Configurar interfaces do Private Service Connect

O Datastream usa interfaces do Private Service Connect para permitir que você replique dados de uma maneira que mantenha o tráfego totalmente dentro do Google Cloud.

A interface do Private Service Connect é um recurso que permite que uma rede de nuvem privada virtual (VPC, na sigla em inglês) do produtor inicie e receba conexões de um anexo de rede em uma rede VPC do consumidor. As redes de produtores e consumidores podem estar em diferentes projetos e organizações.

Figura 1. As interfaces do Private Service Connect permitem que os produtores de serviços iniciem conexões com consumidores de serviço.

Para ver as definições dos principais termos, consulte a seção a seguir.

Para mais informações sobre o Private Service Connect, consulte a documentação da nuvem privada virtual.

Termos-chave

Esta seção apresenta uma visão geral dos principais termos e conceitos que se aplicam ao Private Service Connect.

  • Produtor: uma entidade, normalmente um serviço ou uma VM em uma rede VPC, que inicia a conexão com a rede do consumidor. O produtor entrega o serviço: no contexto do Datastream, ele busca e replica dados para um destino.

  • Consumidor: uma entidade, normalmente uma VM em uma rede VPC, que recebe a conexão do produtor. Quando o consumidor aceita a conexão, Google Cloud alocará à interface do Private Service Connect um endereço IP de uma sub-rede na rede VPC do consumidor especificada pelo anexo de rede. A VM da interface do Private Service Connect tem uma segunda interface de rede que se conecta à rede VPC do produtor.

  • Anexo de rede: um recurso regional que permite que uma rede VPC do produtor inicie conexões com uma rede VPC do consumidor por meio de uma interface do Private Service Connect. Na rede VPC do consumidor, o anexo de rede funciona como um ponto de entrada designado para conexões de interfaces do Private Service Connect na rede do produtor. Quando uma interface do Private Service Connect é estabelecida em um anexo de rede, a VM do produtor recebe um IP da sub-rede do anexo de rede. A instância de máquina virtual da interface do Private Service Connect tem pelo menos mais uma interface de rede normal que se conecta a uma sub-rede do produtor. Para mais informações, consulte Sobre anexos de rede.

  • Projeto do produtor: um projeto do Google em que as máquinas virtuais (VMs) que executam o Datastream são hospedadas. Para acessar recursos na VPC do cliente, as VMs do Datastream usam o endereço IP que a interface de rede do Private Service Connect atribui à sub-rede.

Pré-requisitos do Private Service Connect

Antes de criar uma configuração de conectividade particular usando uma interface do Private Service Connect, siga as seguintes etapas para que o Datastream possa estabelecer uma conexão com seu projeto:

  • Ter uma rede VPC que possa ser conectada à rede privada do Datastream. Para mais informações sobre como criar uma rede VPC, consulte Criar e gerenciar redes VPC.

  • Crie um anexo de rede no projeto VPC.

  • Verifique se Google Cloud e o firewall local permitem o tráfego do intervalo de endereços IP do anexo de rede para o banco de dados de origem do qual você quer transmitir dados.

Preços

A entrada e a saída de dados pelo Private Service Connect são cobradas. Para mais informações, consulte os Preços do Private Service Connect.

Papéis e permissões necessárias

Para receber as permissões necessárias para criar um anexo de rede, peça ao administrador para conceder a você os seguintes papéis de gerenciamento de identidade e acesso (IAM) no seu projeto:

Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.

Também é possível receber as permissões necessárias com papéis personalizados ou outros papéis predefinidos.

Para mais informações sobre as opções de controle de acesso no Datastream, consulte Controle de acesso com o IAM.

Configure o Private Service Connect

Para permitir que o Datastream estabeleça a conectividade de saída para sua rede usando uma interface do Private Service Connect:

  1. Crie um anexo de rede no projeto.
  2. Crie uma configuração de conectividade particular.

Criar um anexo de rede

Para configurar o Private Service Connect no Datastream, primeiro é necessário criar um anexo de rede.

Console

  1. No Google Cloud console, acesse a página Anexos de rede:

    Acessar "Anexos de rede"

  2. Clique em Criar anexo de rede.

  3. No campo Nome, insira um nome para seu anexo de rede.

  4. Na lista Rede, selecione uma rede VPC ou uma rede VPC compartilhada.

  5. Na lista Região, selecione uma Google Cloud região. Essa região precisa ser a mesma usada para a sub-rede da rede VPC pareada com a rede privada do Datastream. Para mais informações, consulte Pré-requisitos do Private Service Connect.

  6. Na lista Sub-rede, selecione um intervalo de sub-rede.

  7. Em Preferência de conexão, selecione Aceitar conexões para projetos selecionados.

    O Datastream adiciona automaticamente o projeto do produtor à lista de Projetos aceitos quando você cria o recurso de conectividade privada do Datastream.

  8. Não adicione projetos aceitos ou projetos rejeitados.

  9. Clique em Criar anexo de rede.

gcloud

  1. Crie uma ou mais sub-redes. Exemplo:

    gcloud compute networks subnets create subnet-1 --network=network-0 --range=10.10.1.0/24 --region=REGION

    A vinculação de rede usa essas subredes nas etapas seguintes.

  2. Crie um recurso de anexo de rede na mesma região do projeto do Datastream, com a propriedade connection-preference definida como ACCEPT_MANUAL:

    gcloud compute network-attachments create NAME
--region=REGION
--connection-preference=ACCEPT_MANUAL
--subnets=SUBNET

    Substitua:

    • NAME: o nome do anexo de rede.
    • REGION: o nome da Google Cloud região. Essa região precisa ser igual à rede privada do Datastream.
    • SUBNET: o nome da sub-rede.

    A saída desse comando é um URL de anexo de rede com o seguinte formato:

    projects/PROJECT/locations/REGION/network-attachments/NETWORK_ATTACHMENT_ID

    Anote esse URL, porque o Datastream precisa dele para conectividade. Para saber como criar uma configuração de conectividade particular de interface do Private Service Connect usando Google Cloud, consulte Gerenciar configurações de conectividade particular.

Criar uma configuração de conectividade privada

Depois de criar um anexo de rede no projeto Google Cloud , é necessário configurar a conectividade particular usando as interfaces do Private Service Connect. Ao criar a configuração, você adiciona à lista de permissões o projeto que hospeda a interface do Private Service Connect. Em seguida, forneça o URL do anexo de rede ao Datastream como parte do recurso do Private Service Connect.

Para mais informações, consulte Criar uma configuração de conectividade particular.