En esta página, se describen las opciones de conectividad de AlloyDB para PostgreSQL y se te ayuda a elegir la opción que mejor se adapte a tu carga de trabajo, topología de red y requisitos de conectividad segura. Para obtener más información, consulta la Descripción general de la conexión.
En este documento, aprenderás lo siguiente:
- Es el tipo de configuración de red que se usará con AlloyDB.
- Cómo conectarse de forma segura
- Prácticas recomendadas para la conexión
- Cómo la ubicación de tu carga de trabajo afecta tus requisitos de conectividad
Opciones de conectividad recomendadas
Usa la siguiente tabla para conocer las opciones de conectividad recomendadas para tus cargas de trabajo:
- Si se recomiendan las conexiones directas, los conectores de lenguaje o el proxy de autenticación para la IP privada (acceso privado a los servicios o Private Service Connect) y la IP pública.
- Requisitos de conexión, como el conector de Acceso a VPC sin servidores y la salida de VPC directa. Para obtener más información, consulta Compara la salida de VPC directa y los conectores de VPC | Documentación de Cloud Run.
- Consideraciones sobre la IP privada (acceso privado a servicios frente a Private Service Connect) y la IP pública.
Evalúa tu carga de trabajo
Antes de elegir una opción de conectividad, evalúa tu carga de trabajo. AlloyDB admite la conectividad para tu entorno de carga de trabajo en los siguientes casos:
- Cloud Run, Cloud Shell y productos de SaaS que no son de Google
- Cloud Functions v2
- Entorno flexible y entorno estándar de App Engine
- Google Kubernetes Engine y Compute Engine
- Configuraciones locales
| Entorno de la carga de trabajo | IP privada | IP pública | Descripción | ||
|---|---|---|---|---|---|
| Directo | Conector | Directo | Conector | ||
| Cloud Shell | ❌ | ❌ | ❌ | ✅ | Cloud Shell requiere una IP pública. |
| Cloud Run y Cloud Functions v2 | ✅ | ✅ | ❌ | ✅ | Requiere un conector de Acceso a VPC sin servidores o salida de VPC directa. |
| Estándar y flexible de App Engine | ✅ | ✅ | ❌ | ✅ | Requiere un conector de Acceso a VPC sin servidores. |
| GKE y Compute Engine | ✅ | ✅ | ✅ | ✅ | Te recomendamos que uses una IP privada. Usa el acceso privado a servicios cuando no necesites el intercambio de tráfico entre redes de VPC transitivo. De lo contrario, usa Private Service Connect. |
| Local | ✅ | ✅ | ✅ | ✅ | La IP privada requiere una ruta de acceso de red desde las instalaciones locales hasta la instancia de destino. La IP pública con conectores de lenguaje o con el proxy de autenticación es una alternativa segura que no requiere una configuración de red extensa. |
Prácticas recomendadas para la conectividad según tu carga de trabajo
Cuando te conectes a AlloyDB, ten en cuenta lo siguiente según tu entorno de carga de trabajo.
Cloud Shell
- Usa el proxy de autenticación con una IP pública para conectarte con Cloud Shell. Cloud Shell no admite la conexión a una VPC. No tiene conectividad con instancias de acceso privado a servicios ni de Private Service Connect. Además, Cloud Shell no tiene una dirección IP saliente estable para usar en redes autorizadas.
Cloud Run y Cloud Functions v2
- Para la IP privada, tanto los conectores directos como los de lenguaje o el proxy de autenticación deben usar la salida de VPC directa.
- Para la IP pública, debes usar conectores de lenguaje o el proxy de autenticación.
Entorno estándar y entorno flexible de App Engine
- Usa un conector de acceso a VPC sin servidores para la IP privada, independientemente de si usas un conector de lenguaje o el proxy de autorización.
- Para la IP pública, debes usar los conectores de lenguaje o el proxy de autenticación.
GKE y Compute Engine
- Puedes usar conexiones directas, conectores de lenguaje o el proxy de autenticación para conectarte a AlloyDB.
Local
- Puedes usar conexiones directas, conectores de lenguaje o el proxy de autenticación para conectarte a AlloyDB. Los conectores de lenguaje y el proxy de autenticación no crean una ruta de acceso de red. Asegúrate de que haya una ruta de red entre tu carga de trabajo y la instancia de AlloyDB.
Evalúa tus necesidades de conectividad segura
Los conectores de lenguaje o el proxy de autenticación para AlloyDB proporcionan funciones de seguridad mejoradas, como la integración con IAM y mTLS, pero estas funciones requieren una configuración adicional. Las conexiones directas, aunque están encriptadas de forma predeterminada, no admiten certificados de cliente ni modos SSL superiores (verify-ca y verify-full). Te recomendamos que uses los conectores de lenguajes o el proxy de autenticación con IP pública, y que uses conexiones directas para la IP privada solo cuando los conectores de lenguajes o el proxy de autenticación no sean factibles.
| Conexión encriptada | Autenticación de IAM | Autorización con la IAM | mTLS | |
|---|---|---|---|---|
| Conexión directa | ✅ | ✅ | ❌ | ❌ |
| Conectores de lenguaje o proxy de autenticación | ✅ | ✅ | ✅ | ✅ |
Prácticas recomendadas para una conectividad segura
- Cuando creas un clúster, debes especificar una interfaz de IP privada para que se pueda crear el clúster. Si deseas usar una IP pública, te recomendamos que elijas Private Service Connect como la interfaz de IP privada.
- Usa conectores de lenguaje o el proxy de autenticación para las funciones de seguridad, como la autorización y autenticación de IAM, y la mTLS, aunque requieran cierta configuración. Por ejemplo, este enfoque es adecuado si deseas ejecutar el proxy de autenticación como un archivo adicional o si deseas usar un conector de lenguaje. Si usas conectores de lenguaje o el proxy de autenticación, es posible que la conexión a la base de datos experimente un pequeño aumento en la latencia.
- Usa conexiones directas para obtener un rendimiento óptimo y cuando los conectores de lenguaje o el proxy de autenticación no sean viables. Las conexiones directas se encriptan de forma predeterminada (
sslmode=require), pero no admiten certificados de cliente ni modos SSL más altos. Solo usa conexiones directas cuando no se puedan usar los conectores de lenguaje o el proxy de autenticación.
Evalúa tu topología de red
Para la topología de red, te recomendamos que uses el acceso privado a servicios para las conexiones de AlloyDB. Usa Private Service Connect para evitar problemas de intercambio de tráfico transitivo con varias VPC. La IP pública es adecuada para las conexiones desde productos que no son deGoogle Cloud SaaS, en especial cuando la IP privada no es práctica.
| Conexiones de VPC múltiples | Clientes de SaaS que no son de Google | Admite conexiones locales | Descripción | |
|---|---|---|---|---|
| Acceso privado a servicios | ❌ | ❌ | ✅ | La conectividad transitiva de VPC no se admite de forma predeterminada. Puedes ejecutar un proxy socks5 de forma manual para la conectividad entre VPC, pero este enfoque es complejo. |
| Private Service Connect | ✅ | ❌ | ✅ | Proporciona la configuración más simple cuando deseas conectarte a AlloyDB desde más de una VPC. |
| IP pública | ✅ | ✅ | ✅ | Para evitar tener que identificar los rangos de CIDR de la carga de trabajo de origen para las redes autorizadas, la IP pública se combina mejor con los conectores de lenguaje o el proxy de autenticación. |
Prácticas recomendadas para la conectividad según tu topología de red
- Se establece de forma predeterminada el acceso privado a servicios.
- Cuando trabajes con varias VPC, usa Private Service Connect para evitar problemas de intercambio de tráfico transitivo.
- Para los productos que no son de SaaS deGoogle Cloud , elige una topología de red pública cuando realices la integración con productos de software como servicio (SaaS) que no estén alojados en Google Cloud, en especial si la conectividad de IP privada no es factible. La IP privada está habilitada de forma predeterminada, por lo que debes configurar explícitamente la IP pública en estos casos.
- Siempre que sea posible, usa los conectores de lenguaje o el proxy de autenticación cuando uses una IP pública para lograr una conexión segura sin tener que configurar redes autorizadas.
¿Qué sigue?
- Crea una base de datos y conéctate a ella.
- Descripción general de la conexión
- Conéctate a través de Cloud VPN o Cloud Interconnect.