Configurer des interfaces Private Service Connect

Datastream utilise des interfaces Private Service Connect pour vous permettre de répliquer des données de manière à ce que le trafic reste entièrement dansGoogle Cloud.

Une interface Private Service Connect est une ressource qui permet à un réseau VPC (Virtual Private Cloud) producteur d'établir des connexions avec un rattachement de réseau dans un réseau VPC consommateur et d'en recevoir. Les réseaux de producteurs et les réseaux consommateurs peuvent appartenir à différents projets et organisations.

Figure 1 : Les interfaces Private Service Connect permettent aux producteurs de services d'établir des connexions avec les clients de services.

Pour connaître la définition des termes clés, consultez la section suivante.

Pour en savoir plus sur Private Service Connect, consultez la documentation sur le cloud privé virtuel.

Termes clés

Cette section présente les termes clés et les concepts qui s'appliquent à Private Service Connect.

  • Producteur: entité, généralement un service ou une VM dans un réseau VPC, qui lance la connexion au réseau consommateur. Le producteur fournit le service: dans le contexte Datastream, il extrait et réplique les données vers une destination.

  • Consommateur: entité, généralement une VM sur un réseau VPC, qui reçoit la connexion du producteur. Lorsque le client accepte la connexion,Google Cloud attribue à l'interface Private Service Connect une adresse IP provenant d'un sous-réseau dans le réseau VPC du client qui est spécifié par le rattachement de réseau. La VM de l'interface Private Service Connect possède une deuxième interface réseau qui se connecte au réseau VPC du producteur.

  • Rattachement de réseau: ressource régionale qui permet à un réseau VPC producteur d'établir des connexions à un réseau VPC consommateur via une interface Private Service Connect. Dans le réseau VPC consommateur, le rattachement de réseau sert de point d'entrée désigné pour les connexions des interfaces Private Service Connect dans le réseau producteur. Lorsqu'une interface Private Service Connect est établie sur un rattachement de réseau, une adresse IP du sous-réseau du rattachement de réseau est attribuée à la VM du producteur. L'instance de machine virtuelle de l'interface Private Service Connect comporte au moins une interface réseau standard supplémentaire qui se connecte à un sous-réseau de producteur. Pour en savoir plus, consultez la page À propos des rattachements de réseau.

  • Projet producteur: projet appartenant à Google dans lequel les machines virtuelles (VM) exécutant Datastream sont hébergées. Pour accéder aux ressources du VPC du client, les VM Datastream utilisent l'adresse IP attribuée par l'interface réseau Private Service Connect à partir de son sous-réseau.

Conditions préalables à Private Service Connect

Avant de créer une configuration de connectivité privée à l'aide d'une interface Private Service Connect, vous devez suivre les étapes suivantes pour que Datastream puisse établir une connexion à votre projet:

  • Vous devez disposer d'un réseau VPC que vous pouvez connecter au réseau privé de Datastream. Pour en savoir plus sur la création d'un réseau VPC, consultez Créer et gérer des réseaux VPC.

  • Créez un rattachement de réseau dans votre projet VPC.

  • Vérifiez que Google Cloud et le pare-feu sur site autorisent le trafic depuis la plage d'adresses IP du rattachement de réseau vers la base de données source à partir de laquelle vous souhaitez diffuser des données.

Tarifs

Les entrées et sorties de données via Private Service Connect sont facturées. Pour en savoir plus, consultez les tarifs de Private Service Connect.

Rôles et autorisations requis

Pour obtenir les autorisations nécessaires pour créer une connexion réseau, demandez à votre administrateur de vous accorder les rôles IAM (Identity and Access Management) suivants sur votre projet:

Si votre association réseau se trouve dans un projet différent de celui de Datastream, vous devez accorder le rôle suivant au compte de service service-DATASTREAM-PROJECT-NUMBER@gcp-sa-datastream.iam.gserviceaccount.com:

  • Accès en lecture seule aux ressources réseau : Lecteur de réseau Compute (roles/compute.networkViewer)

    Accordez le rôle au projet dans lequel se trouve votre association réseau, et remplacez DATASTREAM-PROJECT-NUMBER par le numéro du projet dans lequel Datastream est déployé.

Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.

Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.

Pour en savoir plus sur les options de contrôle des accès dans Datastream, consultez la section Contrôle des accès avec IAM.

Configurer Private Service Connect

Pour autoriser Datastream à établir une connectivité sortante vers votre réseau à l'aide d'une interface Private Service Connect:

  1. Créez un rattachement de réseau dans votre projet.
  2. Créez une configuration de connectivité privée.

Créer un rattachement de réseau

Pour configurer Private Service Connect dans Datastream, vous devez d'abord créer un rattachement de réseau.

Console

  1. Dans la console Google Cloud , accédez à la page Pièces jointes réseau:

    Accéder aux rattachements de réseau

  2. Cliquez sur Créer un rattachement de réseau.

  3. Dans le champ Nom, saisissez le nom du rattachement de réseau.

  4. Dans la liste Réseau, sélectionnez un réseau VPC ou un réseau VPC partagé.

  5. Dans la liste Région, sélectionnez une région. Google Cloud Cette région doit être la même que celle utilisée pour le sous-réseau du réseau VPC associé au réseau privé Datastream. Pour en savoir plus, consultez la section Conditions préalables à Private Service Connect.

  6. Dans la liste Sous-réseau, sélectionnez une plage de sous-réseaux.

  7. Dans Préférences de connexion, sélectionnez Accepter les connexions pour les projets sélectionnés.

    Datastream ajoute automatiquement le projet producteur à la liste Projets acceptés lorsque vous créez la ressource de connectivité privée Datastream.

  8. N'ajoutez pas de projets acceptés ni de projets refusés.

  9. Cliquez sur Créer un rattachement de réseau.

gcloud

  1. Créez un ou plusieurs sous-réseaux. Exemple :

    gcloud compute networks subnets create subnet-1 --network=network-0 --range=10.10.1.0/24 --region=REGION

    L'association de réseau utilise ces sous-réseaux dans les étapes suivantes.

  2. Créez une ressource de rattachement réseau dans la même région que le projet Datastream, avec la propriété connection-preference définie sur ACCEPT_MANUAL:

    gcloud compute network-attachments create NAME
--region=REGION
--connection-preference=ACCEPT_MANUAL
--subnets=SUBNET

    Remplacez les éléments suivants :

    • NAME: nom de votre rattachement de réseau.
    • REGION: nom de la région. Google Cloud Cette région doit être identique à celle du réseau privé Datastream.
    • SUBNET : nom du sous-réseau

    Le résultat de cette commande est une URL d'attachement réseau au format suivant:

    projects/PROJECT/locations/REGION/network-attachments/NETWORK_ATTACHMENT_ID.

    Notez cette URL, car Datastream en a besoin pour la connectivité. Pour savoir comment créer une configuration de connectivité privée pour une interface Private Service Connect à l'aide de Google Cloud, consultez la section Gérer les configurations de connectivité privée.

Créer une configuration de connectivité privée

Une fois que vous avez créé un rattachement réseau dans votre Google Cloud projet, vous devez configurer votre configuration de connectivité privée à l'aide d'interfaces Private Service Connect. Lorsque vous créez la configuration, vous ajoutez le projet qui héberge l'interface Private Service Connect à la liste d'autorisation. Vous fournissez ensuite l'URL de l'attachement réseau à Datastream dans le cadre de la ressource Private Service Connect.

Pour en savoir plus, consultez la section Créer une configuration de connectivité privée.

Étape suivante