Questa pagina descrive le opzioni per connetterti ad AlloyDB per PostgreSQL, incluso quando utilizzare il proxy di autenticazione AlloyDB o un connettore AlloyDB. Ti aiuta a scegliere l'opzione migliore per il tuo workload, sia che tu debba connetterti utilizzando Private Service Connect o altri metodi.
Per saperne di più, consulta la panoramica sulla connessione.
In questo documento imparerai a:
- Che tipo di configurazione di rete utilizzare con AlloyDB.
- Come connetterti in modo sicuro.
- Best practice per la connessione.
- In che modo la località del workload influisce sui requisiti di connettività.
Opzioni consigliate per la connessione ad AlloyDB
Utilizza la tabella seguente per scoprire le opzioni di connettività consigliate per i tuoi workload:
- Se le connessioni dirette, i connettori dei linguaggi o il proxy di autenticazione sono consigliati per IP privato (accesso privato ai servizi o Private Service Connect) e IP pubblico.
- Requisiti di connessione come l'accesso VPC (Virtual Private Cloud) serverless, il connettore e l'uscita VPC diretta. Per saperne di più, consulta Confrontare l'uscita VPC diretta e i connettori VPC | Documentazione di Cloud Run.
- Considerazioni per IP privato (accesso privato ai servizi rispetto a Private Service Connect) e IP pubblico.
Valuta il tuo workload
Prima di scegliere un'opzione di connettività, valuta il tuo workload. AlloyDB supporta la connettività per l'ambiente del workload per quanto segue:
- Cloud Run, Cloud Shell e prodotti SaaS non Google
- Cloud Functions v2
- Ambiente flessibile di App Engine e ambiente standard di App Engine
- Google Kubernetes Engine e Compute Engine
Configurazioni on-premise
Ambiente del workload IP privato IP pubblico Descrizione Diretto Connettore Diretto Connettore Laptop dello sviluppatore ❌️ ❌️ ✅ ✅ Ti consigliamo di utilizzare il gcloud beta alloydb connectcomando. In alternativa, puoi utilizzare il proxy di autenticazione con IP pubblico. La connessione a IP privato è possibile, ma richiede una configurazione aggiuntiva.Cloud Shell ❌ ❌ ✅ ✅ Ti consigliamo di utilizzare il gcloud beta alloydb connectcomando. In alternativa, puoi utilizzare il proxy di autenticazione con IP pubblico da Cloud Shell. La connessione a IP privato è possibile, ma richiede una configurazione aggiuntiva.Cloud Run, Cloud Functions v2 ✅ ✅ ✅ ✅ Richiede il connettore di accesso VPC serverless o l'uscita VPC diretta. App Engine Standard, Flex ✅ ✅ ✅ ✅ Richiede il connettore di accesso VPC serverless. GKE, Compute Engine ✅ ✅ ✅ ✅ Ti consigliamo di utilizzare IP privato. Utilizza l'accesso privato ai servizi quando non hai bisogno del peering VPC transitivo. In caso contrario, utilizza Private Service Connect. On-premise ✅ ✅ ✅ ✅ L'IP privato richiede un percorso di rete on-premise all'istanza di destinazione. L'IP pubblico con i connettori dei linguaggi o con il proxy di autenticazione è un'alternativa sicura che non richiede una configurazione di rete estesa.
Best practice per la connettività in base al workload
Quando ti connetti ad AlloyDB, tieni presente quanto segue in base all'ambiente del workload.
Cloud Shell
- Utilizza il proxy di autenticazione
con
IP pubblico
per connetterti a Cloud Shell. Cloud Shell non supporta la connessione a un VPC. Non ha connettività con le istanze di accesso privato ai servizi o Private Service Connect. Inoltre, Cloud Shell non ha un indirizzo IP in uscita stabile da utilizzare nelle reti autorizzate. Se non utilizzi il proxy di autenticazione o i connettori dei linguaggi, devi consentire tutti gli intervalli di indirizzi IP, ad esempio
0.0.0.0/0. Non consigliamo questo approccio per le istanze di produzione.
Cloud Run e Cloud Functions v2
- Per l'IP privato, sia i connettori diretti che i connettori di linguaggio o il proxy di autenticazione devono utilizzare l'uscita VPC diretta.
- Per l'IP pubblico, devi utilizzare i connettori dei linguaggi
o il proxy di autenticazione.
In alternativa, puoi consentire tutti gli intervalli di indirizzi IP, ad esempio
0.0.0.0/0, nelle reti autorizzate, ma questa opzione non è consigliata per le istanze di produzione a causa del rischio per la sicurezza.
Ambiente standard di App Engine e ambiente flessibile di App Engine
- Utilizza un connettore di accesso VPC serverless per l'IP privato, indipendentemente dal fatto che tu stia utilizzando un connettore dei linguaggi o il proxy di autenticazione.
- Per l'IP pubblico, devi utilizzare i connettori dei linguaggi o il proxy di autenticazione.
In alternativa, puoi consentire tutti gli intervalli di indirizzi IP(ad es.
0.0.0.0/0) nelle reti autorizzate. Tuttavia, a causa dei rischi per la sicurezza, non consigliamo questo approccio per le istanze di produzione.
GKE e Compute Engine
- Puoi utilizzare sia le connessioni dirette sia i connettori dei linguaggi o il proxy di autenticazione per connetterti ad AlloyDB.
On-premise
- Puoi utilizzare sia le connessioni dirette sia i connettori dei linguaggi o il proxy di autenticazione per connetterti ad AlloyDB. I connettori dei linguaggi e il proxy di autenticazione non creano un percorso di rete. Assicurati che esista un percorso di rete tra il workload e l'istanza AlloyDB.
Connessioni sicure con il proxy di autenticazione AlloyDB e i connettori
I connettori dei linguaggi AlloyDB e il proxy di autenticazione AlloyDB forniscono funzionalità di sicurezza avanzate come
l'integrazione IAM e mTLS,
ma queste funzionalità richiedono una configurazione
aggiuntiva. Le connessioni dirette, sebbene criptate per impostazione predefinita, non supportano i certificati client o le modalità SSL superiori: verify-ca e verify-full. Ti consigliamo di utilizzare i connettori dei linguaggi o il proxy di autenticazione con IP pubblico e di utilizzare le connessioni dirette per IP privato solo quando i connettori dei linguaggi o il proxy di autenticazione non sono fattibili.
| Connessione criptata | Autenticazione IAM | Autorizzazione IAM | mTLS | |
|---|---|---|---|---|
| Connessione diretta | ✅ | ✅ | ❌ | ❌ |
| Connettori dei linguaggi o proxy di autenticazione | ✅ | ✅ | ✅ | ✅ |
Best practice per la connettività sicura
- Quando crei un cluster, devi specificare un'interfaccia IP privata in modo che il cluster possa essere creato. Se vuoi utilizzare l'IP pubblico, ti consigliamo di scegliere Private Service Connect come interfaccia IP privata.
- Utilizza i connettori dei linguaggi o il proxy di autenticazione per le funzionalità di sicurezza come l'autenticazione e l'autorizzazione IAM e mTLS, anche se richiedono una configurazione. Ad esempio, questo approccio è adatto se vuoi eseguire il proxy di autenticazione AlloyDB come sidecar o se vuoi utilizzare un connettore dei linguaggi AlloyDB. Se utilizzi i connettori dei linguaggi o il proxy di autenticazione, la connessione al database potrebbe subire un piccolo aumento della latenza.
- Utilizza le connessioni dirette per prestazioni ottimali e quando i connettori dei linguaggi o il proxy di autenticazione non sono fattibili. Le connessioni dirette sono criptate per impostazione predefinita (
sslmode=require), ma non supportano i certificati client o le modalità SSL superiori. Utilizza le connessioni dirette solo quando non è possibile utilizzare i connettori dei linguaggi o il proxy di autenticazione.
Valuta la topologia di rete
Per la topologia di rete, ti consigliamo di utilizzare l'accesso privato ai servizi per le connessioni AlloyDB. Utilizza Private Service Connect per evitare problemi di peering transitivo con più VPC. L'IP pubblico è adatto per le connessioni da prodotti non-Google Cloud SaaS, soprattutto quando l'IP privato non è pratico.
| Connessioni multi-VPC | Client SaaS non Google | Supporta le connessioni on-premise | Descrizione | |
|---|---|---|---|---|
| Accesso privato ai servizi | ❌ | ❌ | ✅ | Per impostazione predefinita, la connettività VPC transitiva non è supportata. Puoi eseguire manualmente un proxy socks5 per la connettività tra VPC, ma questo approccio è complesso. |
| Private Service Connect | ✅ | ❌ | ✅ | Fornisce la configurazione più semplice quando vuoi connetterti ad AlloyDB da più di un VPC. |
| IP pubblico | ✅ | ✅ | ✅ | Per evitare di dover identificare gli intervalli CIDR del workload di origine per le reti autorizzate, l'IP pubblico è ideale se abbinato ai connettori dei linguaggi o al proxy di autenticazione. |
Best practice per la connettività in base alla topologia di rete
- Imposta l'accesso privato ai servizi come predefinito.
- Quando hai a che fare con più VPC, utilizza Private Service Connect per aggirare i problemi di peering transitivo.
- Per i prodotti non-Google Cloud SaaS, scegli una topologia di rete pubblica quando esegui l'integrazione con prodotti Software as a Service (SaaS) non ospitati su Google Cloud, soprattutto se la connettività IP privata non è fattibile. L'IP privato è abilitato per impostazione predefinita, quindi devi configurare esplicitamente l'IP pubblico in questi scenari.
- Quando possibile, utilizza i connettori dei linguaggi o il proxy di autenticazione quando utilizzi l'IP pubblico per ottenere una connessione sicura senza dover configurare le reti autorizzate.
Passaggi successivi
- Crea ed esegui query su un database.
- Connettiti utilizzando lo strumento a riga di comando
gcloud. - Connettiti da Compute Engine.
- Connettiti da Cloud Shell utilizzando il proxy di autenticazione.
- Connettiti tramite Cloud VPN o Cloud Interconnect.
- Scopri i concetti di connessione di AlloyDB.