Vista geral do acesso a serviços privados

Esta página descreve como o AlloyDB for PostgreSQL usa o acesso a serviços privados para estabelecer a conetividade de rede entre as suas instâncias do AlloyDB e os vários recursos internos de que precisam para funcionar.

Para uma vista geral de como funcionam as ligações de rede com o AlloyDB, consulte a vista geral das ligações.

Conetividade entre clusters e recursos internos

O acesso a serviços privados permite que os clusters do AlloyDB comuniquem com os recursos internos que os ativam.

Instâncias e recursos internos

Os clusters e as instâncias do AlloyDB que cria no seu projetoGoogle Cloud dependem de muitos recursos Google Cloudinternos de baixo nível. Estes incluem as instâncias de máquinas virtuais (MV) que funcionam como nós do AlloyDB e equilibradores de carga, ou os volumes de armazenamento que contêm os seus dados. Todos os recursos que alimentam um cluster são executados num Google Cloud projeto interno e gerido pela Google.

Geralmente, não se liga diretamente a estes recursos internos. Em alternativa, pode gerir clusters e instâncias através da Google Cloud consola ou da Google Cloud CLI. As suas aplicações ligam-se a instâncias do AlloyDB através dos respetivos endereços IP privados para consultar e modificar os seus dados. O AlloyDB usa APIs internas para transmitir os seus pedidos administrativos ou consultas de dados aos recursos do cluster, conforme necessário.

Uma instância do AlloyDB funciona como uma abstração lógica desta complexa coleção de peças. Ao oferecer-lhe um endereço IP estático e privado, bem como uma interface de base de dados consistente e compatível com o PostgreSQL, o AlloyDB pode atualizar livremente as rotas de rede internas de uma instância ativa ou realocar os respetivos recursos internos. Isto oferece um débito otimizado e uma elevada disponibilidade sem tempo de inatividade nem interrupções.

Como os clusters usam o acesso privado aos serviços

Os clusters e as instâncias do AlloyDB no seu projeto comunicam com os respetivos recursos internos através do acesso privado aos serviços. Isto estabelece uma ligação permanente com intercâmbio entre uma rede de nuvem virtual privada (VPC) no seu próprio projeto e a VPC separada usada pelo projeto gerido pela Google que aloja os recursos internos. Através desta ligação, os clusters e as instâncias do AlloyDB no seu projeto podem estabelecer ligação aos respetivos recursos internos através de endereços IP privados, tal como se estivessem localizados na VPC do seu próprio projeto.

A configuração do acesso a serviços privados com uma Google Cloud rede VPC implica reservar um ou mais blocos de endereços IP privados contíguos. Depois de Google Cloud estabelecer uma ligação de peering entre a VPC do seu projeto e a VPC do projeto interno, o AlloyDB aplica endereços dos seus blocos de IP reservados aos recursos de baixo nível que as suas instâncias requerem. Isto permite a conetividade de rede privada entre todas as partes funcionais dos seus clusters.

Como parte da criação de um cluster do AlloyDB, tem de especificar uma rede VPC no seu projeto que já tenha configurado com acesso a serviços privados. O seu projeto pode já ter uma rede VPC elegível disponível, especialmente se já tiver trabalhado com o AlloyDB ou outro produto que exija acesso privado aos serviços. Google Cloud Se o seu projeto não tiver uma rede VPC configurada para o acesso a serviços privados, tem de configurar uma antes de criar um cluster do AlloyDB.

Não pode alterar a configuração de acesso a serviços privados de um cluster depois de o AlloyDB ter criado.

Configurações de acesso a serviços privados suportadas

O AlloyDB pode usar configurações de acesso a serviços privados em redes VPC que residam no mesmo projeto que o AlloyDB ou que residam noutros projetos.

Uma rede VPC no mesmo projeto que o cluster

A forma como configura a conetividade do AlloyDB através de uma rede VPC que reside no mesmo projeto que o seu cluster do AlloyDB depende do facto de já existir uma configuração de acesso a serviços privados na rede VPC. Google Cloud

• Se a rede VPC ainda não tiver o acesso a serviços privados configurado, crie uma configuração de acesso a serviços privados.

• Se a rede VPC já tiver uma configuração de acesso a serviços privados, certifique-se de que a configuração tem espaço de endereços IP suficiente para o AlloyDB e aumente o espaço de endereços, se necessário.

Uma rede de VPC partilhada

Para configurar a conetividade do AlloyDB através de uma rede VPC que reside num Google Cloud projeto diferente do que contém o seu cluster do AlloyDB, conclua os seguintes passos:

1. Configure o projeto onde reside a rede VPC para a VPC partilhada, com este como o projeto anfitrião e o projeto onde reside o AlloyDB como um projeto de serviço.

2. Certifique-se de que a configuração de acesso a serviços privados da rede VPC tem espaço de endereços IP suficiente para o AlloyDB e aumente o espaço de endereços, se necessário.

3. Configure os utilizadores que podem criar recursos do AlloyDB como administradores do projeto de serviço com acesso aos intervalos de endereços IP atribuídos adequados na configuração de acesso a serviços privados.

4. Quando usar a CLI do Google Cloud para criar uma instância do AlloyDB com uma rede VPC partilhada, certifique-se de que usa o caminho totalmente qualificado da rede VPC. Por exemplo, projects/cymbal-project/global/networks/shared-vpc-network.

Para mais informações sobre a VPC partilhada, consulte a vista geral da VPC partilhada e o aprovisionamento da VPC partilhada.

Considerações sobre o tamanho do intervalo de endereços IP

É importante escolher um intervalo de endereços de acesso a serviços privados suficientemente amplo para satisfazer as necessidades do AlloyDB, bem como quaisquer outrosGoogle Cloud serviços que exijam endereços IP do mesmo conjunto de endereços. Pode ajustar o tamanho deste conjunto em qualquer altura.

O AlloyDB usa uma sub-rede de tamanho /24 em cada região onde implementa um cluster. Embora o tamanho mínimo seja um único bloco /24 (256 endereços), o tamanho recomendado é um bloco /16 (65 536 endereços). Isto permite-lhe criar clusters e instâncias em várias regiões e, ainda assim, deixar muitos endereços IP disponíveis para outros Google Cloud serviços.

Quando aprovisiona novas instâncias em clusters configurados com acesso privado a serviços, o AlloyDB implementa os recursos em sub-redes regionais recém-criadas ou existentes que foram criadas anteriormente pelo AlloyDB. Se for detetada uma sub-rede existente suficientemente preenchida, o AlloyDB cria uma nova sub-rede na mesma região, desde que o intervalo de endereços IP alocado seja suficientemente grande para criar uma sub-rede adicional de tamanho /24. Se o espaço de endereços IP existente disponível para o AlloyDB não for suficientemente grande para criar a sub-rede, a sua tentativa de criar o cluster ou a instância falha. Tem de aumentar o espaço de endereços IP para resolver a escassez de endereços antes de tentar novamente criar o cluster ou a instância. Para mais informações sobre como aumentar o espaço de endereços IP, consulte o artigo Aumente o espaço de endereços IP disponível para o AlloyDB no seu projeto.

Intervalos de IP públicos usados de forma privada

O AlloyDB não suporta a utilização de intervalos de IP públicos usados de forma privada (PUPI) quando usa o acesso a serviços privados. Para estabelecer ligação ao AlloyDB a partir de cargas de trabalho que usam intervalos de IP públicos usados de forma privada (PUPI), tem de usar o Private Service Connect.

Limitação

• As ligações de acesso a serviços privados estão limitadas a intervalos de IP RFC 1918.

O que se segue?

• Ative o acesso a serviços privados.

• Saiba mais sobre o acesso a serviços privados no Google Cloud.

• Aumentar o espaço de endereços IP disponível para o AlloyDB no seu projeto.

• Implemente o AlloyDB com acesso a serviços privados através do Terraform.