Cette page décrit les options de connexion à AlloyDB pour PostgreSQL, y compris quand utiliser le proxy d'authentification AlloyDB ou un connecteur AlloyDB. Elle vous aide à choisir la meilleure option pour votre charge de travail, que vous ayez besoin de vous connecter à l'aide de Private Service Connect ou d'autres méthodes.
Pour en savoir plus, consultez la présentation de la connexion.
Ce document vous explique les points suivants :
- Le type de configuration réseau à utiliser avec AlloyDB.
- Comment se connecter de manière sécurisée.
- Les bonnes pratiques de connexion.
- L'impact de l'emplacement de votre charge de travail sur vos exigences de connectivité.
Options recommandées pour se connecter à AlloyDB
Le tableau suivant présente les options de connectivité recommandées pour vos charges de travail :
- Indique si les connexions directes, les connecteurs de langage ou le proxy d'authentification sont recommandés pour les adresses IP privées (accès aux services privés ou Private Service Connect) et les adresses IP publiques.
- Les exigences de connexion, telles que le connecteur d'accès au cloud privé virtuel (VPC) sans serveur et la sortie VPC directe. Pour en savoir plus, consultez Comparer la sortie VPC directe et les connecteurs VPC | Documentation Cloud Run.
- Les considérations concernant les adresses IP privées (accès aux services privés par rapport à Private Service Connect) et les adresses IP publiques.
Évaluer votre charge de travail
Avant de choisir une option de connectivité, évaluez votre charge de travail. AlloyDB est compatible avec la connectivité pour votre environnement de charge de travail pour les éléments suivants :
- Cloud Run, Cloud Shell et produits SaaS non Google
- Cloud Functions v2
- Environnement flexible App Engine et environnement standard App Engine
- Google Kubernetes Engine et Compute Engine
Configurations sur site
Environnement de charge de travail Adresse IP privée Adresse IP publique Description Direct Connecteur Direct Connecteur Ordinateur portable du développeur ❌️ ❌️ ✅ ✅ Nous vous recommandons d'utiliser la gcloud beta alloydb connectcommande. Vous pouvez également utiliser le proxy d'authentification avec une adresse IP publique. Il est possible de se connecter à une adresse IP privée, mais cela nécessite une configuration supplémentaire.Cloud Shell ❌ ❌ ✅ ✅ Nous vous recommandons d'utiliser la gcloud beta alloydb connectcommande. Vous pouvez également utiliser le proxy d'authentification avec une adresse IP publique à partir de Cloud Shell. Il est possible de se connecter à une adresse IP privée, mais cela nécessite une configuration supplémentaire.Cloud Run, Cloud Functions v2 ✅ ✅ ✅ ✅ Nécessite un connecteur d'accès au VPC sans serveur ou une sortie VPC directe. App Engine Standard, Flex ✅ ✅ ✅ ✅ Nécessite un connecteur d'accès au VPC sans serveur. GKE, Compute Engine ✅ ✅ ✅ ✅ Nous vous recommandons d'utiliser une adresse IP privée. Utilisez l'accès aux services privés lorsque vous n'avez pas besoin d'appairage de VPC transitif. Sinon, utilisez Private Service Connect. Sur site ✅ ✅ ✅ ✅ Une adresse IP privée nécessite un chemin réseau entre l'environnement sur site et l'instance cible. Une adresse IP publique avec des connecteurs de langage ou avec le proxy d'authentification est une alternative sécurisée qui ne nécessite pas de configuration réseau étendue.
Bonnes pratiques de connectivité en fonction de votre charge de travail
Lorsque vous vous connectez à AlloyDB, tenez compte des points suivants en fonction de votre environnement de charge de travail.
Cloud Shell
- Utilisez le proxy d'authentification
avec
une adresse IP publique
pour vous connecter à Cloud Shell. Cloud Shell n'est pas compatible avec la connexion à un VPC. Il n'est pas connecté à l'accès aux services privés ni aux instances Private Service Connect. De plus, Cloud Shell ne dispose pas d'adresse IP sortante stable à utiliser dans les réseaux autorisés. Si vous n'utilisez pas le proxy d'authentification ni les connecteurs de langage, vous devez autoriser toutes les plages d'adresses IP, par exemple
0.0.0.0/0. Nous ne recommandons pas cette approche pour les instances de production.
Cloud Run et Cloud Functions v2
- Pour les adresses IP privées, les connexions directes, les connecteurs de langage ou le proxy d'authentification doivent utiliser la sortie VPC directe.
- Pour les adresses IP publiques, vous devez utiliser des connecteurs de langage
ou le proxy d'authentification.
Vous pouvez également autoriser toutes les plages d'adresses IP (par exemple,
0.0.0.0/0) dans les réseaux autorisés, mais cela n'est pas recommandé pour les instances de production en raison du risque de sécurité.
Environnement standard App Engine et environnement flexible App Engine
- Utilisez un connecteur d'accès au VPC sans serveur pour les adresses IP privées, que vous utilisiez un connecteur de langage ou le proxy d'authentification.
- Pour les adresses IP publiques, vous devez utiliser des connecteurs de langage ou le proxy d'authentification.
Vous pouvez également autoriser toutes les plages d'adresses IP(c'est-à-dire
0.0.0.0/0) dans les réseaux autorisés. Toutefois, en raison des risques de sécurité, nous ne recommandons pas cette approche pour les instances de production.
GKE et Compute Engine
- Vous pouvez utiliser des connexions directes, des connecteurs de langage ou le proxy d'authentification pour vous connecter à AlloyDB.
Sur site
- Vous pouvez utiliser des connexions directes, des connecteurs de langage ou le proxy d'authentification pour vous connecter à AlloyDB. Les connecteurs de langage et le proxy d'authentification ne créent pas de chemin réseau. Assurez-vous qu'il existe un chemin réseau entre votre charge de travail et l'instance AlloyDB.
Connexions sécurisées avec le proxy d'authentification et les connecteurs AlloyDB
Les connecteurs de langage AlloyDB et le proxy d'authentification AlloyDB offrent des fonctionnalités de sécurité améliorées, telles que
l'intégration IAM et mTLS,
mais ces fonctionnalités nécessitent une configuration
supplémentaire. Les connexions directes, bien que chiffrées par défaut, ne sont pas compatibles avec les certificats clients ni avec les modes SSL supérieurs (verify-ca et verify-full). Nous vous recommandons d'utiliser des connecteurs de langage ou le proxy d'authentification avec une adresse IP publique, et d'utiliser des connexions directes pour les adresses IP privées uniquement lorsque les connecteurs de langage ou le proxy d'authentification ne sont pas possibles.
| Connexion chiffrée | Authentification IAM | Autorisation IAM | mTLS | |
|---|---|---|---|---|
| Connexion directe | ✅ | ✅ | ❌ | ❌ |
| Connecteurs de langage ou proxy d'authentification | ✅ | ✅ | ✅ | ✅ |
Bonnes pratiques pour une connectivité sécurisée
- Lorsque vous créez un cluster, vous devez spécifier une interface IP privée pour que le cluster puisse être créé. Si vous souhaitez utiliser une adresse IP publique, nous vous recommandons de choisir Private Service Connect comme interface IP privée.
- Utilisez des connecteurs de langage ou le proxy d'authentification pour les fonctionnalités de sécurité telles que l'autorisation et l'authentification IAM, et mTLS, même si elles nécessitent une configuration. Par exemple, cette approche est bien adaptée si vous souhaitez exécuter le proxy d'authentification AlloyDB en tant que side-car ou si vous souhaitez utiliser un connecteur de langage AlloyDB. Si vous utilisez des connecteurs de langage ou le proxy d'authentification, la latence de votre connexion à la base de données peut augmenter légèrement.
- Utilisez des connexions directes pour des performances optimales et lorsque les connecteurs de langage ou le proxy d'authentification ne sont pas possibles. Les connexions directes sont chiffrées par défaut (
sslmode=require), mais elles ne sont pas compatibles avec les certificats clients ni avec les modes SSL supérieurs. N'utilisez les connexions directes que lorsque les connecteurs de langage ou le proxy d'authentification ne peuvent pas être utilisés.
Évaluer votre topologie réseau
Pour la topologie réseau, nous vous recommandons d'utiliser l'accès aux services privés pour les connexions AlloyDB. Utilisez Private Service Connect pour éviter les problèmes d'appairage transitif avec plusieurs VPC. Les adresses IP publiques conviennent aux connexions provenant de produits non-Google Cloud SaaS, en particulier lorsque les adresses IP privées ne sont pas pratiques.
| Connexions multi-VPC | Clients SaaS non Google | Compatible avec les connexions sur site | Description | |
|---|---|---|---|---|
| Accès aux services privés | ❌ | ❌ | ✅ | La connectivité VPC transitive n'est pas compatible par défaut. Vous pouvez exécuter manuellement un proxy socks5 pour la connectivité entre les VPC, mais cette approche est complexe. |
| Private Service Connect | ✅ | ❌ | ✅ | Fournit la configuration la plus simple lorsque vous souhaitez vous connecter à AlloyDB à partir de plusieurs VPC. |
| Adresse IP publique | ✅ | ✅ | ✅ | Pour éviter d'avoir à identifier les plages CIDR de la charge de travail source pour les réseaux autorisés, il est préférable d'associer l'adresse IP publique aux connecteurs de langage ou au proxy d'authentification. |
Bonnes pratiques de connectivité en fonction de votre topologie réseau
- Par défaut, utilisez l'accès aux services privés.
- Lorsque vous utilisez plusieurs VPC, utilisez Private Service Connect pour contourner les problèmes d'appairage transitif.
- Pour les produits non-Google Cloud SaaS, choisissez une topologie de réseau public lorsque vous vous intégrez à des produits SaaS (Software-as-a-Service) qui ne sont pas hébergés sur Google Cloud, en particulier si la connectivité IP privée n'est pas possible. L'adresse IP privée est activée par défaut. Vous devez donc configurer explicitement l'adresse IP publique dans ces scénarios.
- Dans la mesure du possible, utilisez les connecteurs de langage ou le proxy d'authentification lorsque vous utilisez une adresse IP publique pour établir une connexion sécurisée sans avoir à configurer de réseaux autorisés.
Étape suivante
- Créer une base de données et l'interroger.
- Se connecter à l'aide de l'outil de ligne de commande
gcloud. - Se connecter depuis Compute Engine.
- Se connecter depuis Cloud Shell à l'aide du proxy d'authentification.
- Se connecter via Cloud VPN ou Cloud Interconnect.
- Découvrir les concepts de connexion AlloyDB.