本页面简要介绍了使用专用 IP 地址连接到 AlloyDB for PostgreSQL 实例的方法。
使用专用 IP 地址可将您的数据流量保留在安全的网络中,并最大限度地降低拦截风险。资源的内部 IP 地址位于其网络内部,无法从互联网访问,这有效限制了其访问 AlloyDB 实例的范围和潜在的攻击面。
专用 IP 连接方法
如需使用专用 IP 访问 AlloyDB 实例,您可以选择使用专用服务访问通道或 Private Service Connect。由于每种连接方法都有不同的优势和权衡,因此请根据本文档中的信息,选择最符合您具体要求的方法。
专用服务访问通道
专用服务访问通道是作为您的 VPC 网络与 AlloyDB for PostgreSQL 实例所在的底层 Google Cloud VPC 网络之间的虚拟私有云 (VPC) 对等互连连接实现的。通过专用连接,您的 VPC 网络中的虚拟机实例和您访问的服务可以使用内部 IP 地址进行专有的通信。虚拟机实例不需要接入互联网或具备外部 IP 地址,通过专用服务访问通道即可访问可用服务。
如需使用 Terraform 自动设置具有专用服务访问权限的 AlloyDB 集群,请参阅使用 Terraform 部署 AlloyDB。
如需详细了解如何使用专用服务访问通道实现连接,请参阅专用服务访问通道概览。
Private Service Connect
借助专用服务连接,您可以在 VPC 网络与 Google Cloud 服务(例如 AlloyDB for PostgreSQL)之间创建安全的专用连接。您可以从属于不同群组、团队、项目或组织的多个 VPC 网络连接到 AlloyDB 实例。创建 AlloyDB 集群时,您可以启用该集群以支持 Private Service Connect。在集群中创建 AlloyDB 实例时,您可以指定 VPC 网络中的哪些项目可以访问该实例。
如需详细了解如何使用 Private Service Connect,请参阅 Private Service Connect 概览以及视频 What is Private Service Connect?(Private Service Connect 简介)。
选择要使用的方法
在决定是使用专用服务访问通道还是 Private Service Connect 作为连接方法之前,请考虑以下对比:
| 专用服务访问通道 | Private Service Connect |
|---|---|
| 需要从使用方 VPC 预留 CIDR 范围(至少为 /24)。无论 IP 地址是否正在使用,系统都会预留一组 IP 地址,导致锁定该范围内的所有 IP 地址。 | 需要使用单个 IP 地址,才能在每个 VPC 网络的端点上创建转发规则。 |
| 仅限 RFC 1918 IP 范围 | 您可以为端点使用 RFC 1918 和非 RFC 1918 范围。 |
| 连接到同一 VPC 网络中的项目。 | 跨多个 VPC 或项目进行连接。 |
| 选择小规模单 VPC 场景。 | 选择大规模多 VPC 设置。 |
| 费用极低,因为您使用的是项目中包含的现有 VPC 对等互连。 | 与专用服务访问相比,费用更高,因为初始设置、每个端点每小时的使用费用和每 GiB 的数据传输费用都包含在内。 |
| 与 Private Service Connect 相比,安全性较低,因为是直接连接。 | 由于使用方 VPC 与提供方 VPC 隔离,因此更安全。 |
| 连接是双向的,允许入站和出站连接。 | 连接是单向的,仅允许入站连接。 |
后续步骤
- 专用服务访问通道概览
- Private Service Connect 概览
- 观看 Cloud Skills Boost 视频,了解如何使用专用服务访问权限提供对生产者服务的访问权限。