本页面介绍与 Private Service Connect 相关的概念。您可以将 Private Service Connect 用于以下用途:
- 您可以从属于不同群组、团队、项目或组织的多个虚拟私有云 (VPC) 网络连接到 AlloyDB for PostgreSQL 实例。
- 连接到主实例或其任何读取副本,或者连接到次要实例。
借助 Private Service Connect,您可以在 VPC 网络与Google Cloud 服务(例如 AlloyDB)之间创建专用的安全连接。
Private Service Connect 使用了使用方和提供方的概念。例如,您的 VPC 网络是 Google Cloud发布的 AlloyDB 服务的使用方,而该服务是提供方。对于入站连接,AlloyDB 实例会发布服务连接网址(用于连接到实例的唯一标识符),并且允许的项目中允许的网络会创建一个端点,以创建与 AlloyDB 服务的安全连接。
对于出站连接,使用方网络会创建和管理 Private Service Connect 网络连接。AlloyDB 实例使用这些网络连接来管理出站操作(例如迁移或外部数据封装容器 [FDW])的连接。
如需详细了解如何在 AlloyDB 中使用 Private Service Connect,请参阅使用 Private Service Connect 连接到实例。
服务连接政策
服务连接政策可让您授权 AlloyDB 在 AlloyDB 和使用方 VPC 网络之间创建 Private Service Connect 连接。因此,您可以自动预配 Private Service Connect 端点。 例如,您可以在一个或多个(使用方)VPC 网络中创建服务连接政策,还可以指定子网。子网用于为通过该政策自动创建的端点分配 IP 地址,以连接到 AlloyDB。该政策还定义了连接限制,用于确定可以创建的端点数量。
如需详细了解服务连接政策,请参阅服务连接政策简介。
服务连接
在启用了 Private Service Connect 的集群中创建任何 AlloyDB 实例时,AlloyDB 都会为该实例创建一个专属的服务连接。对于创建的每个主实例、读取池实例或次要实例,系统都会生成一个唯一的服务连接网址。此服务连接网址用于为您的项目或网络创建 Private Service Connect 端点。
网络连接
如需启用从 AlloyDB 实例到使用方项目的出站连接,您需要在相应 VPC 和项目内创建网络连接。此网络连接(属于区域级资源)充当连接点。您可以创建一个可自动 (ACCEPT_AUTOMATIC) 或手动 (ACCEPT_MANUAL) 接受连接的网络连接。如需详细了解如何创建网络连接,请参阅创建和管理网络连接。
Private Service Connect 端点
Private Service Connect 端点是与内部 IP 地址关联的转发规则。创建启用 Private Service Connect 的集群和实例时,您可以让 AlloyDB 自动创建端点,也可以手动创建端点。在手动创建端点时,您必须指定与 AlloyDB 实例关联的服务连接。然后,VPC 网络可以通过端点访问实例。
DNS 名称和记录
由于多个端点可以连接到单个服务连接,因此我们建议使用 DNS 名称来一致连接到服务连接,而无论端点属于哪个网络。DNS 名称用于在相应 VPC 网络的专用 DNS 区域中创建 DNS 记录。
允许的 Private Service Connect 项目
创建 AlloyDB 实例时,您可以定义 VPC 网络中的哪些项目可以访问 AlloyDB 集群中的 AlloyDB 实例。
为 VPC 网络中的每个允许的项目创建一个唯一的 Private Service Connect 端点。如果未明确允许项目,您仍然可以为项目中的实例创建端点,但端点会保持 PENDING 状态。
限制
- Private Service Connect 端点可以在 RFC 1918 和非 RFC 1918 范围内创建。