Visão geral do acesso a serviços particulares

Esta página descreve como o AlloyDB para PostgreSQL usa o acesso a serviços particulares para estabelecer a conectividade de rede entre as instâncias do AlloyDB e os vários recursos internos necessários para o funcionamento.

Para uma visão geral de como as conexões de rede funcionam com o AlloyDB, consulte Visão geral da conexão.

Conectividade entre clusters e recursos internos

O acesso a serviços privados permite que os clusters do AlloyDB se comuniquem com os recursos internos que os ativam.

Instâncias e recursos internos

Os clusters e instâncias do AlloyDB criados no projetodo Google Cloud dependem de muitos recursos internos de baixo nível do Google Cloud. Isso inclui as instâncias de máquina virtual (VM) que servem como nós e balanceadores de carga do AlloyDB ou os volumes de armazenamento que armazenam seus dados. Todos os recursos que alimentam um cluster são executados em um projeto do Google Cloud interno e gerenciado pelo Google.

Geralmente, você não se conecta diretamente a esses recursos internos. Em vez disso, gerencie clusters e instâncias pelo console do Google Cloud ou pela Google Cloud CLI. Seus aplicativos se conectam às instâncias do AlloyDB pelos endereços IP privados para consultar e modificar seus dados. O AlloyDB usa APIs internas para transmitir suas solicitações administrativas ou consultas de dados aos recursos do cluster conforme necessário.

Uma instância do AlloyDB funciona como uma abstração lógica dessa coleção complexa de partes. Ao oferecer um endereço IP privado e estático e uma interface de banco de dados consistente e compatível com o PostgreSQL, o AlloyDB pode atualizar livremente as rotas de rede internas de uma instância ativa ou realocar os recursos internos. Isso oferece capacidade de processamento otimizada e alta disponibilidade sem tempo de inatividade ou interrupção.

Como os clusters usam o acesso a serviços particulares

Os clusters e instâncias do AlloyDB no seu projeto se comunicam com os recursos internos por meio do acesso a serviços particulares. Isso estabelece uma conexão permanente e pareada entre uma rede de nuvem privada virtual (VPC) no seu projeto e a VPC separada usada pelo projeto gerenciado pelo Google que hospeda os recursos internos. Com essa conexão, os clusters e as instâncias do AlloyDB no seu projeto podem se conectar aos recursos internos usando endereços IP particulares, como se estivessem localizados na VPC do seu projeto.

A configuração do acesso a serviços particulares com uma rede VPC do envolve reservar um ou mais blocos de endereços IP particulares contíguos. Depois que oGoogle Cloud estabelecer uma conexão de peering entre a VPC do seu projeto e a VPC do projeto interno, o AlloyDB vai aplicar endereços dos seus blocos de IP reservados aos recursos de baixo nível que suas instâncias exigem. Isso permite a conectividade de rede privada entre todas as partes de trabalho dos clusters.

Como parte da criação de um cluster do AlloyDB, é necessário especificar uma rede VPC no seu projeto que já tenha sido configurada com acesso a serviços particulares. Talvez seu projeto já tenha uma rede VPC qualificada disponível, principalmente se já tiver trabalhado com o AlloyDB ou outro produto do Google Cloud que exige acesso a serviços privados. Se o projeto não tiver uma rede VPC configurada para acesso a serviços particulares, será necessário configurar uma antes de criar um cluster do AlloyDB.

Não é possível mudar a configuração de acesso a serviços particulares de um cluster depois que o AlloyDB o cria.

Configurações de acesso a serviços particulares com suporte

O AlloyDB pode usar configurações de acesso a serviços particulares em redes VPC que residem no mesmo projeto que o AlloyDB ou que residem em outros projetos.

Uma rede VPC no mesmo projeto do cluster

A forma de configurar a conectividade do AlloyDB usando uma rede VPC que está no mesmo projeto do Google Cloud que seu cluster do AlloyDB depende se uma configuração de acesso a serviços particulares já existe na rede VPC.

uma rede VPC compartilhada;

Para configurar a conectividade do AlloyDB usando uma rede VPC que reside em um projeto do Google Cloud diferente daquele que contém seu cluster do AlloyDB, siga estas etapas:

  1. Configure o projeto em que a rede VPC está localizada para a VPC compartilhada, com ele como o projeto host e o projeto em que o AlloyDB está localizado como um projeto de serviço.

  2. Verifique se a configuração de acesso a serviços particulares da rede VPC tem espaço de endereço IP suficiente para o AlloyDB e aumente o espaço de endereço se necessário.

  3. Configure os usuários que podem criar recursos do AlloyDB como administradores de projeto de serviço com acesso aos intervalos de endereços IP alocados apropriados na configuração de acesso a serviços particulares.

Para mais informações sobre a VPC compartilhada, consulte Visão geral da VPC compartilhada e Provisionamento da VPC compartilhada.

Considerações sobre o tamanho do intervalo de endereços IP

É importante escolher um intervalo de endereço de acesso a serviços particulares amplo o suficiente para atender às necessidades do AlloyDB, bem como a qualquer outro Google Cloud serviços que exigem endereços IP do mesmo pool de endereços. É possível ajustar o tamanho desse pool a qualquer momento.

O AlloyDB usa uma sub-rede de tamanho /24 em cada região em que você implanta um cluster. Por esse motivo, o Google recomenda que você aloque um intervalo de endereços IP de acesso a serviços particulares com uma máscara de sub-rede de /16. Isso permite que você crie clusters e instâncias em várias regiões e ainda deixe muitos endereços IP disponíveis para outros serviços do Google Cloud . Para mais informações sobre essa recomendação, consulte Tamanho do intervalo de endereços IP.

Intervalos de IP públicos usados de maneira particular

O AlloyDB não oferece suporte ao uso de intervalos de IP público de uso particular (PUPI) ao usar o acesso a serviços particulares. Para se conectar ao AlloyDB de cargas de trabalho que usam intervalos de IP público de uso particular (PUPI), use o Private Service Connect.

A seguir