AWS PrivateLink avec Talend Cloud Data Catalog

Talend fournit le support d'AWS PrivateLink pour protéger la communication entre vos VPC AWS et Talend Cloud Data Catalog.

Si vous avez besoin de plus d'informations concernant AWS PrivateLink, consultez https://aws.amazon.com/privatelink sur le site officiel d'AWS.

Le support de PrivateLink vous permet d'importer ou d'exporter des métadonnées sans passer par un réseau Internet public, vous évitant ainsi d'exposer publiquement vos services et les services de Talend Cloud Data Catalog. Cela réduit considérablement le risque de divulgation.

Architecture du support de PrivateLink avec Talend Cloud Data Catalog

Preview

PrivateLink permet l'utilisation d'un réseau hautement sécurisé entre Talend Cloud Data Catalog et vos VPC AWS.

Le support d'AWS PrivateLink est disponible dans toutes les régions de Talend Cloud Data Catalog.

Serveurs de collecte de métadonnées distants déployés on-premises

Les serveurs de collecte de métadonnéese sont installés sur une machine distante derrière le pare-feu de votre entreprise. Votre réseau privé ou votre VPC utilise PrivateLink pour se connecter à Talend Cloud Data Catalog, tandis que les serveurs de collecte distants utilisent des liens AWS Direct Connect ou un VPN pour se connecter au réseau privé ou au VPC.

Flèche orange : Connexions PrivateLink.
Flèche rouge : AWS Direct Connect ou VPN.
Flèche bleue : métadonnées en transit.

Serveurs de collecte de métadonnées distants déployés sur le Cloud

Les serveurs de collecte de métadonnées distants sont installés sur le réseau client privé ou sur votre VPC client. Ces serveurs de collecte sont connectés à Talend Cloud Data Catalog et aux technologies source de métadonnées supportées via AWS PrivateLink.

Flèche orange : Connexions PrivateLink.
Flèche bleue : métadonnées en transit.

Prérequis à l'utilisation d'AWS PrivateLink avec Talend Cloud Data Catalog

Le support de AWS PrivateLink sur Talend Cloud Data Catalog est disponible à la demande. Si vous souhaitez utiliser cette fonctionnalité, contactez le Support. Avant d'envoyer la requête, assurez-vous que le support de PrivateLink est disponible sur votre plateforme AWS.

Utiliser Talend Cloud Data Catalog et PrivateLink à travers les régions AWS

Preview

Alors que AWS PrivateLink s'applique uniquement aux VPC d'une même région AWS, vous pouvez activer une utilisation dans plusieurs régions en implémentant le VPC-Peering inter-régions.

Cette implémentation vous permet de tirer parti des services Talend, même dans les régions qui ne sont pas encore couvertes, tout en conservant une sécurité forte.

Procédure

Comme décrit dans la documentation AWS, vous pouvez activer le VPC Peering dans une région où fonctionnent les serveurs de collecte distants.
Exemple
Utilisez l'une des manièrs suivantes pour configurer le DNS pour le VPC Peering.
- Dans Amazon Route 53, créez une zone hébergée privée à cheval sur plusieurs domaines Talend Cloud, <env>.cloud.talend.com. Associez cette zone à votre VPC, puis, dans cette zone hébergée privée, créez un enregistrement avec des caractères de remplacement (*) de type A (signifiant enregistrement Alias) pour correspondre à tous les noms d'hôtes d'un environnement Talend donné. Par exemple, le nom de l'enregistrement peut être *.us.cloud.talend.com et, dans le champ de la ressource où router le trafic, spécifiez l'adresse IP privée pour PrivateLink.
  
  Pour plus d'informations concnernant les zones hébergées privées d'Amazon, consultez la documentation AWS.
- Configurez le DNS sur le cluster EC2 hébergeant le VPC avec PrivateLink, pour que ce VPC utilise le DNS Forwarder afin de répondre correctement aux requêtes DNS et diriger les flux vers les connexions PrivateLink.
Pour les détails techniques de cette configuration, contactez l'équipe d'administration réseau de votre entreprise.

Activer ou désactiver une connexion PrivateLink avec Talend Cloud Data Catalog

Preview

L'équipe Talend et votre entreprise doivent travailler en collaboration pour activer ou désactiver une connexion PrivateLink.

Activer AWS PrivateLink avec Talend Cloud Data Catalog

Preview

Procédure

Dans votre VPC AWS, créez le point de terminaison à utiliser pour PrivateLink et assurez-vous d'activer les noms DNS privés pour ce point de terminaison. Si vous avez besoin d'aide, contactez l'administrateur·trice de votre système AWS.

Exemple

Cela fait, dans l'onglet Details de ce point de terminaison PrivateLink, les noms DNS spécifiques à Talend s'affichent :

<env>. cloud.talend.com
<env>. cloud.talend.com

Selon la région de votre service Talend, la valeur d'<env> varie. Elle peut par exemple être us.

Le nom du service distribué à ce point de terminaison PrivateLink est également spécifique à Talend, selon la région Talend Cloud Data Catalog utilisée :

Régions AWS Talend Cloud Data Catalog	Noms de services PrivateLink spécifiques à Talend	URL de reprise après sinistre
EU (Union européenne)	com.amazonaws.vpce.eu-central-1.vpce-svc-0c634141c378efbe1	Non disponible en aperçu technique
US (États-Unis)	com.amazonaws.vpce.us-east-1.vpce-svc-0318a52bd8dd3fa7d	Non disponible en aperçu technique
AP (Asie-Pacifique)	com.amazonaws.vpce.ap-northeast-1.vpce-svc-06f41393a31a38a16	Non disponible en aperçu technique

Envoyer une demande à Talend pour appairer PrivateLink à Talend Cloud Data Catalog.
Vous devez fournir les informations suivantes àTalend :
- L'ID du point de terminaison de votre VPC exécutant les connexions PrivateLink à activer.
- Votre identifiant de compte AWS.
- La région dans laquelle établir les connexions PrivateLink à Talend Cloud Data Catalog.
Attendez le retour de Talend pour accepter l'appairage PrivateLink.

Une fois votre demande reçue, Talend l'envoie à un workflow de vérification et accepte l'appairage PrivateLink depuis vos VPC. Talend vous informe de la mise à jour.
Déployez vos serveurs de collecte distants comme habituellement. S'ils ont déjà été déployés, redémarrez-les.
Tous les serveurs de collecte distants sur un même VPC doivent utiliser PrivateLink. Si vous souhaitez que certains serveurs de collecte utilisent PrivateLink et que certains ne l'utilisent pas, utilisez plusieurs VPC.

Résultats

Dès que votre demande est reçue, le processus complet prend jusqu'à cinq jours ouvrés.

Activer ou désactiver PrivateLink avec Talend Cloud Data Catalog

Preview

Procédure

Supprimez les paramètres d'appairage de PrivateLink depuis vos VPC.
Redémarrez vos serveurs de collecte distants utilisés avec PrivateLink.
Tous les serveurs de collecte distants sur un même VPC doivent utiliser PrivateLink. Si vous souhaitez que certains moteurs de collecte utilisent PrivateLink et que certains ne l'utilisent pas, utilisez plusieurs VPC.