Zugriff auf private Dienste – Übersicht

Auf dieser Seite wird beschrieben, wie AlloyDB for PostgreSQL den Zugriff auf private Dienste verwendet, um eine Netzwerkverbindung zwischen Ihren AlloyDB-Instanzen und den verschiedenen internen Ressourcen herzustellen, die für die Funktion erforderlich sind.

Eine allgemeine Übersicht über die Funktionsweise von Netzwerkverbindungen mit AlloyDB finden Sie unter Verbindung – Übersicht.

Verbindung zwischen Clustern und internen Ressourcen

Mit dem Zugriff auf private Dienste können die AlloyDB-Cluster mit den internen Ressourcen kommunizieren, die sie unterstützen.

Instanzen und interne Ressourcen

Die AlloyDB-Cluster und ‑Instanzen, die Sie in IhremGoogle Cloud -Projekt erstellen, basieren auf vielen internen, untergeordneten Google Cloud-Ressourcen. Dazu gehören die VM-Instanzen, die als AlloyDB-Knoten und Load Balancer dienen, oder die Speichervolumes, in denen Ihre Daten gespeichert sind. Alle Ressourcen, die einen Cluster betreiben, werden in einem internenGoogle Cloud -Projekt ausgeführt, das von Google verwaltet wird.

Normalerweise stellen Sie keine direkte Verbindung zu diesen internen Ressourcen her. Stattdessen verwalten Sie Cluster und Instanzen über die Google Cloud Console oder die Google Cloud CLI. Ihre Anwendungen stellen über ihre privaten IP-Adressen eine Verbindung zu AlloyDB-Instanzen her, um Ihre Daten abzufragen und zu ändern. AlloyDB verwendet interne APIs, um Ihre Verwaltungsanfragen oder Datenabfragen bei Bedarf an die Ressourcen Ihres Clusters weiterzuleiten.

Eine AlloyDB-Instanz dient als logische Abstraktion dieser komplexen Sammlung von Teilen. Da AlloyDB eine private, statische IP-Adresse und eine konsistente, PostgreSQL-kompatible Datenbankschnittstelle bietet, können die internen Netzwerkrouten einer aktiven Instanz frei aktualisiert oder die internen Ressourcen verschoben werden. So wird ein optimierter Durchsatz und eine hohe Verfügbarkeit ohne Ausfallzeiten oder Unterbrechungen erreicht.

Verwendung des Zugriffs auf private Dienste in Clustern

Die AlloyDB-Cluster und ‑Instanzen in Ihrem Projekt kommunizieren über den privaten Dienstzugriff mit ihren internen Ressourcen. Dadurch wird eine permanente, Peering-Verbindung zwischen einem VPC-Netzwerk (Virtual Private Cloud) in Ihrem eigenen Projekt und der separaten VPC hergestellt, die vom von Google verwalteten Projekt verwendet wird, in dem die internen Ressourcen gehostet werden. Über diese Verbindung können die AlloyDB-Cluster und ‑Instanzen in Ihrem Projekt über private IP-Adressen eine Verbindung zu ihren internen Ressourcen herstellen, als befänden sie sich in der VPC Ihres eigenen Projekts.

Wenn Sie den Zugriff auf private Dienste mit einem VPC-Netzwerk von Google Cloud konfigurieren, müssen Sie einen oder mehrere Blöcke zusammenhängender privater IP-Adressen reservieren. NachdemGoogle Cloud eine Peering-Verbindung zwischen dem VPC Ihres Projekts und dem VPC des internen Projekts hergestellt hat, wendet AlloyDB Adressen aus Ihren reservierten IP-Blöcken auf die Low-Level-Ressourcen an, die Ihre Instanzen benötigen. So ist eine private Netzwerkverbindung zwischen allen Arbeitsteilen Ihrer Cluster möglich.

Wenn Sie einen AlloyDB-Cluster erstellen, müssen Sie in Ihrem Projekt ein VPC-Netzwerk angeben, das Sie bereits mit Zugriff auf private Dienste eingerichtet haben. Möglicherweise ist für Ihr Projekt bereits ein geeignetes VPC-Netzwerk verfügbar, insbesondere wenn Sie bereits mit AlloyDB oder einem anderen Google Cloud -Produkt gearbeitet haben, für das Zugriff auf private Dienste erforderlich ist. Wenn für Ihr Projekt kein VPC-Netzwerk für den Zugriff auf private Dienste eingerichtet ist, müssen Sie eines konfigurieren, bevor Sie einen AlloyDB-Cluster erstellen.

Sie können die Konfiguration des Zugriffs auf private Dienste eines Clusters nicht ändern, nachdem AlloyDB den Cluster erstellt hat.

Unterstützte Konfigurationen für den Zugriff auf private Dienste

AlloyDB kann Konfigurationen für den Zugriff auf private Dienste in VPC-Netzwerken verwenden, die sich im selben Projekt wie AlloyDB oder in anderen Projekten befinden.

Ein VPC-Netzwerk im selben Projekt wie Ihr Cluster

Wie Sie die AlloyDB-Verbindung mit einem VPC-Netzwerk konfigurieren, das sich im selben Google Cloud-Projekt wie Ihr AlloyDB-Cluster befindet, hängt davon ab, ob im VPC-Netzwerk bereits eine Konfiguration für den Zugriff auf private Dienste vorhanden ist.

• Wenn für das VPC-Netzwerk noch kein Zugriff auf private Dienste konfiguriert ist, erstellen Sie eine entsprechende Konfiguration.

• Wenn für das VPC-Netzwerk bereits eine Konfiguration für den Zugriff auf private Dienste vorhanden ist, prüfen Sie, ob die Konfiguration genügend IP-Adressraum für AlloyDB hat. Erhöhen Sie gegebenenfalls den Adressraum.

Freigegebenes VPC-Netzwerk

So konfigurieren Sie die AlloyDB-Verbindung über ein VPC-Netzwerk, das sich in einem anderen Google Cloud-Projekt als dem befindet, das Ihren AlloyDB-Cluster enthält:

1. Konfigurieren Sie das Projekt, in dem sich das VPC-Netzwerk befindet, für die freigegebene VPC. Es dient als Hostprojekt und das Projekt, in dem sich AlloyDB befindet, als Dienstprojekt.

2. Achten Sie darauf, dass die Konfiguration für den Zugriff auf private Dienste des VPC-Netzwerk einen ausreichenden IP-Adressbereich für AlloyDB hat, und erhöhen Sie den Adressbereich, falls erforderlich.

3. Konfigurieren Sie Nutzer, die AlloyDB-Ressourcen erstellen können, als Dienstprojektadministratoren mit Zugriff auf die entsprechenden zugewiesenen IP-Adressbereiche in der Konfiguration für den Zugriff auf private Dienste.

Weitere Informationen zu freigegebenen VPCs finden Sie unter Freigegebene VPC und Freigegebene VPC bereitstellen.

Überlegungen zur Größe des IP-Adressbereichs

Es ist wichtig, einen Adressbereich für den Zugriff auf private Dienste auszuwählen, der groß genug ist, um die Anforderungen von AlloyDB sowie aller anderenGoogle Cloud -Dienste zu erfüllen, für die IP-Adressen aus demselben Adresspool erforderlich sind. Sie können die Größe dieses Pools jederzeit anpassen.

AlloyDB verwendet in jeder Region, in der Sie einen Cluster bereitstellen, ein Subnetz mit der Größe /24. Aus diesem Grund empfiehlt Google, einen IP-Adressbereich für den Zugriff auf private Dienste mit einer Subnetzmaske von /16 zuzuweisen. So können Sie Cluster und Instanzen in mehreren Regionen erstellen und trotzdem genügend IP-Adressen für andere Google Cloud Dienste verfügbar lassen. Weitere Informationen zu dieser Empfehlung finden Sie unter Größe des IP-Adressbereichs.

Privat genutzte öffentliche IP-Bereiche

AlloyDB unterstützt die Verwendung von privat verwendeten öffentlichen IP-Bereichen (PUPI) nicht, wenn der Zugriff auf private Dienste verwendet wird. Wenn Sie eine Verbindung von Arbeitslasten über privat verwendete öffentliche IP-Bereiche (PUPI) zu AlloyDB herstellen möchten, müssen Sie Private Service Connect verwenden.

Nächste Schritte

• Aktivieren Sie den Zugriff auf private Dienste.

• Weitere Informationen zum Zugriff auf private Dienste in Google Cloud.

• Erhöhen Sie den IP-Adressbereich, der AlloyDB in Ihrem Projekt zur Verfügung steht.

• AlloyDB mit Zugriff auf private Dienste mit Terraform bereitstellen