Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica della connessione

Questa pagina riassume come connettersi ai database gestiti da AlloyDB per PostgreSQL:

Networking: le istanze AlloyDB utilizzano indirizzi IP pubblici o privati su un Virtual Private Cloud (VPC). Varie tecniche consentono connessioni sicure da applicazioni in esecuzione al di fuori della VPC.
Autorizzazione: il proxy di autenticazione AlloyDB ti consente di utilizzare Identity and Access Management (IAM) per controllare chi ha accesso ai tuoi dati. Il firewall della tua VPC ti consente di ottimizzare ulteriormente l'accesso alle risorse AlloyDB.
Autenticazione:utilizza le tecniche di autenticazione utente PostgreSQL standard per accedere alle tue istanze. AlloyDB supporta anche l'autenticazione basata su IAM utilizzando i ruoli utente PostgreSQL standard.

Networking

Anche se un'istanza AlloyDB contiene molti nodi, le applicazioni si connettono a un'istanza tramite un unico indirizzo IP statico. Questo indirizzo può essere un indirizzo privato del VPC specificato durante la prima configurazione del cluster di un'istanza o un IP pubblico che consente connessioni dirette dall'esterno del VPC.

IP privato

Quando configuri AlloyDB con un IP privato, l'istanza riceve un indirizzo IP privato all'interno del tuo VPC.

Gli indirizzi IP privati influiscono sulle connessioni alla tua applicazione in due modi:

Le applicazioni in esecuzione altrove nel VPC del progetto possono connettersi all'istanza o a un proxy che la rappresenta senza passaggi o risorse aggiuntivi.

Ad esempio, Connetti un client psql a un'istanza mostra come connetterti all'istanza AlloyDB eseguendo il programma a riga di comando psql su una VM Compute Engine all'interno del tuo VPC.
Le applicazioni in esecuzione al di fuori del VPC richiedono un servizio intermediario per collegarsi all'istanza AlloyDB. Le soluzioni includono l'esecuzione di servizi proxy su una VM all'interno del VPC dell'istanza o l'utilizzo di altri prodotti per stabilire una connessione permanente tra l'applicazione e il VPC.Google Cloud

Per ulteriori informazioni, consulta Connettersi a un cluster dall'esterno della sua VPC.

Le connessioni tramite IP privato in genere forniscono una latenza inferiore e vettori di attacco limitati perché non richiedono il passaggio attraverso internet.

Per scoprire di più sull'IP privato in AlloyDB, consulta la panoramica dell'IP privato.

IP pubblico

Quando configuri AlloyDB con l'IP pubblico, l'istanza riceve un indirizzo IP pubblico per le connessioni in entrata, accessibile su internet pubblico. Se vuoi, puoi utilizzare le reti esterne autorizzate per specificare un intervallo di indirizzi IP in formato CIDR che può accedere alla tua istanza.

Ti consigliamo di utilizzare l'IP pubblico con i connettori dei linguaggi AlloyDB per garantire connessioni sicure tra il client e l'istanza.

Per ulteriori informazioni sull'aggiunta di un IP pubblico e di reti esterne autorizzate all'istanza, consulta Eseguire la connessione utilizzando un IP pubblico.

AlloyDB supporta anche le connessioni in uscita all'istanza. Puoi attivare l'IP pubblico in uscita per eseguire la migrazione di un database in AlloyDB direttamente da un'origine esterna utilizzando Database Migration Service o configurazioni pglogical autogestite. AlloyDB supporta anche la connessione a un'origine dati esterna utilizzando wrapper di dati esterni, come postgres_fdw o oracle_fdw.

Per ulteriori informazioni sull'attivazione dell'IP pubblico in uscita, consulta Aggiungere connettività in uscita a un'istanza.

Autorizzazione

Puoi controllare l'accesso a un cluster AlloyDB utilizzando i connettori dei linguaggi AlloyDB, il proxy di autenticazione AlloyDB o le regole firewall VPC.

Connettori dei linguaggi AlloyDB

I connettori dei linguaggi AlloyDB sono librerie client che forniscono mTLS automatico utilizzando TLS 1.3 e l'autorizzazione IAM quando si connettono a un cluster AlloyDB.

Puoi utilizzare queste librerie direttamente dai rispettivi linguaggi di programmazione. Forniscono le stesse funzionalità del proxy AlloyDB senza richiedere un processo esterno. In questo modo, la sicurezza è migliorata e i requisiti di configurazione per la connessione ad AlloyDB sono ridotti.

Per saperne di più, consulta la panoramica dei connettori per i linguaggi AlloyDB.

Controlla l'accesso con IAM e il proxy di autenticazione AlloyDB

Anche se puoi connetterti direttamente a un'istanza tramite il relativo indirizzo IP, consigliamo di utilizzare il proxy di autenticazione AlloyDB negli ambienti di produzione. Fornisce controllo dell'accesso basato su IAM e crittografia end-to-end tra il proxy e il tuo cluster.

Per ulteriori informazioni, consulta Informazioni sul proxy di autenticazione AlloyDB.

Limitare l'accesso alla VPC con le regole firewall

Come per qualsiasi progetto basato su cloud, devi ottimizzare le regole firewall della VPC per limitare l'accesso alla rete solo agli intervalli IP o alle sottoreti da cui si connettono le tue applicazioni. Questo è particolarmente importante per le applicazioni esterne, come descritto in Connettersi a un cluster dall'esterno della sua VPC.

Per ulteriori informazioni sulla configurazione del firewall della VPC, consulta le regole del firewall VPC.

Autenticazione

AlloyDB supporta due tipi di utenti di database, ognuno con il proprio metodo di autenticazione con i tuoi database:

I ruoli utente PostgreSQL standard si autenticano utilizzando un nome utente e una password. Gestisci questi account utilizzando le normali tecniche di gestione degli utenti PostgreSQL. Per saperne di più, consulta Gestire i ruoli degli utenti AlloyDB.
Gli account di servizio e utente IAM si autenticano come utenti del database utilizzando i token OAuth 2.0. Gestisci questi account utilizzando il Google Cloud sistema IAM. Per ulteriori informazioni, consulta Gestire l'autenticazione IAM.

Una volta autenticata con un'istanza AlloyDB, un'applicazione può trattare l'istanza come un normale server PostgreSQL. Dopo aver stabilito i percorsi di rete e di autorizzazione per un'istanza, puoi utilizzare tecniche PostgreSQL standard per accedere a un'istanza e accedere ai tuoi dati. Questo vale sia se accedi manualmente con uno strumento come psql sia se ti colleghi al database tramite programmazione utilizzando una libreria di codice PostgreSQL.

In genere, la prima autenticazione con un nuovo cluster AlloyDB richiede di accedere alla relativa istanza principale come utente postgres, utilizzando la password specificata durante la creazione del cluster. Da qui, dovresti creare utenti del database senza privilegi amministrativi per l'utilizzo della tua applicazione.

Passaggi successivi

Scopri come connetterti a un'istanza AlloyDB con la shell a riga di comando psql. Sono incluse le istruzioni per configurare una VM all'interno del VPC e installare psql.
Scopri come creare un database.
Scopri come installare e utilizzare il proxy di autenticazione AlloyDB per stabilire connessioni sicure con l'istanza AlloyDB.
Scopri come effettuare la connessione utilizzando i connettori per i linguaggi AlloyDB.