Descripción general
La conectividad privada es una conexión entre tu red de nube privada virtual (VPC) y la red privada de Datastream, lo que le permite comunicarse con los recursos mediante direcciones IP internas. Usar la conectividad privada establece una conexión dedicada en la red de Datastream, lo que significa que ningún otro cliente puede compartirla.
Puedes usar la conectividad privada para conectar Datastream a cualquier fuente. Sin embargo, solo las redes de VPC con intercambio de tráfico directo pueden comunicarse entre sí.
No se admite el intercambio de tráfico transitivo. Si la red con la que Datastream intercambia el tráfico no es la que aloja tu fuente, se requiere un proxy inverso. Necesitas un proxy inverso si tu fuente es Cloud SQL y si está alojada en otra VPC o fuera de la red de Google.
En esta página, aprenderás a usar proxies para establecer conectividad privada entre Datastream y Cloud SQL, o entre Datastream y las fuentes alojadas en otra VPC o fuera de la red de Google.
¿Por qué necesitas un proxy inverso para Cloud SQL?
Cuando configuras una instancia de Cloud SQL para MySQL o Cloud SQL para PostgreSQL para que use direcciones IP privadas, debes usar una conexión de intercambio de tráfico de VPC entre tu red de VPC y la red de VPC de los servicios subyacentes de Google en los que reside tu instancia de Cloud SQL.
Debido a que la red de Datastream no puede intercambiar tráfico directamente con la red de servicios privados de Cloud SQL y, como el intercambio de tráfico entre VPC no es transitivo, se requiere un proxy inverso para Cloud SQL para conectar la conexión de Datastream a tu instancia de Cloud SQL.
En el siguiente diagrama, se ilustra el uso de un proxy inverso para establecer una conexión privada entre Datastream y Cloud SQL.
¿Por qué necesitas un proxy inverso para una fuente alojada en otra VPC?
Si la red de VPC de Datastream intercambia tráfico con tu red de VPC ("Network1") y se puede acceder al origen desde otra red de VPC ("Network2"), Datastream solo podrá usar el intercambio de tráfico entre redes de VPC para comunicarse con el origen. También se necesita un proxy inverso para establecer la conexión entre Datastream y la fuente.
En el siguiente diagrama, se muestra el uso de un proxy inverso para establecer una conexión privada entre Datastream y una fuente alojada fuera de la red de Google.
Configura un proxy inverso
- Identifica la red de VPC a través de la cual Datastream se conecta a la fuente.
- En esta red de VPC, crea una nueva máquina virtual (VM) con la imagen básica de Debian o Ubuntu. Esta VM alojará el proxy inverso.
- Verifica que la subred esté en la misma región que Datastream y que el proxy inverso reenvíe el tráfico al origen (y no desde él).
- Conéctate a la VM del proxy mediante SSH. Para obtener información sobre las conexiones SSH, consulta Acerca de las conexiones SSH.
- Para confirmar que tu VM de proxy puede comunicarse con la fuente, ejecuta un comando
pingotelnetdesde la VM a la dirección IP interna y el puerto de la fuente. En la VM del proxy, crea una secuencia de comandos de inicio con el siguiente código. Para obtener más información sobre las secuencias de comandos de inicio, consulta Usa secuencias de comandos de inicio en las VMs de Linux.
#! /bin/bash export DB_ADDR=[IP] export DB_PORT=[PORT] export ETH_NAME=$(ip -o link show | awk -F': ' '{print $2}' | grep -v lo) export LOCAL_IP_ADDR=$(ip -4 addr show $ETH_NAME | grep -Po 'inet \K[\d.]+') echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A PREROUTING -p tcp -m tcp --dport $DB_PORT -j DNAT \ --to-destination $DB_ADDR:$DB_PORT iptables -t nat -A POSTROUTING -j SNAT --to-source $LOCAL_IP_ADDR
La secuencia de comandos se ejecuta cada vez que se reinicia la VM.
Crea una configuración de conectividad privada en Datastream para establecer el intercambio de tráfico de VPC entre tu VPC y la VPC de Datastream.
Verifica que las reglas de firewall permitan el tráfico de los rangos de direcciones IP seleccionados para la conectividad privada.
Crea un perfil de conexión en Datastream.
Prácticas recomendadas para configurar un proxy inverso
En esta sección, se describen las prácticas recomendadas que debes usar cuando configures tu puerta de enlace y las VMs de proxy.
Tipo de máquina
Para determinar qué tipo de máquina funciona mejor para ti, comienza con una configuración sencilla y medir la carga y la capacidad de procesamiento. Si el uso es bajo y los picos de rendimiento se manejan sin problemas, considera reducir la cantidad de CPUs y la cantidad de memoria. Por ejemplo, si tu capacidad de procesamiento es de hasta 2 GBps, selecciona un tipo de máquina n1-standard-1. Si la capacidad de procesamiento es superior a 2 GBps, y selecciona un tipo de máquina e2-standard-2. El tipo e2-standard-2 es una configuración rentable para mejorar la eficiencia.
Tipo de arquitectura
Instancias sin alta disponibilidad (sin alta disponibilidad)
Implementa una sola VM con el sistema operativo que quieras. Para mayor resiliencia, puedes usar un grupo de instancias administrado (MIG) con una sola VM. Si tu VM falla, un MIG repara automáticamente la instancia con errores cuando vuelve a crearla. Para ver más consulta Grupos de instancias.
Instancias con alta disponibilidad (HA)
Configura un MIG con dos VMs, cada una en una región diferente (si corresponde) o en una de una zona diferente. Para crear el MIG, debes tener una plantilla de instancias que el grupo puede usar. El MIG se crea detrás de una carga interna de capa 4 de red, con un próximo salto interno dirección IP pública.
¿Qué sigue?
- Obtén más información sobre cómo crear una configuración de conectividad privada.
- Obtén más información para ver tu configuración de conectividad privada.
- Descubre cómo borrar una configuración de conectividad privada.