Nesta página, descrevemos os conceitos relacionados ao Private Service Connect. Use o Private Service Connect para as seguintes finalidades:
- É possível se conectar a uma instância do AlloyDB para PostgreSQL por meio de várias redes de nuvem privada virtual (VPC) que pertencem a diferentes grupos, equipes, projetos ou organizações.
- Conecte-se a uma instância principal ou a qualquer uma das réplicas de leitura dela, ou a uma instância secundária.
Com o Private Service Connect, é possível criar uma conexão privada e segura entre suas redes VPC e umGoogle Cloud serviço, como o AlloyDB.
O Private Service Connect usa o conceito de consumidor e produtor. Por exemplo, sua rede VPC é a consumidora do serviço AlloyDB publicado pelo Google Cloud, que é o produtor. Para conectividade de entrada, as instâncias do AlloyDB publicam um URL de anexo de serviço, um identificador exclusivo usado para se conectar a uma instância, e as redes permitidas nos projetos permitidos criam um endpoint para criar uma conexão segura com o serviço do AlloyDB.
Para conectividade de saída, as redes de consumidores criam e gerenciam anexos de rede do Private Service Connect. As instâncias do AlloyDB usam esses anexos de rede para gerenciar a conectividade de operações de saída, como migração ou wrappers de dados externos (FDW).
Para informações detalhadas sobre como usar o Private Service Connect no AlloyDB, consulte Conectar-se a uma instância usando o Private Service Connect.
Política de conexão de serviço
Com uma política de conexão de serviço, você autoriza o AlloyDB a criar uma conexão de Private Service Connect entre o AlloyDB e as redes VPC do consumidor. Como resultado, é possível provisionar endpoints do Private Service Connect automaticamente. Por exemplo, é possível criar uma política de conexão de serviço em uma ou mais redes VPC (consumidoras) e especificar uma sub-rede. A sub-rede é usada para alocar endereços IP para os endpoints criados automaticamente pela política para se conectar ao AlloyDB. A política também define um limite de conexão que determina quantos endpoints podem ser criados.
Para mais informações sobre a política de conexão de serviço, consulte Sobre as políticas de conexão de serviço.
Anexo de serviço
Quando você cria uma instância do AlloyDB em um cluster com o Private Service Connect ativado, o AlloyDB cria um anexo de serviço exclusivo para essa instância. Para cada instância principal, de pool de leitura ou secundária criada, um URL de vinculação de serviço exclusivo é gerado. Esse URL de anexo de serviço é usado para criar um endpoint do Private Service Connect para seu projeto ou rede.
Anexo de rede
Para ativar a conectividade de saída de uma instância do AlloyDB para seu projeto
consumidor, crie um anexo de rede nessa VPC e nesse
projeto. Esse anexo de rede, que é um recurso regional, funciona como o ponto de conexão. É possível criar um anexo de rede que aceite conexões automaticamente(ACCEPT_AUTOMATIC) ou manualmente (ACCEPT_MANUAL). Para mais informações sobre como criar um anexo de rede, consulte Criar e gerenciar anexos de rede.
Endpoint do Private Service Connect
Um endpoint do Private Service Connect é uma regra de encaminhamento associada a um endereço IP interno. Ao criar um cluster e uma instância com o Private Service Connect ativado, você pode permitir que o AlloyDB crie endpoints automaticamente ou fazer isso de forma manual. Como parte da criação manual do endpoint, especifique o anexo de serviço associado à instância do AlloyDB. A rede VPC pode acessar a instância pelo endpoint.
Nomes e registros DNS
Como vários endpoints podem se conectar a um único anexo de serviço, recomendamos usar um nome DNS para se conectar de maneira consistente ao anexo de serviço, independente da rede a que o endpoint pertence. O nome DNS é usado para criar o registro em uma zona DNS particular para a rede VPC correspondente.
Projetos do Private Service Connect permitidos
Ao criar uma instância do AlloyDB, é possível definir quais projetos da sua rede VPC podem acessar a instância do AlloyDB no cluster do AlloyDB.
Para cada projeto permitido na sua rede VPC, crie um endpoint exclusivo do Private Service Connect. Se um projeto não for permitido
explicitamente, você ainda poderá criar um endpoint para as instâncias do
projeto, mas o endpoint permanecerá no estado PENDING.
Limitação
- Os endpoints do Private Service Connect podem ser criados em intervalos RFC 1918 e não RFC 1918.
A seguir
- Saiba mais sobre o Private Service Connect na rede do AlloyDB.
- Saiba mais sobre como se conectar a uma instância usando o Private Service Connect.