Esta página foi traduzida pela API Cloud Translation.

Conectividade privada

Visão geral

A conectividade privada é uma conexão entre sua rede de nuvem privada virtual (VPC) e a rede privada do Datastream, permitindo que o Datastream se comunique com recursos usando endereços IP internos. O uso da conectividade particular estabelece uma conexão dedicada na rede do Datastream, ou seja, nenhum outro cliente pode compartilhá-la.

É possível usar a conectividade privada para conectar o Datastream a qualquer origem. No entanto, somente as redes VPC com peering direto podem se comunicar.

O peering transitivo não é aceito. Se a rede com que o Datastream faz peering não for a mesma em que a origem está hospedada, será necessário usar um proxy reverso. Você vai precisar de um proxy reverso se a origem for o Cloud SQL e estiver hospedada em outra VPC ou fora da rede do Google.

Nesta página, você aprenderá a usar proxies para estabelecer conectividade privada entre o Datastream e o Cloud SQL ou entre o Datastream e as origens hospedadas em outra VPC ou fora da Rede do Google.

Por que você precisa de um proxy reverso para o Cloud SQL?

Ao configurar uma instância do Cloud SQL para MySQL ou do Cloud SQL para PostgreSQL para usar endereços IP particulares, você usa uma conexão de peering de VPC entre sua rede VPC e a rede VPC dos serviços do Google em que a instância do Cloud SQL reside.

Como não é possível fazer o peering da rede do Datastream diretamente com a rede de serviços particulares do Cloud SQL, e como o peering de VPC não é transitivo, é necessário ter um proxy reverso para o Cloud SQL para conectar o Datastream à instância do Cloud SQL.

O diagrama a seguir ilustra o uso de um proxy reverso para estabelecer uma conexão particular entre o Datastream e o Cloud SQL.

Diagrama de fluxo de usuários do Datastream

Por que você precisa de um proxy reverso para uma origem hospedada em outra VPC?

Se a rede VPC do Datastream tiver peering com sua rede VPC ("Network1") e sua origem puder ser acessada por outra rede VPC ("Network2"), não será possível usar apenas o peering de rede VPC apenas para se comunicar com a origem. Também é necessário um proxy reverso para conectar a conexão entre o Datastream e a origem.

O diagrama a seguir ilustra o uso de um proxy reverso para estabelecer uma conexão privada entre o Datastream e uma fonte hospedada fora da rede do Google.

Diagrama de fluxo de usuários do Datastream

Configurar um proxy reverso

Identifique a rede VPC que o Datastream usa para se conectar à origem.
Nessa rede VPC, crie uma nova máquina virtual (VM) usando a imagem básica do Debian ou do Ubuntu. Esta VM hospedará o proxy reverso.
Verifique se a sub-rede está na mesma região que o Datastream e se o proxy reverso encaminha o tráfego para a origem (e não para ela).
Conecte-se à VM proxy usando SSH. Para mais informações sobre conexões SSH, consulte Sobre conexões SSH.
Confirme se a VM proxy pode se comunicar com a origem executando um comando ping ou telnet da VM para o endereço IP interno e a porta da origem.

Na VM do proxy, crie um script de inicialização usando o código a seguir. Para mais informações sobre scripts de inicialização, consulte Como usar scripts de inicialização em VMs do Linux.

#! /bin/bash

export DB_ADDR=[IP]
export DB_PORT=[PORT]

export ETH_NAME=$(ip -o link show | awk -F': ' '{print $2}' | grep -v lo)

export LOCAL_IP_ADDR=$(ip -4 addr show $ETH_NAME | grep -Po 'inet \K[\d.]+')

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -p tcp -m tcp --dport $DB_PORT -j DNAT \
--to-destination $DB_ADDR:$DB_PORT
iptables -t nat -A POSTROUTING -j SNAT --to-source $LOCAL_IP_ADDR

O script é executado toda vez que a VM é reinicializada.

Crie uma configuração de conectividade privada no Datastream para estabelecer o peering de VPC entre sua VPC e a VPC do Datastream.
Verifique se as regras de firewall permitem tráfego dos intervalos de endereços IP selecionados para conectividade particular.
Crie um perfil de conexão no Datastream.

Importante:para os detalhes da conexão, insira o endereço IP interno e a porta da VM que hospeda o proxy.
Observação:se você estiver usando o ProxySQL como proxy entre uma origem do MySQL e seu destino no Datastream, defina a flag fast_forward como 1 na tabela mysql_users. Para mais informações, consulte a documentação do ProxySQL.

Práticas recomendadas para configurar um proxy reverso

Esta seção descreve as práticas recomendadas para usar ao configurar o gateway e as VMs de proxy.

Tipo de máquina

Para determinar qual tipo de máquina funciona melhor para você, comece com uma configuração simples e para medir a carga e a capacidade de processamento. Se o uso for baixo e os picos de throughput forem gerenciados sem problemas, considere reduzir o número de CPUs e a quantidade de memória. Por exemplo, se a taxa de transferência for de até 2 GBps, selecione um tipo de máquina n1-standard-1. Se a capacidade for superior a 2 GBps, selecione um tipo de máquina e2-standard-2. O tipo e2-standard-2 é uma opção configuração para aumentar a eficiência.

Tipo de arquitetura

Instâncias não altamente disponíveis (não alta disponibilidade)

Implante uma única VM com o sistema operacional de sua escolha. Para aumentar a resiliência, use um grupo gerenciado de instâncias (MIG) com uma única VM. Se a VM falhar, um MIG repara automaticamente a instância com falha ao recriá-la. Para mais mais informações, consulte Grupos de instâncias.

Instâncias altamente disponíveis (HA)

configurar um MIG com duas VMs, cada uma em uma região diferente (se aplicável), ou em uma em uma zona diferente. Para criar o MIG, você precisa ter um modelo de instância que o grupo pode usar. O MIG é criado por trás de uma carga interna da Camada 4 balanceador, usando um próximo salto interno o endereço IP público.

A seguir

Saiba como criar uma configuração de conectividade particular.
Saiba como acessar a configuração de conectividade privada.
Saiba como excluir uma configuração de conectividade particular.