Cette page décrit les options de connectivité AlloyDB pour PostgreSQL et vous aide à choisir celle qui convient le mieux à votre charge de travail, à votre topologie réseau et à vos exigences de connectivité sécurisée. Pour en savoir plus, consultez la présentation de la connexion.
Ce document vous apprendra les points suivants :
- Type de configuration réseau à utiliser avec AlloyDB.
- Comment se connecter de manière sécurisée ?
- Bonnes pratiques concernant les connexions.
- L'impact de l'emplacement de votre charge de travail sur vos besoins en connectivité.
Options de connectivité recommandées
Consultez le tableau suivant pour découvrir les options de connectivité recommandées pour vos charges de travail :
- Indique si les connexions directes, les connecteurs de langage ou le proxy d'authentification sont recommandés pour les adresses IP privées (accès aux services privés ou Private Service Connect) et les adresses IP publiques.
- Exigences de connexion, comme le connecteur d'accès au cloud privé virtuel (VPC) sans serveur et la sortie VPC directe. Pour en savoir plus, consultez Comparer la sortie VPC directe et les connecteurs VPC | Documentation Cloud Run.
- Points à prendre en compte pour les adresses IP privées : accès aux services privés par rapport à Private Service Connect et adresse IP publique.
Évaluer votre charge de travail
Avant de choisir une option de connectivité, évaluez votre charge de travail. AlloyDB est compatible avec la connectivité pour votre environnement de charge de travail pour les éléments suivants :
- Cloud Run, Cloud Shell et produits SaaS non Google
- Cloud Functions v2
- Environnement flexible App Engine et environnement standard App Engine
- Google Kubernetes Engine et Compute Engine
- Configurations sur site
| Environnement de charge de travail | Adresse IP privée | Adresse IP publique | Description | ||
|---|---|---|---|---|---|
| Direct | Connecteur | Direct | Connecteur | ||
| Cloud Shell | ❌ | ❌ | ❌ | ✅ | Cloud Shell nécessite une adresse IP publique. |
| Cloud Run, Cloud Functions v2 | ✅ | ✅ | ❌ | ✅ | Nécessite un connecteur d'accès au VPC sans serveur ou une sortie VPC directe. |
| Environnement standard et flexible App Engine | ✅ | ✅ | ❌ | ✅ | Nécessite un connecteur d'accès au VPC sans serveur. |
| GKE, Compute Engine | ✅ | ✅ | ✅ | ✅ | Nous vous recommandons d'utiliser une adresse IP privée. Utilisez l'accès aux services privés lorsque vous n'avez pas besoin de l'appairage de VPC transitif. Sinon, utilisez Private Service Connect. |
| Sur site | ✅ | ✅ | ✅ | ✅ | Une adresse IP privée nécessite un chemin d'accès réseau depuis l'environnement sur site jusqu'à l'instance cible. L'adresse IP publique avec les connecteurs de langage ou le proxy d'authentification est une alternative sécurisée qui ne nécessite pas de configuration réseau complexe. |
Bonnes pratiques de connectivité en fonction de votre charge de travail
Lorsque vous vous connectez à AlloyDB, tenez compte des points suivants en fonction de votre environnement de charge de travail.
Cloud Shell
- Utilisez le proxy d'authentification avec une adresse IP publique pour vous connecter à Cloud Shell. Cloud Shell n'est pas compatible avec la connexion à un VPC. Il n'est pas connecté aux instances d'accès aux services privés ni à Private Service Connect. De plus, Cloud Shell ne dispose pas d'adresse IP sortante stable à utiliser dans les réseaux autorisés.
Cloud Run et Cloud Functions v2
- Pour les adresses IP privées, les connecteurs de langage directs ou le proxy d'authentification doivent utiliser la sortie VPC directe.
- Pour une adresse IP publique, vous devez utiliser les connecteurs de langage ou le proxy d'authentification.
Environnement standard App Engine et environnement flexible App Engine
- Utilisez un connecteur d'accès au VPC sans serveur pour l'adresse IP privée, que vous utilisiez un connecteur de langage ou le proxy d'authentification.
- Pour une adresse IP publique, vous devez utiliser les connecteurs de langage ou le proxy d'authentification.
GKE et Compute Engine
- Vous pouvez utiliser à la fois des connexions directes et des connecteurs de langage ou le proxy d'authentification pour vous connecter à AlloyDB.
Sur site
- Vous pouvez utiliser à la fois des connexions directes et des connecteurs de langage ou le proxy d'authentification pour vous connecter à AlloyDB. Les connecteurs de langage et le proxy d'authentification ne créent pas de chemin réseau. Assurez-vous qu'il existe un chemin réseau entre votre charge de travail et l'instance AlloyDB.
Évaluer vos besoins en connectivité sécurisée
Les connecteurs de langage ou le proxy d'authentification pour AlloyDB offrent des fonctionnalités de sécurité avancées telles que l'intégration IAM et mTLS, mais ces fonctionnalités nécessitent une configuration supplémentaire. Les connexions directes, bien qu'elles soient chiffrées par défaut, ne sont pas compatibles avec les certificats clients ni avec les modes SSL supérieurs (verify-ca et verify-full). Nous vous recommandons d'utiliser des connecteurs de langage ou le proxy d'authentification avec une adresse IP publique, et d'utiliser des connexions directes pour une adresse IP privée uniquement lorsque les connecteurs de langage ou le proxy d'authentification ne sont pas possibles.
| Connexion chiffrée | Authentification IAM | Autorisation IAM | mTLS | |
|---|---|---|---|---|
| Connexion directe | ✅ | ✅ | ❌ | ❌ |
| Connecteurs de langage ou proxy d'authentification | ✅ | ✅ | ✅ | ✅ |
Bonnes pratiques pour une connectivité sécurisée
- Lorsque vous créez un cluster, vous devez spécifier une interface d'adresse IP privée pour que le cluster puisse être créé. Si vous souhaitez utiliser une adresse IP publique, nous vous recommandons de choisir Private Service Connect comme interface d'adresse IP privée.
- Utilisez les connecteurs de langage ou le proxy d'authentification pour les fonctionnalités de sécurité telles que l'autorisation et l'authentification IAM, ainsi que le mTLS, même s'ils nécessitent une certaine configuration. Par exemple, cette approche est bien adaptée si vous souhaitez exécuter le proxy d'authentification en tant que sidecar ou si vous souhaitez utiliser un connecteur de langage. Si vous utilisez des connecteurs de langage ou le proxy d'authentification, la latence de votre connexion à la base de données peut légèrement augmenter.
- Utilisez des connexions directes pour des performances optimales, et lorsque les connecteurs de langage ou le proxy d'authentification ne sont pas possibles. Les connexions directes sont chiffrées par défaut (
sslmode=require), mais elles ne sont pas compatibles avec les certificats client ni les modes SSL supérieurs. N'utilisez les connexions directes que lorsque les connecteurs de langage ou le proxy d'authentification ne peuvent pas être utilisés.
Évaluer la topologie de votre réseau
Pour la topologie du réseau, nous vous recommandons d'utiliser l'accès aux services privés pour les connexions AlloyDB. Utilisez Private Service Connect pour éviter les problèmes d'appairage transitif avec plusieurs VPC. Une adresse IP publique convient aux connexions depuis des produits SaaS non-Google Cloud , en particulier lorsque l'adresse IP privée n'est pas pratique.
| Connexions multi-VPC | Clients SaaS non Google | Compatible avec les connexions sur site | Description | |
|---|---|---|---|---|
| Accès aux services privés | ❌ | ❌ | ✅ | La connectivité VPC transitive n'est pas compatible par défaut. Vous pouvez exécuter un proxy socks5 manuellement pour la connectivité entre les VPC, mais cette approche est complexe. |
| Private Service Connect | ✅ | ❌ | ✅ | Fournit la configuration la plus simple lorsque vous souhaitez vous connecter à AlloyDB à partir de plusieurs VPC. |
| Adresse IP publique | ✅ | ✅ | ✅ | Pour éviter d'avoir à identifier les plages CIDR de la charge de travail source pour les réseaux autorisés, il est préférable d'associer l'adresse IP publique aux connecteurs de langage ou au proxy d'authentification. |
Bonnes pratiques de connectivité en fonction de votre topologie réseau
- Par défaut, l'accès aux services privés est activé.
- Lorsque vous gérez plusieurs VPC, utilisez Private Service Connect pour contourner les problèmes d'appairage transitif.
- Pour les produits SaaS nonGoogle Cloud , choisissez une topologie de réseau public lorsque vous effectuez l'intégration avec des produits Software-as-a-Service (SaaS) qui ne sont pas hébergés sur Google Cloud, en particulier si la connectivité par adresse IP privée n'est pas possible. L'adresse IP privée étant activée par défaut, vous devez configurer explicitement l'adresse IP publique dans ces scénarios.
- Dans la mesure du possible, utilisez les connecteurs de langage ou le proxy d'authentification lorsque vous utilisez une adresse IP publique pour établir une connexion sécurisée sans avoir à configurer les réseaux autorisés.
Étapes suivantes
- Créez une base de données et connectez-vous à celle-ci.
- Présentation de la connexion
- Se connecter via Cloud VPN ou Cloud Interconnect