Diese Seite wurde von der Cloud Translation API übersetzt.

Verbindungsübersicht

Auf dieser Seite wird die Konnektivität zu Datenbanken beschrieben, die von AlloyDB for PostgreSQL bereitgestellt werden. Weitere Informationen finden Sie unter Verbindung zu AlloyDB herstellen.

Netzwerk:AlloyDB-Instanzen verwenden öffentliche oder private IP-Adressen in einer Virtual Private Cloud (VPC). Es gibt verschiedene Techniken, um sichere Verbindungen von Anwendungen herzustellen, die außerhalb der VPC ausgeführt werden.
Autorisierung:Mit dem AlloyDB Auth Proxy können Sie Identity and Access Management (IAM) verwenden, um zu steuern, wer Zugriff auf Ihre Daten hat. Mit der Firewall Ihrer VPC können Sie den Zugriff auf AlloyDB-Ressourcen weiter optimieren.
Authentifizierung:Verwenden Sie standardmäßige PostgreSQL-Nutzerauthentifizierungstechniken, um sich bei Ihren Instanzen anzumelden. AlloyDB unterstützt auch die IAM-basierte Authentifizierung mit Standard-PostgreSQL-Nutzerrollen.

Netzwerk

Auch wenn eine AlloyDB-Instanz viele Knoten enthält, stellen Ihre Anwendungen über eine einzelne statische IP-Adresse eine Verbindung zu einer Instanz her. Diese Adresse kann entweder eine private IP-Adresse für die VPC sein, die Sie beim Einrichten des Clusters einer Instanz angeben, oder eine öffentliche IP-Adresse, die direkte Verbindungen von außerhalb der VPC ermöglicht.

Private IP-Adresse

Wenn Sie AlloyDB mit einer privaten IP-Adresse konfigurieren, erhält Ihre Instanz eine private IP-Adresse in Ihrer VPC.

Private IP-Adressen wirken sich auf zwei Arten auf Verbindungen zu Ihrer Anwendung aus:

Anwendungen, die an anderer Stelle in der VPC Ihres Projekts ausgeführt werden, können ohne zusätzliche Schritte oder Ressourcen eine Verbindung zur Instanz oder zu einem Proxy herstellen, der die Instanz repräsentiert.

Im Beispiel psql-Client mit einer Instanz verbinden wird gezeigt, wie Sie eine Verbindung zu Ihrer AlloyDB-Instanz herstellen, indem Sie das Befehlszeilenprogramm psql auf einer Compute Engine-VM in Ihrer VPC ausführen.
Für Anwendungen, die außerhalb der VPC ausgeführt werden, ist ein Vermittlungsdienst erforderlich, um eine Verbindung zur AlloyDB-Instanz herzustellen. Mögliche Lösungen sind das Ausführen von Proxydiensten auf einer VM in der VPC der Instanz oder die Verwendung andererGoogle Cloud -Produkte, um eine permanente Verbindung zwischen Ihrer Anwendung und Ihrer VPC herzustellen.

Weitere Informationen finden Sie unter Verbindung zu einem Cluster von außerhalb seiner VPC herstellen.

Verbindungen über private IP-Adressen bieten in der Regel eine geringere Latenz und eingeschränkte Angriffsvektoren, da sie keine Übertragung über das Internet erfordern.

Weitere Informationen zu privaten IP-Adressen in AlloyDB finden Sie im Überblick über private IP-Adressen.

Öffentliche IP-Adresse

Wenn Sie AlloyDB mit einer öffentlichen IP-Adresse konfigurieren, erhält Ihre Instanz eine öffentliche IP-Adresse für eingehende Verbindungen, die über das öffentliche Internet zugänglich ist. Optional können Sie autorisierte externe Netzwerke verwenden, um einen IP-Adressbereich im CIDR-Format anzugeben, der auf Ihre Instanz zugreifen kann.

Wir empfehlen, öffentliche IP-Adressen mit AlloyDB-Sprach-Connectors zu verwenden, um sichere Verbindungen zwischen dem Client und Ihrer Instanz zu gewährleisten.

Weitere Informationen zum Hinzufügen einer öffentlichen IP-Adresse und autorisierter externer Netzwerke zu Ihrer Instanz finden Sie unter Über öffentliche IP-Adresse verbinden.

AlloyDB unterstützt auch ausgehende Verbindungen zu Ihrer Instanz. Sie können die ausgehende öffentliche IP-Adresse aktivieren, um eine Datenbank mit Database Migration Service oder selbstverwalteten pglogical-Einrichtungen direkt von einer externen Quelle in AlloyDB zu migrieren. AlloyDB unterstützt auch die Verbindung zu einer externen Datenquelle über Foreign Data Wrappers wie postgres_fdw oder oracle_fdw.

Weitere Informationen zum Aktivieren der öffentlichen IP-Adresse für ausgehenden Traffic finden Sie unter Ausgehende Verbindungen zu einer Instanz hinzufügen.

Autorisierung

Sie können den Zugriff auf einen AlloyDB-Cluster mit AlloyDB-Sprach-Connectors, dem AlloyDB-Auth-Proxy oder mit VPC-Firewallregeln steuern.

AlloyDB Language Connectors

AlloyDB Language Connectors sind Clientbibliotheken, die beim Herstellen einer Verbindung zu einem AlloyDB-Cluster eine automatische gegenseitige TLS-Authentifizierung (mTLS) mit TLS 1.3 und eine IAM-Autorisierung ermöglichen.

Sie können diese Bibliotheken direkt in den jeweiligen Programmiersprachen verwenden. Sie bieten dieselben Funktionen wie der AlloyDB-Proxy, ohne dass ein externer Prozess erforderlich ist. Dies bietet eine höhere Sicherheit und geringere Konfigurationsanforderungen für die Verbindung mit AlloyDB.

Weitere Informationen finden Sie unter AlloyDB Language Connectors – Übersicht.

Zugriff mit IAM und dem AlloyDB Auth-Proxy steuern

Sie können zwar direkt über die IP-Adresse eine Verbindung zu einer Instanz herstellen, wir empfehlen jedoch, in Produktionsumgebungen den AlloyDB-Auth-Proxy zu verwenden. Sie bietet IAM-basierte Zugriffssteuerung und Ende-zu-Ende-Verschlüsselung zwischen dem Proxy und Ihrem Cluster.

Weitere Informationen finden Sie unter Informationen zum AlloyDB Auth-Proxy.

VPC-Zugriff mit Firewallregeln einschränken

Wie bei jedem cloudbasierten Projekt sollten Sie die Firewallregeln Ihrer VPC so anpassen, dass der Netzwerkzugriff nur auf die IP-Bereiche oder Subnetzwerke beschränkt wird, von denen aus Ihre Anwendungen eine Verbindung herstellen. Das ist besonders wichtig bei externen Anwendungen, wie unter Verbindung zu einem Cluster von außerhalb seiner VPC herstellen beschrieben.

Weitere Informationen zum Konfigurieren der Firewall Ihrer VPC finden Sie unter VPC-Firewallregeln.

Authentifizierung

AlloyDB unterstützt zwei Arten von Datenbanknutzern, die sich jeweils auf unterschiedliche Weise bei Ihren Datenbanken authentifizieren:

Standard-PostgreSQL-Nutzerrollen werden mit einem Nutzernamen und einem Passwort authentifiziert. Sie verwalten diese Konten mit den üblichen PostgreSQL-Methoden zur Nutzerverwaltung. Weitere Informationen finden Sie unter AlloyDB-Nutzerrollen verwalten.
IAM-Nutzer und Dienstkonten werden als Datenbanknutzer mit OAuth 2.0-Tokens authentifiziert. Sie verwalten diese Konten über dasGoogle Cloud IAM-System. Weitere Informationen finden Sie unter IAM-Authentifizierung verwalten.

Nach der Authentifizierung bei einer AlloyDB-Instanz kann eine Anwendung die Instanz wie einen normalen PostgreSQL-Server behandeln. Nachdem Sie Netzwerk- und Autorisierungsrouten zu einer Instanz eingerichtet haben, können Sie sich mit Standard-PostgreSQL-Techniken in einer Instanz anmelden und auf Ihre Daten zugreifen. Das gilt sowohl für die manuelle Anmeldung mit einem Tool wie psql als auch für die programmatische Verbindung zu Ihrer Datenbank mit einer PostgreSQL-Codebibliothek.

Normalerweise müssen Sie sich bei der ersten Authentifizierung bei einem neuen AlloyDB-Cluster als postgres-Nutzer der primären Instanz anmelden. Verwenden Sie dazu das Passwort, das Sie beim Erstellen des Clusters angegeben haben. Dort sollten Sie Datenbanknutzer ohne Administratorberechtigungen für die Verwendung durch Ihre Anwendung erstellen.

Nächste Schritte

Verbindung zu AlloyDB herstellen
Verbindung zu einer AlloyDB-Instanz mit der psql-Befehlszeilenshell herstellen Dazu gehört auch eine Anleitung zum Einrichten einer VM in Ihrer VPC und zum Installieren von psql auf dieser VM.
Datenbank erstellen
Hier erfahren Sie, wie Sie den AlloyDB Auth-Proxy installieren und verwenden, um sichere Verbindungen zu Ihrer AlloyDB-Instanz herzustellen.
Informationen zum Herstellen einer Verbindung über AlloyDB-Sprach-Connectors

Verbindungsübersicht Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.