Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Configurer des interfaces Private Service Connect

Datastream utilise des interfaces Private Service Connect pour vous permettre de répliquer des données de manière à ce que le trafic reste entièrement dans Google Cloud.

Une interface Private Service Connect est une ressource qui permet à un réseau cloud privé virtuel (VPC) producteur d'établir des connexions avec un rattachement de réseau dans un réseau VPC consommateur et d'en recevoir. Les réseaux de producteurs et les réseaux consommateurs peuvent appartenir à différents projets et organisations.

**Figure 1** : Les interfaces Private Service Connect permettent aux producteurs de services d'établir des connexions avec les clients de services.

Pour obtenir les définitions des termes clés, consultez la section suivante.

Pour en savoir plus sur Private Service Connect, consultez la documentation sur le cloud privé virtuel.

Termes clés

Cette section présente les termes clés et les concepts qui s'appliquent à Private Service Connect.

Producteur : entité, généralement un service ou une VM dans un réseau VPC, qui initie la connexion au réseau consommateur. Le producteur fournit le service : dans le contexte de Datastream, il récupère et réplique les données vers une destination.
Consommateur : entité, généralement une VM dans un réseau VPC, qui reçoit la connexion du producteur. Lorsque le consommateur accepte la connexion, Google Cloud attribue à l'interface Private Service Connect une adresse IP provenant d'un sous-réseau dans le réseau VPC du consommateur spécifié par le rattachement de réseau. La VM de l'interface Private Service Connect possède une deuxième interface réseau qui se connecte au réseau VPC du producteur.
Rattachement de réseau : ressource régionale qui permet à un réseau VPC producteur d'établir des connexions à un réseau VPC consommateur via une interface Private Service Connect. Dans le réseau VPC consommateur, le rattachement de réseau sert de point d'entrée désigné pour les connexions provenant des interfaces Private Service Connect du réseau producteur. Lorsqu'une interface Private Service Connect est établie sur un rattachement de réseau, une adresse IP du sous-réseau du rattachement de réseau est attribuée à la VM du producteur. L'instance de machine virtuelle de l'interface Private Service Connect comporte au moins une interface réseau standard supplémentaire qui se connecte à un sous-réseau de producteur. Pour en savoir plus, consultez la page À propos des rattachements de réseau.
Projet producteur : projet appartenant à Google dans lequel sont hébergées les machines virtuelles (VM) exécutant Datastream. Pour accéder aux ressources du VPC client, les VM Datastream utilisent l'adresse IP que l'interface réseau Private Service Connect attribue à partir de son sous-réseau.

Prérequis pour Private Service Connect

Avant de créer une configuration de connectivité privée à l'aide d'une interface Private Service Connect, vous devez suivre les étapes suivantes pour que Datastream puisse établir une connexion à votre projet :

Vous devez disposer d'un réseau VPC que vous pouvez connecter au réseau privé de Datastream. Pour en savoir plus sur la création d'un réseau VPC, consultez Créer et gérer des réseaux VPC.
Créez un rattachement de réseau dans votre projet VPC.
Vérifiez que Google Cloud et le pare-feu sur site autorisent le trafic depuis la plage d'adresses IP du rattachement de réseau vers la base de données source à partir de laquelle vous souhaitez diffuser des données. Pour savoir comment créer des règles de pare-feu, consultez la page Utiliser des règles de pare-feu VPC.

Tarifs

L'entrée et la sortie de données via Private Service Connect sont facturées. Pour en savoir plus, consultez les tarifs de Private Service Connect.

Rôles et autorisations requis

Pour obtenir les autorisations nécessaires pour créer un rattachement de réseau, demandez à votre administrateur de vous accorder les rôles IAM (Identity and Access Management) suivants sur votre projet :

Créer, afficher et supprimer des rattachements de réseau : Administrateur de réseaux Compute (roles/compute.networkAdmin)

Si votre rattachement de réseau ou son sous-réseau sous-jacent se trouve dans un projet différent de celui de Datastream (par exemple, si vous utilisez un projet hôte VPC partagé), vous devez accorder le rôle suivant au compte de service service-DATASTREAM-PROJECT-NUMBER@gcp-sa-datastream.iam.gserviceaccount.com :

Accès en lecture seule aux ressources réseau: Lecteur de réseau Compute (roles/compute.networkViewer)

Accordez le rôle sur le projet dans lequel se trouve votre rattachement de réseau ou son sous-réseau, et remplacez DATASTREAM-PROJECT-NUMBER par le numéro du projet dans lequel Datastream est déployé.

Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.

Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.

Pour en savoir plus sur les options de contrôle des accès dans Datastream, consultez la section Contrôle des accès avec IAM.

Configurer Private Service Connect

Pour permettre à Datastream d'établir une connectivité sortante vers votre réseau à l'aide d'une interface Private Service Connect :

Créez un rattachement de réseau dans votre projet.
Créez une configuration de connectivité privée.

Créer un rattachement de réseau

Pour configurer Private Service Connect dans Datastream, vous devez d'abord créer un rattachement de réseau.

Console

Dans la Google Cloud console, accédez à la page Rattachements de réseau :

Accéder aux rattachements de réseau
Cliquez sur Créer un rattachement de réseau.
Dans le champ Nom, saisissez le nom du rattachement de réseau.
Dans la liste Réseau, sélectionnez un réseau VPC ou un réseau VPC partagé.
Dans la liste Région, sélectionnez une Google Cloud région. Cette région doit être identique à celle utilisée pour le sous-réseau du réseau VPC appairé au réseau privé de Datastream. Pour en savoir plus, consultez la section Prérequis pour Private Service Connect.
Dans la liste Sous-réseau, sélectionnez une plage de sous-réseaux.
Dans Préférences de connexion, sélectionnez Accepter les connexions pour les projets sélectionnés.

Datastream ajoute automatiquement le projet producteur à la liste Projets acceptés lorsque vous créez la ressource de connectivité privée Datastream.

Attention : L'option Accepter automatiquement les connexions pour tous les projets est moins sécurisée, car elle permet à n'importe quel service d'obtenir des adresses IP à partir de votre sous-réseau. Nous vous déconseillons d'utiliser cette option.
N'ajoutez pas de projets acceptés ni de projets refusés.
Cliquez sur Créer un rattachement de réseau.

gcloud

Créez un ou plusieurs sous-réseaux. Exemple :
```
gcloud compute networks subnets create subnet-1 --network=network-0 --range=10.10.1.0/24 --region=REGION
```
Le rattachement de réseau utilise ces sous-réseaux lors des étapes suivantes.
Créez une ressource de rattachement de réseau dans la même région que le projet Datastream, avec la propriété connection-preference définie sur ACCEPT_MANUAL :
```
gcloud compute network-attachments create NAME
--region=REGION
--connection-preference=ACCEPT_MANUAL
--subnets=SUBNET
```
Remplacez les éléments suivants :
- NAME : nom de votre rattachement de réseau.
- REGION : nom de la Google Cloud région. Cette région doit être identique à celle du réseau privé de Datastream.
- SUBNET : nom du sous-réseau.
Le résultat de cette commande est une URL de rattachement de réseau au format suivant :

projects/PROJECT/locations/REGION/network-attachments/NETWORK_ATTACHMENT_ID.

Notez cette URL, car Datastream en a besoin pour la connectivité. Pour savoir comment créer une configuration de connectivité privée d'interface Private Service Connect à l'aide de Google Cloud, consultez la section Gérer les configurations de connectivité privée.

Attention : Spécifier connection-preference comme ACCEPT_AUTOMATIC est moins sécurisé, car cela permet à n'importe quel service d'obtenir des adresses IP à partir de votre sous-réseau. Nous vous déconseillons d'utiliser cette option.

Créer une configuration de connectivité privée

Une fois que vous avez créé un rattachement de réseau dans votre Google Cloud projet, vous devez configurer votre configuration de connectivité privée à l'aide d' interfaces Private Service Connect. Lorsque vous créez la configuration, vous ajoutez à la liste d'autorisation le projet qui héberge l'interface Private Service Connect. Vous fournissez ensuite l'URL du rattachement de réseau à Datastream dans le cadre de la ressource Private Service Connect.

Pour en savoir plus, consultez la section Créer une configuration de connectivité privée.

Étape suivante

Découvrez comment afficher votre configuration de connectivité privée.
Découvrez comment supprimer une configuration de connectivité privée.