Questa pagina descrive le opzioni di connettività di AlloyDB per PostgreSQL e ti aiuta a scegliere l'opzione più adatta al tuo workload, alla topologia di rete e ai requisiti di connettività sicura. Per saperne di più, consulta la panoramica della connessione.
In questo documento imparerai:
- Quale tipo di configurazione di rete utilizzare con AlloyDB.
- Come connettersi in modo sicuro.
- Best practice per la connessione.
- In che modo la posizione del carico di lavoro influisce sui requisiti di connettività.
Opzioni di connettività consigliate
Utilizza la seguente tabella per scoprire le opzioni di connettività consigliate per i tuoi carichi di lavoro:
- Se le connessioni dirette, i connettori di lingua o il proxy di autenticazione sono consigliati per IP privato (accesso privato ai servizi o Private Service Connect) e IP pubblico.
- Requisiti di connessione come il connettore di accesso VPC (Virtual Private Cloud) serverless e il traffico VPC diretto in uscita. Per ulteriori informazioni, consulta Confronto tra l'uscita VPC diretto e i connettori VPC | Documentazione di Cloud Run.
- Considerazioni per l'IP privato: accesso privato ai servizi rispetto a Private Service Connect e IP pubblico.
Valuta il tuo workload
Prima di scegliere un'opzione di connettività, valuta il tuo workload. AlloyDB supporta la connettività per l'ambiente dei workload per quanto segue:
- Cloud Run, Cloud Shell e prodotti SaaS non Google
- Cloud Functions v2
- Ambiente flessibile di App Engine e ambiente standard di App Engine
- Google Kubernetes Engine e Compute Engine
- Configurazioni on-premise
| Ambiente dei workload | IP privato | IP pubblico | Descrizione | ||
|---|---|---|---|---|---|
| Diretto | Connettore | Diretto | Connettore | ||
| Cloud Shell | ❌ | ❌ | ❌ | ✅ | Cloud Shell richiede un IP pubblico. |
| Cloud Run, Cloud Functions v2 | ✅ | ✅ | ❌ | ✅ | Richiede il connettore di accesso VPC serverless o il traffico VPC diretto in uscita. |
| App Engine Standard, Flex | ✅ | ✅ | ❌ | ✅ | Richiede il connettore di accesso VPC serverless. |
| GKE, Compute Engine | ✅ | ✅ | ✅ | ✅ | Ti consigliamo di utilizzare un IP privato. Utilizza l'accesso privato ai servizi quando non è richiesto il peering VPC transitivo. Altrimenti, utilizza Private Service Connect. |
| On-premise | ✅ | ✅ | ✅ | ✅ | L'IP privato richiede un percorso di rete dall'ambiente on-premise all'istanza di destinazione. L'IP pubblico con i connettori dei linguaggi o con il proxy di autenticazione è un'alternativa sicura che non richiede una configurazione di rete complessa. |
Best practice per la connettività in base al tuo workload
Quando ti connetti ad AlloyDB, considera quanto segue in base all'ambiente del carico di lavoro.
Cloud Shell
- Utilizza il proxy di autenticazione con IP pubblico per connetterti a Cloud Shell. Cloud Shell non supporta la connessione a un VPC. Non ha connettività con l'accesso privato ai servizi o le istanze Private Service Connect. Inoltre, Cloud Shell non ha un indirizzo IP in uscita stabile da utilizzare nelle reti autorizzate.
Cloud Run e Cloud Functions v2
- Per l'IP privato, sia i connettori diretti che quelli di linguaggio o il proxy di autenticazione devono utilizzare l'uscita VPC diretta.
- Per l'IP pubblico, devi utilizzare i connettori dei linguaggi o il proxy di autenticazione.
Ambiente standard di App Engine e ambiente flessibile di App Engine
- Utilizza un connettore di accesso VPC serverless per l'IP privato, indipendentemente dal fatto che utilizzi un connettore di linguaggio o il proxy di autenticazione.
- Per l'IP pubblico, devi utilizzare i connettori dei linguaggi o il proxy di autenticazione.
GKE e Compute Engine
- Puoi utilizzare sia le connessioni dirette sia i connettori dei linguaggi o il proxy di autenticazione per connetterti ad AlloyDB.
On-premise
- Puoi utilizzare sia le connessioni dirette sia i connettori dei linguaggi o il proxy di autenticazione per connetterti ad AlloyDB. I connettori dei linguaggi e il proxy di autenticazione non creano un percorso di rete. Assicurati che esista un percorso di rete tra il tuo carico di lavoro e l'istanza AlloyDB.
Valuta le tue esigenze di connettività sicura
I connettori di linguaggio o il proxy di autenticazione per AlloyDB forniscono funzionalità di sicurezza avanzate come l'integrazione di IAM e mTLS, ma queste funzionalità richiedono una configurazione aggiuntiva. Le connessioni dirette, sebbene criptate per impostazione predefinita, non supportano i certificati client o le modalità SSL superiori, ovvero verify-ca e verify-full. Ti consigliamo di utilizzare i connettori dei linguaggi o il proxy di autenticazione con IP pubblico e di utilizzare connessioni dirette per l'IP privato solo quando i connettori dei linguaggi o il proxy di autenticazione non sono fattibili.
| Connessione criptata | Autenticazione IAM | Autorizzazione IAM | mTLS | |
|---|---|---|---|---|
| Connessione diretta | ✅ | ✅ | ❌ | ❌ |
| Connettori dei linguaggi o proxy di autenticazione | ✅ | ✅ | ✅ | ✅ |
Best practice per la connettività sicura
- Quando crei un cluster, devi specificare un'interfaccia IP privata in modo che il cluster possa essere creato. Se vuoi utilizzare l'IP pubblico, ti consigliamo di scegliere Private Service Connect come interfaccia IP privato.
- Utilizza i connettori di linguaggio o il proxy di autenticazione per le funzionalità di sicurezza come l'autenticazione e l'autorizzazione IAM e mTLS, anche se richiedono una configurazione. Ad esempio, questo approccio è ideale se vuoi eseguire il proxy di autenticazione come sidecar o se vuoi utilizzare un connettore di linguaggio. Se utilizzi i connettori dei linguaggi o il proxy di autenticazione, la connessione al database potrebbe registrare un leggero aumento della latenza.
- Utilizza connessioni dirette per prestazioni ottimali e quando i connettori dei linguaggi o il proxy di autenticazione non sono fattibili. Le connessioni dirette sono criptate per impostazione predefinita
(
sslmode=require), ma non supportano i certificati client o modalità SSL superiori. Utilizza le connessioni dirette solo quando non è possibile utilizzare i connettori dei linguaggi o il proxy di autenticazione.
Valutare la topologia di rete
Per la topologia di rete, ti consigliamo di utilizzare l'accesso privato ai servizi per le connessioni AlloyDB. Utilizza Private Service Connect per evitare problemi di peering transitivo con più VPC. L'IP pubblico è adatto per le connessioni da prodotti SaaS nonGoogle Cloud , soprattutto quando l'IP privato non è pratico.
| Connessioni multi-VPC | Client SaaS non Google | Supporta le connessioni on-premise | Descrizione | |
|---|---|---|---|---|
| Accesso privato ai servizi | ❌ | ❌ | ✅ | La connettività VPC transitiva non è supportata per impostazione predefinita. Puoi eseguire un proxy SOCKS5 manualmente per la connettività tra VPC, ma questo approccio è complesso. |
| Private Service Connect | ✅ | ❌ | ✅ | Fornisce la configurazione più semplice quando vuoi connetterti ad AlloyDB da più di un VPC. |
| IP pubblico | ✅ | ✅ | ✅ | Per evitare di dover identificare gli intervalli CIDR del workload di origine per le reti autorizzate, l'IP pubblico è meglio abbinato ai connettori di linguaggio o al proxy di autenticazione. |
Best practice per la connettività in base alla topologia di rete
- Impostazione predefinita dell'accesso privato ai servizi.
- Quando hai a che fare con più VPC, utilizza Private Service Connect per evitare problemi di peering transitivo.
- Per i prodotti non SaaS, scegli una topologia di rete pubblica quando esegui l'integrazione con prodotti Software as a Service (SaaS) non ospitati su Google Cloud, soprattutto se la connettività IP privato non è fattibile.Google Cloud L'IP privato è abilitato per impostazione predefinita, quindi devi configurare esplicitamente l'IP pubblico in questi scenari.
- Quando possibile, utilizza i connettori dei linguaggi o il proxy di autenticazione quando utilizzi l'IP pubblico per ottenere una connessione sicura senza dover configurare le reti autorizzate.
Passaggi successivi
- Crea e connettiti a un database.
- Panoramica della connessione.
- Connettiti tramite Cloud VPN o Cloud Interconnect.