Esta página descreve as opções de conectividade do AlloyDB para PostgreSQL e ajuda você a escolher a opção mais adequada à sua carga de trabalho, topologia de rede e requisitos de conectividade segura. Para mais informações, consulte a Visão geral da conexão.
Neste documento, você vai aprender a:
- Que tipo de configuração de rede usar com o AlloyDB.
- Como se conectar com segurança.
- Práticas recomendadas de conexão.
- Como a localização da carga de trabalho afeta os requisitos de conectividade.
Opções de conectividade recomendadas
Use a tabela a seguir para conhecer as opções de conectividade recomendadas para suas cargas de trabalho:
- Se as conexões diretas, os conectores de linguagem ou o proxy de autenticação são recomendados para IP particular (acesso a serviços particulares ou Private Service Connect) e IP público.
- Requisitos de conexão, como o conector de acesso VPC sem servidor e a saída VPC direta. Para mais informações, consulte Comparar a saída direta de VPC e os conectores de VPC | Documentação do Cloud Run.
- Considerações sobre IP particular: acesso a serviços particulares x Private Service Connect e IP público.
Avaliar a carga de trabalho
Antes de escolher uma opção de conectividade, avalie sua carga de trabalho. O AlloyDB oferece suporte à conectividade para seu ambiente de carga de trabalho para o seguinte:
- Cloud Run, Cloud Shell e produtos SaaS que não são do Google
- Cloud Functions v2
- Ambiente flexível e ambiente padrão do App Engine
- Google Kubernetes Engine e Compute Engine
- Configurações locais
| Ambiente de carga de trabalho | IP particular | IP público | Descrição | ||
|---|---|---|---|---|---|
| Direto | Conector | Direto | Conector | ||
| Cloud Shell | ❌ | ❌ | ❌ | ✅ | O Cloud Shell exige um IP público. |
| Cloud Run, Cloud Functions v2 | ✅ | ✅ | ❌ | ✅ | Requer um conector de acesso VPC sem servidor ou saída VPC direta. |
| App Engine Standard, Flex | ✅ | ✅ | ❌ | ✅ | Requer o conector de acesso VPC sem servidor. |
| GKE, Compute Engine | ✅ | ✅ | ✅ | ✅ | Recomendamos que você use um IP particular. Use o acesso a serviços particulares quando não for necessário o peering transitivo de VPC. Caso contrário, use o Private Service Connect. |
| No local | ✅ | ✅ | ✅ | ✅ | O IP particular exige um caminho de rede do ambiente local até a instância de destino. O IP público com conectores de linguagem ou com o proxy de autenticação é uma alternativa segura que não exige uma configuração de rede extensa. |
Práticas recomendadas para conectividade com base na sua carga de trabalho
Ao se conectar ao AlloyDB, considere o seguinte com base no ambiente de carga de trabalho.
Cloud Shell
- Use o proxy de autenticação com IP público para se conectar ao Cloud Shell. O Cloud Shell não é compatível com a conexão a uma VPC. Ela não tem conectividade com instâncias de acesso a serviços particulares ou do Private Service Connect. Além disso, o Cloud Shell não tem um endereço IP de saída estável para uso em redes autorizadas.
Cloud Run e Cloud Functions v2
- Para IP particular, a saída de VPC direta precisa ser usada tanto para conectores diretos e de linguagem quanto para o proxy de autenticação.
- Para IP público, use os Conectores de linguagem ou o proxy de autenticação.
Ambiente padrão e ambiente flexível do App Engine
- Use um conector de acesso VPC sem servidor para IP particular, independente de você estar usando um conector de linguagem ou o proxy de autenticação.
- Para IP público, use os conectores de linguagem ou o proxy de autenticação.
GKE e Compute Engine
- É possível usar conexões diretas e conectores de linguagem ou o proxy de autenticação para se conectar ao AlloyDB.
No local
- É possível usar conexões diretas e conectores de linguagem ou o proxy de autenticação para se conectar ao AlloyDB. Os conectores de linguagem e o proxy de autenticação não criam um caminho de rede. Verifique se há um caminho de rede entre sua carga de trabalho e a instância do AlloyDB.
Avalie suas necessidades de conectividade segura
Os conectores de linguagem ou o proxy de autenticação do AlloyDB oferecem recursos de segurança aprimorados, como integração com o IAM e mTLS, mas exigem configuração adicional. As conexões diretas, embora criptografadas por padrão, não oferecem suporte a certificados de cliente ou modos SSL mais altos: verify-ca e verify-full. Recomendamos usar os conectores de linguagem ou o proxy de autenticação com IP público e conexões diretas para IP particular apenas quando os conectores de linguagem ou o proxy de autenticação não forem viáveis.
| Conexão criptografada | Autenticação do IAM | Autorização do IAM | mTLS | |
|---|---|---|---|---|
| Conexão direta | ✅ | ✅ | ❌ | ❌ |
| Conectores de linguagem ou proxy de autenticação | ✅ | ✅ | ✅ | ✅ |
Práticas recomendadas para conectividade segura
- Ao criar um cluster, é necessário especificar uma interface de IP particular para que o cluster possa ser criado. Se você quiser usar um IP público, recomendamos escolher o Private Service Connect como a interface de IP particular.
- Use os conectores de linguagem ou o proxy de autenticação para recursos de segurança, como autorização e autenticação do IAM e mTLS, mesmo que eles exijam alguma configuração. Por exemplo, essa abordagem é adequada se você quiser executar o proxy de autenticação como um sidecar ou usar um conector de linguagem. Se você usar os conectores de linguagem ou o proxy de autenticação, a conexão de banco de dados poderá ter um pequeno aumento na latência.
- Use conexões diretas para ter uma performance ideal e quando os conectores de linguagem ou o proxy de autenticação não forem viáveis. As conexões diretas são criptografadas por padrão
(
sslmode=require), mas não oferecem suporte a certificados de cliente ou modos SSL mais altos. Use conexões diretas apenas quando não for possível usar os Conectores de linguagem ou o proxy de autenticação.
Avaliar sua topologia de rede
Para a topologia de rede, recomendamos usar o acesso a serviços particulares para conexões do AlloyDB. Use o Private Service Connect para evitar problemas de peering transitivo com várias VPCs. O IP público é adequado para conexões de produtos que não sãoGoogle Cloud SaaS, especialmente quando o IP particular é inviável.
| Conexões de várias VPCs | Clientes de SaaS que não são do Google | Compatível com conexões locais | Descrição | |
|---|---|---|---|---|
| Acesso privado a serviços | ❌ | ❌ | ✅ | A conectividade transitiva da VPC não é compatível por padrão. É possível executar um proxy socks5 manualmente para conectividade entre VPCs, mas essa abordagem é complexa. |
| Private Service Connect | ✅ | ❌ | ✅ | Oferece a configuração mais simples quando você quer se conectar ao AlloyDB de mais de uma VPC. |
| IP público | ✅ | ✅ | ✅ | Para evitar ter que identificar os intervalos CIDR da carga de trabalho de origem para redes autorizadas, o IP público é melhor combinado com os conectores de linguagem ou o proxy de autenticação. |
Práticas recomendadas para conectividade com base na sua topologia de rede
- O padrão é o acesso a serviços particulares.
- Ao lidar com várias VPCs, use o Private Service Connect para evitar problemas de peering transitivo.
- Para produtos SaaS que não são doGoogle Cloud , escolha uma topologia de rede pública ao fazer a integração com produtos de software como serviço (SaaS) que não estão hospedados no Google Cloud, principalmente se a conectividade de IP particular não for viável. O IP privado é ativado por padrão. Portanto, é necessário configurar explicitamente o IP público nesses cenários.
- Sempre que possível, use os Conectores de Linguagem ou o Proxy de Autenticação ao usar IP público para conseguir uma conexão segura sem precisar configurar redes autorizadas.
A seguir
- Criar e se conectar a um banco de dados.
- Visão geral da conexão.
- Conecte-se pelo Cloud VPN ou Cloud Interconnect.