Présentation des adresses IP privées

Cette page présente les différentes façons de vous connecter à votre instance AlloyDB pour PostgreSQL à l'aide d'adresses IP privées.

L'utilisation d'adresses IP privées permet de maintenir votre trafic de données dans un réseau sécurisé et de réduire le risque d'interception. L'adresse IP interne d'une ressource, qui est interne à son réseau et inaccessible depuis Internet, limite efficacement son champ d'accès à une instance AlloyDB et sa surface d'attaque potentielle.

Méthodes de connectivité IP privée

Pour accéder à vos instances AlloyDB à l'aide d'une adresse IP privée, vous pouvez choisir l'accès aux services privés ou Private Service Connect. Étant donné que chaque méthode de connexion présente des avantages et des inconvénients distincts, utilisez les informations de ce document pour choisir la meilleure approche en fonction de vos exigences spécifiques.

Accès aux services privés

L'accès aux services privés est mis en œuvre sous la forme d'une connexion d'appairage VPC (cloud privé virtuel) entre votre réseau VPC et le réseau VPC Google Cloud sous-jacent, où réside votre instance AlloyDB pour PostgreSQL. La connexion privée permet aux instances de VM de votre réseau VPC et aux services auxquels vous accédez de communiquer exclusivement par le biais d'adresses IP internes. Les instances de VM n'ont pas besoin d'accès Internet ni d'adresses IP externes pour accéder aux services disponibles via l'accès aux services privés.

Pour automatiser la configuration de clusters AlloyDB avec accès aux services privés à l'aide de Terraform, consultez Déploiement d'AlloyDB à l'aide de Terraform.

Pour en savoir plus sur l'utilisation de l'accès aux services privés pour la connectivité, consultez la présentation de l'accès aux services privés.

Private Service Connect

Private Service Connect vous permet de créer des connexions privées et sécurisées entre vos réseaux VPC et les services Google Cloud , tels qu'AlloyDB pour PostgreSQL. Vous pouvez vous connecter à votre instance AlloyDB à partir de plusieurs réseaux VPC appartenant à différents groupes, équipes, projets ou organisations. Lorsque vous créez un cluster AlloyDB, vous pouvez l'activer pour qu'il prenne en charge Private Service Connect. Lorsque vous créez une instance AlloyDB dans le cluster, vous spécifiez les projets de votre réseau VPC qui peuvent y accéder.

Pour en savoir plus sur l'utilisation de Private Service Connect, consultez la présentation de Private Service Connect et la vidéo Qu'est-ce que Private Service Connect ?.

Choisir les méthodes à utiliser

Avant de choisir d'utiliser l'accès aux services privés ou Private Service Connect comme méthode de connexion, consultez la comparaison suivante:

Accès aux services privés Private Service Connect
Nécessite de réserver une plage CIDR (/24 minimum) à partir du VPC du client. Une plage d'adresses IP est réservée, qu'elles soient utilisées ou non, ce qui entraîne le verrouillage de toutes les adresses IP de la plage. Nécessite une seule adresse IP pour créer une règle de transfert au niveau du point de terminaison par réseau VPC.
Limité aux plages d'adresses IP RFC 1918 Les plages RFC 1918 et non RFC 1918 peuvent être utilisées pour les points de terminaison.
Se connecter aux projets du même réseau VPC Se connecter à plusieurs VPC ou projets
Choisissez des scénarios à petite échelle avec un seul VPC. Optez pour des configurations multi-VPC à grande échelle.
Coût minimal, car vous utilisez l'appairage de VPC existant inclus dans votre projet. Plus coûteux que l'accès aux services privés en raison des coûts liés à la configuration initiale, à l'utilisation de chaque point de terminaison par heure et au transfert de données par Go.
Moins sécurisé que Private Service Connect en raison de la connexion directe. Plus sécurisé grâce à l'isolation des VPC client et producteur.
Les connexions sont bidirectionnelles, ce qui permet d'établir des connexions entrantes et sortantes. Les connexions sont unidirectionnelles et n'autorisent que les connexions entrantes.

Étape suivante