En esta página, se describe cómo AlloyDB para PostgreSQL usa el acceso privado a servicios para establecer conectividad de red entre tus instancias de AlloyDB y los diversos recursos internos que necesitan para funcionar.
Para obtener una descripción general de cómo funcionan las conexiones de red con AlloyDB, consulta Descripción general de la conexión.
Conectividad entre clústeres y recursos internos
El acceso privado a servicios permite que los clústeres de AlloyDB se comuniquen con los recursos internos que los habilitan.
Instancias y recursos internos
Los clústeres y las instancias de AlloyDB que creas en tu proyectoGoogle Cloud dependen de muchos recursos Google Cloudinternos de bajo nivel. Estos incluyen las instancias de máquina virtual (VM) que actúan como nodos de AlloyDB y balanceadores de cargas, o los volúmenes de almacenamiento que contienen tus datos. Todos los recursos que alimentan un clúster se ejecutan dentro de un proyectoGoogle Cloud interno y administrado por Google.
Por lo general, no te conectas directamente a estos recursos internos. En su lugar, administra clústeres e instancias a través de la consola de Google Cloud o Google Cloud CLI. Tus aplicaciones se conectan a las instancias de AlloyDB a través de sus direcciones IP privadas para consultar y modificar tus datos. AlloyDB usa APIs internas para pasar tus solicitudes administrativas o consultas de datos a los recursos de tu clúster según sea necesario.
Una instancia de AlloyDB actúa como una abstracción lógica de esta compleja colección de partes. Al ofrecerte una dirección IP privada y estática, y una interfaz de base de datos coherente y compatible con PostgreSQL, AlloyDB puede actualizar libremente las rutas de red internas de una instancia activa o reubicar sus recursos internos. Esto proporciona una capacidad de procesamiento optimizada y una alta disponibilidad sin tiempo de inactividad ni interrupciones.
Cómo usan los clústeres el acceso privado a servicios
Los clústeres y las instancias de AlloyDB en tu proyecto se comunican con sus recursos internos a través del acceso privado a servicios. Esto establece una conexión permanente de intercambio de tráfico entre una red de nube privada virtual (VPC) en tu propio proyecto y la VPC independiente que usa el proyecto administrado por Google que aloja los recursos internos. A través de esta conexión, los clústeres y las instancias de AlloyDB en tu proyecto pueden conectarse a sus recursos internos con direcciones IP privadas, como si estuvieran ubicados dentro de la VPC de tu propio proyecto.
Configurar el acceso privado a los servicios con una red de VPC Google Cloud implica reservar uno o más bloques de direcciones IP privadas contiguas. Después de queGoogle Cloud establece una conexión de intercambio de tráfico entre la VPC de tu proyecto y la VPC del proyecto interno, AlloyDB aplica direcciones de tus bloques de IP reservados a los recursos de bajo nivel que requieren tus instancias. Esto permite la conectividad de red privada entre todas las partes operativas de tus clústeres.
Como parte de la creación de un clúster de AlloyDB, debes especificar una red de VPC dentro de tu proyecto que ya hayas configurado con acceso privado a servicios. Es posible que tu proyecto ya tenga una red de VPC apta disponible, en especial si ya trabajaste con AlloyDB o con otro producto de Google Cloud que requiera acceso a servicios privados. Si tu proyecto no tiene una red de VPC configurada para el acceso privado a servicios, debes configurar una antes de crear un clúster de AlloyDB.
No puedes cambiar la configuración de acceso a los servicios privados de un clúster después de que AlloyDB lo haya creado.
Configuraciones admitidas de acceso privado a los servicios
AlloyDB puede usar configuraciones de acceso privado a servicios en redes de VPC que residen en el mismo proyecto que AlloyDB o en otros proyectos.
Una red de VPC en el mismo proyecto que tu clúster
La forma en que configures la conectividad de AlloyDB con una red de VPC que reside en el mismo proyecto Google Cloud que tu clúster de AlloyDB depende de si ya existe una configuración de acceso privado a servicios en la red de VPC.
Si la red de VPC aún no tiene configurado el acceso privado a servicios, crea una configuración de acceso privado a servicios.
Si la red de VPC ya tiene una configuración de acceso privado a servicios existente, asegúrate de que la configuración tenga suficiente espacio de direcciones IP para AlloyDB y aumenta el espacio de direcciones si es necesario.
Una red de VPC compartida
Para configurar la conectividad de AlloyDB con una red de VPC que reside en un proyecto Google Cloud diferente del que contiene tu clúster de AlloyDB, completa los siguientes pasos:
Configura el proyecto en el que reside la red de VPC para la VPC compartida, con él como el proyecto host y el proyecto en el que reside AlloyDB como un proyecto de servicio.
Asegúrate de que la configuración de acceso privado a servicios de la red de VPC tenga suficiente espacio de direcciones IP para AlloyDB y aumenta el espacio de direcciones si es necesario.
Configura los usuarios que pueden crear recursos de AlloyDB como administradores de proyectos de servicio con acceso a los rangos de direcciones IP asignados adecuados en la configuración de acceso privado a servicios.
Cuando uses Google Cloud CLI para crear una instancia de AlloyDB con una red de VPC compartida, asegúrate de usar la ruta de acceso completa de la red de VPC, por ejemplo,
projects/cymbal-project/global/networks/shared-vpc-network.
Para obtener más información sobre la VPC compartida, consulta Descripción general de la VPC compartida y Aprovisionamiento de la VPC compartida.
Consideraciones sobre el tamaño del rango de direcciones IP
Es importante elegir un rango de direcciones de acceso a servicios privados que sea lo suficientemente amplio como para satisfacer las necesidades de AlloyDB, así como las de cualquier otroGoogle Cloud servicio que requiera direcciones IP del mismo grupo de direcciones. Puedes ajustar el tamaño de este grupo en cualquier momento.
AlloyDB usa una subred de tamaño /24 en cada región en la que implementas un clúster. Si bien el tamaño mínimo es un solo bloque de /24 (256 direcciones), el tamaño recomendado es un bloque de /16 (65,536 direcciones). Esto te permite crear clústeres e instancias en varias regiones y, aun así, dejar muchas direcciones IP disponibles para otros Google Cloud servicios.
Cuando aprovisionas instancias nuevas en clústeres configurados con acceso privado a servicios, AlloyDB implementa los recursos en subredes regionales existentes o recién creadas que AlloyDB creó anteriormente. Si se determina que una subred existente está lo suficientemente llena, AlloyDB crea una subred nueva en la misma región, siempre que el rango de direcciones IP asignado sea lo suficientemente grande como para crear una subred adicional de tamaño /24. Si el espacio de direcciones IP existente disponible para AlloyDB no es lo suficientemente grande para crear la subred, fallará tu intento de crear el clúster o la instancia. Debes aumentar el espacio de direcciones IP para resolver la escasez de direcciones antes de volver a intentar crear el clúster o la instancia. Para obtener más información sobre cómo aumentar el espacio de direcciones IP, consulta Aumenta el espacio de direcciones IP disponible para AlloyDB en tu proyecto.
Rangos de IP públicas que se usan de forma privada
AlloyDB no admite el uso de rangos de IP públicas de uso privado (PUPI) cuando se usa el acceso privado a servicios. Para conectarte a AlloyDB desde cargas de trabajo que usan rangos de IP públicas de uso privado (PUPI), debes usar Private Service Connect.
Limitación
- Las conexiones de acceso a servicios privados se limitan a los rangos de IP de RFC 1918.
¿Qué sigue?
Obtén más información sobre el acceso a servicios privados en Google Cloud.
Aumenta el espacio de direcciones IP disponible para AlloyDB en tu proyecto.
Implementa AlloyDB con acceso privado a servicios usando Terraform.