Auf dieser Seite werden Konzepte im Zusammenhang mit Private Service Connect beschrieben. Sie können Private Service Connect für folgende Zwecke verwenden:
- Sie können eine Verbindung zu einer AlloyDB for PostgreSQL-Instanz über mehrere VPC-Netzwerke (Virtual Private Cloud) herstellen, die zu verschiedenen Gruppen, Teams, Projekten oder Organisationen gehören.
- Sie können eine Verbindung zu einer primären Instanz oder einem ihrer Lesereplikate oder zu einer sekundären Instanz herstellen.
Mit Private Service Connect können Sie eine private und sichere Verbindung zwischen Ihren VPC-Netzwerken und einemGoogle Cloud -Dienst wie AlloyDB herstellen.
Private Service Connect verwendet das Konzept von Nutzer und Ersteller. Ihr VPC-Netzwerk ist beispielsweise der Nutzer des AlloyDB-Dienstes, der von Google Cloud, dem Ersteller, veröffentlicht wird. Für eingehende Verbindungen veröffentlichen AlloyDB-Instanzen eine Dienstanhang-URL, eine eindeutige ID, die zum Herstellen einer Verbindung zu einer Instanz verwendet wird, und die zulässigen Netzwerke in den zulässigen Projekten erstellen einen Endpunkt, um eine sichere Verbindung zum AlloyDB-Dienst herzustellen.
Für ausgehende Verbindungen erstellen und verwalten Nutzernetzwerke Private Service Connect-Netzwerkanhänge. AlloyDB-Instanzen verwenden diese Netzwerkverbindungen, um die Konnektivität für ausgehende Vorgänge wie Migrationen oder Wrapper für externe Daten (Foreign Data Wrappers, FDW) zu verwalten.
Ausführliche Informationen zur Verwendung von Private Service Connect in AlloyDB finden Sie unter Verbindung zu einer Instanz über Private Service Connect herstellen.
Richtlinie für Dienstverbindungen
Mit einer Richtlinie für Dienstverbindungen können Sie AlloyDB autorisieren, eine Private Service Connect-Verbindung zwischen AlloyDB und Nutzer-VPC-Netzwerken zu erstellen. Dadurch können Sie Private Service Connect-Endpunkte automatisch bereitstellen. Sie können beispielsweise eine Richtlinie für Dienstverbindungen in einem oder mehreren Ihrer (Nutzer-)VPC-Netzwerke erstellen und auch ein Subnetz angeben. Das Subnetz wird verwendet, um den Endpunkten IP-Adressen zuzuweisen, die automatisch über die Richtlinie erstellt werden, um eine Verbindung zu AlloyDB herzustellen. Die Richtlinie definiert auch ein Verbindungslimit, das festlegt, wie viele Endpunkte erstellt werden können.
Weitere Informationen zu Richtlinien für Dienstverbindungen finden Sie unter Richtlinien für Dienstverbindungen.
Dienstanhang
Wenn Sie eine AlloyDB-Instanz in einem Cluster mit aktiviertem Private Service Connect erstellen, erstellt AlloyDB einen Dienstanhang, der für diese Instanz eindeutig ist. Für jede erstellte primäre Instanz, Lesepoolinstanz oder sekundäre Instanz wird eine eindeutige URL für die Dienstanhänge generiert. Diese Dienstanhang-URL wird verwendet, um einen Private Service Connect-Endpunkt für Ihr Projekt oder Netzwerk zu erstellen.
Netzwerkanhang
Damit ausgehende Verbindungen von einer AlloyDB-Instanz zu Ihrem Nutzerprojekt möglich sind, müssen Sie einen Netzwerkanhang in dieser VPC und diesem Projekt erstellen. Dieser Netzwerkanhang, der eine regionale Ressource ist, dient als Verbindungspunkt. Sie können einen Netzwerkanhang erstellen, der Verbindungen automatisch(ACCEPT_AUTOMATIC) oder manuell (ACCEPT_MANUAL) akzeptieren kann. Weitere Informationen zum Erstellen eines Netzwerkanhangs finden Sie unter Netzwerkanhänge erstellen und verwalten.
Private Service Connect-Endpunkt
Ein Private Service Connect-Endpunkt ist eine Weiterleitungsregel, die einer internen IP-Adresse zugeordnet ist. Wenn Sie einen Cluster und eine Instanz mit aktiviertem Private Service Connect erstellen, können Sie die Endpunkte automatisch von AlloyDB erstellen lassen oder sie manuell erstellen. Beim manuellen Erstellen des Endpunkts müssen Sie den Dienstanhang angeben, der der AlloyDB-Instanz zugeordnet ist. Das VPC-Netzwerk kann dann über den Endpunkt auf die Instanz zugreifen.
DNS-Namen und -Einträge
Da mehrere Endpunkte eine Verbindung zu einem einzelnen Dienstanhang herstellen können, empfehlen wir, einen DNS-Namen zu verwenden, um unabhängig vom Netzwerk, zu dem der Endpunkt gehört, eine konsistente Verbindung zum Dienstanhang herzustellen. Der DNS-Name wird verwendet, um den DNS-Eintrag in einer privaten DNS-Zone für das entsprechende VPC-Netzwerk zu erstellen.
Zulässige Private Service Connect-Projekte
Wenn Sie eine AlloyDB-Instanz erstellen, können Sie festlegen, welche Projekte aus Ihrem VPC-Netzwerk auf die AlloyDB-Instanz im AlloyDB-Cluster zugreifen können.
Erstellen Sie für jedes zulässige Projekt in Ihrem VPC-Netzwerk einen eindeutigen Private Service Connect-Endpunkt. Wenn ein Projekt nicht explizit zugelassen ist, können Sie weiterhin einen Endpunkt für die Instanzen im Projekt erstellen. Der Endpunkt hat jedoch weiterhin den Status PENDING.
Beschränkung
- Private Service Connect-Endpunkte können sowohl in RFC 1918- als auch in Nicht-RFC 1918-Bereichen erstellt werden.
Nächste Schritte
- Weitere Informationen zu Private Service Connect im AlloyDB-Netzwerk
- Verbindung zu einer Instanz über Private Service Connect herstellen.