Ringkasan koneksi

Halaman ini merangkum cara terhubung ke database yang ditayangkan oleh AlloyDB untuk PostgreSQL:

  • Jaringan: Instance AlloyDB menggunakan IP publik atau pribadi di Virtual Private Cloud (VPC). Berbagai teknik memungkinkan koneksi aman dari aplikasi yang berjalan di luar VPC.

  • Otorisasi: Proxy Auth AlloyDB memungkinkan Anda menggunakan Identity and Access Management (IAM) untuk mengontrol siapa yang memiliki akses ke data Anda. Firewall VPC memungkinkan Anda menyesuaikan akses ke resource AlloyDB lebih lanjut.

  • Autentikasi: Gunakan teknik autentikasi pengguna PostgreSQL standar untuk login ke instance Anda. AlloyDB juga mendukung autentikasi berbasis IAM menggunakan peran pengguna PostgreSQL standar.

Jaringan

Meskipun instance AlloyDB berisi banyak node, aplikasi Anda akan terhubung ke instance melalui satu alamat IP statis. Alamat ini dapat berupa alamat pribadi untuk VPC yang Anda tentukan saat pertama kali menyiapkan cluster instance, atau IP publik yang memungkinkan koneksi langsung dari luar VPC.

IP Pribadi

Saat Anda mengonfigurasi AlloyDB dengan IP pribadi, instance Anda akan mendapatkan alamat IP pribadi dalam VPC.

Alamat IP pribadi memengaruhi koneksi ke aplikasi Anda dengan dua cara:

  • Aplikasi yang berjalan di tempat lain dalam VPC project Anda dapat terhubung ke instance—atau ke proxy yang mewakili instance—tanpa langkah atau resource tambahan.

    Sebagai contoh, Menghubungkan klien psql ke instance menunjukkan cara terhubung ke instance AlloyDB dengan menjalankan program command line psql di VM Compute Engine dalam VPC Anda.

  • Aplikasi yang berjalan di luar VPC memerlukan layanan perantara untuk terhubung ke instance AlloyDB. Solusinya mencakup menjalankan layanan proxy di VM dalam VPC instance, atau menggunakan produkGoogle Cloud lainnya untuk membuat koneksi permanen antara aplikasi dan VPC Anda.

    Untuk mengetahui informasi selengkapnya, lihat Menghubungkan ke cluster dari luar VPC-nya.

Koneksi melalui IP pribadi biasanya memberikan latensi yang lebih rendah dan vektor serangan terbatas karena tidak perlu melintasi internet.

Untuk mempelajari IP pribadi di AlloyDB lebih lanjut, lihat Ringkasan IP pribadi.

IP Publik

Saat Anda mengonfigurasi AlloyDB dengan IP publik, instance Anda akan mendapatkan alamat IP publik untuk koneksi masuk, yang dapat diakses di internet publik. Secara opsional, Anda dapat menggunakan jaringan eksternal yang diizinkan untuk menentukan rentang alamat IP dalam format CIDR yang dapat mengakses instance Anda.

Sebaiknya gunakan IP publik dengan AlloyDB Language Connectors untuk memastikan koneksi yang aman antara klien dan instance Anda.

Untuk mengetahui informasi selengkapnya tentang cara menambahkan IP publik dan jaringan eksternal resmi ke instance Anda, lihat Menghubungkan menggunakan IP publik.

AlloyDB juga mendukung koneksi keluar ke instance Anda. Anda dapat mengaktifkan IP publik keluar untuk memigrasikan database ke AlloyDB langsung dari sumber eksternal menggunakan Database Migration Service atau penyiapan pglogical yang dikelola sendiri. AlloyDB juga mendukung koneksi ke sumber data eksternal menggunakan wrapper data asing, seperti postgres_fdw atau oracle_fdw.

Untuk informasi selengkapnya tentang cara mengaktifkan IP publik keluar, lihat Menambahkan konektivitas keluar ke instance.

Otorisasi

Anda dapat mengontrol akses ke cluster AlloyDB menggunakan Konektor Bahasa AlloyDB, Proxy Auth AlloyDB, atau dengan aturan firewall VPC.

AlloyDB Language Connector

AlloyDB Language Connectors adalah library klien yang menyediakan mTLS otomatis menggunakan TLS 1.3 dan otorisasi IAM saat terhubung ke cluster AlloyDB.

Anda dapat menggunakan library ini secara langsung dari bahasa pemrograman masing-masing. Keduanya memberikan kemampuan yang sama dengan Proxy AlloyDB tanpa memerlukan proses eksternal. Hal ini memberikan keamanan yang lebih baik dan persyaratan konfigurasi yang lebih rendah untuk terhubung ke AlloyDB.

Untuk informasi selengkapnya, lihat ringkasan Konektor Bahasa AlloyDB.

Mengontrol akses dengan IAM dan Proxy Auth AlloyDB

Meskipun Anda dapat terhubung langsung ke instance melalui alamat IP-nya, sebaiknya gunakan Proxy Auth AlloyDB di lingkungan produksi. Layanan ini menyediakan kontrol akses berbasis IAM dan enkripsi menyeluruh antara proxy dan cluster Anda.

Untuk informasi selengkapnya, lihat Tentang Proxy Auth AlloyDB.

Membatasi akses VPC dengan aturan firewall

Seperti project berbasis cloud lainnya, Anda harus menyesuaikan aturan firewall VPC untuk membatasi akses jaringan hanya ke rentang IP atau subnetwork tempat aplikasi Anda terhubung. Hal ini sangat penting dengan aplikasi eksternal, seperti yang dijelaskan dalam Menghubungkan ke cluster dari luar VPC-nya.

Untuk informasi selengkapnya tentang cara mengonfigurasi firewall VPC, lihat Aturan firewall VPC.

Autentikasi

AlloyDB mendukung dua jenis pengguna database, yang masing-masing memiliki caranya sendiri untuk melakukan autentikasi dengan database Anda:

  • Peran pengguna PostgreSQL standar melakukan autentikasi menggunakan nama pengguna dan sandi. Anda mengelola akun ini menggunakan teknik pengelolaan pengguna PostgreSQL biasa. Untuk mengetahui informasi selengkapnya, lihat Mengelola peran pengguna AlloyDB.

  • Akun pengguna dan layanan IAM diautentikasi sebagai pengguna database menggunakan token OAuth 2.0. Anda mengelola akun ini menggunakan sistemGoogle Cloud IAM. Untuk informasi selengkapnya, lihat Mengelola autentikasi IAM.

Setelah diautentikasi dengan instance AlloyDB, aplikasi dapat memperlakukan instance seperti server PostgreSQL biasa. Setelah menetapkan jalur jaringan dan otorisasi ke instance, Anda dapat menggunakan teknik PostgreSQL standar untuk login ke instance dan mengakses data Anda. Hal ini berlaku baik saat login secara manual dengan alat seperti psql, maupun saat terhubung ke database secara terprogram menggunakan library kode PostgreSQL.

Biasanya, autentikasi pertama Anda dengan cluster AlloyDB baru melibatkan login ke instance utamanya sebagai pengguna postgres, menggunakan sandi yang Anda tentukan saat membuat cluster. Dari sana, Anda harus membuat pengguna database tanpa hak istimewa administratif untuk penggunaan aplikasi Anda.

Langkah selanjutnya