Présentation de l'accès aux services privés

Cette page explique comment AlloyDB pour PostgreSQL utilise l'accès aux services privés pour établir une connectivité réseau entre vos instances AlloyDB et les différentes ressources internes dont elles ont besoin pour fonctionner.

Pour obtenir une présentation générale du fonctionnement des connexions réseau avec AlloyDB, consultez la section Présentation des connexions.

Connectivité entre les clusters et les ressources internes

L'accès aux services privés permet aux clusters AlloyDB de communiquer avec les ressources internes qui les permettent.

Instances et ressources internes

Les clusters et les instances AlloyDB que vous créez dans votre projetGoogle Cloud reposent sur de nombreuses ressources internes de bas niveau Google Cloud. Il s'agit, par exemple, des instances de machine virtuelle (VM) qui servent de nœuds et d'équilibreurs de charge AlloyDB, ou des volumes de stockage qui contiennent vos données. Toutes les ressources qui alimentent un cluster s'exécutent dans un projetGoogle Cloud interne à Google et géré par Google.

En général, vous ne vous connectez pas directement à ces ressources internes. Vous devez plutôt gérer les clusters et les instances via la console Google Cloud ou Google Cloud CLI. Vos applications se connectent aux instances AlloyDB via leurs adresses IP privées pour interroger et modifier vos données. AlloyDB utilise des API internes pour transmettre vos requêtes administratives ou vos requêtes de données aux ressources de votre cluster si nécessaire.

Une instance AlloyDB agit comme une abstraction logique de cet ensemble complexe de composants. En vous proposant une adresse IP privée et statique, ainsi qu'une interface de base de données cohérente et compatible avec PostgreSQL, AlloyDB peut librement mettre à jour les routes réseau internes d'une instance active ou déplacer ses ressources internes. Cela offre un débit optimisé et une haute disponibilité sans temps d'arrêt ni interruption.

Comment les clusters utilisent-ils l'accès aux services privés ?

Les clusters et les instances AlloyDB de votre projet communiquent avec leurs ressources internes via l'accès aux services privés. Cela établit une connexion permanente et appairée entre un réseau cloud privé virtuel (VPC) dans votre propre projet et le VPC distinct utilisé par le projet géré par Google qui héberge les ressources internes. Grâce à cette connexion, les clusters et les instances AlloyDB de votre projet peuvent se connecter à leurs ressources internes à l'aide d'adresses IP privées, comme s'ils se trouvaient dans le VPC de votre propre projet.

La configuration de l'accès aux services privés avec un réseau VPC Google Cloud implique de réserver un ou plusieurs blocs d'adresses IP privées contiguës. Une fois queGoogle Cloud a établi une connexion d'appairage entre le VPC de votre projet et celui du projet interne, AlloyDB applique les adresses de vos blocs d'adresses IP réservés aux ressources de bas niveau requises par vos instances. Cela permet une connectivité réseau privée entre toutes les parties fonctionnelles de vos clusters.

Lorsque vous créez un cluster AlloyDB, vous devez spécifier un réseau VPC dans votre projet que vous avez déjà configuré avec un accès aux services privés. Il est possible qu'un réseau VPC éligible soit déjà disponible pour votre projet, en particulier s'il a déjà fonctionné avec AlloyDB ou un autre produit Google Cloud nécessitant un accès aux services privés. Si aucun réseau VPC n'est configuré pour l'accès aux services privés dans votre projet, vous devez en configurer un avant de créer un cluster AlloyDB.

Vous ne pouvez pas modifier la configuration d'accès aux services privés d'un cluster une fois qu'AlloyDB l'a créé.

Configurations d'accès aux services privés acceptées

AlloyDB peut utiliser des configurations d'accès aux services privés dans des réseaux VPC situés dans le même projet qu'AlloyDB ou dans d'autres projets.

Un réseau VPC dans le même projet que votre cluster

La manière dont vous configurez la connectivité AlloyDB à l'aide d'un réseau VPC qui se trouve dans le même projet Google Cloud que votre cluster AlloyDB dépend de l'existence d'une configuration d'accès aux services privés dans le réseau VPC.

• Si l'accès aux services privés n'est pas déjà configuré pour le réseau VPC, créez une configuration d'accès aux services privés.

• Si le réseau VPC dispose déjà d'une configuration d'accès aux services privés, assurez-vous qu'elle dispose d'un espace d'adresses IP suffisant pour AlloyDB et augmentez l'espace d'adresses si nécessaire.

Un réseau VPC partagé

Pour configurer la connectivité AlloyDB à l'aide d'un réseau VPC qui se trouve dans un projet Google Cloud différent de celui contenant votre cluster AlloyDB, procédez comme suit:

1. Configurez le projet où se trouve le réseau VPC pour le VPC partagé, en tant que projet hôte et le projet où se trouve AlloyDB en tant que projet de service.

2. Assurez-vous que la configuration de l'accès aux services privés du réseau VPC dispose d'un espace d'adresses IP suffisant pour AlloyDB et augmentez l'espace d'adresses si nécessaire.

3. Configurez les utilisateurs autorisés à créer des ressources AlloyDB en tant qu'administrateurs de projet de service avec accès aux plages d'adresses IP allouées appropriées dans la configuration de l'accès aux services privés.

Pour en savoir plus sur le VPC partagé, consultez les pages Présentation du VPC partagé et Provisionner un VPC partagé.

Points à noter concernant la taille de la plage d'adresses IP

Il est important de choisir une plage d'adresses d'accès aux services privés suffisamment large pour répondre aux besoins d'AlloyDB, ainsi que de tous les autres servicesGoogle Cloud qui nécessitent des adresses IP issues du même pool d'adresses. Vous pouvez ajuster la taille de ce pool à tout moment.

AlloyDB utilise un sous-réseau de taille /24 dans chaque région où vous déployez un cluster. C'est pourquoi Google vous recommande d'allouer une plage d'adresses IP d'accès aux services privés avec un masque de sous-réseau de /16. Vous pouvez ainsi créer des clusters et des instances dans plusieurs régions, tout en laissant suffisamment d'adresses IP disponibles pour d'autres services . Pour en savoir plus sur cette recommandation, consultez la section Taille de la plage d'adresses IP.

Plages d'adresses IP publiques utilisées en mode privé

AlloyDB n'est pas compatible avec l'utilisation de plages d'adresses IP publiques utilisées en mode privé (PUPI) lorsque vous utilisez l'accès aux services privés. Pour vous connecter à AlloyDB à partir de charges de travail utilisant des plages d'adresses IP publiques utilisées en mode privé (PUPI), vous devez utiliser Private Service Connect.

Étape suivante

• Activez l'accès aux services privés.

• En savoir plus sur l'accès aux services privés dans Google Cloud

• Augmentez l'espace d'adresses IP disponible pour AlloyDB dans votre projet.

• Déployez AlloyDB avec l'accès aux services privés à l'aide de Terraform.