Descripción general del acceso privado a servicios

En esta página, se describe cómo AlloyDB para PostgreSQL usa el acceso a servicios privados para establecer conectividad de red entre tus instancias de AlloyDB y los diversos recursos internos que requieren para funcionar.

Para obtener una descripción general de cómo funcionan las conexiones de red con AlloyDB, consulta Descripción general de las conexiones.

Conectividad entre clústeres y recursos internos

El acceso privado a servicios permite que los clústeres de AlloyDB se comuniquen con los recursos internos que los habilitan.

Instancias y recursos internos

Los clústeres y las instancias de AlloyDB que creas en tu proyecto deGoogle Cloud dependen de muchos recursos internos de nivel inferior de Google Cloud. Estos incluyen las instancias de máquina virtual (VM) que funcionan como nudos y balanceadores de cargas de AlloyDB, o los volúmenes de almacenamiento que almacenan tus datos. Todos los recursos que potencian un clúster se ejecutan dentro de un proyecto deGoogle Cloud que es interno de Google y que administra la empresa.

Por lo general, no te conectas directamente a estos recursos internos. En su lugar, puedes gestionar clústeres e instancias a través de la consola de Google Cloud o Google Cloud CLI. Tus aplicaciones se conectan a las instancias de AlloyDB a través de sus direcciones IP privadas para consultar y modificar tus datos. AlloyDB usa APIs internas para pasar tus solicitudes administrativas o consultas de datos a los recursos de tu clúster según sea necesario.

Una instancia de AlloyDB actúa como una abstracción lógica de esta compleja recopilación de partes. Como te ofrece una dirección IP privada y estática, y una interfaz de base de datos coherente y compatible con PostgreSQL, AlloyDB puede actualizar libremente las rutas de red internas de una instancia activa o reubicar sus recursos internos. Esto proporciona una capacidad de procesamiento optimizada y alta disponibilidad sin tiempo de inactividad ni interrupciones.

Cómo usan los clústeres el acceso a servicios privados

Los clústeres y las instancias de AlloyDB de tu proyecto se comunican con sus recursos internos a través del acceso privado a servicios. Esto establece una conexión permanente entre una red de nube privada virtual (VPC) en tu propio proyecto y la VPC independiente que usa el proyecto administrado por Google que aloja los recursos internos. A través de esta conexión, los clústeres y las instancias de AlloyDB de tu proyecto pueden conectarse a sus recursos internos con direcciones IP privadas, como si estuvieran ubicados dentro de la VPC de tu propio proyecto.

La configuración del acceso a servicios privados con una red de VPC de Google Cloud implica reservar uno o más bloques de direcciones IP privadas contiguas. Después de queGoogle Cloud establece una conexión de intercambio de tráfico entre la VPC de tu proyecto y la VPC del proyecto interno, AlloyDB aplica las direcciones de tus bloques de IP reservados a los recursos de bajo nivel que requieren tus instancias. Esto permite la conectividad de red privada entre todas las partes funcionales de tus clústeres.

Como parte de la creación de un clúster de AlloyDB, debes especificar una red de VPC dentro de tu proyecto que ya hayas configurado con acceso a servicios privados. Es posible que tu proyecto ya tenga una red de VPC que cumpla con los requisitos disponible, en especial, si ya funcionó con AlloyDB o con otro producto de Google Cloud que requiera acceso a servicios privados. Si tu proyecto no tiene una red de VPC configurada para el acceso a servicios privados, debes configurar una antes de crear un clúster de AlloyDB.

No puedes cambiar la configuración de acceso a los servicios privados de un clúster después de que AlloyDB lo haya creado.

Parámetros de configuración de acceso a servicios privados admitidos

AlloyDB puede usar configuraciones de acceso a servicios privados en redes de VPC que residen en el mismo proyecto que AlloyDB o que residen en otros proyectos.

Una red de VPC en el mismo proyecto que tu clúster

La forma en que configures la conectividad de AlloyDB con una red de VPC que reside en el mismo proyecto de Google Cloud que tu clúster de AlloyDB depende de si ya existe una configuración de acceso a servicios privados en la red de VPC.

• Si la red de VPC aún no tiene configurado el acceso a servicios privados, crea una configuración de acceso a servicios privados.

• Si la red de VPC ya tiene una configuración de acceso a servicios privados existente, asegúrate de que la configuración tenga suficiente espacio de dirección IP para AlloyDB y aumenta el espacio de direcciones si es necesario.

Una red de VPC compartida

Para configurar la conectividad de AlloyDB con una red de VPC que reside en un proyecto de Google Cloud diferente del que contiene tu clúster de AlloyDB, completa los siguientes pasos:

1. Configura el proyecto en el que reside la red de VPC para la VPC compartida, con él como proyecto host y el proyecto en el que reside AlloyDB como proyecto de servicio.

2. Asegúrate de que la configuración de acceso privado a servicios de la red de VPC tenga suficiente espacio de direcciones IP para AlloyDB y aumenta el espacio de direcciones si es necesario.

3. Configura a los usuarios que pueden crear recursos de AlloyDB como administradores de proyectos de servicio con acceso a los rangos de direcciones IP asignados adecuados en la configuración de acceso a servicios privados.

Para obtener más información sobre la VPC compartida, consulta la descripción general de la VPC compartida y aprovisiona la VPC compartida.

Consideraciones sobre el tamaño del rango de direcciones IP

Es importante elegir un rango de direcciones de acceso a servicios privados que sea lo suficientemente amplio para satisfacer las necesidades de AlloyDB, así como cualquier otro servicio deGoogle Cloud que requiera direcciones IP del mismo grupo de direcciones. Puedes ajustar el tamaño de este grupo en cualquier momento.

AlloyDB usa una subred de tamaño /24 en cada región en la que implementes un clúster. Por este motivo, Google recomienda que asignes un rango de direcciones IP de acceso a servicios privados con una máscara de subred de /16. Esto te permite crear clústeres e instancias en varias regiones y, aún así, dejar muchas direcciones IP disponibles para otros Google Cloud servicios. Para obtener más información sobre esta recomendación, consulta Tamaño del rango de direcciones IP.

Rangos de IP públicas que se usan de forma privada

AlloyDB no admite el uso de rangos de IP públicas de uso privado (PUPI) cuando se usa el acceso privado a servicios. Para conectarte a AlloyDB desde cargas de trabajo que usan rangos de IP públicas de uso privado (PUPI), debes usar Private Service Connect.

¿Qué sigue?

• Habilita el acceso a servicios privados.

• Obtén más información sobre el acceso a servicios privados en Google Cloud.

• Aumentar el espacio de direcciones IP disponible para AlloyDB en tu proyecto

• Implementa AlloyDB con acceso a servicios privados con Terraform.