בדף הזה מוסבר איך אפשר להתחבר למכונת AlloyDB ל-PostgreSQL באמצעות כתובות IP פרטיות.
שימוש בכתובות IP פרטיות מאפשר לשמור על תעבורת הנתונים בתוך רשת מאובטחת ומצמצם את הסיכון ליירוט. כתובת ה-IP הפנימית של משאב, שהיא פנימית לרשת שלו ולא נגישה מהאינטרנט, מגבילה למעשה את היקף הגישה שלו למופע AlloyDB ואת פני השטח הפוטנציאליים להתקפה.
שיטות לקישוריות של כתובות IP פרטיות
כדי לגשת למכונות AlloyDB באמצעות כתובת IP פרטית, אפשר לבחור בגישה לשירותים פרטיים או ב-Private Service Connect. לכל שיטת חיבור יש יתרונות וחסרונות משלה, ולכן כדאי להשתמש במידע שבמסמך הזה כדי לבחור את הגישה שהכי מתאימה לדרישות הספציפיות שלכם.
גישה לשירותים פרטיים
הגישה לשירותים פרטיים מיושמת כקישור בין רשתות VPC שכנות בין רשת ה-VPC שלכם לבין רשת ה-VPC הבסיסית שבה נמצא מופע AlloyDB ל-PostgreSQL. החיבור הפרטי מאפשר למכונות וירטואליות ברשת ה-VPC שלכם ולשירותים שאתם ניגשים אליהם לתקשר באופן בלעדי באמצעות כתובות IP פנימיות. מכונות וירטואליות לא צריכות גישה לאינטרנט או כתובות IP חיצוניות כדי לגשת לשירותים שזמינים דרך גישה לשירותים פרטיים. Google Cloud
כדי להפוך את ההגדרה של אשכולות AlloyDB עם גישה לשירותים פרטיים לאוטומטית באמצעות Terraform, אפשר לעיין במאמר פריסת AlloyDB באמצעות Terraform.
מידע נוסף על שימוש בגישה לשירותים פרטיים לצורך קישוריות זמין במאמר סקירה כללית על גישה לשירותים פרטיים.
התחברות לשירות פרטי
Private Service Connect מאפשר ליצור חיבורים פרטיים ומאובטחים בין רשתות ה-VPC שלכם לבין שירות Google Cloud , כמו AlloyDB ל-PostgreSQL. אתם יכולים להתחבר למופע AlloyDB מכמה רשתות VPC ששייכות לקבוצות, לצוותים, לפרויקטים או לארגונים שונים. כשיוצרים אשכול AlloyDB, אפשר להפעיל בו תמיכה ב-Private Service Connect. כשיוצרים מופע AlloyDB באשכול, מציינים אילו פרויקטים מרשת ה-VPC יכולים לגשת אליו.
מידע נוסף על שימוש ב-Private Service Connect זמין במאמר סקירה כללית על Private Service Connect ובסרטון מהו Private Service Connect?.
בחירה בין שיטות לשימוש
לפני שמחליטים אם להשתמש בגישה לשירותים פרטיים או ב-Private Service Connect כשיטת ההתחברות, כדאי לעיין בהשוואה הבאה:
| גישה לשירותים פרטיים | התחברות לשירות פרטי |
|---|---|
| נדרשת הקצאה של טווח CIDR (/24 לכל הפחות) מ-VPC של הצרכן. טווח כתובות IP שמור, גם אם לא נעשה בהן שימוש, ולכן כל כתובות ה-IP בטווח נחסמות. | כדי ליצור כלל העברה בנקודת הקצה לכל רשת VPC, צריך כתובת IP אחת. |
| תמיכה בחיבורים רק מלקוחות בטווח כתובות ה-IP של RFC 1918 (10.0.0.0/8, 172.16.0.0/12 ו-192.168.0.0/16). אם אתם צריכים קישוריות מלקוחות שנמצאים מחוץ לטווחים של RFC 1918, אתם יכולים להשתמש ב-Private Service Connect. | אפשר להשתמש בנקודות קצה בטווחים של RFC 1918 וגם בטווחים שהם לא RFC 1918. |
| להתחבר לפרויקטים באותה רשת VPC. | חיבור בין כמה רשתות VPC או פרויקטים. |
| מומלץ לבחור בתרחישים בקנה מידה קטן עם VPC יחיד. | מומלץ להשתמש בהגדרות של כמה רשתות VPC בקנה מידה גדול. |
| העלות מינימלית כי אתם משתמשים בקישור בין רשתות VPC שכנות (peering) שכלול בפרויקט. | יקר יותר בהשוואה לגישה לשירותים פרטיים, בגלל העלויות שקשורות להגדרה הראשונית, לשימוש בכל נקודת קצה לשעה ולהעברת נתונים לכל GiB. |
| פחות מאובטח בהשוואה ל-Private Service Connect בגלל החיבור הישיר. | האבטחה משופרת כי ה-VPC של הצרכן מבודד מה-VPC של הספק. |
| החיבורים הם דו-כיווניים, ומאפשרים תעבורה נכנסת ויוצאת. | כברירת מחדל, החיבורים הם חד-כיווניים ומאפשרים רק חיבורים נכנסים. נדרשת הגדרה נוספת לחיבורים יוצאים. |
המאמרים הבאים
- סקירה כללית על גישה לשירותים פרטיים
- סקירה כללית על Private Service Connect
- כדאי לצפות בסרטון ב-Cloud Skills Boost כדי ללמוד איך משתמשים בגישה לשירותים פרטיים כדי לספק גישה לשירותים מנוהלים.