Engine API，並授予主專案中的 Datastream 服務帳戶權限。

進一步瞭解如何建立私人連線設定。

後續步驟

進一步瞭解 Private Service Connect 介面。
進一步瞭解虛擬私有雲對等互連。
瞭解如何建立私人連線設定。