Panoramica dell'accesso privato ai servizi

Questa pagina descrive in che modo AlloyDB per PostgreSQL utilizza l'accesso ai servizi privati per stabilire la connettività di rete tra le istanze AlloyDB e le varie risorse interne necessarie per il loro funzionamento.

Per una panoramica generale del funzionamento delle connessioni di rete con AlloyDB, consulta Panoramica delle connessioni.

Connettività tra cluster e risorse interne

L'accesso privato ai servizi consente ai cluster AlloyDB di comunicare con le risorse interne che li attivano.

Istanze e risorse interne

I cluster e le istanze AlloyDB che crei nel tuo Google Cloud progetto si basano su molte risorse interne di basso livello Google Cloud. Sono incluse le istanze di macchine virtuali (VM) che fungono da nodi e bilanciatori del carico AlloyDB o i volumi di archiviazione che contengono i dati. Tutte le risorse che alimentano un cluster vengono eseguite all'interno di un Google Cloud progetto interno e gestito da Google.

In genere, non ti colleghi direttamente a queste risorse interne. Gestisci invece i cluster e le istanze tramite la console Google Cloud o Google Cloud CLI. Le applicazioni si connettono alle istanze AlloyDB tramite i relativi indirizzi IP privati per eseguire query e modificare i dati. AlloyDB utilizza le API interne per passare le richieste amministrative o le query sui dati alle risorse del tuo cluster in base alle necessità.

Un'istanza AlloyDB funge da astrazione logica di questa complessa raccolta di componenti. Offrendoti un indirizzo IP privato e statico e un'interfaccia di database coerente e compatibile con PostgreSQL, AlloyDB può aggiornare liberamente i percorsi di rete interni di un'istanza attiva o spostare le sue risorse interne. Ciò garantisce una velocità effettiva ottimizzata e un'alta disponibilità senza tempi di riposo o interruzioni.

Come i cluster utilizzano l'accesso privato ai servizi

I cluster e le istanze AlloyDB nel tuo progetto comunicano con le risorse interne tramite l'accesso privato ai servizi. In questo modo viene stabilita una connessione in peering permanente tra una rete VPC (Virtual Private Cloud) nel tuo progetto e il VPC separato utilizzato dal progetto gestito da Google che ospita le risorse interne. Tramite questa connessione, i cluster e le istanze AlloyDB del tuo progetto possono connettersi alle loro risorse interne utilizzando indirizzi IP privati, proprio come se si trovassero all'interno del VPC del tuo progetto.

La configurazione dell'accesso privato ai servizi con una Google Cloud rete VPC prevede la prenotazione di uno o più blocchi di indirizzi IP privati contigui. Dopo cheGoogle Cloud ha stabilito una connessione di peering tra il VPC del progetto e il VPC del progetto interno, AlloyDB applica gli indirizzi dei blocchi IP riservati alle risorse di basso livello richieste dalle istanze. In questo modo, viene consentita la connettività di rete privata tra tutti i componenti di lavoro dei cluster.

Durante la creazione di un cluster AlloyDB, devi specificare una rete VPC all'interno del tuo progetto che hai già configurato con l'accesso ai servizi privati. Nel tuo progetto potrebbe essere già disponibile una rete VPC idonea, soprattutto se hai già utilizzato AlloyDB o un altro Google Cloud prodotto che richiede accesso ai servizi privati. Se nel progetto non è configurata una rete VPC per l'accesso ai servizi privati, devi configurarne una prima di creare un cluster AlloyDB.

Non puoi modificare la configurazione di accesso ai servizi privati di un cluster dopo che AlloyDB lo ha creato.

Configurazioni dell'accesso privato ai servizi supportate

AlloyDB può utilizzare configurazioni di accesso ai servizi privati nelle reti VPC che si trovano nello stesso progetto di AlloyDB o in altri progetti.

Una rete VPC nello stesso progetto del cluster

Il modo in cui configuri la connettività di AlloyDB utilizzando una rete VPC che appartiene allo stesso progetto Google Cloud del tuo cluster AlloyDB dipende dal fatto che nella rete VPC esista già una configurazione di accesso ai servizi privati.

• Se nella rete VPC non è già configurato l'accesso privato ai servizi, crea una configurazione di accesso privato ai servizi.

• Se la rete VPC ha già una configurazione di accesso privato ai servizi, assicurati che disponga di uno spazio di indirizzi IP sufficiente per AlloyDB e aumenta lo spazio di indirizzi, se necessario.

Una rete VPC condiviso

Per configurare la connettività di AlloyDB utilizzando una rete VPC che si trova in un progetto Google Cloud diverso da quello contenente il tuo cluster AlloyDB, segui questi passaggi:

1. Configura il progetto in cui risiede la rete VPC per il VPC condiviso, impostandolo come progetto host e il progetto in cui risiede AlloyDB come progetto di servizio.

2. Assicurati che la configurazione dell'accesso privato ai servizi della rete VPC abbia uno spazio di indirizzi IP sufficiente per AlloyDB e aumenta lo spazio di indirizzi, se necessario.

3. Configura gli utenti che possono creare risorse AlloyDB come amministratori del progetto di servizio con accesso agli intervalli di indirizzi IP allocati appropriati nella configurazione dell'accesso privato ai servizi.

Per ulteriori informazioni sul VPC condiviso, consulta la panoramica del VPC condiviso e l'articolo Eseguire il provisioning di un VPC condiviso.

Considerazioni sulle dimensioni dell'intervallo di indirizzi IP

È importante scegliere un intervallo di indirizzi di accesso ai servizi privati sufficientemente ampio da soddisfare le esigenze di AlloyDB, nonché di qualsiasi altro servizioGoogle Cloud che richieda indirizzi IP dello stesso pool di indirizzi. Puoi modificare le dimensioni di questo pool in qualsiasi momento.

AlloyDB utilizza una sottorete di dimensioni /24 in ogni regione in cui viene eseguito il deployment di un cluster. Per questo motivo, Google consiglia di allocare un intervallo di indirizzi IP di accesso ai servizi privati con una subnet mask di /16. In questo modo puoi creare cluster e istanze in più regioni e lasciare ancora a disposizione molti indirizzi IP per altri Google Cloud servizi. Per maggiori informazioni su questo consiglio, consulta la sezione Dimensione dell'intervallo di indirizzi IP.

Intervalli IP pubblici utilizzati privatamente

AlloyDB non supporta l'utilizzo di intervalli IP pubblici utilizzati privatamente (PUPI) quando si utilizza l'accesso privato ai servizi. Per connetterti ad AlloyDB da carichi di lavoro che utilizzano intervalli IP pubblici utilizzati privatamente (PUPI), devi utilizzare Private Service Connect.

Passaggi successivi

• Attiva l'accesso ai servizi privati.

• Scopri di più sull'accesso privato ai servizi in Google Cloud.

• Aumenta lo spazio di indirizzi IP disponibile per AlloyDB all'interno del tuo progetto.

• Esegui il deployment di AlloyDB con accesso privato ai servizi utilizzando Terraform.