专用服务访问通道概览

本页介绍了 AlloyDB for PostgreSQL 如何使用专用服务访问在 AlloyDB 实例与其正常运行所需的各种内部资源之间建立网络连接。

如需大致了解网络连接如何与 AlloyDB 搭配使用，请参阅连接概览。

集群与内部资源之间的连接

通过专用服务访问通道，AlloyDB 集群可以与启用它们的内部资源进行通信。

实例和内部资源

您在Google Cloud 项目中创建的 AlloyDB 集群和实例依赖于许多内部低级 Google Cloud资源。这些资源包括用作 AlloyDB 节点和负载平衡器的虚拟机 (VM) 实例，或存储数据的存储卷。为集群提供支持的所有资源都运行在Google Cloud 项目中，该项目是 Google 内部的项目，由 Google 管理。

通常，您不会直接连接到这些内部资源。而是通过 Google Cloud 控制台或 Google Cloud CLI 管理集群和实例。您的应用通过其专用 IP 地址连接到 AlloyDB 实例，以查询和修改您的数据。AlloyDB 会根据需要使用内部 API 将您的管理请求或数据查询传递给集群的资源。

AlloyDB 实例可用作这组复杂部分的逻辑抽象。通过为您提供专用静态 IP 地址和与 PostgreSQL 兼容的一致数据库接口，AlloyDB 可以自由更新活动实例的内部网络路由或重新定位其内部资源。这样可以实现优化的吞吐量和高可用性，而不会出现任何停机或中断。

集群如何使用专用服务访问通道

您项目中的 AlloyDB 集群和实例通过专用服务访问通道与其内部资源进行通信。这会在您自己的项目中的 Virtual Private Cloud (VPC) 网络与托管内部资源的 Google 管理项目使用的单独 VPC 之间建立永久的对等连接。通过此连接，项目中的 AlloyDB 集群和实例可以使用专用 IP 地址连接到其内部资源，就像这些资源位于您自己项目的 VPC 中一样。

使用 Google Cloud VPC 网络配置专用服务访问权限需要预留一个或多个连续的专用 IP 地址块。Google Cloud 在项目的 VPC 与内部项目的 VPC 之间建立对等互连连接后，AlloyDB 会将预留 IP 块中的地址应用于实例所需的低级资源。这样，集群的所有工作部分之间就可以实现专用网络连接。

在创建 AlloyDB 集群的过程中，您需要在项目中指定已设置专用服务访问权限的 VPC 网络。您的项目可能已经有符合条件的 VPC 网络，尤其是在您的项目已与 AlloyDB 或其他需要私有服务访问权限的 Google Cloud 产品配合使用的情况下。如果您的项目未设置用于专用服务访问的 VPC 网络，则必须先配置一个，然后才能创建 AlloyDB 集群。

AlloyDB 创建集群后，您将无法更改集群的专用服务访问权限配置。

支持的专用服务访问通道配置

AlloyDB 可以使用与 AlloyDB 位于同一项目中的 VPC 网络或位于其他项目中的 VPC 网络中的专用服务访问配置。

与集群位于同一项目中的 VPC 网络

使用与 AlloyDB 集群位于同一 Google Cloud 项目中的 VPC 网络配置 AlloyDB 连接的方式取决于 VPC 网络中是否已存在专用服务访问通道配置。

• 如果 VPC 网络尚未配置专用服务访问通道，请创建专用服务访问通道配置。

• 如果 VPC 网络已有现有的专用服务访问通道配置，请确保该配置有足够的 IP 地址空间来容纳 AlloyDB，并根据需要增加地址空间。

共享 VPC 网络

如需使用位于与包含 AlloyDB 集群的 Google Cloud 项目不同的 Google Cloud 项目中的 VPC 网络配置 AlloyDB 连接，请完成以下步骤：

1. 为共享 VPC 配置 VPC 网络所在的项目，将其作为宿主项目，并将 AlloyDB 所在的项目作为服务项目。

2. 确保 VPC 网络的专用服务访问配置为 AlloyDB 提供了足够的 IP 地址空间，并根据需要增加地址空间。

3. 在专用服务访问通道配置中，将可以创建 AlloyDB 资源的用户配置为 Service Project Admin，并为其授予对相应分配的 IP 地址范围的访问权限。

如需详细了解共享 VPC，请参阅共享 VPC 概览和预配共享 VPC。

IP 地址范围大小注意事项

请务必选择一个足够宽的专用服务访问地址范围，以满足 AlloyDB 以及任何其他需要使用同一地址池中的 IP 地址的Google Cloud 服务的需求。您可以随时调整此令牌桶的大小。

AlloyDB 会在您部署集群的每个区域使用大小为 /24 的子网。因此，Google 建议您分配子网掩码为 /16 的专用服务访问 IP 地址范围。这样，您就可以在多个区域创建集群和实例，同时还能有充足的 IP 地址可供其他 Google Cloud 服务使用。如需详细了解此建议，请参阅 IP 地址范围大小。

以非公开方式使用的公共 IP 范围

使用专用服务访问通道时，AlloyDB 不支持使用以非公开方式使用的公共 IP 范围 (PUPI)。如需使用以非公开方式使用的公共 IP 范围 (PUPI) 范围从工作负载连接到 AlloyDB，您必须使用 Private Service Connect。

后续步骤

• 启用专用服务访问通道。

• 详细了解 Google Cloud中的专用服务访问权限。

• 增加项目中可供 AlloyDB 使用的 IP 地址空间。

• 使用 Terraform 部署具有专用服务访问权限的 AlloyDB。