Connectivité privée pour votre centre de données sur site ou d'autres fournisseurs de services cloud

Cette page explique comment configurer la connectivité privée depuis Integration Connectors vers votre service de backend, tel que MySQL, Postgres et SQL Server, hébergé dans votre centre de données sur site ou chez d'autres fournisseurs de services cloud.

L'image suivante représente la configuration de la connectivité réseau privée depuis Integration Connectors vers votre service de backend hébergé sur votre réseau sur site.

Sur cette page, nous partons du principe que vous connaissez bien les éléments suivants :

• Rattachements de point de terminaison
• Zones gérées
• Private Service Connect (PSC)
• Équilibreur de charge Google Cloud

Remarques

Lorsque vous créez un rattachement de service PSC, tenez compte des points clés suivants :

• En tant que producteur de services, vous devez configurer un rattachement de service PSC qu'Integration Connectors peut utiliser pour consommer le service. Une fois le rattachement de service prêt, vous pouvez configurer la connexion pour qu'elle utilise le rattachement de service à l'aide d'un rattachement de point de terminaison.
• Le rattachement de service PSC et l'équilibreur de charge doivent se trouver sur des sous-réseaux différents dans le même VPC. Plus précisément, le rattachement de service doit se trouver sur un sous-réseau NAT.
• Le logiciel s'exécutant sur vos VM de backend doit répondre à la fois au trafic à équilibrage de charge et aux tests de vérification de l'état envoyés à l'adresse IP de chaque règle de transfert (le logiciel doit écouter sur 0.0.0.0:<port> plutôt que sur une adresse IP spécifique attribuée à une interface réseau). Pour en savoir plus, consultez Vérification d'état.
• Configurez les règles de pare-feu pour faciliter le flux de trafic.

  Règles d'entrée

  • Le trafic provenant du sous-réseau du rattachement de service PSC doit atteindre le sous-réseau de l'équilibreur de charge interne (ILB, Internal Load Balancer).
  • Sur ce sous-réseau, l'ILB doit pouvoir envoyer du trafic à votre système backend.
  • Le test de vérification de l'état doit pouvoir accéder à votre système backend. Les tests de vérification de l'état Google Cloud ont une plage d'adresses IP fixe (35.191.0.0/16, 130.211.0.0/22). Ces adresses IP peuvent donc être autorisées à envoyer du trafic vers votre serveur backend.

  Règles de sortie

  Le trafic de sortie est activé par défaut dans un projet Google Cloud, sauf si des règles de refus spécifiques sont configurées.

• Tous vos composants Google Cloud, tels que le rattachement de service PSC et l'équilibreur de charge, doivent se trouver dans la même région.

• Votre système backend ne doit pas être ouvert au réseau public, car cela peut poser un problème de sécurité. Toutefois, assurez-vous qu'il accepte le trafic dans le scénario suivant :

  Équilibreurs de charge basés sur un proxy/HTTP(S) (ILB proxy L4, ILB L7) : toutes les nouvelles requêtes proviennent de l'équilibreur de charge. Par conséquent, votre backend doit accepter les requêtes provenant du sous-réseau proxy de votre réseau VPC. Pour en savoir plus, consultez Sous-réseaux proxy réservés aux équilibreurs de charge basés sur Envoy.

Configurer la connectivité privée

Pour configurer la connectivité privée, procédez comme suit :

1. Créez un rattachement de service PSC.
2. Créez un rattachement de point de terminaison pour utiliser le rattachement de service PSC.
3. Configurez votre connexion pour utiliser le rattachement de point de terminaison.

Créer un rattachement de service PSC

Pour établir une connectivité privée à partir d'Integration Connectors, vous devez exposer le service à Integration Connectors à l'aide d'un rattachement de service PSC. Un rattachement de service cible toujours un équilibreur de charge. Par conséquent, si votre service n'est pas placé derrière un équilibreur de charge, vous devez en configurer un.

Pour créer un rattachement de service PSC, procédez comme suit :

1. Créez un test de vérification de l'état, puis un équilibreur de charge. Pour en savoir plus sur la configuration d'un équilibreur de charge réseau proxy interne régional, consultez Configurer un équilibreur de charge réseau proxy interne régional avec une connectivité hybride.
2. Créez un rattachement de service dans la même région que l'équilibreur de charge du service. Pour en savoir plus sur la création d'un rattachement de service, consultez Publier un service.

Créer un rattachement de point de terminaison

Rattachement de point de terminaison en tant qu'adresse IP

Pour savoir comment créer un rattachement de point de terminaison en tant qu'adresse IP, consultez Créer un rattachement de point de terminaison en tant qu'adresse IP.

Rattachement de point de terminaison en tant que nom d'hôte

Dans certains cas, comme pour les backends compatibles avec TLS, la destination nécessite que vous utilisiez des noms d'hôte au lieu d'adresses IP privées pour effectuer la validation TLS. Dans les cas où un DNS privé est utilisé à la place d'une adresse IP pour la destination de l'hôte, vous devez configurer des zones gérées en plus de créer un rattachement de point de terminaison en tant qu'adresse IP. Pour savoir comment créer un rattachement de point de terminaison en tant que nom d'hôte, consultez Créer un rattachement de point de terminaison en tant que nom d'hôte.

Plus tard, lorsque vous configurerez votre connexion pour utiliser le rattachement de point de terminaison, vous pourrez le sélectionner.

Configurer une connexion pour utiliser le rattachement de point de terminaison

Maintenant que vous avez créé un rattachement de point de terminaison, utilisez-le dans votre connexion. Lorsque vous créez une connexion ou mettez à jour une connexion existante, dans la section "Destinations", sélectionnez Rattachement de point de terminaison comme Type de destination, puis sélectionnez le rattachement de point de terminaison que vous avez créé dans la liste Rattachement de point de terminaison.

Si vous avez créé une zone gérée, sélectionnez Adresse de l'hôte comme Type de destination et utilisez l'enregistrement A que vous avez créé lors de la création de la zone gérée.

Conseils de dépannage

Si vous rencontrez des problèmes de connectivité privée, suivez les consignes de cette section pour éviter tout problème courant.

• Pour vérifier que le rattachement de point de terminaison est correctement configuré et que la connexion PSC est établie, vérifiez l'état de la connexion. Pour en savoir plus, consultez Vérifier la connexion du rattachement de point de terminaison.
• Assurez-vous que les règles de pare-feu sont configurées comme suit :
  • Le trafic provenant du sous-réseau du rattachement de service PSC doit pouvoir atteindre votre service de backend.
  • L'équilibreur de charge doit pouvoir envoyer du trafic vers votre système backend. Les NEG hybrides ne sont compatibles qu'avec les équilibreurs de charge proxy. Les requêtes d'un équilibreur de charge proxy proviennent du sous-réseau proxy réservé de la région. Par conséquent, vos règles de pare-feu doivent être configurées pour autoriser les requêtes provenant des plages de sous-réseaux proxy réservés à atteindre votre backend.
  • Le test de vérification de l'état doit pouvoir accéder à votre système backend. Les tests de vérification de l'état Google Cloud ont une plage d'adresses IP fixe (35.191.0.0/16, 130.211.0.0/22). Ces adresses IP doivent donc être autorisées à envoyer du trafic vers votre serveur backend.
• Le test de connectivité Google Cloud permet d'identifier les lacunes de votre configuration réseau. Pour plus d'informations, consultez Créer et exécuter des tests de connectivité.
• Assurez-vous que les règles de pare-feu sont mises à jour dans l'environnement sur site ou dans d'autres environnements cloud pour autoriser le trafic provenant du sous-réseau proxy réservé de la région Google Cloud.