Questa pagina descrive i concetti relativi a Private Service Connect. Puoi utilizzare Private Service Connect per i seguenti scopi:
- Connettiti a un'istanza AlloyDB per PostgreSQL da più reti Virtual Private Cloud (VPC) appartenenti a gruppi, team, progetti o organizzazioni diversi.
- Connettiti a un'istanza principale o a una delle sue repliche di lettura oppure a un'istanza secondaria.
Private Service Connect consente di creare una connessione privata e sicura tra le tue reti VPC e un servizio, come AlloyDB.Google Cloud
Private Service Connect utilizza i concetti di consumer e producer. Ad esempio, la tua rete VPC è il consumer del servizio AlloyDB pubblicato da Google Cloud, che è il producer. Per la connettività in entrata, le istanze AlloyDB pubblicano un URL di collegamento del servizio, un identificatore univoco utilizzato per connettersi a un'istanza e le reti consentite all'interno dei progetti consentiti creano un endpoint per creare una connessione sicura al servizio AlloyDB.
Per la connettività in uscita, le reti consumer creano e gestiscono i collegamenti di rete Private Service Connect. Le istanze AlloyDB utilizzano questi collegamenti di rete per gestire la connettività per le operazioni in uscita, come la migrazione o i wrapper di dati esterni (FDW).
Per informazioni dettagliate sull'utilizzo di Private Service Connect in AlloyDB, consulta Connettersi a un'istanza utilizzando Private Service Connect.
Policy di connessione al servizio
Un criterio di connessione al servizio consente di autorizzare AlloyDB a creare una connessione Private Service Connect tra AlloyDB e le reti VPC consumer. Di conseguenza, puoi eseguire il provisioning automatico degli endpoint Private Service Connect. Ad esempio, puoi creare una policy di connessione del servizio in una o più reti VPC (consumer) e specificare anche una subnet. La subnet viene utilizzata per allocare indirizzi IP per gli endpoint creati automaticamente tramite la policy per connettersi ad AlloyDB. Il criterio definisce anche un limite di connessioni che determina il numero di endpoint che possono essere creati.
Per saperne di più sulla policy di connessione al servizio, consulta la pagina Informazioni sulle policy di connessione al servizio.
Collegamento servizio
Quando crei un'istanza AlloyDB all'interno di un cluster abilitato a Private Service Connect, AlloyDB crea un collegamento al servizio univoco per quell'istanza. Per ogni istanza principale, istanza del pool di lettura o istanza secondaria creata, viene generato un URL di collegamento del servizio univoco. Questo URL del collegamento di servizio viene utilizzato per creare un endpoint Private Service Connect per il tuo progetto o la tua rete.
Collegamento di rete
Per abilitare la connettività in uscita da un'istanza AlloyDB al tuo progetto consumer, devi creare un collegamento di rete all'interno di questo VPC e progetto. Questo collegamento di rete, che è una risorsa di regione, funge da
punto di connessione. Puoi creare un collegamento di rete in grado di accettare
connessioni automaticamente(ACCEPT_AUTOMATIC) o manualmente (ACCEPT_MANUAL). Per
ulteriori informazioni sulla creazione di un collegamento di rete, consulta Creare e gestire
collegamenti di rete.
Endpoint Private Service Connect
Un endpoint Private Service Connect è una regola di forwarding associata a un indirizzo IP interno. Quando crei un cluster e un'istanza abilitati a Private Service Connect, puoi consentire ad AlloyDB di creare automaticamente gli endpoint per te o creare l'endpoint manualmente. Nell'ambito della creazione manuale dell'endpoint, devi specificare l'allegato del servizio associato all'istanza AlloyDB. La rete VPC può quindi accedere all'istanza tramite l'endpoint.
Nomi e record DNS
Poiché più endpoint possono connettersi a un singolo collegamento al servizio, ti consigliamo di utilizzare un nome DNS per connetterti in modo coerente al collegamento al servizio, indipendentemente dalla rete a cui appartiene l'endpoint. Il nome DNS viene utilizzato per creare il record DNS in una zona DNS privata per la rete VPC corrispondente.
Progetti Private Service Connect consentiti
Quando crei un'istanza AlloyDB, puoi definire quali progetti della tua rete VPC possono accedere all'istanza AlloyDB all'interno del cluster AlloyDB.
Per ogni progetto consentito nella tua rete VPC, crea un endpoint Private Service Connect univoco. Se un progetto non è consentito in modo esplicito, puoi comunque creare un endpoint per le istanze nel progetto, ma l'endpoint rimane nello stato PENDING.
Limitazione
- Gli endpoint Private Service Connect possono essere creati sia negli intervalli RFC 1918 che in quelli non RFC 1918.
Passaggi successivi
- Scopri di più su Private Service Connect nel networking AlloyDB.
- Scopri di più su come connettersi a un'istanza utilizzando Private Service Connect.