Configura le interfacce Private Service Connect

Datastream utilizza le interfacce Private Service Connect per replicare i dati in modo che il traffico rimanga interamente all'interno di Google Cloud.

Un'interfaccia Private Service Connect è una risorsa che consente a una rete Virtual Private Cloud (VPC) producer di avviare connessioni a e ricevere connessioni da un collegamento di rete in una rete VPC consumer. Le reti producer e consumer possono trovarsi in progetti e organizzazioni diversi.

Figura 1. Le interfacce Private Service Connect consentono ai producer di servizi di avviare connessioni ai consumer di servizi.

Per le definizioni dei termini chiave, consulta la sezione seguente.

Per ulteriori informazioni su Private Service Connect, consulta la documentazione di Virtual Private Cloud.

Termini chiave

Questa sezione fornisce una panoramica dei termini e dei concetti chiave che si applicano a Private Service Connect.

  • Producer: un'entità, in genere un servizio o una VM all'interno di una rete VPC, che avvia la connessione alla rete consumer. Il producer fornisce il servizio: nel contesto di Datastream, recupera e replica i dati in una destinazione.

  • Consumer: un'entità, in genere una VM all'interno di una rete VPC, che riceve la connessione dal producer. Quando il consumer accetta la connessione, Google Cloud alloca all'interfaccia Private Service Connect un indirizzo IP da una subnet nella rete VPC consumer specificata dal collegamento di rete. La VM dell'interfaccia Private Service Connect ha una seconda interfaccia di rete che si connette alla rete VPC del producer.

  • Collegamento di rete: una risorsa di regione che consente a una rete VPC producer di avviare connessioni a una rete VPC consumer tramite un' interfaccia Private Service Connect. Nella rete VPC consumer, il collegamento di rete funge da punto di ingresso designato per le connessioni dalle interfacce Private Service Connect nella rete producer. Quando viene stabilita un'interfaccia Private Service Connect su un collegamento di rete, alla VM producer viene assegnato un IP dalla subnet del collegamento di rete. L'istanza della macchina virtuale dell'interfaccia Private Service Connect ha almeno un'altra interfaccia di rete normale che si connette a una subnet producer. Per ulteriori informazioni, consulta Informazioni sui collegamenti di rete.

  • Progetto producer: un progetto di proprietà di Google in cui sono ospitate le macchine virtuali (VM) che eseguono Datastream. Per accedere alle risorse nel VPC del cliente, le VM Datastream utilizzano l'indirizzo IP assegnato dall'interfaccia di rete Private Service Connect dalla relativa subnet.

Prerequisiti di Private Service Connect

Prima di creare una configurazione di connettività privata utilizzando un'interfaccia Private Service Connect, devi eseguire i passaggi riportati in basso affinché Datastream possa stabilire una connessione al tuo progetto:

  • Assicurati di avere una rete VPC che puoi connettere alla rete privata di Datastream. Per ulteriori informazioni sulla creazione di una rete VPC, consulta Crea e gestisci le reti VPC.

  • Crea un collegamento di rete nel progetto VPC.

  • Verifica che Google Cloud e il firewall on-premise consentano il traffico dall' intervallo di indirizzi IP del collegamento di rete al database di origine da cui vuoi trasmettere i flussi di dati. Per informazioni su come creare regole firewall, consulta Utilizza le regole firewall VPC.

Prezzi

L'ingresso e l'uscita dei dati tramite Private Service Connect sono a pagamento. Per ulteriori informazioni, consulta i prezzi di Private Service Connect.

Ruoli e autorizzazioni richiesti

Per ottenere le autorizzazioni necessarie per creare un collegamento di rete, chiedi all'amministratore di concederti i seguenti ruoli Identity and Access Management (IAM) per il progetto:

Se il collegamento di rete o la subnet sottostante si trova in un progetto diverso da Datastream (ad esempio, se utilizzi un progetto host VPC condiviso), devi concedere il seguente ruolo al service-DATASTREAM-PROJECT-NUMBER@gcp-sa-datastream.iam.gserviceaccount.com account di servizio:

  • Accesso di sola lettura alle risorse di rete: Compute Network Viewer (roles/compute.networkViewer)

    Concedi il ruolo nel progetto in cui si trova il collegamento di rete o la relativa subnet e sostituisci DATASTREAM-PROJECT-NUMBER con il numero del progetto in cui è stato eseguito il deployment di Datastream.

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Per ulteriori informazioni sulle opzioni di controllo dell'accesso in Datastream, consulta Controllo dell'accesso con IAM.

Configurazione di Private Service Connect

Per consentire a Datastream di stabilire la connettività in uscita alla tua rete utilizzando un'interfaccia Private Service Connect:

  1. Crea un collegamento di rete nel progetto.
  2. Crea una configurazione di connettività privata.

Creazione di un collegamento di rete

Per configurare Private Service Connect in Datastream, devi prima creare un collegamento di rete.

Console

  1. Nella Google Cloud console, vai alla pagina Collegamenti di rete:

    Vai a Collegamenti di rete

  2. Fai clic su Crea collegamento di rete.

  3. Nel campo Nome, inserisci un nome per il collegamento di rete.

  4. Nell'elenco Rete, seleziona una rete VPC o un VPC condiviso.

  5. Nell'elenco Regione, seleziona una Google Cloud regione. Questa regione deve essere la stessa utilizzata per la subnet della rete VPC in peering con la rete privata di Datastream. Per ulteriori informazioni, consulta Prerequisiti di Private Service Connect.

  6. Nell'elenco Subnet, seleziona un intervallo di subnet.

  7. In Preferenza di connessione, seleziona Accetta connessioni per i progetti selezionati.

    Quando crei la risorsa di connettività privata di Datastream, Datastream aggiunge automaticamente il progetto producer all'elenco Progetti accettati.

  8. Non aggiungere Progetti accettati o Progetti rifiutati.

  9. Fai clic su Crea collegamento di rete.

gcloud

  1. Crea una o più subnet. Ad esempio:

    gcloud compute networks subnets create subnet-1 --network=network-0 --range=10.10.1.0/24 --region=REGION

    Il collegamento di rete utilizza queste subnet nei passaggi successivi.

  2. Crea una risorsa di collegamento di rete nella stessa regione del progetto Datastream, con la proprietà connection-preference impostata su ACCEPT_MANUAL:

    gcloud compute network-attachments create NAME
--region=REGION
--connection-preference=ACCEPT_MANUAL
--subnets=SUBNET

    Sostituisci quanto segue:

    • NAME: il nome del collegamento di rete.
    • REGION: il nome della Google Cloud regione. Questa regione deve essere la stessa della rete privata di Datastream.
    • SUBNET: il nome della subnet.

    L'output di questo comando è un URL di collegamento di rete nel seguente formato:

    projects/PROJECT/locations/REGION/network-attachments/NETWORK_ATTACHMENT_ID.

    Prendi nota di questo URL perché Datastream ne ha bisogno per la connettività. Per informazioni su come creare una configurazione di connettività privata dell'interfaccia Private Service Connect utilizzando Google Cloud, consulta Gestisci le configurazioni di connettività privata.

Creazione di una configurazione di connettività privata

Dopo aver creato un collegamento di rete nel tuo Google Cloud progetto, devi configurare la connettività privata utilizzando le interfacce Private Service Connect. Quando crei la configurazione, inserisci nella lista consentita il progetto che ospita l'interfaccia Private Service Connect. Poi fornisci l'URL del collegamento di rete a Datastream come parte della risorsa Private Service Connect.

Per ulteriori informazioni, consulta Crea una configurazione di connettività privata.

Passaggi successivi