En esta página se describen las opciones de conectividad de AlloyDB para PostgreSQL y se explica cómo elegir la que mejor se adapte a tu carga de trabajo, topología de red y requisitos de conectividad segura. Para obtener más información, consulta la información general sobre las conexiones.
En este documento, aprenderás lo siguiente:
- Qué tipo de configuración de red usar con AlloyDB.
- Cómo conectarse de forma segura.
- Prácticas recomendadas para las conexiones.
- Cómo afecta la ubicación de tu carga de trabajo a tus requisitos de conectividad.
Opciones de conectividad recomendadas
Consulta la siguiente tabla para conocer las opciones de conectividad recomendadas para tus cargas de trabajo:
- Si se recomiendan las conexiones directas, los conectores de idiomas o el proxy de autenticación para IP privadas (acceso a servicios privados o Private Service Connect) y IP públicas.
- Requisitos de conexión, como el conector de acceso a VPC sin servidor y la salida directa de VPC. Para obtener más información, consulta Comparar la salida directa de VPC y los conectores de VPC | Documentación de Cloud Run.
- Consideraciones sobre la IP privada: acceso a servicios privados frente a Private Service Connect y IP pública.
Evalúa tu carga de trabajo
Antes de elegir una opción de conectividad, evalúa tu carga de trabajo. AlloyDB admite la conectividad de tu entorno de carga de trabajo para lo siguiente:
- Cloud Run, Cloud Shell y productos de SaaS que no son de Google
- Cloud Functions v2
- Entorno flexible de App Engine y entorno estándar de App Engine
- Google Kubernetes Engine y Compute Engine
- Configuraciones on-premise
| Entorno de carga de trabajo | IP privada | IP pública | Descripción | ||
|---|---|---|---|---|---|
| Directo | Conector | Directo | Conector | ||
| Cloud Shell | ❌ | ❌ | ❌ | ✅ | Cloud Shell requiere una IP pública. |
| Cloud Run y Cloud Functions v2 | ✅ | ✅ | ❌ | ✅ | Requiere un conector de Acceso a VPC sin servidor o una salida de VPC directa. |
| Entorno estándar y flexible de App Engine | ✅ | ✅ | ❌ | ✅ | Requiere un conector de Acceso a VPC sin servidor. |
| GKE y Compute Engine | ✅ | ✅ | ✅ | ✅ | Te recomendamos que uses una IP privada. Usa el acceso a servicios privados cuando no necesites el intercambio de tráfico entre redes de VPC transitivo. De lo contrario, usa Private Service Connect. |
| On‑premise | ✅ | ✅ | ✅ | ✅ | La IP privada requiere una ruta de red desde el entorno local hasta la instancia de destino. La IP pública con Language Connectors o con el proxy de autenticación es una alternativa segura que no requiere una configuración de red exhaustiva. |
Prácticas recomendadas para la conectividad según tu carga de trabajo
Cuando te conectes a AlloyDB, ten en cuenta lo siguiente en función de tu entorno de carga de trabajo.
Cloud Shell
- Usa el proxy de autenticación con IP pública para conectarte con Cloud Shell. Cloud Shell no admite la conexión a una VPC. No tiene conectividad con instancias de acceso a servicios privados ni de Private Service Connect. Además, Cloud Shell no tiene una dirección IP de salida estable para usarla en redes autorizadas.
Cloud Run y Cloud Functions v2
- En el caso de las IPs privadas, tanto la conexión directa como los conectores de idiomas o el proxy de autenticación deben usar la salida de VPC directa.
- En el caso de las IPs públicas, debes usar Language Connectors o el proxy de autenticación.
Entorno estándar de App Engine y entorno flexible de App Engine
- Usa un conector de acceso a VPC sin servidor para la IP privada, independientemente de si usas un conector de idioma o el proxy de autenticación.
- En el caso de las IPs públicas, debes usar Language Connectors o el proxy de autenticación.
GKE y Compute Engine
- Puedes usar tanto conexiones directas como conectores de lenguaje o el proxy de autenticación para conectarte a AlloyDB.
On‑premise
- Puedes usar tanto conexiones directas como conectores de lenguaje o el proxy de autenticación para conectarte a AlloyDB. Los conectores de idiomas y el proxy de autenticación no crean una ruta de red. Asegúrate de que haya una ruta de red entre tu carga de trabajo y la instancia de AlloyDB.
Evalúa tus necesidades de conectividad segura
Language Connectors o Auth Proxy para AlloyDB ofrecen funciones de seguridad mejoradas, como la integración con gestión de identidades y accesos y mTLS, pero estas funciones requieren una configuración adicional. Las conexiones directas, aunque están cifradas de forma predeterminada, no admiten certificados de cliente ni modos SSL superiores (verify-ca y verify-full). Te recomendamos que uses Language Connectors o Auth Proxy con una IP pública y que uses conexiones directas con una IP privada solo cuando no sea posible usar Language Connectors o Auth Proxy.
| Conexión cifrada | Autenticación de gestión de identidades y accesos | Autorización de gestión de identidades y accesos | mTLS | |
|---|---|---|---|---|
| Conexión directa | ✅ | ✅ | ❌ | ❌ |
| Language Connectors o el proxy de autenticación | ✅ | ✅ | ✅ | ✅ |
Prácticas recomendadas para una conectividad segura
- Cuando creas un clúster, debes especificar una interfaz de IP privada para que se pueda crear. Si quieres usar una IP pública, te recomendamos que elijas Private Service Connect como interfaz de IP privada.
- Usa Language Connectors o Auth Proxy para disfrutar de funciones de seguridad como la autorización y la autenticación de gestión de identidades y accesos, y mTLS, aunque requieran cierta configuración. Por ejemplo, este enfoque es adecuado si quieres ejecutar el proxy de autenticación como un contenedor sidecar o si quieres usar un conector de lenguaje. Si usas Language Connectors o el proxy de autenticación, es posible que la conexión de tu base de datos experimente un pequeño aumento de la latencia.
- Usa conexiones directas para obtener un rendimiento óptimo y cuando no sea posible usar Language Connectors o el proxy de autenticación. Las conexiones directas se cifran de forma predeterminada (
sslmode=require), pero no admiten certificados de cliente ni modos SSL superiores. Solo debes usar conexiones directas cuando no se puedan usar conectores de idiomas o el proxy de autenticación.
Evaluar la topología de red
En cuanto a la topología de red, te recomendamos que uses el acceso a servicios privados para las conexiones de AlloyDB. Usa Private Service Connect para evitar problemas de emparejamiento transitivo con varias VPCs. La IP pública es adecuada para las conexiones de productos SaaS que no sean deGoogle Cloud , sobre todo cuando la IP privada no es práctica.
| Conexiones entre varias VPCs | Clientes de SaaS que no son de Google | Admite conexiones on-premise | Descripción | |
|---|---|---|---|---|
| Acceso a servicios privados | ❌ | ❌ | ✅ | La conectividad transitiva de VPC no se admite de forma predeterminada. Puedes ejecutar un proxy socks5 manualmente para la conectividad entre VPCs, pero este enfoque es complejo. |
| Private Service Connect | ✅ | ❌ | ✅ | Proporciona la configuración más sencilla cuando quieres conectarte a AlloyDB desde más de una VPC. |
| IP pública | ✅ | ✅ | ✅ | Para no tener que identificar los intervalos CIDR de la carga de trabajo de origen para las redes autorizadas, la IP pública se combina mejor con Language Connectors o Auth Proxy. |
Prácticas recomendadas para la conectividad en función de la topología de tu red
- Se usa el acceso privado a servicios de forma predeterminada.
- Cuando trabajes con varias VPCs, usa Private Service Connect para evitar problemas de peering transitivo.
- En el caso de los productos que no sonGoogle Cloud SaaS, elige una topología de red pública cuando te integres con productos de software como servicio (SaaS) que no estén alojados en Google Cloud, sobre todo si no es posible usar la conectividad de IP privada. La IP privada está habilitada de forma predeterminada, por lo que debes configurar explícitamente la IP pública en estos casos.
- Siempre que sea posible, utiliza los conectores de idiomas o el proxy de autenticación cuando uses una IP pública para conseguir una conexión segura sin tener que configurar redes autorizadas.
Siguientes pasos
- Crea una base de datos y conéctate a ella.
- Descripción general de la conexión
- Conéctate a través de Cloud VPN o Cloud Interconnect.