בדף הזה מוסבר איך להתחבר למכונת AlloyDB ל-PostgreSQL באמצעות כתובות IP פרטיות.
שימוש בכתובות IP פרטיות מאפשר לשמור על תנועת הנתונים בתוך רשת מאובטחת ומצמצם את הסיכון ליירוט. כתובת ה-IP הפנימית של משאב, שהיא פנימית לרשת שלו ולא נגישה מהאינטרנט, מגבילה למעשה את היקף הגישה שלו למופע AlloyDB ואת פני השטח הפוטנציאליים להתקפה.
שיטות לקישוריות של כתובות IP פרטיות
כדי לגשת למופעי AlloyDB באמצעות כתובת IP פרטית, אפשר לבחור בגישה לשירותים פרטיים או ב-Private Service Connect. לכל שיטת חיבור יש יתרונות וחסרונות משלה, ולכן כדאי להשתמש במידע שבמסמך הזה כדי לבחור את הגישה הכי מתאימה לדרישות הספציפיות שלכם.
גישה לשירותים פרטיים
גישה לשירותים פרטיים מיושמת כחיבור VPC Network Peering בין רשת ה-VPC שלכם לבין רשת ה-VPC הבסיסית שבה נמצא מופע AlloyDB ל-PostgreSQL. Google Cloud החיבור הפרטי מאפשר למכונות וירטואליות ברשת ה-VPC ולשירותים שאליהם אתם ניגשים לתקשר באופן בלעדי באמצעות כתובות IP פנימיות. למכונות וירטואליות לא נדרשת גישה לאינטרנט או כתובות IP חיצוניות כדי להגיע לשירותים שזמינים דרך גישה פרטית לשירותים.
כדי להפוך את ההגדרה של אשכולות AlloyDB עם גישה לשירותים פרטיים לאוטומטית באמצעות Terraform, אפשר לעיין במאמר פריסת AlloyDB באמצעות Terraform.
מידע נוסף על שימוש בגישה לשירותים פרטיים לקישוריות זמין במאמר סקירה כללית על גישה לשירותים פרטיים.
התחברות לשירות פרטי
Private Service Connect מאפשר ליצור חיבורים פרטיים ומאובטחים בין רשתות ה-VPC שלכם לבין שירות Google Cloud , כמו AlloyDB ל-PostgreSQL. אתם יכולים להתחבר למופע AlloyDB מכמה רשתות VPC ששייכות לקבוצות, לצוותים, לפרויקטים או לארגונים שונים. כשיוצרים אשכול AlloyDB, אפשר להפעיל בו תמיכה ב-Private Service Connect. כשיוצרים מופע AlloyDB באשכול, מציינים אילו פרויקטים מרשת ה-VPC יכולים לגשת אליו.
מידע נוסף על שימוש ב-Private Service Connect זמין במאמר סקירה כללית על Private Service Connect ובסרטון מהו Private Service Connect?.
בחירה בין שיטות לשימוש
לפני שמחליטים אם להשתמש בגישה לשירותים פרטיים או ב-Private Service Connect כשיטת ההתחברות, כדאי לעיין בהשוואה הבאה:
| גישה לשירותים פרטיים | התחברות לשירות פרטי |
|---|---|
| נדרשת הקצאה של טווח CIDR (/24 לפחות) מ-VPC של הצרכן. טווח כתובות IP שמור בלי קשר לשאלה אם הן בשימוש, ולכן כל כתובות ה-IP בטווח ננעלות. | נדרשת כתובת IP אחת כדי ליצור כלל העברה בנקודת הקצה לכל רשת VPC. |
| תמיכה בחיבורים רק מלקוחות בטווח כתובות ה-IP של RFC 1918 (10.0.0.0/8, 172.16.0.0/12 ו-192.168.0.0/16). אם אתם צריכים קישוריות מלקוחות שנמצאים מחוץ לטווחים של RFC 1918, אתם יכולים להשתמש ב-Private Service Connect. | אפשר להשתמש בנקודות קצה בטווחים של RFC 1918 וגם בטווחים של Non-RFC 1918. |
| להתחבר לפרויקטים באותה רשת VPC. | חיבור בין כמה רשתות VPC או פרויקטים. |
| מומלץ להשתמש בתרחישים של VPC יחיד בקנה מידה קטן. | מומלץ לבחור בהגדרות רחבות היקף של כמה רשתות VPC. |
| העלות מינימלית כי אתם משתמשים בקישור בין רשתות VPC שכנות (peering) שכלול בפרויקט. | יקר יותר בהשוואה לגישה לשירותים פרטיים, בגלל העלויות שקשורות להגדרה הראשונית, לשימוש בכל נקודת קצה לשעה ולהעברת נתונים לכל GiB. |
| פחות מאובטח בהשוואה ל-Private Service Connect בגלל החיבור הישיר. | האבטחה משופרת כי ה-VPC של הצרכן מבודד מה-VPC של הספק. |
| החיבורים הם דו-כיווניים, ומאפשרים תעבורה נכנסת ויוצאת. | כברירת מחדל, החיבורים הם חד-כיווניים ומאפשרים רק חיבורים נכנסים. נדרשת הגדרה נוספת לחיבורים יוצאים. |
המאמרים הבאים
- סקירה כללית על גישה לשירותים פרטיים
- סקירה כללית על Private Service Connect
- כדאי לצפות בסרטון של Cloud Skills Boost כדי ללמוד איך משתמשים בגישה לשירותים פרטיים כדי לספק גישה לשירותים של בעלי השירות.