Cette page explique comment AlloyDB pour PostgreSQL utilise l'accès aux services privés pour établir la connectivité réseau entre vos instances AlloyDB et les différentes ressources internes dont elles ont besoin pour fonctionner.
Pour obtenir une présentation générale du fonctionnement des connexions réseau avec AlloyDB, consultez Présentation des connexions.
Connectivité entre les clusters et les ressources internes
L'accès aux services privés permet aux clusters AlloyDB de communiquer avec les ressources internes qui les activent.
Instances et ressources internes
Les clusters et instances AlloyDB que vous créez dans votre projetGoogle Cloud s'appuient sur de nombreuses ressources internes de bas niveau Google Cloud. Il s'agit, par exemple, des instances de machines virtuelles (VM) qui servent de nœuds AlloyDB et d'équilibreurs de charge, ou des volumes de stockage qui contiennent vos données. Toutes les ressources qui alimentent un cluster s'exécutent dans un projetGoogle Cloud interne et géré par Google.
En général, vous ne vous connectez pas directement à ces ressources internes. À la place, vous gérez les clusters et les instances via la console Google Cloud ou Google Cloud CLI. Vos applications se connectent aux instances AlloyDB via leurs adresses IP privées pour interroger et modifier vos données. AlloyDB utilise des API internes pour transmettre vos requêtes administratives ou vos requêtes de données aux ressources de votre cluster, selon les besoins.
Une instance AlloyDB sert d'abstraction logique pour cet ensemble complexe de composants. En vous offrant une adresse IP privée et statique, ainsi qu'une interface de base de données cohérente et compatible avec PostgreSQL, AlloyDB peut mettre à jour librement les routes réseau internes d'une instance active ou relocaliser ses ressources internes. Cela permet d'optimiser le débit et la haute disponibilité sans temps d'arrêt ni interruption.
Comment les clusters utilisent l'accès aux services privés
Les clusters et instances AlloyDB de votre projet communiquent avec leurs ressources internes via l'accès aux services privés. Cela établit une connexion appairée permanente entre un réseau de cloud privé virtuel (VPC) dans votre propre projet et le VPC distinct utilisé par le projet géré par Google qui héberge les ressources internes. Grâce à cette connexion, les clusters et instances AlloyDB de votre projet peuvent se connecter à leurs ressources internes à l'aide d'adresses IP privées, comme s'ils se trouvaient dans le VPC de votre propre projet.
La configuration de l'accès aux services privés avec un réseau VPC Google Cloud implique de réserver un ou plusieurs blocs d'adresses IP privées contiguës. Une fois queGoogle Cloud a établi une connexion d'appairage entre le VPC de votre projet et celui du projet interne, AlloyDB applique les adresses de vos blocs d'adresses IP réservés aux ressources de bas niveau dont vos instances ont besoin. Cela permet la connectivité au réseau privé entre tous les composants de vos clusters.
Lorsque vous créez un cluster AlloyDB, vous devez spécifier un réseau VPC dans votre projet que vous avez déjà configuré avec l'accès aux services privés. Il est possible que votre projet dispose déjà d'un réseau VPC éligible, surtout si vous avez déjà utilisé AlloyDB ou un autre produit Google Cloud qui nécessite un accès privé aux services. Si votre projet ne dispose pas d'un réseau VPC configuré pour l'accès aux services privés, vous devez en configurer un avant de créer un cluster AlloyDB.
Vous ne pouvez pas modifier la configuration de l'accès aux services privés d'un cluster une fois qu'AlloyDB l'a créé.
Configurations d'accès aux services privés compatibles
AlloyDB peut utiliser des configurations d'accès aux services privés dans des réseaux VPC qui résident dans le même projet qu'AlloyDB ou dans d'autres projets.
Un réseau VPC dans le même projet que votre cluster
La façon dont vous configurez la connectivité AlloyDB à l'aide d'un réseau VPC résidant dans le même projet Google Cloud que votre cluster AlloyDB dépend de l'existence ou non d'une configuration d'accès aux services privés dans le réseau VPC.
Si l'accès aux services privés n'est pas encore configuré pour le réseau VPC, créez une configuration d'accès aux services privés.
Si le réseau VPC dispose déjà d'une configuration d'accès aux services privés, assurez-vous qu'elle dispose d'un espace d'adresses IP suffisant pour AlloyDB et augmentez l'espace d'adresses si nécessaire.
Un réseau VPC partagé
Pour configurer la connectivité AlloyDB à l'aide d'un réseau VPC résidant dans un projet Google Cloud différent de celui contenant votre cluster AlloyDB, procédez comme suit :
Configurez le projet dans lequel réside le réseau VPC pour le VPC partagé, en le définissant comme projet hôte et le projet dans lequel réside AlloyDB comme projet de service.
Assurez-vous que la configuration de l'accès aux services privés du réseau VPC dispose d'un espace d'adresses IP suffisant pour AlloyDB et augmentez l'espace d'adresses si nécessaire.
Configurez les utilisateurs autorisés à créer des ressources AlloyDB en tant qu'administrateurs de projet de service ayant accès aux plages d'adresses IP allouées appropriées dans la configuration de l'accès privé aux services.
Lorsque vous utilisez Google Cloud CLI pour créer une instance AlloyDB avec un réseau VPC partagé, assurez-vous d'utiliser le chemin d'accès complet du réseau VPC (par exemple,
projects/cymbal-project/global/networks/shared-vpc-network).
Pour en savoir plus sur le VPC partagé, consultez la Présentation du VPC partagé et le Provisionnement du VPC partagé.
Points à prendre en compte concernant la taille de la plage d'adresses IP
Il est important de choisir une plage d'adresses d'accès aux services privés suffisamment large pour répondre aux besoins d'AlloyDB, ainsi que de tous les autres servicesGoogle Cloud qui nécessitent des adresses IP du même pool d'adresses. Vous pouvez ajuster la taille de ce pool à tout moment.
AlloyDB utilise un sous-réseau de taille /24 dans chaque région où vous déployez un cluster. La taille minimale est un bloc unique de /24 (256 adresses), mais la taille recommandée est un bloc de /16 (65 536 adresses). Cela vous permet de créer des clusters et des instances dans plusieurs régions, tout en laissant suffisamment d'adresses IP disponibles pour d'autres services Google Cloud .
Lorsque vous provisionnez de nouvelles instances dans des clusters configurés avec l'accès aux services privés, AlloyDB déploie les ressources dans des sous-réseaux régionaux nouvellement créés ou existants, précédemment créés par AlloyDB. Si un sous-réseau existant est suffisamment saturé, AlloyDB crée un sous-réseau dans la même région, à condition que la plage d'adresses IP allouée soit suffisamment grande pour créer un sous-réseau supplémentaire de taille /24. Si l'espace d'adresses IP existant disponible pour AlloyDB n'est pas suffisant pour créer le sous-réseau, votre tentative de création du cluster ou de l'instance échoue. Vous devez augmenter l'espace d'adresses IP pour résoudre le problème de pénurie d'adresses avant de réessayer de créer le cluster ou l'instance. Pour en savoir plus sur l'augmentation de l'espace d'adresses IP, consultez Augmenter l'espace d'adresses IP disponible pour AlloyDB dans votre projet.
Plages d'adresses IP publiques utilisées en mode privé
AlloyDB n'est pas compatible avec l'utilisation de plages d'adresses IP publiques utilisées en mode privé (PUPI) avec l'accès aux services privés. Pour vous connecter à AlloyDB à partir de charges de travail utilisant des plages d'adresses IP publiques utilisées en mode privé (PUPI), vous devez utiliser Private Service Connect.
Limite
- Les connexions d'accès aux services privés sont limitées aux plages d'adresses IP RFC 1918.
Étapes suivantes
En savoir plus sur l'accès aux services privés dans Google Cloud
Augmentez l'espace d'adressage IP disponible pour AlloyDB dans votre projet.
Déployez AlloyDB avec l'accès aux services privés à l'aide de Terraform.