Auf dieser Seite werden die Verbindungsoptionen für AlloyDB for PostgreSQL beschrieben. Außerdem erfahren Sie, wie Sie die Option auswählen, die am besten für Ihre Arbeitslast, Netzwerktopologie und Anforderungen an die sichere Verbindung geeignet ist. Weitere Informationen finden Sie in der Verbindungsübersicht.
In diesem Dokument erfahren Sie Folgendes:
- Welche Art von Netzwerkeinrichtung für AlloyDB verwendet werden sollte.
- Sichere Verbindungen
- Best Practices für Verbindungen
- Wie sich der Standort Ihrer Arbeitslast auf Ihre Anforderungen an die Konnektivität auswirkt.
Empfohlene Verbindungsoptionen
In der folgenden Tabelle finden Sie empfohlene Verbindungsoptionen für Ihre Arbeitslasten:
- Ob direkte Verbindungen, Language Connectors oder der Auth-Proxy für private IP (Zugriff auf private Dienste oder Private Service Connect) und öffentliche IP empfohlen werden.
- Verbindungsanforderungen wie der Connector für serverlosen VPC-Zugriff und ausgehender Direct VPC-Traffic. Weitere Informationen finden Sie unter Ausgehenden Direct VPC-Traffic und VPC-Connectors vergleichen | Cloud Run-Dokumentation.
- Überlegungen zur privaten IP-Adresse – Zugriff auf private Dienste im Vergleich zu Private Service Connect – und zur öffentlichen IP-Adresse.
Arbeitslast bewerten
Bevor Sie eine Verbindungsoption auswählen, sollten Sie Ihre Arbeitslast bewerten. AlloyDB unterstützt die Konnektivität für Ihre Arbeitslastumgebung für Folgendes:
- Cloud Run, Cloud Shell und SaaS-Produkte von Drittanbietern
- Cloud Functions v2
- Flexible App Engine-Umgebung und App Engine-Standardumgebung
- Google Kubernetes Engine und Compute Engine
- Lokale Einrichtung
| Arbeitslastumgebung | Private IP-Adresse | Öffentliche IP-Adresse | Beschreibung | ||
|---|---|---|---|---|---|
| Direkt | Connector | Direkt | Connector | ||
| Cloud Shell | ❌ | ❌ | ❌ | ✅ | Cloud Shell erfordert eine öffentliche IP-Adresse. |
| Cloud Run, Cloud Functions v2 | ✅ | ✅ | ❌ | ✅ | Erfordert einen Connector für serverlosen VPC-Zugriff oder ausgehenden Direct VPC-Traffic. |
| App Engine Standard, Flex | ✅ | ✅ | ❌ | ✅ | Erfordert einen Connector für serverlosen VPC-Zugriff. |
| GKE, Compute Engine | ✅ | ✅ | ✅ | ✅ | Wir empfehlen, private IP-Adressen zu verwenden. Verwenden Sie den Zugriff auf private Dienste, wenn kein transitives VPC-Peering erforderlich ist. Andernfalls verwenden Sie Private Service Connect. |
| Lokal | ✅ | ✅ | ✅ | ✅ | Für eine private IP-Adresse ist ein Netzwerkpfad vom lokalen Netzwerk zur Zielinstanz erforderlich. Die öffentliche IP-Adresse mit Sprach-Connectors oder mit dem Auth-Proxy ist eine sichere Alternative, die keine umfangreiche Netzwerkeinrichtung erfordert. |
Best Practices für die Konnektivität basierend auf Ihrer Arbeitslast
Beachten Sie beim Herstellen einer Verbindung zu AlloyDB je nach Arbeitslastumgebung Folgendes.
Cloud Shell
- Verwenden Sie den Auth-Proxy mit öffentlicher IP, um eine Verbindung mit Cloud Shell herzustellen. Cloud Shell unterstützt keine Verbindung zu einer VPC. Es besteht keine Verbindung zu Instanzen mit Zugriff auf private Dienste oder Private Service Connect. Außerdem hat Cloud Shell keine stabile ausgehende IP-Adresse, die in autorisierten Netzwerken verwendet werden kann.
Cloud Run und Cloud Functions v2
- Bei privaten IP-Adressen müssen sowohl Direct- als auch Language Connectors oder der Auth-Proxy den Direct VPC-Ausgang verwenden.
- Bei öffentlichen IP-Adressen müssen Sie Sprach-Connectors oder den Auth-Proxy verwenden.
App Engine-Standardumgebung und flexible App Engine-Umgebung
- Verwenden Sie einen Connector für serverlosen VPC-Zugriff für private IP-Adressen, unabhängig davon, ob Sie einen Sprach-Connector oder den Auth-Proxy verwenden.
- Bei öffentlichen IP-Adressen müssen Sie Sprach-Connectors oder den Auth-Proxy verwenden.
GKE und Compute Engine
- Sie können sowohl direkte Verbindungen als auch Sprach-Connectors oder den Auth-Proxy verwenden, um eine Verbindung zu AlloyDB herzustellen.
Lokal
- Sie können sowohl direkte Verbindungen als auch Sprach-Connectors oder den Auth-Proxy verwenden, um eine Verbindung zu AlloyDB herzustellen. Mit den Sprach-Connectors und dem Auth-Proxy wird kein Netzwerkpfad erstellt. Achten Sie darauf, dass ein Netzwerkpfad zwischen Ihrer Arbeitslast und der AlloyDB-Instanz vorhanden ist.
Anforderungen an sichere Verbindungen ermitteln
Sprachverbindungen oder der Auth-Proxy für AlloyDB bieten erweiterte Sicherheitsfunktionen wie IAM-Integration und mTLS. Diese Funktionen erfordern jedoch eine zusätzliche Einrichtung. Direkte Verbindungen sind zwar standardmäßig verschlüsselt, unterstützen aber keine Clientzertifikate oder höheren SSL-Modi – verify-ca und verify-full. Wir empfehlen, Sprach-Connectors oder den Auth-Proxy mit öffentlicher IP-Adresse zu verwenden und direkte Verbindungen für private IP-Adressen nur dann, wenn Sprach-Connectors oder der Auth-Proxy nicht möglich sind.
| Verschlüsselte Verbindung | IAM-Authentifizierung | IAM-Autorisierung | mTLS | |
|---|---|---|---|---|
| Direkte Verbindung | ✅ | ✅ | ❌ | ❌ |
| Sprach-Connectors oder Auth-Proxy | ✅ | ✅ | ✅ | ✅ |
Best Practices für sichere Verbindungen
- Wenn Sie einen Cluster erstellen, müssen Sie eine private IP-Schnittstelle angeben, damit der Cluster erstellt werden kann. Wenn Sie eine öffentliche IP-Adresse verwenden möchten, empfehlen wir, Private Service Connect als private IP-Schnittstelle auszuwählen.
- Verwenden Sie Sprachconnectors oder den Auth-Proxy für Sicherheitsfunktionen wie IAM-Autorisierung und ‑Authentifizierung sowie mTLS, auch wenn dafür eine Einrichtung erforderlich ist. Dieser Ansatz eignet sich beispielsweise gut, wenn Sie den Auth-Proxy als Sidecar ausführen oder einen Sprach-Connector verwenden möchten. Wenn Sie Sprach-Connectors oder den Auth-Proxy verwenden, kann es bei Ihrer Datenbankverbindung zu einer leichten Erhöhung der Latenz kommen.
- Verwenden Sie direkte Verbindungen für optimale Leistung und wenn Sprach-Connectors oder der Auth-Proxy nicht infrage kommen. Direkte Verbindungen sind standardmäßig verschlüsselt (
sslmode=require), unterstützen aber keine Clientzertifikate oder höheren SSL-Modi. Verwenden Sie direkte Verbindungen nur, wenn keine Sprach-Connectors oder der Auth-Proxy verwendet werden können.
Netzwerktopologie bewerten
Für die Netzwerktopologie empfehlen wir, für AlloyDB-Verbindungen den Zugriff auf private Dienste zu verwenden. Verwenden Sie Private Service Connect, um Probleme mit transitivem Peering bei mehreren VPCs zu vermeiden. Eine öffentliche IP-Adresse eignet sich für Verbindungen von Nicht-Google Cloud SaaS-Produkten, insbesondere wenn eine private IP-Adresse nicht praktikabel ist.
| Multi-VPC-Verbindungen | SaaS-Kunden, die keine Google-Kunden sind | Unterstützt lokale Verbindungen | Beschreibung | |
|---|---|---|---|---|
| Zugriff auf private Dienste | ❌ | ❌ | ✅ | Transitive VPC-Konnektivität wird standardmäßig nicht unterstützt. Sie können einen SOCKS5-Proxy manuell für die VPC-übergreifende Verbindung ausführen, aber dieser Ansatz ist komplex. |
| Private Service Connect | ✅ | ❌ | ✅ | Bietet die einfachste Konfiguration, wenn Sie von mehreren VPCs aus eine Verbindung zu AlloyDB herstellen möchten. |
| Öffentliche IP-Adresse | ✅ | ✅ | ✅ | Damit Sie die CIDR-Bereiche der Quellarbeitslast für autorisierte Netzwerke nicht ermitteln müssen, wird die öffentliche IP-Adresse am besten mit den Language Connectors oder dem Auth Proxy kombiniert. |
Best Practices für die Konnektivität basierend auf Ihrer Netzwerktopologie
- Standardmäßig Zugriff auf private Dienste verwenden.
- Wenn Sie mit mehreren VPCs arbeiten, verwenden Sie Private Service Connect, um Probleme mit transitivem Peering zu umgehen.
- Wählen Sie für Nicht-Google Cloud -SaaS-Produkte eine öffentliche Netzwerktopologie aus, wenn Sie eine Integration mit Software-as-a-Service-Produkten (SaaS) vornehmen, die nicht auf Google Cloudgehostet werden, insbesondere wenn eine Verbindung über eine private IP-Adresse nicht möglich ist. Private IP-Adressen sind standardmäßig aktiviert. Sie müssen öffentliche IP-Adressen in diesen Szenarien also explizit konfigurieren.
- Verwenden Sie nach Möglichkeit die Sprach-Connectors oder den Auth-Proxy, wenn Sie eine öffentliche IP-Adresse verwenden, um eine sichere Verbindung herzustellen, ohne autorisierte Netzwerke konfigurieren zu müssen.
Nächste Schritte
- Datenbank erstellen und Verbindung zu einer Datenbank herstellen
- Verbindungsübersicht
- Verbindung über Cloud VPN oder Cloud Interconnect herstellen