Uma conexão de rede privada, estabelecida usando o Interconexão entre nuvens ou o Interconexão por parceiro do Google Cloud, pode oferecer vantagens significativas para a transferência de dados entre a AWS ou o Azure e o Cloud Storage:
- Possível otimização de custos: é possível economizar nos custos de saída. Isso pode ser benéfico para clientes com interconexões atuais ou que realizam transferências de dados grandes ou recorrentes, resultando em economias substanciais a longo prazo.
- Largura de banda de rede dedicada: usar uma interconexão pode oferecer capacidade de processamento consistente e de alta capacidade e menor latência, o que é crucial para migrações grandes e sensíveis ao tempo e para a sincronização de dados em tempo real.
- Atender às necessidades de compliance: ideal para cargas de trabalho em que os requisitos regulatórios exigem manter os dados fora da Internet pública. Esse recurso ajuda você a transferir dados de maneira privada usando a interconexão para alcançar a conformidade, apoiar a soberania de dados e simplificar as auditorias.
Visão geral
Este documento orienta você nas etapas para:
- Solicitar e configurar um Interconexão entre nuvens
- Criar um endpoint no S3 ou no Azure
- Configurar um balanceador de carga de rede de proxy interno regional com conectividade híbrida
- Registrar o balanceador de carga com o Diretório de serviços
- Criar uma transferência
- Confirme se o tráfego está usando a interconexão
Permissões necessárias
Você vai precisar de permissões específicas para concluir cada uma das seções a seguir. Essas permissões estão listadas na documentação desse conjunto de etapas.
Opções de interconexão
O Serviço de transferência do Cloud Storage pode transferir dados da AWS e do Azure usando o Cross-Cloud Interconnect (CCI) ou o Partner Interconnect.
As etapas abaixo são específicas para CCI, mas também se aplicam ao configurar a rede para a Interconexão por parceiro.
Solicitar e configurar um Interconexão entre nuvens
O Interconexão entre nuvens é uma conexão física dedicada entre o Google Cloud e outros provedores de nuvem.
Se você já tiver uma conexão CCI, pule para a próxima seção.
AWS
Siga as instruções para Conectar ao Amazon Web Services e pedir e configurar um novo Interconexão entre nuvens. Você precisa das permissões corretas para configurar redes no Google Cloud e na AWS.
Assista um vídeo com as etapas para pedir e configurar uma CCI entre a AWS e o Google Cloud.
Azure
Siga as instruções para conectar ao Microsoft Azure e solicitar e configurar uma nova Interconexão entre nuvens. Você precisa das permissões corretas para configurar redes no Google Cloud e no Azure.
Assista um vídeo com as etapas para pedir e configurar um CCI entre o Azure e o Google Cloud.
Se o bucket do Cloud Storage for regional, configure o CCI na mesma região do bucket para reduzir a latência da rede.
Criar um endpoint no S3 ou no Azure
Crie um endpoint na sua conta do S3 ou do Azure.
AWS
Na sua conta da Amazon Web Services, crie um endpoint da VPC que se conecte ao S3.
Siga estas instruções da AWS: Acessar um serviço da AWS usando um endpoint de VPC de interface para criar o endpoint.
Azure
Configure um endpoint particular na conta de armazenamento do Azure seguindo estas etapas.
O Serviço de transferência do Cloud Storage exige o endpoint *.blob.core.microsoft.net. O endpoint *.dfs.core.microsoft.net não é compatível.
Depois de criado, anote o endereço IP do endpoint. Você precisará especificar o endereço IP ao criar o balanceador de carga na próxima seção.
Configurar um balanceador de carga de rede de proxy interno regional com conectividade híbrida
No Google Cloud, configure um balanceador de carga de rede de proxy interno regional com conectividade híbrida. Isso fornece um endereço IP interno restrito a clientes que executam na mesma rede VPC que o balanceador de carga e que roteia o tráfego para os endpoints da VPC do S3 ou os endpoints privados do Azure Storage que você criou na seção anterior.
Crie o balanceador de carga no mesmo projeto e rede VPC do anexo da VLAN que faz interface com o Cloud Interconnect. Embora a interconexão possa estar em um projeto diferente na mesma organização, o anexo precisa estar na mesma VPC e região do balanceador de carga.
Especifique o endereço IP do endpoint da VPC do S3 ou do endpoint particular do Azure Storage quando chegar às etapas marcadas como Adicionar endpoints ao NEG de conectividade híbrida.
Anote o endereço IP e a porta de front-end do NLB, porque você precisará especificá-los na próxima seção.
Validar a conexão
Antes de continuar, recomendamos que você valide se o balanceador de carga pode se conectar ao endpoint de armazenamento remoto.
Para fazer isso, siga estas etapas:
- Crie uma VM do Compute Engine na mesma rede VPC que o balanceador de carga.
Na VM, use
curlpara testar a conectividade com o endereço IP e a porta do balanceador de carga:curl -v --resolve HOSTNAME:LOAD_BALANCER_IP:PORT https://HOSTNAMEEm que:
<var>HOSTNAME</var>é o nome do host do seu provedor de armazenamento de origem.- Para o AWS S3, use o endpoint de API do S3 para a região do bucket, por exemplo,
s3.us-west-1.amazonaws.com. - Para o Armazenamento do Azure, use o endpoint de blob da sua conta de armazenamento, por exemplo,
mystorageaccount.blob.core.windows.net.
- Para o AWS S3, use o endpoint de API do S3 para a região do bucket, por exemplo,
<var>PORT</var>é a porta configurada na regra de encaminhamento do balanceador de carga, geralmente443.<var>LOAD_BALANCER_IP</var>é o endereço IP de front-end do balanceador de carga.
Uma resposta do endpoint remoto, mesmo que seja um erro, indica que a conectividade foi bem-sucedida. Um tempo limite de conexão indica uma configuração incorreta na sua rede que precisa ser resolvida antes de continuar.
Registrar o NLB com o Diretório de serviços
Registre o NLB no Diretório de serviços. O Serviço de transferência do Cloud Storage usa o Diretório de serviços para resolver o endereço do balanceador de carga e se conectar a ele diretamente.
Siga as instruções para registrar um balanceador de carga interno. Use o endereço IP e a porta do balanceador de carga que você criou ao especificar a regra de encaminhamento.
Depois de criado, anote o autolink do serviço. Ele usa o formato
projects/{project_id}/locations/{location}/namespaces/{namespace}/services/{service}.
Você vai precisar desse valor ao criar o job de transferência.
Criar uma transferência
Conceda as seguintes permissões ao agente de serviço. Para instruções sobre como recuperar o agente de serviço e conceder permissões a ele, consulte Permissões do agente de serviço gerenciado pelo Google.
- Leitor do Service Directory (roles/servicedirectory.viewer) no nível do projeto, no projeto que contém os recursos do Diretório de serviços.
- Serviço autorizado do Private Service Connect (roles/servicedirectory.pscAuthorizedService) no nível do projeto, no projeto que contém a VPC.
- Gravador de bucket legado do Storage (roles/storage.legacyBucketWriter) no bucket de destino.
Para criar um job de transferência que usa um Interconexão entre nuvens,
use a API REST do Storage Transfer Service. Envie uma solicitação da seguinte maneira.
Observe o campo privateNetworkService, em que você vai especificar o
selfLink do serviço do Diretório de serviços.
AWS
POST https://storagetransfer.googleapis.com/v1/transferJobs
{
"status": "ENABLED",
"projectId": "PROJECT_ID",
"transferSpec": {
"awsS3DataSource": {
"privateNetworkService": "SERVICE_SELF_LINK",
"bucketName": "S3_BUCKET_NAME",
"awsAccessKey": {
"accessKeyId": "ACCESS_KEY_ID",
"secretAccessKey": "SECRET_ACCESS_KEY"
}
},
"gcsDataSink": {
"bucketName": "GCS_BUCKET_NAME"
}
}
}
Azure
POST https://storagetransfer.googleapis.com/v1/transferJobs
{
"status": "ENABLED",
"projectId": "PROJECT_ID",
"transferSpec": {
"azureBlobStorageDataSource": {
"privateNetworkService": "SERVICE_SELF_LINK",
"storageAccount": "AZURE_SOURCE_NAME",
"container": "AZURE_CONTAINER",
"azureCredentials": {
"sasToken": "AZURE_SAS_TOKEN",
}
},
"gcsDataSink": {
"bucketName": "GCS_BUCKET_NAME"
}
}
}
Em que:
- SERVICE_SELF_LINK é o self-link do serviço do Diretório de serviços. Ele usa o formato
projects/{project_id}/locations/{location}/namespaces/{namespace}/services/{service}.
Para informações sobre outros campos, consulte a documentação de referência do TransferSpec.
Confirme se o tráfego está usando a interconexão
Use o Cloud Monitoring para verificar o tráfego que flui pelo seu interconexão da AWS ou do Azure.
- No console do Google Cloud, acesse Conectividade híbrida > Cloud Interconnect.
- Selecione o anexo da VLAN que se conecta ao seu ambiente da AWS/Azure.
- Na página de detalhes da sua conexão, selecione a guia Monitoramento. Procure métricas que indiquem transferência de dados. Especificamente:
- Bytes de entrada:essa métrica mostra os dados da AWS ou do Azure na sua VPC do Google Cloud.
- Status operacional:verifique se a conexão física e a sessão do BGP estão em um estado operacional íntegro.