Halaman ini menjelaskan opsi konektivitas AlloyDB untuk PostgreSQL dan membantu Anda memilih opsi yang paling sesuai dengan workload, topologi jaringan, dan persyaratan konektivitas aman Anda. Untuk mengetahui informasi selengkapnya, lihat Ringkasan koneksi.
Dalam dokumen ini, Anda akan mempelajari hal-hal berikut:
- Jenis penyiapan jaringan yang akan digunakan dengan AlloyDB.
- Cara terhubung dengan aman.
- Praktik terbaik koneksi.
- Bagaimana lokasi beban kerja memengaruhi persyaratan konektivitas Anda.
Opsi konektivitas yang direkomendasikan
Gunakan tabel berikut untuk mempelajari opsi konektivitas yang direkomendasikan untuk beban kerja Anda:
- Apakah koneksi langsung, atau Konektor Bahasa atau Proxy Auth, direkomendasikan untuk IP pribadi (akses layanan pribadi atau Private Service Connect) dan IP publik.
- Persyaratan koneksi seperti Konektor Akses Virtual Private Cloud (VPC) Serverless, dan Egress VPC Langsung. Untuk mengetahui informasi selengkapnya, lihat Membandingkan Traffic keluar VPC langsung dan konektor VPC | Dokumentasi Cloud Run.
- Pertimbangan untuk IP pribadi—akses layanan pribadi versus Private Service Connect—dan IP publik.
Evaluasi workload Anda
Sebelum memilih opsi konektivitas, nilai beban kerja Anda. AlloyDB mendukung konektivitas untuk lingkungan beban kerja Anda untuk berikut ini:
- Cloud Run, Cloud Shell, dan produk SaaS non-Google
- Cloud Functions v2
- Lingkungan fleksibel App Engine dan lingkungan standar App Engine
- Google Kubernetes Engine dan Compute Engine
- Penyiapan lokal
| Lingkungan beban kerja | IP Pribadi | IP Publik | Deskripsi | ||
|---|---|---|---|---|---|
| Langsung | Konektor | Langsung | Konektor | ||
| Cloud Shell | ❌ | ❌ | ❌ | ✅ | Cloud Shell memerlukan IP publik. |
| Cloud Run, Cloud Functions v2 | ✅ | ✅ | ❌ | ✅ | Memerlukan Konektor Akses VPC Serverless, atau Traffic Keluar VPC Langsung. |
| App Engine Standard, Flex | ✅ | ✅ | ❌ | ✅ | Memerlukan Konektor Akses VPC Serverless. |
| GKE, Compute Engine | ✅ | ✅ | ✅ | ✅ | Sebaiknya gunakan IP pribadi. Gunakan akses layanan pribadi jika Anda tidak memerlukan Peering VPC transitif. Jika tidak, gunakan Private Service Connect. |
| Lokal | ✅ | ✅ | ✅ | ✅ | IP pribadi memerlukan jalur jaringan dari lokal ke instance target. IP publik dengan Konektor Bahasa atau dengan Proxy Auth adalah alternatif aman yang tidak memerlukan penyiapan jaringan yang ekstensif. |
Praktik terbaik untuk konektivitas berdasarkan workload Anda
Saat Anda terhubung ke AlloyDB, pertimbangkan hal berikut berdasarkan lingkungan workload Anda.
Cloud Shell
- Gunakan Proxy Auth dengan IP publik untuk terhubung dengan Cloud Shell. Cloud Shell tidak mendukung koneksi ke VPC. Tidak ada konektivitas ke instance Private Service Connect atau akses layanan pribadi. Selain itu, Cloud Shell tidak memiliki alamat IP keluar yang stabil untuk digunakan di Jaringan yang Diizinkan.
Cloud Run dan Cloud Functions v2
- Untuk IP pribadi, baik konektor langsung maupun Language Connector atau Proxy Auth harus menggunakan traffic keluar VPC Langsung.
- Untuk IP publik, Anda harus menggunakan Language Connectors atau Proxy Auth.
Lingkungan standar App Engine dan lingkungan fleksibel App Engine
- Gunakan Konektor Akses VPC Serverless untuk IP pribadi, terlepas dari apakah Anda menggunakan Konektor Bahasa atau Proxy Auth.
- Untuk IP publik, Anda harus menggunakan Language Connector atau Proxy Auth.
GKE dan Compute Engine
- Anda dapat menggunakan koneksi langsung dan Language Connector atau Proxy Auth untuk terhubung ke AlloyDB.
Lokal
- Anda dapat menggunakan koneksi langsung dan Language Connector atau Proxy Auth untuk terhubung ke AlloyDB. Language Connector dan Proxy Auth tidak membuat jalur jaringan. Pastikan ada jalur jaringan antara workload Anda dan instance AlloyDB.
Menilai kebutuhan konektivitas aman Anda
Konektor Bahasa atau Proxy Auth untuk AlloyDB menyediakan fitur keamanan yang ditingkatkan seperti integrasi IAM dan mTLS, tetapi fitur ini memerlukan penyiapan tambahan. Koneksi langsung, meskipun dienkripsi secara default, tidak mendukung sertifikat klien atau mode SSL yang lebih tinggi—verify-ca dan verify-full. Sebaiknya gunakan Language Connector
atau Proxy Auth dengan
IP publik dan gunakan koneksi langsung untuk IP pribadi hanya jika
Language Connector atau Proxy Auth tidak memungkinkan.
| Koneksi terenkripsi | Autentikasi IAM | Otorisasi IAM | mTLS | |
|---|---|---|---|---|
| Koneksi langsung | ✅ | ✅ | ❌ | ❌ |
| Language Connectors atau Proxy Auth | ✅ | ✅ | ✅ | ✅ |
Praktik terbaik untuk konektivitas yang aman
- Saat membuat cluster, Anda harus menentukan antarmuka IP pribadi agar cluster dapat dibuat. Jika Anda ingin menggunakan IP publik, sebaiknya pilih Private Service Connect sebagai antarmuka IP pribadi.
- Gunakan Language Connector atau Auth Proxy untuk fitur keamanan seperti otorisasi dan autentikasi IAM, serta mTLS, meskipun memerlukan beberapa penyiapan. Misalnya, pendekatan ini cocok jika Anda ingin menjalankan Proxy Auth sebagai sidecar atau ingin menggunakan Language Connector. Jika Anda menggunakan Konektor Bahasa atau Proxy Auth, koneksi database Anda mungkin mengalami sedikit peningkatan latensi.
- Gunakan koneksi langsung untuk performa optimal, dan saat Konektor Bahasa atau Proxy Auth tidak memungkinkan. Koneksi langsung dienkripsi secara default
(
sslmode=require), tetapi tidak memiliki dukungan untuk sertifikat klien atau mode SSL yang lebih tinggi. Gunakan koneksi langsung hanya jika Language Connector atau Proxy Auth tidak dapat digunakan.
Menilai topologi jaringan Anda
Untuk topologi jaringan, sebaiknya gunakan akses layanan pribadi untuk koneksi AlloyDB. Gunakan Private Service Connect untuk menghindari masalah peering transitif dengan beberapa VPC. IP publik cocok untuk koneksi dari produk non-Google Cloud SaaS, terutama jika IP pribadi tidak praktis.
| Koneksi multi-VPC | Klien SaaS non-Google | Mendukung koneksi lokal | Deskripsi | |
|---|---|---|---|---|
| Private services access | ❌ | ❌ | ✅ | Konektivitas VPC transitif tidak didukung secara default. Anda dapat menjalankan proxy socks5 secara manual untuk konektivitas lintas-VPC, tetapi pendekatan ini rumit. |
| Private Service Connect | ✅ | ❌ | ✅ | Menyediakan konfigurasi paling sederhana saat Anda ingin terhubung ke AlloyDB dari lebih dari satu VPC. |
| IP Publik | ✅ | ✅ | ✅ | Untuk menghindari keharusan mengidentifikasi rentang CIDR workload sumber untuk Jaringan yang Diizinkan, IP publik paling baik dipasangkan dengan Language Connector atau Auth Proxy. |
Praktik terbaik untuk konektivitas berdasarkan topologi jaringan Anda
- Default ke akses layanan pribadi.
- Saat Anda berurusan dengan beberapa VPC, gunakan Private Service Connect untuk mengatasi masalah peering transitif.
- Untuk produk non-Google Cloud SaaS, pilih topologi jaringan publik saat Anda berintegrasi dengan produk Software-as-a-Service (SaaS) yang tidak dihosting di Google Cloud, terutama jika konektivitas IP pribadi tidak memungkinkan. IP pribadi diaktifkan secara default, jadi Anda harus mengonfigurasi IP publik secara eksplisit dalam skenario ini.
- Jika memungkinkan, gunakan Language Connector atau Proxy Auth saat Anda menggunakan IP Publik untuk mendapatkan koneksi yang aman tanpa harus mengonfigurasi Jaringan yang Diizinkan.
Langkah berikutnya
- Membuat dan terhubung ke database.
- Ringkasan koneksi.
- Hubungkan melalui Cloud VPN atau Cloud Interconnect.