בדף הזה מוסבר על האפשרויות לחיבור ל-AlloyDB ל-PostgreSQL, כולל מתי כדאי להשתמש ב-AlloyDB Auth Proxy או ב-AlloyDB Connector. הוא עוזר לכם לבחור את האפשרות הכי טובה לעומס העבודה שלכם, בין אם אתם צריכים להתחבר באמצעות Private Service Connect או בשיטות אחרות.
מידע נוסף זמין במאמר סקירה כללית על חיבורים.
במסמך הזה נסביר:
- איזה סוג של הגדרת רשת צריך להשתמש ב-AlloyDB.
- איך מתחברים בצורה מאובטחת.
- שיטות מומלצות לחיבור.
- איך המיקום של עומס העבודה משפיע על דרישות הקישוריות.
אפשרויות מומלצות להתחברות ל-AlloyDB
בטבלה הבאה מפורטות אפשרויות מומלצות לקישוריות של עומסי העבודה:
- האם מומלץ להשתמש בחיבורים ישירים, ב-Language Connectors או ב-Auth Proxy עבור כתובות IP פרטיות (גישה לשירותים פרטיים או Private Service Connect) ועבור כתובות IP ציבוריות.
- דרישות חיבור כמו מחבר גישה לרשת (VPC) מאפליקציית serverless ויציאה ישירה מרשת (VPC). מידע נוסף זמין במאמר השוואה בין תעבורת נתונים יוצאת ישירה מ-VPC לבין מחברי VPC | מאמרי עזרה בנושא Cloud Run.
- שיקולים לגבי כתובת IP פרטית – גישה לשירותים פרטיים לעומת Private Service Connect – וכתובת IP ציבורית.
הערכת עומס העבודה
לפני שבוחרים אפשרות קישוריות, צריך להעריך את עומס העבודה. AlloyDB תומך בקישוריות לסביבת עומס העבודה שלכם במקרים הבאים:
- Cloud Run, Cloud Shell ומוצרי SaaS שאינם של Google
- Cloud Functions v2
- הסביבה הגמישה של App Engine והסביבה הרגילה של App Engine
- Google Kubernetes Engine ו-Compute Engine
הגדרות מקומיות
סביבת עבודה כתובת IP פרטית כתובת IP ציבורית תיאור ישיר מחבר ישיר מחבר מחשב נייד למפתחים ❌️ ❌️ ✅ ✅ מומלץ להשתמש ב-Auth Proxy עם כתובת IP ציבורית ממחשב נייד של מפתח. אפשר להתחבר לכתובת IP פרטית, אבל צריך לבצע [הגדרה נוספת](/alloydb/docs/connect-external). Cloud Shell ❌ ❌ ✅ ✅ מומלץ להשתמש ב-Auth Proxy עם כתובת IP ציבורית מ-Cloud Shell. אפשר להתחבר לכתובת IP פרטית, אבל צריך לבצע [הגדרה נוספת](/alloydb/docs/connect-external). Cloud Run, Cloud Functions v2 ✅ ✅ ✅ ✅ נדרש מחבר של חיבור לרשת (VPC) מאפליקציית serverless או יציאה ישירה מרשת VPC. App Engine Standard, Flex ✅ ✅ ✅ ✅ נדרש מחבר של חיבור לרשת (VPC) מאפליקציית serverless. GKE, Compute Engine ✅ ✅ ✅ ✅ מומלץ להשתמש בכתובת IP פרטית. כדאי להשתמש בגישה לשירותים פרטיים כשלא נדרש קישור טרנזיטיבי בין רשתות VPC שכנות (peering). אחרת, צריך להשתמש ב-Private Service Connect. מקומי ✅ ✅ ✅ ✅ כדי להשתמש בכתובת IP פרטית, צריך נתיב רשת משרת מקומי למופע היעד. כתובת IP ציבורית עם מחברי שפה או עם שרת proxy לאימות היא חלופה מאובטחת שלא דורשת הגדרת רשת מקיפה.
שיטות מומלצות לקישוריות בהתאם לעומס העבודה
כשמתחברים ל-AlloyDB, כדאי להתחשב בשיקולים הבאים בהתאם לסביבת עומס העבודה.
Cloud Shell
- משתמשים בשרת proxy לאימות עם כתובת IP ציבורית כדי להתחבר ל-Cloud Shell. אי אפשר להתחבר ל-VPC באמצעות Cloud Shell. אין לו קישוריות לגישה לשירותים פרטיים או למופעים של Private Service Connect. בנוסף, ל-Cloud Shell אין כתובת IP יציבה ליציאה שאפשר להשתמש בה ברשתות מורשות. אם אתם לא משתמשים ב-AuthProxy או ב-Language Connectors, אתם צריכים לאשר את כל טווחי כתובות ה-IP – לדוגמה,
0.0.0.0/0. אנחנו לא ממליצים על הגישה הזו למופעי ייצור.
Cloud Run ו-Cloud Functions v2
- במקרה של כתובת IP פרטית, גם חיבור ישיר וגם מחברי שפה או שרת proxy לאימות צריכים להשתמש ביציאה ישירה מ-VPC.
- כדי להשתמש בכתובת IP ציבורית, צריך להשתמש במחברי שפות או בשרת Proxy לאימות.
אפשרות אחרת היא לאפשר את כל טווחי כתובות ה-IP – לדוגמה,
0.0.0.0/0– ברשתות מורשות, אבל לא מומלץ לעשות את זה במופעי ייצור בגלל סיכון האבטחה.
הסביבה הרגילה והסביבה הגמישה של App Engine
- להשתמש במחבר Serverless VPC Access לכתובת IP פרטית, בלי קשר לשאלה אם משתמשים במחבר שפה או ב-Auth Proxy.
- כדי להשתמש בכתובת IP ציבורית, צריך להשתמש ב-Language Connectors או ב-Auth Proxy.
לחלופין, אפשר לאשר את כל טווחי כתובות ה-IP(כלומר,
0.0.0.0/0) בקטע 'רשתות מורשות'. עם זאת, בגלל סיכוני אבטחה, אנחנו לא ממליצים על הגישה הזו במקרים של ייצור.
GKE ו-Compute Engine
- אתם יכולים להשתמש בחיבורים ישירים ובמחברי שפה או בשרת ה-proxy לאימות כדי להתחבר ל-AlloyDB.
מקומי
- אתם יכולים להשתמש בחיבורים ישירים ובמחברי שפה או בשרת ה-proxy לאימות כדי להתחבר ל-AlloyDB. מחברי השפה ואימות ה-Proxy לא יוצרים נתיב רשת. מוודאים שיש נתיב רשת בין עומס העבודה לבין מופע AlloyDB.
חיבורים מאובטחים באמצעות שרת proxy לאימות ורכיבי Connector של AlloyDB
ה-AlloyDB Language Connectors ו-AlloyDB Auth Proxy מספקים תכונות אבטחה משופרות כמו שילוב של IAM ו-mTLS, אבל התכונות האלה דורשות הגדרה נוספת. חיבורים ישירים מוצפנים כברירת מחדל, אבל הם לא תומכים באישורי לקוח או במצבי SSL מתקדמים יותר – verify-ca ו-verify-full. מומלץ להשתמש ב-Language Connectors או ב-Auth Proxy עם כתובת IP ציבורית, ולהשתמש בחיבורים ישירים לכתובת IP פרטית רק כשאי אפשר להשתמש ב-Language Connectors או ב-Auth Proxy.
| חיבור מוצפן | אימות IAM | הרשאה ב-IAM | mTLS | |
|---|---|---|---|---|
| חיבור ישיר | ✅ | ✅ | ❌ | ❌ |
| מחברי שפה או שרת proxy לאימות | ✅ | ✅ | ✅ | ✅ |
שיטות מומלצות לקישוריות מאובטחת
- כשיוצרים אשכול, צריך לציין ממשק IP פרטי כדי שאפשר יהיה ליצור את האשכול. אם רוצים להשתמש בכתובת IP ציבורית, מומלץ לבחור ב-Private Service Connect כממשק כתובת ה-IP הפרטית.
- כדאי להשתמש ב-Language Connectors או ב-Auth Proxy כדי להפעיל תכונות אבטחה כמו הרשאה ואימות של IAM ו-mTLS, גם אם נדרשת הגדרה מסוימת. לדוגמה, הגישה הזו מתאימה אם רוצים להריץ את שרת ה-proxy לאימות של AlloyDB כ-sidecar או אם רוצים להשתמש ב-AlloyDB Language Connector. אם אתם משתמשים ב-Language Connectors או ב-Auth Proxy, יכול להיות שזמן האחזור של חיבור מסד הנתונים יתארך מעט.
- מומלץ להשתמש בחיבורים ישירים כדי להשיג ביצועים אופטימליים, וכשאי אפשר להשתמש ב-Language Connectors או ב-Auth Proxy. חיבורים ישירים מוצפנים כברירת מחדל (
sslmode=require), אבל אין להם תמיכה באישור לקוח או במצבי SSL גבוהים יותר. מומלץ להשתמש בחיבורים ישירים רק אם אי אפשר להשתמש ב-Language Connectors או ב-Auth Proxy.
הערכת הטופולוגיה של הרשת
בטופולוגיית רשת, מומלץ להשתמש בגישה לשירותים פרטיים לחיבורים ל-AlloyDB. כדי להימנע מבעיות של קישוריות טרנזיטיבית בין רשתות שכנות (peering) עם כמה רשתות VPC, מומלץ להשתמש ב-Private Service Connect. כתובת IP ציבורית מתאימה לחיבורים ממוצרי SaaS שאינם שלGoogle Cloud , במיוחד כשכתובת IP פרטית לא מעשית.
| חיבורים לכמה רשתות VPC | לקוחות SaaS שאינם של Google | תמיכה בחיבורים מקומיים | תיאור | |
|---|---|---|---|---|
| גישה לשירותים פרטיים | ❌ | ❌ | ✅ | כברירת מחדל, אין תמיכה בקישוריות מעבר בין רשתות שכנות (peering) של VPC. אפשר להריץ פרוקסי socks5 באופן ידני כדי ליצור קישוריות בין VPC, אבל הגישה הזו מורכבת. |
| התחברות לשירות פרטי | ✅ | ❌ | ✅ | האפשרות הזו מספקת את ההגדרה הפשוטה ביותר כשרוצים להתחבר ל-AlloyDB מכמה רשתות VPC. |
| כתובת IP ציבורית | ✅ | ✅ | ✅ | כדי שלא תצטרכו לזהות את טווחי ה-CIDR של עומס העבודה במקור עבור רשתות מורשות, מומלץ לשלב את כתובת ה-IP הציבורית עם מחברי שפה או עם שרת Proxy לאימות. |
שיטות מומלצות לקישוריות בהתאם לטופולוגיה של הרשת
- ברירת המחדל היא גישה לשירותים פרטיים.
- כשעובדים עם כמה רשתות VPC, אפשר להשתמש ב-Private Service Connect כדי לעקוף בעיות של קישוריות טרנזיטיבית.
- אם אתם משלבים מוצרים שהם לאGoogle Cloud SaaS עם מוצרי תוכנה כשירות (SaaS) שלא מתארחים ב- Google Cloud, כדאי לבחור טופולוגיה של רשת ציבורית, במיוחד אם אי אפשר להשתמש בקישוריות של כתובות IP פרטיות. כתובת IP פרטית מופעלת כברירת מחדל, ולכן צריך להגדיר במפורש כתובת IP ציבורית בתרחישים האלה.
- בכל הזדמנות, מומלץ להשתמש ב-Language Connectors או ב-Auth Proxy כשמשתמשים בכתובת IP ציבורית כדי ליצור חיבור מאובטח בלי להגדיר רשתות מורשות.
המאמרים הבאים
- יצירה של מסד נתונים והרצת שאילתות בו.
- התחברות מ-Compute Engine.
- מתחברים מ-Cloud Shell באמצעות שרת proxy לאימות.
- התחברות דרך Cloud VPN או Cloud Interconnect.
- מושגים שקשורים לחיבור ל-AlloyDB