Esta página descreve as opções de conetividade do AlloyDB para PostgreSQL e ajuda a escolher a opção mais adequada à sua carga de trabalho, topologia de rede e requisitos de conetividade segura. Para mais informações, consulte a Vista geral da ligação.
Neste documento, fica a saber o seguinte:
- Que tipo de configuração de rede usar com o AlloyDB.
- Como estabelecer uma ligação segura.
- Práticas recomendadas de ligação.
- Como a localização da carga de trabalho afeta os requisitos de conetividade.
Opções de conetividade recomendadas
Use a tabela seguinte para saber as opções de conetividade recomendadas para as suas cargas de trabalho:
- Se as ligações diretas, os Language Connectors ou o proxy de autorização são recomendados para IP privado (acesso a serviços privados ou Private Service Connect) e IP público.
- Requisitos de ligação, como o conetor de acesso a nuvens virtuais privadas (VPC) sem servidor e a saída da VPC direta. Para mais informações, consulte o artigo Compare a saída da VPC direta e os conetores da VPC | Documentação do Cloud Run.
- Considerações sobre o IP privado: acesso a serviços privados em comparação com o Private Service Connect e o IP público.
Avalie a sua carga de trabalho
Antes de escolher uma opção de conectividade, avalie a sua carga de trabalho. O AlloyDB suporta a conetividade para o ambiente da sua carga de trabalho para o seguinte:
- Cloud Run, Cloud Shell e produtos SaaS não pertencentes à Google
- Cloud Functions v2
- Ambiente flexível do App Engine e ambiente padrão do App Engine
- Google Kubernetes Engine e Compute Engine
- Configurações nas instalações
| Ambiente de carga de trabalho | IP privado | IP público | Descrição | ||
|---|---|---|---|---|---|
| Direto | Conetor | Direto | Conetor | ||
| Cloud Shell | ❌ | ❌ | ❌ | ✅ | O Cloud Shell requer um IP público. |
| Cloud Run, Cloud Functions v2 | ✅ | ✅ | ❌ | ✅ | Requer o conetor do Acesso a VPC sem servidor ou a saída da VPC direta. |
| App Engine Standard, Flex | ✅ | ✅ | ❌ | ✅ | Requer o conetor do Acesso a VPC sem servidor. |
| GKE, Compute Engine | ✅ | ✅ | ✅ | ✅ | Recomendamos que use um IP privado. Use o acesso a serviços privados quando não precisar de interligação de VPCs transitiva. Caso contrário, use o Private Service Connect. |
| Nas instalações | ✅ | ✅ | ✅ | ✅ | O IP privado requer um caminho de rede das instalações para a instância de destino. O IP público com os conetores de idiomas ou com o proxy de autorização é uma alternativa segura que não requer uma configuração de rede extensa. |
Práticas recomendadas para a conetividade com base na sua carga de trabalho
Quando se liga ao AlloyDB, considere o seguinte com base no ambiente da sua carga de trabalho.
Cloud Shell
- Use o proxy Auth com IP público para estabelecer ligação com o Cloud Shell. O Cloud Shell não suporta a ligação a uma VPC. Não tem conetividade com instâncias do Private Service Connect ou acesso a serviços privados. Além disso, a Cloud Shell não tem um endereço IP de saída estável para utilização em redes autorizadas.
Cloud Run e Cloud Functions v2
- Para o IP privado, tanto a saída direta como os conectores de linguagem ou o proxy de autorização têm de usar a saída direta da VPC.
- Para o IP público, tem de usar os conetores de linguagem ou o proxy de autenticação.
Ambiente padrão do App Engine e ambiente flexível do App Engine
- Use um conetor do Acesso a VPC sem servidor para IP privado, independentemente de estar a usar um conetor de linguagem ou o proxy de autorização.
- Para o IP público, tem de usar os Language Connectors ou o proxy de autenticação.
GKE e Compute Engine
- Pode usar ligações diretas e conectores de idiomas ou o proxy Auth para se ligar ao AlloyDB.
Nas instalações
- Pode usar ligações diretas e conectores de idiomas ou o proxy Auth para se ligar ao AlloyDB. Os conetores de idiomas e o proxy Auth não criam um caminho de rede. Certifique-se de que existe um caminho de rede entre a sua carga de trabalho e a instância do AlloyDB.
Avalie as suas necessidades de conetividade segura
Os conectores de linguagem ou o proxy de autorização para o AlloyDB oferecem funcionalidades de segurança melhoradas, como a integração do IAM e o mTLS, mas estas funcionalidades requerem uma configuração adicional. As ligações diretas, embora sejam encriptadas por predefinição, não suportam certificados de cliente nem modos SSL mais elevados, como verify-ca e verify-full. Recomendamos que use os conectores de idiomas
ou o proxy Auth com
IP público e que use ligações diretas para IP privado apenas quando
os conectores de idiomas ou o proxy Auth não forem viáveis.
| Ligação encriptada | Autenticação IAM | Autorização de IAM | mTLS | |
|---|---|---|---|---|
| Ligação direta | ✅ | ✅ | ❌ | ❌ |
| Conetores de idiomas ou proxy Auth | ✅ | ✅ | ✅ | ✅ |
Práticas recomendadas para uma conetividade segura
- Quando cria um cluster, tem de especificar uma interface de IP privado para que o cluster possa ser criado. Se quiser usar o IP público, recomendamos que escolha o Private Service Connect como a interface de IP privado.
- Use os conectores de linguagem ou o proxy de autenticação para funcionalidades de segurança, como a autenticação e a autorização da IAM, e o mTLS, embora exijam alguma configuração. Por exemplo, esta abordagem é adequada se quiser executar o proxy Auth como um sidecar ou usar um conector de linguagem. Se usar os conectores de linguagem ou o proxy Auth, a ligação à base de dados pode sofrer um pequeno aumento na latência.
- Use ligações diretas para um desempenho ideal e quando os conectores de idiomas
ou o proxy Auth
não forem viáveis. As ligações diretas são encriptadas por predefinição
(
sslmode=require), mas não têm suporte para certificados de cliente nem modos SSL superiores. Use apenas ligações diretas quando não for possível usar os Language Connectors ou o proxy de autorização.
Avalie a topologia da sua rede
Para a topologia de rede, recomendamos que use o acesso a serviços privados para ligações do AlloyDB. Use o Private Service Connect para evitar problemas de intercâmbio transitivo com várias VPCs. O IP público é adequado para ligações de produtos que não sejam SaaS, especialmente quando o IP privado é impraticável.Google Cloud
| Ligações a várias VPCs | Clientes SaaS não pertencentes à Google | Suporta ligações no local | Descrição | |
|---|---|---|---|---|
| Acesso a serviços privados | ❌ | ❌ | ✅ | A conetividade transitiva da VPC não é suportada por predefinição. Pode executar um proxy socks5 manualmente para a conetividade entre VPCs, mas esta abordagem é complexa. |
| Private Service Connect | ✅ | ❌ | ✅ | Oferece a configuração mais simples quando quer estabelecer ligação ao AlloyDB a partir de mais de uma VPC. |
| IP público | ✅ | ✅ | ✅ | Para evitar ter de identificar os intervalos CIDR da carga de trabalho de origem para redes autorizadas, o IP público é melhor associado aos conetores de linguagem ou ao proxy de autenticação. |
Práticas recomendadas para a conetividade com base na topologia da sua rede
- Predefinição para acesso a serviços privados.
- Quando estiver a lidar com várias VPCs, use o Private Service Connect para contornar problemas de interligação transitiva.
- Para produtos nãoGoogle Cloud SaaS, escolha uma topologia de rede pública quando estiver a fazer a integração com produtos de software como serviço (SaaS) que não estão alojados no Google Cloud, especialmente se a conetividade de IP privado não for viável. O IP privado está ativado por predefinição, pelo que tem de configurar explicitamente o IP público nestes cenários.
- Sempre que possível, use os conectores de idioma ou o proxy de autenticação quando usar o IP público para conseguir uma ligação segura sem ter de configurar redes autorizadas.
O que se segue?
- Crie e associe a uma base de dados.
- Vista geral da associação.
- Estabeleça ligação através do Cloud VPN ou do Cloud Interconnect.