私人 IP 簡介

本頁提供總覽,說明如何使用私人 IP 位址連線至 AlloyDB for PostgreSQL 執行個體。

使用私人 IP 位址可確保資料流量留在安全網路中,並盡量降低遭攔截的風險。資源的內部 IP 位址位於其網路內部,無法從網際網路存取,因此可有效限制資源存取 AlloyDB 執行個體的範圍,以及潛在的攻擊面。

私人 IP 連線方式

如要使用私人 IP 存取 AlloyDB 執行個體,您可以選擇私人服務存取權或 Private Service Connect。由於每種連線方法都有不同的優點和缺點,請根據本文資訊,為您的特定需求選擇最佳方法。

私人服務存取權

私人服務存取權會以虛擬私有雲 (VPC) 對等互連的方式運作,可連結您的虛擬私有雲網路與 AlloyDB for PostgreSQL 執行個體所在的基礎 Google Cloud 虛擬私有雲網路。私人連線提供內部 IP 位址,可讓虛擬私有雲網路中的 VM 執行個體和您存取的服務進行專屬通訊。VM 執行個體不需要網際網路存取權或外部 IP 位址,就可以透過私人服務存取權與服務連線。

如要使用 Terraform 自動設定 AlloyDB 叢集和私人服務存取權,請參閱「使用 Terraform 部署 AlloyDB」。

如要進一步瞭解如何使用私人服務存取權建立連線,請參閱私人服務存取權總覽

Private Service Connect

Private Service Connect 可讓您在虛擬私有雲網路和 Google Cloud 服務 (例如 AlloyDB for PostgreSQL) 之間建立私人安全連線。您可以從屬於不同群組、團隊、專案或機構的多個 VPC 網路連線至 AlloyDB 執行個體。建立 AlloyDB 叢集時,您可以啟用 Private Service Connect 支援功能。在叢集內建立 AlloyDB 執行個體時,您可以指定虛擬私有雲網路中的哪些專案可以存取該執行個體。

如要進一步瞭解如何使用 Private Service Connect,請參閱「Private Service Connect 總覽」和「什麼是 Private Service Connect?」影片。

選擇要使用的方法

決定要使用私人服務存取或 Private Service Connect 做為連線方法前,請先參考下列比較:

私人服務存取權 Private Service Connect
您必須從消費者 VPC 預留 CIDR 範圍 (至少為 /24)。無論是否使用,系統都會保留 IP 範圍,導致範圍內的所有 IP 位址遭到鎖定。 您必須為每個虛擬私有雲網路的端點建立轉送規則,且每個規則都需要一個 IP 位址。
僅限 RFC 1918 IP 範圍 端點可使用 RFC 1918 和非 RFC 1918 範圍。
連線至同一個虛擬私有雲網路中的專案。 跨多個虛擬私有雲或專案連線。
選擇小規模的單一 VPC 情境。 選擇大規模多虛擬私有雲設定。
由於您使用專案中現有的虛擬私有雲對等互連,因此費用極低。 由於涉及初始設定、每小時使用各端點,以及每 GiB 資料移轉的費用,因此與私人服務存取權相比,費用較高。
由於是直接連線,安全性不如 Private Service Connect。 由於用戶和供應商虛擬私有雲會隔離,因此更加安全。
連線是雙向的,可同時傳入和傳出流量。 根據預設,連線是單向的,只允許傳入連線。如要建立輸出連線,必須進行額外設定。

後續步驟