בדף הזה מוסברות האפשרויות לחיבור ל-AlloyDB ל-PostgreSQL, כולל מתי כדאי להשתמש בשרת proxy ל-AlloyDB Auth או במחבר AlloyDB. הוא עוזר לכם לבחור את האפשרות הכי טובה לעומס העבודה שלכם, בין אם אתם צריכים להתחבר באמצעות Private Service Connect או בשיטות אחרות.
מידע נוסף זמין במאמר סקירה כללית על חיבורים.
במסמך הזה נסביר:
- איך להגדיר את הרשת לשימוש עם AlloyDB.
- איך מתחברים בצורה מאובטחת.
- שיטות מומלצות לחיבור.
- איך מיקום העומס משפיע על דרישות הקישוריות.
אפשרויות מומלצות להתחברות ל-AlloyDB
בטבלה הבאה מפורטות אפשרויות מומלצות לקישוריות של עומסי העבודה:
- האם מומלץ להשתמש בחיבורים ישירים, ב-Language Connectors או ב-Auth Proxy לכתובות IP פרטיות (גישה לשירותים פרטיים או Private Service Connect) ולכתובות IP ציבוריות.
- דרישות חיבור כמו מחבר של חיבור לרשת (VPC) מאפליקציית serverless ותעבורת נתונים יוצאת (egress) ישירה של VPC. מידע נוסף זמין במאמר השוואה בין Direct VPC egress לבין מחברי VPC | מאמרי העזרה של Cloud Run.
- שיקולים לגבי כתובת IP פרטית – גישה לשירותים פרטיים לעומת Private Service Connect – וכתובת IP ציבורית.
הערכת עומס העבודה
לפני שבוחרים אפשרות קישוריות, צריך להעריך את עומס העבודה. AlloyDB תומך בקישוריות לסביבת עומס העבודה שלכם במקרים הבאים:
- Cloud Run, Cloud Shell ומוצרי SaaS שאינם של Google
- Cloud Functions v2
- הסביבה הגמישה של App Engine והסביבה הרגילה של App Engine
- Google Kubernetes Engine ו-Compute Engine
הגדרות מקומיות
סביבת עומס העבודה כתובת IP פרטית כתובת IP ציבורית תיאור ישיר מחבר ישיר מחבר מחשב נייד למפתחים ❌️ ❌️ ✅ ✅ מומלץ להשתמש בפקודה gcloud beta alloydb connect. לחלופין, אפשר להשתמש בשרת proxy לאימות עם כתובת IP ציבורית. אפשר להתחבר לכתובת IP פרטית, אבל צריך לבצע הגדרה נוספת.Cloud Shell ❌ ❌ ✅ ✅ מומלץ להשתמש בפקודה gcloud beta alloydb connect. לחלופין, אפשר להשתמש ב-Auth Proxy עם כתובת IP ציבורית מ-Cloud Shell. אפשר להתחבר לכתובת IP פרטית, אבל צריך לבצע הגדרה נוספת.Cloud Run, Cloud Functions v2 ✅ ✅ ✅ ✅ נדרש מחבר חיבור לרשת (VPC) מאפליקציית serverless או תעבורת נתונים יוצאת (egress) ישירה של VPC. App Engine Standard, Flex ✅ ✅ ✅ ✅ נדרש מחבר של חיבור לרשת (VPC) מאפליקציית serverless. GKE, Compute Engine ✅ ✅ ✅ ✅ מומלץ להשתמש בכתובת IP פרטית. כדאי להשתמש בגישה לשירותים פרטיים כשלא נדרש קישור בין רשתות VPC שכנות (peering) טרנזיטיבי. אחרת, צריך להשתמש ב-Private Service Connect. מקומי ✅ ✅ ✅ ✅ כתובת IP פרטית מחייבת נתיב רשת משרת מקומי למופע היעד. כתובת IP ציבורית עם מחברי שפה או עם שרת proxy לאימות היא חלופה מאובטחת שלא דורשת הגדרת רשת מורכבת.
שיטות מומלצות לקישוריות בהתאם לעומס העבודה
כשמתחברים ל-AlloyDB, כדאי להתחשב בנקודות הבאות בהתאם לסביבת עומס העבודה.
Cloud Shell
- משתמשים בשרת proxy ל-Auth עם כתובת IP ציבורית כדי להתחבר ל-Cloud Shell. אי אפשר להתחבר ל-VPC דרך Cloud Shell. אין לו קישוריות לגישה לשירותים פרטיים או למופעים של Private Service Connect. בנוסף, ל-Cloud Shell אין כתובת IP יציבה ליציאה שאפשר להשתמש בה ברשתות מורשות. אם אתם לא משתמשים ב-AuthProxy או ב-Language Connectors, אתם צריכים לאשר את כל טווחי כתובות ה-IP – לדוגמה,
0.0.0.0/0. אנחנו לא ממליצים על הגישה הזו במקרים של מופעים בסביבת הייצור.
Cloud Run ו-Cloud Functions v2
- במקרה של כתובת IP פרטית, גם מחברי שפה ישירים וגם מחברי שפה או פרוקסי אימות צריכים להשתמש ב-Direct VPC egress.
- לכתובות IP ציבוריות, צריך להשתמש במחברי שפה או בשרת proxy לאימות. אפשרות אחרת היא לאשר את כל טווחי כתובות ה-IP – לדוגמה,
0.0.0.0/0– ברשתות מורשות, אבל לא מומלץ לעשות זאת במקרים של ייצור בגלל סיכון האבטחה.
הסביבה הרגילה של App Engine והסביבה הגמישה של App Engine
- להשתמש במחבר של חיבור לרשת (VPC) מאפליקציית serverless לכתובת IP פרטית, בלי קשר לשאלה אם משתמשים במחבר שפה או ב-Auth Proxy.
- כדי להשתמש בכתובת IP ציבורית, צריך להשתמש ב-Language Connectors או ב-Auth Proxy.
לחלופין, אפשר לאשר את כל טווחי כתובות ה-IP(כלומר,
0.0.0.0/0) בקטע 'רשתות מורשות'. עם זאת, בגלל סיכוני אבטחה, אנחנו לא ממליצים על הגישה הזו במקרים של ייצור.
GKE ו-Compute Engine
- אתם יכולים להשתמש בחיבורים ישירים ובמחברי שפה או בשרת ה-proxy לאימות כדי להתחבר ל-AlloyDB.
מקומי
- אתם יכולים להשתמש בחיבורים ישירים ובמחברי שפה או בשרת ה-proxy לאימות כדי להתחבר ל-AlloyDB. מחברי השפה ואימות ה-Proxy לא יוצרים נתיב רשת. מוודאים שיש נתיב רשת בין עומס העבודה לבין מופע AlloyDB.
חיבורים מאובטחים באמצעות שרת proxy לאימות של AlloyDB ומחברים
ה-AlloyDB Language Connectors וה-AlloyDB Auth Proxy מספקים תכונות אבטחה משופרות כמו שילוב IAM ו-mTLS, אבל התכונות האלה דורשות הגדרה נוספת. חיבורים ישירים מוצפנים כברירת מחדל, אבל הם לא תומכים באישור לקוח או במצבי SSL גבוהים יותר – verify-ca ו-verify-full. מומלץ להשתמש ב-Language Connectors או ב-Auth Proxy עם כתובת IP ציבורית, ולהשתמש בחיבורים ישירים לכתובת IP פרטית רק אם אי אפשר להשתמש ב-Language Connectors או ב-Auth Proxy.
| חיבור מוצפן | אימות IAM | הרשאה ב-IAM | mTLS | |
|---|---|---|---|---|
| חיבור ישיר | ✅ | ✅ | ❌ | ❌ |
| מחברי שפה או שרת proxy לאימות | ✅ | ✅ | ✅ | ✅ |
שיטות מומלצות לקישוריות מאובטחת
- כשיוצרים אשכול, צריך לציין ממשק IP פרטי כדי שהאשכול יוכל להיווצר. אם רוצים להשתמש בכתובת IP ציבורית, מומלץ לבחור ב-Private Service Connect כממשק IP פרטי.
- כדאי להשתמש במחברים של שפות או ב-Auth Proxy כדי להשתמש בתכונות אבטחה כמו הרשאה ואימות של IAM ו-mTLS, גם אם נדרשת הגדרה מסוימת. לדוגמה, הגישה הזו מתאימה אם רוצים להפעיל את שרת ה-proxy לאימות של AlloyDB כ-sidecar או אם רוצים להשתמש ב-AlloyDB Language Connector. אם אתם משתמשים ב-Language Connectors או ב-Auth Proxy, יכול להיות שזמן האחזור של חיבור מסד הנתונים יתארך מעט.
- מומלץ להשתמש בחיבורים ישירים כדי לקבל ביצועים אופטימליים, וכשאי אפשר להשתמש ב-Language Connectors או ב-Auth Proxy. חיבורים ישירים מוצפנים כברירת מחדל (
sslmode=require), אבל הם לא תומכים באישורי לקוח או במצבי SSL מתקדמים יותר. כדאי להשתמש בחיבורים ישירים רק כשאי אפשר להשתמש ב-Language Connectors או ב-Auth Proxy.
הערכת הטופולוגיה של הרשת
בטופולוגיית רשת, מומלץ להשתמש בגישה לשירותים פרטיים לחיבורים ל-AlloyDB. כדי להימנע מבעיות של קישוריות טרנזיטיבית עם כמה רשתות VPC, מומלץ להשתמש ב-Private Service Connect. כתובת IP ציבורית מתאימה לחיבורים ממוצרי SaaS שאינם שלGoogle Cloud , במיוחד כשכתובת IP פרטית לא מעשית.
| חיבורים לכמה רשתות VPC | לקוחות SaaS שאינם של Google | תמיכה בחיבורים מקומיים | תיאור | |
|---|---|---|---|---|
| גישה לשירותים פרטיים | ❌ | ❌ | ✅ | קישוריות טרנזיטיבית של VPC לא נתמכת כברירת מחדל. אפשר להריץ פרוקסי socks5 באופן ידני לקישוריות בין רשתות VPC, אבל הגישה הזו מורכבת. |
| התחברות לשירות פרטי | ✅ | ❌ | ✅ | האפשרות הזו מספקת את ההגדרה הכי פשוטה כשרוצים להתחבר ל-AlloyDB מכמה רשתות VPC. |
| כתובת IP ציבורית | ✅ | ✅ | ✅ | כדי להימנע מהצורך לזהות את טווחי ה-CIDR של עומס העבודה במקור עבור רשתות מורשות, מומלץ לשלב כתובת IP ציבורית עם Language Connectors או עם Auth Proxy. |
שיטות מומלצות לקישוריות בהתאם לטופולוגיה של הרשת
- ברירת המחדל היא גישה לשירותים פרטיים.
- כשעובדים עם כמה רשתות VPC, מומלץ להשתמש ב-Private Service Connect כדי לעקוף בעיות של קישוריות טרנזיטיבית.
- במוצרים שאינםGoogle Cloud SaaS, כדאי לבחור טופולוגיה של רשת ציבורית כשמשלבים עם מוצרי Software-as-a-Service (SaaS) שלא מתארחים ב- Google Cloud, במיוחד אם אי אפשר להשתמש בקישוריות של כתובות IP פרטיות. כתובת IP פרטית מופעלת כברירת מחדל, ולכן צריך להגדיר במפורש כתובת IP ציבורית בתרחישים האלה.
- בכל הזדמנות, מומלץ להשתמש ב-Language Connectors או ב-Auth Proxy כשמשתמשים בכתובת IP ציבורית כדי ליצור חיבור מאובטח בלי להגדיר רשתות מורשות.
המאמרים הבאים
- יצירה של מסד נתונים והרצת שאילתות בו.
- מתחברים באמצעות כלי שורת הפקודה
gcloud. - התחברות מ-Compute Engine.
- מתחברים מ-Cloud Shell באמצעות שרת proxy לאימות.
- מתחברים דרך Cloud VPN או Cloud Interconnect.
- מושגים שקשורים לחיבור ל-AlloyDB