En esta página se describe cómo usa AlloyDB para PostgreSQL el acceso a servicios privados para establecer la conectividad de red entre tus instancias de AlloyDB y los distintos recursos internos que necesitan para funcionar.
Para obtener una descripción general de cómo funcionan las conexiones de red con AlloyDB, consulta Descripción general de las conexiones.
Conectividad entre clústeres y recursos internos
El acceso a servicios privados permite que los clústeres de AlloyDB se comuniquen con los recursos internos que los habilitan.
Instancias y recursos internos
Los clústeres e instancias de AlloyDB que crees en tuGoogle Cloud proyecto dependen de muchos recursos internos de bajo nivel Google Cloud. Entre ellos, se incluyen las instancias de máquina virtual (VM) que actúan como nodos y balanceadores de carga de AlloyDB, o los volúmenes de almacenamiento que contienen tus datos. Todos los recursos que hacen funcionar un clúster se ejecutan en unGoogle Cloud proyecto interno gestionado por Google.
Por lo general, no te conectas directamente a estos recursos internos. En su lugar, puedes gestionar los clústeres y las instancias a través de la Google Cloud consola o de la CLI de Google Cloud. Tus aplicaciones se conectan a las instancias de AlloyDB a través de sus direcciones IP privadas para consultar y modificar tus datos. AlloyDB usa APIs internas para enviar tus solicitudes administrativas o consultas de datos a los recursos de tu clúster según sea necesario.
Una instancia de AlloyDB actúa como una abstracción lógica de esta compleja colección de partes. Al ofrecerte una dirección IP privada y estática, así como una interfaz de base de datos coherente y compatible con PostgreSQL, AlloyDB puede actualizar libremente las rutas de red internas de una instancia activa o reubicar sus recursos internos. De esta forma, se consigue un rendimiento optimizado y una alta disponibilidad sin tiempo de inactividad ni interrupciones.
Cómo usan los clústeres el acceso privado a servicios
Los clústeres e instancias de AlloyDB de tu proyecto se comunican con sus recursos internos a través del acceso a servicios privados. De esta forma, se establece una conexión permanente emparejada entre una red de nube privada virtual (VPC) de tu proyecto y la VPC independiente que usa el proyecto gestionado por Google que aloja los recursos internos. Gracias a esta conexión, los clústeres e instancias de AlloyDB de tu proyecto pueden conectarse a sus recursos internos mediante direcciones IP privadas, como si estuvieran ubicados en la VPC de tu proyecto.
Para configurar el acceso privado a servicios con una Google Cloud red de VPC, debes reservar uno o varios bloques de direcciones IP privadas contiguas. Después de queGoogle Cloud establezca una conexión de peering entre la VPC de tu proyecto y la VPC del proyecto interno, AlloyDB aplica direcciones de tus bloques de IP reservados a los recursos de bajo nivel que requieren tus instancias. Esto permite la conectividad de red privada entre todos los componentes de tus clústeres.
Como parte de la creación de un clúster de AlloyDB, debes especificar una red de VPC en tu proyecto que ya hayas configurado con acceso a servicios privados. Es posible que tu proyecto ya tenga una red VPC apta, sobre todo si ya has trabajado con AlloyDB u otro producto de Google Cloud que requiera acceso a servicios privados. Si tu proyecto no tiene configurada una red de VPC para el acceso a servicios privados, debes configurar una antes de crear un clúster de AlloyDB.
No puedes cambiar la configuración de acceso a servicios privados de un clúster después de que AlloyDB lo haya creado.
Configuraciones de acceso privado a servicios admitidas
AlloyDB puede usar configuraciones de acceso a servicios privados en redes de VPC que residan en el mismo proyecto que AlloyDB o en otros proyectos.
Una red VPC en el mismo proyecto que tu clúster
La forma de configurar la conectividad de AlloyDB mediante una red de VPC que se encuentre en el mismo Google Cloud proyecto que tu clúster de AlloyDB depende de si ya existe una configuración de acceso a servicios privados en la red de VPC.
Si la red de VPC aún no tiene configurado el acceso privado a servicios, crea una configuración de acceso privado a servicios.
Si la red de VPC ya tiene una configuración de acceso privado a los servicios, asegúrate de que tenga suficiente espacio de direcciones IP para AlloyDB y aumenta el espacio de direcciones si es necesario.
Una red de VPC compartida
Para configurar la conectividad de AlloyDB mediante una red de VPC que se encuentre en un Google Cloud proyecto distinto del que contiene tu clúster de AlloyDB, sigue estos pasos:
Configura el proyecto en el que reside la red de VPC para VPC compartida. Este será el proyecto host y el proyecto en el que reside AlloyDB será el proyecto de servicio.
Comprueba que la configuración de acceso a servicios privados de la red de VPC tenga suficiente espacio de direcciones IP para AlloyDB y aumenta el espacio de direcciones si es necesario.
Configura los usuarios que pueden crear recursos de AlloyDB como administradores de proyectos de servicio con acceso a los intervalos de direcciones IP asignados correspondientes en la configuración de acceso a servicios privados.
Cuando uses la CLI de Google Cloud para crear una instancia de AlloyDB con una red de VPC compartida, asegúrate de usar la ruta completa de la red de VPC. Por ejemplo,
projects/cymbal-project/global/networks/shared-vpc-network.
Para obtener más información sobre la VPC compartida, consulta la descripción general de la VPC compartida y el artículo sobre el aprovisionamiento de VPC compartidas.
Consideraciones sobre el tamaño del intervalo de direcciones IP
Es importante elegir un intervalo de direcciones de acceso a servicios privados que sea lo suficientemente amplio como para cubrir las necesidades de AlloyDB, así como las de cualquier otro servicio deGoogle Cloud que requiera direcciones IP del mismo grupo de direcciones. Puedes ajustar el tamaño de este grupo en cualquier momento.
AlloyDB usa una subred de tamaño /24 en cada región en la que
despliegues un clúster. Aunque el tamaño mínimo es un bloque /24 (256 direcciones), se recomienda usar un bloque /16 (65.536 direcciones). De esta forma, puedes crear clústeres e instancias en varias regiones y seguir teniendo muchas direcciones IP disponibles para otros Google Cloud servicios.
Cuando aprovisionas nuevas instancias en clústeres configurados con Acceso a servicios privados, AlloyDB implementa los recursos en subredes regionales recién creadas o ya existentes que AlloyDB haya creado anteriormente. Si se detecta que una subred está lo suficientemente llena, AlloyDB crea una nueva subred en la misma región, siempre que el intervalo de direcciones IP asignado sea lo suficientemente grande como para crear una subred adicional de tamaño /24. Si el espacio de direcciones IP disponible para AlloyDB no es lo suficientemente grande como para crear la subred, no podrás crear el clúster o la instancia. Debes aumentar el espacio de direcciones IP para resolver la escasez de direcciones antes de volver a intentar crear el clúster o la instancia. Para obtener más información sobre cómo aumentar el espacio de direcciones IP, consulta Aumentar el espacio de direcciones IP disponible para AlloyDB en tu proyecto.
Intervalos de IP públicas usadas de forma privada
AlloyDB no admite el uso de intervalos de IP públicas usadas de forma privada (PUPI) cuando se usa el acceso a servicios privados. Para conectarte a AlloyDB desde cargas de trabajo que usen intervalos de IP públicas usadas de forma privada (PUPI), debes usar Private Service Connect.
Limitación
- Las conexiones de acceso a servicios privados se limitan a los intervalos de direcciones IP RFC 1918.
Siguientes pasos
Consulta más información sobre el acceso a servicios privados en Google Cloud.
Aumenta el espacio de direcciones IP disponible para AlloyDB en tu proyecto.
Despliega AlloyDB con acceso a servicios privados mediante Terraform.