Connectivité réseau publique

Cette page explique comment Integration Connectors peut se connecter à vos applications backend accessibles publiquement.

Il existe deux façons de se connecter à votre application backend publique :

En se connectant directement à votre application backend publique
En se connectant à votre application backend publique par l'intermédiaire d'un pare-feu

Se connecter directement à votre application backend publique

Si vous pouvez vous connecter publiquement à votre application backend, vous pouvez configurer votre connexion pour qu'elle utilise le point de terminaison public en spécifiant celui-ci dans le champ Hostname. Vos connexions auront un accès direct à votre application backend.

Se connecter à votre application backend publique par l'intermédiaire d'un pare-feu

Si vous souhaitez limiter l'accès à vos points de terminaison publics à l'aide d'un pare-feu, vous pouvez configurer Integration Connectors de sorte qu'il utilise un ensemble d'adresses IP statiques pour le trafic provenant des connexions. Une fois la configuration terminée, tous les appels d'une connexion proviennent d'un ensemble d'adresses IP statiques que vous pouvez ajouter à la liste d'autorisation de votre pare-feu. Pour autoriser une connexion par l'intermédiaire d'un pare-feu, voici les grandes étapes à suivre :

Créez un pare-feu et acheminez votre trafic de sortie à l'aide de ce pare-feu.
Attribuez une adresse IP statique à votre connexion.
Ajoutez l'adresse IP statique attribuée à la liste d'autorisation de votre pare-feu.

Cette page ne décrit pas comment créer et configurer un pare-feu. Elle explique uniquement comment attribuer des adresses IP statiques à vos connexions.

Par défaut, Integration Connectors alloue automatiquement des adresses IP. Toutefois, vous pouvez configurer Integration Connectors pour qu'il génère des adresses IP statiques au lieu d'adresses IP automatiques. Integration Connectors attribue les adresses IP statiques au niveau de la région. Ainsi, les adresses IP statiques de la région us-east1 seront différentes de celles de la région us-west2.

Pour attribuer des adresses IP statiques à votre connexion, procédez comme suit :

Obtenez la région de la connexion pour laquelle vous souhaitez allouer l'adresse IP statique. Vous pouvez voir la région de la connexion dans la colonne Location de la page "Connexions".
Accéder à la page "Connexions"
In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

Remarque : Même si cette étape indique d'ouvrir Cloud Shell, vous pouvez exécuter les commandes sur votre terminal habituel, car vous allez appeler les API publiques d'Integration Connectors.

Configurez Integration Connectors de sorte qu'il attribue une adresse IP statique pour la région obtenue à l'étape 1. Exécutez la commande suivante dans Cloud Shell :

curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{"networkConfig": {"egressMode": "static_ip"}}' \
https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/regionalSettings?updateMask="networkConfig"

Définissez LOCATION sur la région que vous avez obtenue à l'étape 1.

L'exécution de cette commande renvoie une réponse semblable à la suivante :

{
"name": "projects/test-01/locations/us-central1/operations/operation-1696840994443-6074494b6d138-8215226d-516faaf8",
"metadata": {
  "@type": "type.googleapis.com/google.cloud.connectors.v1.OperationMetadata",
  "createTime": "2023-10-09T08:43:14.467058513Z",
  "target": "projects/test-01/locations/us-central1/regionalSettings",
  "verb": "update",
  "requestedCancellation": false,
  "apiVersion": "v1"
 },
"done": false
}

Cette commande renvoie un ID d'opération et lance une opération de longue durée (LRO, Long-running operation), dont l'exécution peut prendre un certain temps. Attendez qu'elle soit terminée. Vous pouvez suivre la progression de l'opération à l'aide de la commande suivante :

curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID

Si l'allocation d'adresses IP statiques aboutit, vous recevez une réponse semblable à la suivante :

...
...
"response": {
  "@type": "type.googleapis.com/google.cloud.connectors.v1.RegionalSettings",
  "name": "projects/test-01/locations/us-central1/regionalSettings",
  "networkConfig": {
   "egressMode": "STATIC_IP",
    "egressIps": [
      "35.193.227.203",
      "34.133.63.9",
      "35.223.253.58",
      "34.170.27.253"
    ]
  }
}

Dans cet exemple de réponse, quatre adresses IP statiques sont allouées à la région us-central1, et l'egressMode de la région est défini sur STATIC_IP.

Ajoutez les adresses IP statiques (obtenues à l'étape 4) à la liste d'autorisation dans vos règles de pare-feu.

Obtenir les adresses IP statiques d'une région

Si vous souhaitez obtenir les adresses IP statiques allouées à une région (un emplacement), exécutez la commande suivante :

curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/regionalSettings

L'exécution de cette commande renvoie une réponse semblable à la suivante :

  "response": {
    "@type": "type.googleapis.com/google.cloud.connectors.v1.RegionalSettings",
    "name": "projects/test-01/locations/us-central1/regionalSettings",
    "networkConfig": {
     "egressMode": "STATIC_IP",
      "egressIps": [
        "35.193.227.203",
        "34.133.63.9",
        "35.223.253.58",
        "34.170.27.253"
      ]
    }
  }

Attribuer des adresses IP automatiques à une région

Si vous souhaitez supprimer la configuration d'adresses IP statiques pour une région et attribuer automatiquement les adresses IP, vous devez exécuter la commande suivante dans votre terminal :

curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    -d '{"networkConfig": {"egressMode": "auto_ip"}}' \
    https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/regionalSettings?updateMask="networkConfig"

Comme la commande précédente permettant de configurer des adresses IP statiques, cette commande renvoie également un ID d'opération et lance une LRO, dont l'exécution peut prendre un certain temps. Attendez qu'elle soit terminée.

Remarques

Tenez compte des points suivants lorsque vous allouez des adresses IP statiques pour une région :

L'ensemble réservé d'adresses IP statiques est différent pour chaque région d'un projet.
Quand vous modifiez le mode de sortie d'une région pour remplacer STATIC_IP par AUTO_IP, l'ensemble d'adresses IP statiques d'origine n'est pas conservé. Par conséquent, lorsque vous modifiez à nouveau le mode de sortie pour remplacer AUTO_IP par STATIC_IP, un nouvel ensemble d'adresses IP statiques est alloué.
Lorsque vous passez du mode de sortie AUTO_IP à STATIC_IP ou inversement, vous pouvez vous attendre à un temps d'arrêt de quelques secondes.