התחברות באמצעות כתובת IP ציבורית

בדף הזה מוסבר איך להתחבר למסדי נתונים שמופעלים על ידי AlloyDB ל-PostgreSQL באמצעות כתובת IP ציבורית. ‫AlloyDB תומך בחיבורים נכנסים ויוצאים באמצעות שתי אפשרויות שונות.

אתם יכולים להגדיר שלמכונת AlloyDB תהיה כתובת IPv4 ציבורית לחיבורים נכנסים, ואם רוצים, לאשר חיבורים מכתובות IP חיצוניות ספציפיות או מטווח של כתובות שנקראות רשתות חיצוניות מורשות. הרשתות המורשות לא נדרשות כשמשתמשים ב-AlloyDB Language Connectors או ב-AlloyDB Auth Proxy כדי להתחבר למכונה.

הרשתות המורשות האלה זמינות רק כשמשתמשים בכתובת IP ציבורית. אי אפשר לציין רשת פרטית כרשת חיצונית מורשית.

‫AlloyDB תומך בחיבורים יוצאים כשמפעילים כתובת IP ציבורית יוצאת במכונה. קישוריות יוצאת שימושית בתרחישים כמו העברת מסד נתונים אל AlloyDB ממקורות חיצוניים.

יצירת מכונת AlloyDB

כדי ליצור מופע עם כתובת IP ציבורית:

המסוף

  1. עוברים לדף Clusters.

    מעבר אל Clusters

  2. לוחצים על אשכול בעמודה שם המשאב.

  3. בדף Overview (סקירה כללית), עוברים אל Instances in your cluster (מופעים באשכול) ולוחצים על Create primary instance (יצירת מופע ראשי).

  4. מגדירים את המופע הראשי:

    1. בשדה Instance ID (מזהה המכונה), מזינים מזהה למכונה הראשית.
    2. בקטע Zonal availability (זמינות אזורית), בוחרים באחת מהאפשרויות הבאות:
      1. כדי ליצור מופע ייצור עם זמינות גבוהה ומעבר גיבוי אוטומטי, בוחרים באפשרות Multiple zones (Highly available) (כמה אזורים (זמינות גבוהה)).
      2. כדי ליצור מופע בסיסי שלא צריך להיות זמין במיוחד, בוחרים באפשרות אזור יחיד.
    3. בוחרים סוג מכונה.
    4. בקטע קישוריות, בוחרים באפשרות הפעלת IP ציבורי כדי לתמוך בחיבורים נכנסים.
    5. אופציונלי: כדי להוסיף קישוריות יוצאת, בקטע כתובות IP ציבוריות יוצאות, בוחרים באפשרות הפעלת כתובת IP ציבורית יוצאת.
    6. אופציונלי: כדי להגדיר דרישות ל-SSL או למחבר במופע, מרחיבים את אפשרויות ההגדרה המתקדמות ומבצעים את הפעולות הבאות:
      1. כברירת מחדל, במכונות AlloyDB נדרשת הצפנת SSL בכל החיבורים. כדי לאפשר חיבורים ללא SSL, מבטלים את הסימון בתיבת הסימון רק חיבורים עם SSL.
      2. כדי לדרוש שכל חיבורי מסד הנתונים למופע ישתמשו ב-AlloyDB Auth Proxy או בספריות המחברים המאובטחים שסופקו על ידי Google, בוחרים באפשרות Enforce mTLS via AlloyDB connectors (אכיפת mTLS באמצעות מחברי AlloyDB).

    7. אופציונלי: כדי להגביל חיבורים ישירים לכתובות IP ספציפיות, מוסיפים רשימה של טווחי CIDR שמופרדים בפסיקים:

      1. בקטע רשתות חיצוניות מורשות, מזינים רשימה של טווחים בפורמט CIDR, מופרדים בפסיקים. לכל טווח CIDR, מזינים בלוק CIDR, כמו 64.233.160.0/16. כדי לצמצם את פני השטח הפוטנציאליים להתקפה, כדאי שהרשימה של הכתובות תהיה קצרה ככל האפשר.

        אפשר גם ללחוץ על Use my IP כדי לאפשר ל-AlloyDB לאכלס את כתובת ה-IPv4 של מכונת הלקוח שממנה אתם ניגשים אל Google Cloud.

    8. לוחצים על Create instance.

gcloud

כדי להשתמש ב-ה-CLI של gcloud, אפשר להתקין ולהפעיל את Google Cloud CLI, או להשתמש ב-Cloud Shell.

מידע נוסף על יצירת סוגים אחרים של מכונות זמין במאמרים בנושא יצירת מכונה של מאגר לקריאה ויצירת מכונה משנית.

משתמשים בפקודה gcloud alloydb instances create כדי ליצור מכונה.

gcloud alloydb instances create INSTANCE_ID \
    --instance-type=PRIMARY \
    --cpu-count=CPU_COUNT \
    --region=REGION_ID \
    --cluster=CLUSTER_ID \
    --project=PROJECT_ID \
    --database-flags=password.enforce_complexity=on \
    --assign-inbound-public-ip=ASSIGN_IPV4

מחליפים את מה שכתוב בשדות הבאים:

  • INSTANCE_ID: המזהה של המכונה שאתם יוצרים. הוא צריך להתחיל באות קטנה באנגלית, ויכול לכלול אותיות קטנות, מספרים ומקפים.
  • CPU_COUNT: מספר ליבות ה-CPU הווירטואליות שרוצים להקצות למופע. הערכים התקינים כוללים את האפשרויות הבאות:
    • 2: 2 vCPUs, ‏ 16 GB RAM
    • 4: 4 vCPUs, ‏ ‎32 GB RAM
    • 8: 8 vCPUs, ‏ ‎64 GB RAM
    • 16: 16 vCPUs, ‏ 128 GB RAM
    • 32: 32 vCPUs, ‏ 256 GB RAM
    • 64: 64 vCPUs, ‏ 512 GB RAM
    • 96: 96 vCPUs, ‏ 768 GB RAM
    • 128: 128 vCPUs, ‏ 864 GB RAM
  • REGION_ID: האזור שבו רוצים למקם את המכונה.
  • CLUSTER_ID: המזהה של האשכול שיצרתם קודם.

אופציונלי: הוספת רשתות חיצוניות מורשות

אם רוצים להגביל חיבורים ישירים לכתובות IP ספציפיות, מוסיפים רשימה של טווחי CIDR שמופרדים בפסיקים.

gcloud alloydb instances create INSTANCE_ID \
    --instance-type=PRIMARY \
    --cpu-count=CPU_COUNT \
    --region=REGION_ID \
    --cluster=CLUSTER_ID \
    --project=PROJECT_ID \
    --database-flags=password.enforce_complexity=on \
    --assign-inbound-public-ip=ASSIGN_IPV4 \
    --authorized-external-networks=CIDR_RANGE1,CIDR_RANGE2,...

מחליפים את מה שכתוב בשדות הבאים:

  • CIDR_RANGE: רשימה מופרדת בפסיקים של חסימות CIDR, כמו 64.233.160.0/16. כדי לצמצם את שטח ההתקפה הפוטנציאלי, כדאי שהרשימה של הכתובות תהיה קצרה ככל האפשר.

אופציונלי: מוסיפים קישוריות יוצאת

מוסיפים את הדגל --outbound-public-ip כדי להפעיל כתובות IP ציבוריות לדואר יוצא. אפשר להפעיל כתובת IP ציבורית יוצאת רק למופעים ראשיים ומשניים.

gcloud alloydb instances create INSTANCE_ID \
    --instance-type=PRIMARY \
    --cpu-count=CPU_COUNT \
    --region=REGION_ID \
    --cluster=CLUSTER_ID \
    --project=PROJECT_ID \
    --database-flags=password.enforce_complexity=on \
    --assign-inbound-public-ip=ASSIGN_IPV4
    --outbound-public-ip

הפעלת כתובת IP ציבורית במופע

כדי להפעיל קישוריות נכנסת באמצעות כתובת IP ציבורית:

המסוף

  1. עוברים לדף Clusters.

    מעבר אל Clusters

  2. לוחצים על אשכול בעמודה שם המשאב.

  3. בדף Overview שנפתח, עוברים לקטע Instances in your cluster ומאתרים את המופע הראשי.

  4. לוחצים על פעולות על מופע > עריכה.

  5. בקטע קישוריות, מסמנים את התיבה הפעלת כתובת IP ציבורית כדי לתמוך בחיבורים נכנסים.

  6. אופציונלי: בקטע רשתות חיצוניות מורשות, מזינים רשימה מופרדת בפסיקים של טווח CIDR אם רוצים להגביל את הקישורים הישירים לכתובות IP ספציפיות.

    לכל טווח CIDR, מזינים בלוק CIDR, למשל 64.233.160.0/16. כדי לצמצם את שטח הפנים הפוטנציאלי להתקפה, כדאי שהרשימה של הכתובות תהיה קצרה ככל האפשר.

  7. לוחצים על עדכון המופע כדי לשמור את השינויים.

gcloud

כדי להשתמש ב-ה-CLI של gcloud, אפשר להתקין ולהפעיל את Google Cloud CLI, או להשתמש ב-Cloud Shell.

כדי להפעיל כתובת IP ציבורית במכונה, משתמשים בפקודה gcloud alloydb instances update.

gcloud alloydb instances update INSTANCE_ID \
    --cluster=CLUSTER_ID  \
    --region=REGION_ID  \
    --database-flags=password.enforce_complexity=on \
    --assign-inbound-public-ip=ASSIGN_IPV4

מחליפים את מה שכתוב בשדות הבאים:

  • INSTANCE_ID: המזהה של המופע שאתם יוצרים. הוא חייב להתחיל באות קטנה באנגלית, ויכול לכלול אותיות קטנות, מספרים ומקפים.
  • CLUSTER_ID: המזהה של האשכול שאתם יוצרים. הוא חייב להתחיל באות קטנה באנגלית, ויכול לכלול אותיות קטנות, מספרים ומקפים.
  • REGION_ID: האזור שבו רוצים למקם את האשכול.

אופציונלי: הוספת רשתות חיצוניות מורשות

אם רוצים להגביל חיבורים ישירים לכתובות IP ספציפיות, מוסיפים רשימה של טווחי CIDR שמופרדים בפסיקים.

gcloud alloydb instances update INSTANCE_ID \
    --cluster=CLUSTER_ID  \
    --region=REGION_ID  \
    --database-flags=password.enforce_complexity=on \
    --assign-inbound-public-ip=ASSIGN_IPV4 \
    --authorized-external-networks=CIDR_RANGE1,CIDR_RANGE2,...

מחליפים את מה שכתוב בשדות הבאים:

  • CIDR_RANGE: רשימה מופרדת בפסיקים של חסימות CIDR, כמו 64.233.160.0/16. כדי לצמצם את שטח ההתקפה הפוטנציאלי, כדאי שהרשימה של הכתובות תהיה קצרה ככל האפשר.

השבתה של כתובת IP ציבורית במופע

כשמשביתים כתובת IP ציבורית במכונה, AlloyDB מסיר את כתובת ה-IP הציבורית מהמכונה ומנקה את רשימת הרשתות המורשות. כל החיבורים הנכנסים למופע נכשלים. אפשר להשתמש ברשתות חיצוניות מורשות רק עם כתובת IP גלויה.

כדי להשבית כתובת IP ציבורית:

המסוף

  1. עוברים לדף Clusters.

    מעבר אל Clusters

  2. לוחצים על אשכול בעמודה שם המשאב.

  3. בדף Overview שנפתח, עוברים לקטע Instances in your cluster ומאתרים את המופע הראשי.

  4. לוחצים על פעולות על מופע > עריכה.

  5. בקטע Connectivity (קישוריות), מבטלים את הסימון בתיבת הסימון Enable Public IP (הפעלת IP ציבורי) כדי להפסיק את החיבורים הנכנסים.

  6. אופציונלי: בקטע רשתות חיצוניות מורשות, מוחקים את טווח ה-CIDR המופרד באמצעות פסיקים.

  7. לוחצים על עדכון המופע כדי לשמור את השינויים.

gcloud

כדי להשתמש ב-ה-CLI של gcloud, אפשר להתקין ולהפעיל את Google Cloud CLI, או להשתמש ב-Cloud Shell.

כדי להפעיל כתובת IP ציבורית במכונה, משתמשים בפקודה gcloud alloydb instances update.

gcloud alloydb instances update INSTANCE_ID \
    --cluster=CLUSTER_ID  \
    --region=REGION_ID  \
    --assign-inbound-public-ip=NO_PUBLIC_IP

מחליפים את מה שכתוב בשדות הבאים:

  • INSTANCE_ID: המזהה של המופע שאתם יוצרים. הוא חייב להתחיל באות קטנה באנגלית, ויכול לכלול אותיות קטנות, מספרים ומקפים.
  • CLUSTER_ID: המזהה של האשכול שאתם יוצרים. הוא חייב להתחיל באות קטנה באנגלית, ויכול לכלול אותיות קטנות, מספרים ומקפים.
  • REGION_ID: האזור שבו רוצים למקם את האשכול.

עדכון הרשתות החיצוניות המורשות של מכונה

אפשר לעדכן את רשימת הרשתות החיצוניות המורשות במכונה בכל שלב. כדי לעדכן את רשימת הרשתות החיצוניות המורשות, צריך להפעיל את כתובת ה-IP הציבורית במכונה.

אי אפשר להוסיף או להסיר רשתות חיצוניות מורשות בנפרד, ורשימת הרשתות מוחלפת בכל פעם שמריצים את הפקודה לעדכון הרשימה. כדי לעדכן רשתות חיצוניות מורשות במופע שלכם, תצטרכו לספק רשימה של כל הרשתות החיצוניות המורשות שמופרדות בפסיקים בכל פעם שתרצו להוסיף או להסיר רשת. כל רשת חיצונית מורשית צריכה להיות בפורמט CIDR.

כדי לעדכן את רשימת הרשתות החיצוניות המורשות במופע שלכם:

המסוף

  1. עוברים לדף אשכולות.

    מעבר אל Clusters

  2. לוחצים על אשכול בעמודה שם המשאב.

  3. בדף Overview שנפתח, עוברים לקטע Instances in your cluster ומאתרים את המופע הראשי.

  4. לוחצים על פעולות על מופע > עריכה.

  5. בקטע רשתות חיצוניות מורשות, מזינים רשימה של טווחים בפורמט CIDR, מופרדים בפסיקים. לכל טווח CIDR, מזינים בלוק CIDR, כמו 64.233.160.0/16. כדי לצמצם את פני השטח הפוטנציאליים להתקפה, מומלץ שהרשימה של הכתובות תהיה קצרה ככל האפשר.

  6. לוחצים על עדכון המופע כדי לשמור את השינויים.

gcloud

כדי להשתמש ב-ה-CLI של gcloud, אפשר להתקין ולהפעיל את Google Cloud CLI, או להשתמש ב-Cloud Shell.

כדי להפעיל כתובת IP ציבורית במכונה, משתמשים בפקודה gcloud alloydb instances update.

gcloud alloydb instances update INSTANCE_ID \
    --cluster=CLUSTER_ID  \
    --region=REGION_ID  \
    --authorized-external-networks=CIDR_RANGE1,CIDR_RANGE2,...

מחליפים את מה שכתוב בשדות הבאים:

  • INSTANCE_ID: המזהה של המופע שאתם יוצרים. הוא חייב להתחיל באות קטנה באנגלית, ויכול לכלול אותיות קטנות, מספרים ומקפים.
  • CLUSTER_ID: המזהה של האשכול שאתם יוצרים. הוא חייב להתחיל באות קטנה באנגלית, ויכול לכלול אותיות קטנות, מספרים ומקפים.
  • REGION_ID: האזור שבו רוצים למקם את האשכול.
  • CIDR_RANGE: רשימה מופרדת בפסיקים של חסימות CIDR, כמו 64.233.160.0/16. כדי לצמצם את שטח ההתקפה הפוטנציאלי, כדאי שהרשימה של הכתובות תהיה קצרה ככל האפשר.

הוספת קישוריות יוצאת למכונה

אתם יכולים להפעיל כתובת IP ציבורית יוצאת כדי ליצור חיבור ממופע AlloyDB למקורות חיצוניים. ‫AlloyDB יוצר שתי כתובות IP ציבוריות יוצאות שנשארות עקביות עד שמשביתים את הקישוריות היוצאת במופע. אפשר להפעיל כתובת IP ציבורית יוצאת רק למופעים ראשיים ומשניים.

כדי להפעיל כתובת IP ציבורית יוצאת:

המסוף

  1. עוברים לדף Clusters.

    מעבר אל Clusters

  2. לוחצים על אשכול בעמודה שם המשאב.

  3. בדף Overview שנפתח, עוברים לקטע Instances in your cluster (מופעים באשכול) ומאתרים את המופע הראשי.

  4. לוחצים על פעולות של מופע > עריכה.

  5. בקטע Outbound Public IP Connectivity (קישוריות של כתובת IP ציבורית יוצאת), מסמנים את תיבת הסימון Enable Outbound Public IP (הפעלת כתובת IP ציבורית יוצאת) כדי לתמוך בחיבורים יוצאים.

  6. לוחצים על עדכון המופע כדי לשמור את השינויים.

gcloud

כדי להשתמש ב-ה-CLI של gcloud, אפשר להתקין ולהפעיל את Google Cloud CLI, או להשתמש ב-Cloud Shell.

משתמשים בפקודה gcloud alloydb instances update כדי להפעיל כתובת IP ציבורית יוצאת במופע.

gcloud alloydb instances update INSTANCE_ID \
    --cluster=CLUSTER_ID  \
    --region=REGION_ID  \
    --outbound-public-ip

מחליפים את מה שכתוב בשדות הבאים:

  • INSTANCE_ID: המזהה של המופע שאליו מוסיפים קישוריות יוצאת.
  • CLUSTER_ID: המזהה של האשכול שאליו מוסיפים קישוריות יוצאת.
  • REGION_ID: האזור שבו האשכול שלכם ממוקם.

הצגת פרטי הקישוריות של מופע

אפשר לראות את רשימת הרשתות החיצוניות המורשות במכונה ואת כתובת ה-IP הציבורית שהוקצתה לה בכל שלב באמצעות הפקודה gcloud alloydb instances describe. אפשר גם לראות כתובות IP ציבוריות יוצאות, אם הפעלתם קישוריות יוצאת במופע.

כדי לראות את פרטי הקישוריות:

המסוף

  1. עוברים לדף Clusters.

    מעבר אל Clusters

  2. לוחצים על אשכול בעמודה שם המשאב.

  3. עוברים לדף קישוריות, שבו אפשר לראות מידע על הגדרת כתובת ה-IP הציבורית, כולל קישוריות של כתובת IP ציבורית וכתובת IP ציבורית יוצאת.

    כדי לראות את פרטי כתובת ה-IP הציבורית, אפשר גם לבחור מופע מתוך Instances in your cluster (מופעים באשכול) ואז ללחוץ על View connectivity configuration (הצגת הגדרות הקישוריות).

gcloud

כדי להשתמש ב-ה-CLI של gcloud, אפשר להתקין ולהפעיל את Google Cloud CLI, או להשתמש ב-Cloud Shell.

gcloud alloydb instances describe INSTANCE_ID \
--cluster=CLUSTER_ID \
--region=REGION_ID

מחליפים את מה שכתוב בשדות הבאים:

  • INSTANCE_ID: מזהה המופע שמוצג. הוא חייב להתחיל באות קטנה באנגלית ויכול לכלול אותיות קטנות, מספרים ומקפים.
  • CLUSTER_ID: מזהה האשכול שמוצג. הוא חייב להתחיל באות קטנה באנגלית ויכול לכלול אותיות קטנות, מספרים ומקפים.
  • REGION_ID: האזור שבו רוצים למקם את האשכול.

המאמרים הבאים