Questa pagina descrive la connettività ai database gestiti da AlloyDB per PostgreSQL. Per maggiori informazioni, consulta Scegliere come connettersi ad AlloyDB.
Networking:le istanze AlloyDB utilizzano IP pubblici o privati su un Virtual Private Cloud (VPC). Varie tecniche consentono connessioni sicure da applicazioni in esecuzione al di fuori del VPC.
Autorizzazione:AlloyDB Auth Proxy ti consente di utilizzare Identity and Access Management (IAM) per controllare chi ha accesso ai tuoi dati. Il firewall del VPC consente di perfezionare ulteriormente l'accesso alle risorse AlloyDB.
Autenticazione:utilizza le tecniche standard di autenticazione utente PostgreSQL per accedere alle tue istanze. AlloyDB supporta anche l'autenticazione basata su IAM utilizzando i ruoli utente PostgreSQL standard.
Networking
Anche se un'istanza AlloyDB contiene molti nodi, le tue applicazioni si connettono a un'istanza tramite un singolo indirizzo IP statico. Questo indirizzo può essere un indirizzo privato per il VPC specificato durante la configurazione iniziale del cluster di un'istanza oppure un IP pubblico che consente connessioni dirette dall'esterno del VPC.
IP privato
Quando configuri AlloyDB con IP privato, la tua istanza riceve un indirizzo IP privato all'interno del tuo VPC.
Gli indirizzi IP privati influiscono sulle connessioni alla tua applicazione in due modi:
Le applicazioni in esecuzione altrove nel VPC del progetto possono connettersi all'istanza o a un proxy che la rappresenta senza ulteriori passaggi o risorse.
Ad esempio, Connetti un client psql a un'istanza mostra come connettersi all'istanza AlloyDB eseguendo il programma a riga di comando
psqlsu una VM di Compute Engine all'interno del VPC.Le applicazioni in esecuzione al di fuori del VPC richiedono un servizio intermedio per connettersi all'istanza AlloyDB. Le soluzioni includono l'esecuzione di servizi proxy su una VM all'interno del VPC dell'istanza o l'utilizzo di altri prodottiGoogle Cloud per stabilire una connessione permanente tra l'applicazione e il VPC.
Per saperne di più, vedi Connettersi a un cluster dall'esterno del relativo VPC.
Le connessioni tramite IP privato in genere offrono una latenza inferiore e vettori di attacco limitati perché non richiedono l'attraversamento di internet.
Per scoprire di più sull'IP privato in AlloyDB, consulta la panoramica dell'IP privato.
IP pubblico
Quando configuri AlloyDB con IP pubblico, la tua istanza riceve un indirizzo IP pubblico per le connessioni in entrata, accessibile su internet pubblico. Se vuoi, puoi utilizzare le reti esterne autorizzate per specificare un intervallo di indirizzi IP in formato CIDR che possono accedere alla tua istanza.
Ti consigliamo di utilizzare l'IP pubblico con i connettori dei linguaggi AlloyDB per garantire connessioni sicure tra il client e l'istanza.
Per saperne di più su come aggiungere un IP pubblico e reti esterne autorizzate all'istanza, consulta Connettersi utilizzando l'IP pubblico.
AlloyDB supporta anche le connessioni in uscita
alla tua istanza. Puoi attivare l'IP pubblico in uscita per eseguire la migrazione di un database in AlloyDB direttamente da un'origine esterna utilizzando Database Migration Service o configurazioni pglogical autogestite. AlloyDB supporta anche
la connessione a un'origine dati esterna utilizzando wrapper di dati esterni, come
postgres_fdw o oracle_fdw.
Per saperne di più sull'abilitazione dell'IP pubblico in uscita, consulta Aggiungere la connettività in uscita a un'istanza.
Autorizzazione
Puoi controllare l'accesso a un cluster AlloyDB utilizzando i connettori dei linguaggi AlloyDB, il proxy di autenticazione AlloyDB o le regole firewall VPC.
Connettori dei linguaggi AlloyDB
I connettori di linguaggio AlloyDB sono librerie client che forniscono mTLS automatica utilizzando TLS 1.3 e l'autorizzazione IAM quando ci si connette a un cluster AlloyDB.
Puoi utilizzare queste librerie direttamente dai rispettivi linguaggi di programmazione. Forniscono le stesse funzionalità di AlloyDB Proxy senza richiedere un processo esterno. Ciò garantisce una maggiore sicurezza e riduce i requisiti di configurazione per connettersi ad AlloyDB.
Per maggiori informazioni, consulta la panoramica dei connettori di linguaggio AlloyDB.
Controllare l'accesso con IAM e il proxy di autenticazione AlloyDB
Sebbene tu possa connetterti direttamente a un'istanza tramite il suo indirizzo IP, ti consigliamo di utilizzare il proxy di autenticazione AlloyDB negli ambienti di produzione. Fornisce controllo dell'accessoo basato su IAM e la crittografia end-to-end tra il proxy e il tuo cluster.
Per saperne di più, consulta Informazioni sul proxy di autenticazione AlloyDB.
Limitare l'accesso VPC con regole firewall
Come per qualsiasi progetto basato sul cloud, devi ottimizzare le regole firewall del VPC per limitare l'accesso alla rete solo agli intervalli IP o alle subnet da cui si connettono le tue applicazioni. Ciò è particolarmente importante con le applicazioni esterne, come descritto in Connettersi a un cluster dall'esterno del relativo VPC.
Per ulteriori informazioni sulla configurazione del firewall del VPC, consulta Regole firewall VPC.
Autenticazione
AlloyDB supporta due tipi di utenti del database, ognuno dei quali ha il proprio modo di autenticarsi con i tuoi database:
I ruoli utente PostgreSQL standard si autenticano utilizzando un nome utente e una password. Gestisci questi account utilizzando le normali tecniche di gestione degli utenti PostgreSQL. Per saperne di più, consulta Gestire i ruoli utente di AlloyDB.
Gli utenti IAM e i service account eseguono l'autenticazione come utenti del database utilizzando i token OAuth 2.0. Gestisci questi account utilizzando il sistema Google Cloud IAM. Per ulteriori informazioni, consulta Gestire l'autenticazione IAM.
Una volta autenticata con un'istanza AlloyDB, un'applicazione può
trattare l'istanza come un normale server PostgreSQL. Dopo aver stabilito
percorsi di rete e autorizzazione a un'istanza, puoi utilizzare le tecniche
PostgreSQL standard per accedere a un'istanza e ai tuoi dati. Ciò vale
sia che tu acceda manualmente con uno strumento come psql, sia che ti connetta al tuo
database in modo programmatico utilizzando una libreria di codice PostgreSQL.
In genere, la prima autenticazione con un nuovo cluster AlloyDB
comporta l'accesso alla sua istanza principale come utente postgres,
utilizzando la password specificata durante la creazione del cluster. Da qui, devi creare utenti del database senza privilegi amministrativi per l'utilizzo dell'applicazione.
Passaggi successivi
- Scegli come connetterti ad AlloyDB.
Scopri come connetterti a un'istanza AlloyDB con la shell a riga di comando
psql. Sono incluse le istruzioni per configurare una VM all'interno del VPC e installarepsql.Scopri come creare un database.
Scopri come installare e utilizzare il proxy di autenticazione AlloyDB per stabilire connessioni sicure con l'istanza AlloyDB.
Scopri di più sulla connessione tramite i connettori dei linguaggi AlloyDB.