이 페이지에서는 PostgreSQL용 AlloyDB 연결 옵션을 설명하고 워크로드, 네트워크 토폴로지, 보안 연결 요구사항에 가장 적합한 옵션을 선택하는 데 도움을 줍니다. 자세한 내용은 연결 개요를 참고하세요.
이 문서에서는 다음 내용을 알아봅니다.
- AlloyDB에서 사용할 네트워크 설정의 종류입니다.
- 안전하게 연결하는 방법
- 연결 권장사항
- 워크로드 위치가 연결 요구사항에 미치는 영향
권장 연결 옵션
다음 표를 사용하여 워크로드에 권장되는 연결 옵션을 알아보세요.
- 비공개 IP (비공개 서비스 액세스 또는 Private Service Connect) 및 공개 IP에 직접 연결, 언어 커넥터 또는 인증 프록시가 권장되는지 여부
- 서버리스 가상 프라이빗 클라우드 (VPC) 액세스 커넥터, 직접 VPC 이그레스와 같은 연결 요구사항 자세한 내용은 직접 VPC 이그레스와 VPC 커넥터 비교 | Cloud Run 문서를 참고하세요.
- 비공개 IP(비공개 서비스 액세스와 Private Service Connect) 및 공개 IP에 대한 고려사항
워크로드 평가
연결 옵션을 선택하기 전에 워크로드를 평가하세요. AlloyDB는 다음을 위해 워크로드 환경의 연결을 지원합니다.
- Cloud Run, Cloud Shell, Google 외 SaaS 제품
- Cloud Functions v2
- App Engine 가변형 환경 및 App Engine 표준 환경
- Google Kubernetes Engine 및 Compute Engine
- 온프레미스 설정
| 워크로드 환경 | 비공개 IP | 공개 IP | 설명 | ||
|---|---|---|---|---|---|
| 직접 | 커넥터 | 직접 | 커넥터 | ||
| Cloud Shell | ❌ | ❌ | ❌ | ✅ | Cloud Shell에는 공개 IP가 필요합니다. |
| Cloud Run, Cloud Functions v2 | ✅ | ✅ | ❌ | ✅ | 서버리스 VPC 액세스 커넥터 또는 직접 VPC 이그레스가 필요합니다. |
| App Engine 표준, 가변형 | ✅ | ✅ | ❌ | ✅ | 서버리스 VPC 액세스 커넥터가 필요합니다. |
| GKE, Compute Engine | ✅ | ✅ | ✅ | ✅ | 비공개 IP를 사용하는 것이 좋습니다. 전이적 VPC 피어링이 필요하지 않은 경우 비공개 서비스 액세스를 사용합니다. 그렇지 않으면 Private Service Connect를 사용하세요. |
| 온프레미스 | ✅ | ✅ | ✅ | ✅ | 비공개 IP에는 온프레미스에서 타겟 인스턴스로 연결되는 네트워크 경로가 필요합니다. 언어 커넥터 또는 인증 프록시를 사용하는 공개 IP는 광범위한 네트워크 설정이 필요하지 않은 안전한 대안입니다. |
워크로드에 따른 연결 권장사항
AlloyDB에 연결할 때는 워크로드 환경에 따라 다음을 고려하세요.
Cloud Shell
- 공개 IP로 인증 프록시를 사용하여 Cloud Shell에 연결합니다. Cloud Shell은 VPC에 대한 연결을 지원하지 않습니다. 비공개 서비스 액세스 또는 Private Service Connect 인스턴스에 연결되지 않습니다. 또한 Cloud Shell에는 승인된 네트워크에서 사용할 수 있는 안정적인 아웃바운드 IP 주소가 없습니다.
Cloud Run 및 Cloud Functions v2
App Engine 표준 환경 및 App Engine 가변형 환경
- 언어 커넥터를 사용하는지 인증 프록시를 사용하는지에 관계없이 비공개 IP에는 서버리스 VPC 액세스 커넥터를 사용합니다.
- 공개 IP의 경우 언어 커넥터 또는 인증 프록시를 사용해야 합니다.
GKE 및 Compute Engine
- 직접 연결과 언어 커넥터 또는 인증 프록시를 모두 사용하여 AlloyDB에 연결할 수 있습니다.
온프레미스
- 직접 연결과 언어 커넥터 또는 인증 프록시를 모두 사용하여 AlloyDB에 연결할 수 있습니다. 언어 커넥터와 인증 프록시는 네트워크 경로를 만들지 않습니다. 워크로드와 AlloyDB 인스턴스 사이에 네트워크 경로가 있는지 확인합니다.
안전한 연결 요구사항 평가
AlloyDB용 언어 커넥터 또는 인증 프록시는 IAM 통합 및 mTLS와 같은 향상된 보안 기능을 제공하지만 이러한 기능을 사용하려면 추가 설정이 필요합니다. 직접 연결은 기본적으로 암호화되지만 클라이언트 인증서 또는 더 높은 SSL 모드(verify-ca 및 verify-full)를 지원하지 않습니다. 언어 커넥터 또는 인증 프록시를 공개 IP와 함께 사용하고 언어 커넥터 또는 인증 프록시를 사용할 수 없는 경우에만 비공개 IP에 직접 연결하는 것이 좋습니다.
| 암호화된 연결 | IAM 인증 | IAM 승인 | mTLS | |
|---|---|---|---|---|
| 직접 연결 | ✅ | ✅ | ❌ | ❌ |
| 언어 커넥터 또는 인증 프록시 | ✅ | ✅ | ✅ | ✅ |
안전한 연결을 위한 권장사항
- 클러스터를 만들 때 클러스터를 만들 수 있도록 비공개 IP 인터페이스를 지정해야 합니다. 공개 IP를 사용하려면 Private Service Connect를 비공개 IP 인터페이스로 선택하는 것이 좋습니다.
- 설정이 필요하지만 IAM 승인 및 인증, mTLS와 같은 보안 기능을 위해 언어 커넥터 또는 인증 프록시를 사용합니다. 예를 들어 인증 프록시를 사이드카로 실행하거나 언어 커넥터를 사용하려는 경우 이 방법이 적합합니다. 언어 커넥터나 인증 프록시를 사용하는 경우 데이터베이스 연결의 지연 시간이 약간 증가할 수 있습니다.
- 최적의 성능을 위해 그리고 언어 커넥터나 인증 프록시가 불가능한 경우 직접 연결을 사용합니다. 직접 연결은 기본적으로 암호화되지만(
sslmode=require) 클라이언트 인증서 또는 더 높은 SSL 모드를 지원하지 않습니다. 언어 커넥터 또는 인증 프록시를 사용할 수 없는 경우에만 직접 연결을 사용하세요.
네트워크 토폴로지 평가
네트워크 토폴로지의 경우 AlloyDB 연결에 비공개 서비스 액세스를 사용하는 것이 좋습니다. Private Service Connect를 사용하여 여러 VPC의 전이적 피어링 문제를 방지합니다. 공개 IP는Google Cloud SaaS 제품이 아닌 제품에서 연결하는 데 적합하며, 특히 비공개 IP가 비실용적인 경우에 적합합니다.
| 멀티 VPC 연결 | Google 외 SaaS 클라이언트 | 온프레미스 연결 지원 | 설명 | |
|---|---|---|---|---|
| 비공개 서비스 액세스 | ❌ | ❌ | ✅ | 기본적으로 전환 VPC 연결은 지원되지 않습니다. VPC 간 연결을 위해 socks5 프록시를 수동으로 실행할 수 있지만 이 방법은 복잡합니다. |
| Private Service Connect | ✅ | ❌ | ✅ | 두 개 이상의 VPC에서 AlloyDB에 연결하려는 경우 가장 간단한 구성을 제공합니다. |
| 공개 IP | ✅ | ✅ | ✅ | 승인된 네트워크의 소스 워크로드 CIDR 범위를 식별하지 않으려면 공개 IP를 언어 커넥터 또는 인증 프록시와 페어링하는 것이 좋습니다. |
네트워크 토폴로지에 따른 연결 권장사항
- 비공개 서비스 액세스를 기본값으로 설정합니다.
- 여러 VPC를 처리하는 경우 Private Service Connect를 사용하여 전환 피어링 문제를 해결하세요.
- Google Cloud SaaS 제품이 아닌 경우, 특히 비공개 IP 연결이 불가능한 경우 Google Cloud에서 호스팅되지 않는 Software-as-a-Service (SaaS) 제품과 통합할 때 공개 네트워크 토폴로지를 선택하세요. 비공개 IP는 기본적으로 사용 설정되어 있으므로 이러한 시나리오에서는 공개 IP를 명시적으로 구성해야 합니다.
- 가능한 경우 공개 IP를 사용하여 승인된 네트워크를 구성하지 않고 보안 연결을 설정할 때는 언어 커넥터 또는 인증 프록시를 사용하세요.