Auf dieser Seite finden Sie einen Überblick darüber, wie Sie über private IP-Adressen eine Verbindung zu Ihrer AlloyDB for PostgreSQL-Instanz herstellen können.
Durch die Verwendung privater IP-Adressen bleibt Ihr Datenverkehr innerhalb eines gesicherten Netzwerks und das Risiko von Abfangen wird minimiert. Da die interne IP-Adresse einer Ressource nur innerhalb ihres Netzwerks verwendet wird und nicht über das Internet zugänglich ist, wird sowohl der Zugriff auf eine AlloyDB-Instanz als auch die potenzielle Angriffsfläche effektiv eingeschränkt.
Methoden für private IP-Verbindungen
Wenn Sie über eine private IP-Adresse auf Ihre AlloyDB-Instanzen zugreifen möchten, können Sie entweder den Zugriff auf private Dienste oder Private Service Connect verwenden. Da jede Verbindungsmethode unterschiedliche Vor- und Nachteile bietet, können Sie anhand der Informationen in diesem Dokument den für Ihre spezifischen Anforderungen am besten geeigneten Ansatz auswählen.
Zugriff auf private Dienste
Der Zugriff auf private Dienste wird als VPC-Peering-Verbindung (Virtual Private Cloud) zwischen Ihrem VPC-Netzwerk und dem zugrunde liegenden VPC-Netzwerk von Google Cloud implementiert, in dem sich Ihre AlloyDB for PostgreSQL-Instanz befindet. Über die private Verbindung können VM-Instanzen in Ihrem VPC-Netzwerk und die Dienste, auf die Sie zugreifen, ausschließlich über interne IP-Adressen kommunizieren. VM-Instanzen erfordern keinen Internetzugang oder externe IP-Adressen, um Dienste zu erreichen, die über den Zugriff auf private Dienste verfügbar sind.
Informationen zum Automatisieren der Einrichtung von AlloyDB-Clustern mit Zugriff auf private Dienste mit Terraform finden Sie unter AlloyDB mit Terraform bereitstellen.
Weitere Informationen zur Verwendung des privaten Zugriffs auf Dienste für die Konnektivität finden Sie unter Zugriff auf private Dienste – Übersicht.
Private Service Connect
Mit Private Service Connect können Sie private und sichere Verbindungen zwischen Ihren VPC-Netzwerken und dem Dienst Google Cloud herstellen, z. B. AlloyDB for PostgreSQL. Sie können eine Verbindung zu Ihrer AlloyDB-Instanz von mehreren VPC-Netzwerken aus herstellen, die zu verschiedenen Gruppen, Teams, Projekten oder Organisationen gehören. Wenn Sie einen AlloyDB-Cluster erstellen, können Sie die Unterstützung für Private Service Connect aktivieren. Wenn Sie eine AlloyDB-Instanz im Cluster erstellen, geben Sie an, welche Projekte aus Ihrem VPC-Netzwerk darauf zugreifen können.
Weitere Informationen zur Verwendung von Private Service Connect finden Sie unter Private Service Connect – Übersicht und im Video Was ist Private Service Connect?.
Methode auswählen
Bevor Sie sich entscheiden, ob Sie den Zugriff auf private Dienste oder Private Service Connect als Verbindungsmethode verwenden möchten, sollten Sie sich den folgenden Vergleich ansehen:
Zugriff auf private Dienste | Private Service Connect |
---|---|
Es ist erforderlich, einen CIDR-Bereich (mindestens /24) aus dem VPC des Kunden zu reservieren. Ein IP-Adressbereich wird unabhängig davon reserviert, ob er verwendet wird. Dies führt dazu, dass alle IP-Adressen im Bereich gesperrt werden. | Erfordert eine einzelne IP-Adresse, um eine Weiterleitungsregel am Endpunkt pro VPC-Netzwerk zu erstellen. |
Beschränkt auf IP-Bereiche von RFC 1918 | Sowohl RFC 1918- als auch Nicht-RFC 1918-Bereiche können für Endpunkte verwendet werden. |
Sie können eine Verbindung zu Projekten innerhalb desselben VPC-Netzwerk herstellen. | Verbindungen über mehrere VPCs oder Projekte hinweg herstellen. |
Verwenden Sie kleine Szenarien mit einer einzelnen VPC. | Verwenden Sie groß angelegte Multi-VPC-Umgebungen. |
Minimale Kosten, da Sie das in Ihrem Projekt enthaltene VPC-Peering verwenden. | Im Vergleich zum Zugriff auf private Dienste aufgrund der Kosten für die Ersteinrichtung, die Nutzung jedes Endpunkts pro Stunde und die Datenübertragung pro GiB teurer. |
Weniger sicher als Private Service Connect aufgrund der direkten Verbindung. | Höhere Sicherheit durch Isolierung von Nutzer- und Ersteller-VPC. |
Verbindungen sind bidirektional und ermöglichen sowohl eingehende als auch ausgehende Verbindungen. | Verbindungen sind unidirektional und erlauben nur eingehende Verbindungen. |
Nächste Schritte
- Zugriff auf private Dienste – Übersicht
- Private Service Connect – Übersicht
- In einem Cloud Skills Boost-Video erfahren Sie, wie Sie mit dem Zugriff auf private Dienste Zugriff auf Dienstleisterdienste gewähren.