Panoramica dell'accesso privato ai servizi

Questa pagina descrive come AlloyDB per PostgreSQL utilizza l'accesso ai servizi privati per stabilire la connettività di rete tra le istanze AlloyDB e le varie risorse interne necessarie per il loro funzionamento.

Per una panoramica generale del funzionamento delle connessioni di rete con AlloyDB, consulta Panoramica della connessione.

Connettività tra cluster e risorse interne

L'accesso privato ai servizi consente ai cluster AlloyDB di comunicare con le risorse interne che li abilitano.

Istanze e risorse interne

I cluster e le istanze AlloyDB che crei nel tuo progettoGoogle Cloud si basano su molte risorse interne di basso livello Google Cloud. Questi includono le istanze di macchine virtuali (VM) che fungono da nodi AlloyDB e bilanciatori del carico o i volumi di archiviazione che contengono i dati. Tutte le risorse che alimentano un cluster vengono eseguite all'interno di un progettoGoogle Cloud interno e gestito da Google.

In genere, non ti connetti direttamente a queste risorse interne. Invece, gestisci i cluster e le istanze tramite la console Google Cloud o Google Cloud CLI. Le tue applicazioni si connettono alle istanze AlloyDB tramite i relativi indirizzi IP privati per eseguire query e modificare i tuoi dati. AlloyDB utilizza API interne per trasmettere le tue richieste amministrative o query di dati alle risorse del tuo cluster in base alle necessità.

Un'istanza AlloyDB funge da astrazione logica di questa complessa raccolta di parti. Offrendo un indirizzo IP privato e statico e un'interfaccia di database coerente e compatibile con PostgreSQL, AlloyDB può aggiornare liberamente le route di rete interne di un'istanza attiva o riassegnare le sue risorse interne. Ciò garantisce un throughput ottimizzato e un'elevata disponibilità senza tempi di inattività o interruzioni.

Come i cluster utilizzano l'accesso privato ai servizi

I cluster e le istanze AlloyDB nel tuo progetto comunicano con le loro risorse interne tramite l'accesso privato ai servizi. In questo modo viene stabilita una connessione di peering permanente tra una rete Virtual Private Cloud (VPC) nel tuo progetto e il VPC separato utilizzato dal progetto gestito da Google che ospita le risorse interne. Tramite questa connessione, i cluster e le istanze AlloyDB nel tuo progetto possono connettersi alle loro risorse interne utilizzando indirizzi IP privati, proprio come se si trovassero all'interno del VPC del tuo progetto.

La configurazione dell'accesso privato ai servizi con una rete VPC prevede la prenotazione di uno o più blocchi di indirizzi IP privati contigui. Google Cloud Dopo che Google Cloud stabilisce una connessione di peering tra il VPC del tuo progetto e il VPC del progetto interno, AlloyDB applica gli indirizzi dei blocchi IP riservati alle risorse di basso livello richieste dalle tue istanze. Ciò consente la connettività di rete privata tra tutte le parti funzionanti dei cluster.

Quando crei un cluster AlloyDB, devi specificare una rete VPC all'interno del tuo progetto che hai già configurato con l'accesso privato ai servizi. Il tuo progetto potrebbe già disporre di una rete VPC idonea, soprattutto se ha già utilizzato AlloyDB o un altro prodotto che richiede l'accesso privato ai servizi. Google Cloud Se il tuo progetto non ha una rete VPC configurata per l'accesso ai servizi privati, devi configurarne una prima di creare un cluster AlloyDB.

Non puoi modificare la configurazione dell'accesso privato ai servizi di un cluster dopo che AlloyDB ha creato il cluster.

Configurazioni di accesso privato ai servizi supportate

AlloyDB può utilizzare le configurazioni di accesso ai servizi privati nelle reti VPC che si trovano nello stesso progetto di AlloyDB o in altri progetti.

Una rete VPC nello stesso progetto del cluster

Il modo in cui configuri la connettività AlloyDB utilizzando una rete VPC che si trova nello stesso progetto Google Cloud del cluster AlloyDB dipende dal fatto che nella rete VPC esista già una configurazione di accesso privato ai servizi.

• Se la rete VPC non ha già configurato l'accesso privato ai servizi, crea una configurazione di accesso privato ai servizi.

• Se la rete VPC ha già una configurazione di accesso privato ai servizi esistente, assicurati che la configurazione abbia spazio di indirizzi IP sufficiente per AlloyDB e aumenta lo spazio di indirizzi se necessario.

Una rete VPC condiviso

Per configurare la connettività AlloyDB utilizzando una rete VPC che si trova in un progetto Google Cloud diverso da quello contenente il cluster AlloyDB, completa i seguenti passaggi:

1. Configura il progetto in cui risiede la rete VPC per il VPC condiviso, con il progetto come progetto host e il progetto in cui risiede AlloyDB come progetto di servizio.

2. Assicurati che la configurazione dell'accesso privato ai servizi della rete VPC disponga di spazio di indirizzi IP sufficiente per AlloyDB e aumenta lo spazio di indirizzi se necessario.

3. Configura gli utenti che possono creare risorse AlloyDB come amministratori del progetto di servizio con accesso agli intervalli di indirizzi IP allocati appropriati nella configurazione dell'accesso privato ai servizi.

4. Quando utilizzi Google Cloud CLI per creare un'istanza AlloyDB con la rete VPC condiviso, assicurati di utilizzare il percorso completo della rete VPC, ad esempio projects/cymbal-project/global/networks/shared-vpc-network.

Per saperne di più sul VPC condiviso, consulta Panoramica del VPC condiviso e Provisioning del VPC condiviso.

Considerazioni sulle dimensioni dell'intervallo di indirizzi IP

È importante scegliere un intervallo di indirizzi di accesso ai servizi privati sufficientemente ampio da soddisfare le esigenze di AlloyDB, nonché di qualsiasi altro servizioGoogle Cloud che richieda indirizzi IP dello stesso pool di indirizzi. Puoi modificare le dimensioni di questo pool in qualsiasi momento.

AlloyDB utilizza una subnet di dimensioni /24 in ogni regione in cui deploy un cluster. Sebbene la dimensione minima sia un singolo blocco /24 (256 indirizzi), la dimensione consigliata è un blocco /16 (65.536 indirizzi). In questo modo puoi creare cluster e istanze in più regioni e avere comunque a disposizione molti indirizzi IP per altri Google Cloud servizi.

Quando esegui il provisioning di nuove istanze nei cluster configurati con l'accesso privato ai servizi, AlloyDB esegue il deployment delle risorse nelle subnet regionali create di recente o esistenti che sono state create in precedenza da AlloyDB. Se viene rilevato che una subnet esistente è sufficientemente piena, AlloyDB crea una nuova subnet nella stessa regione, a condizione che l'intervallo di indirizzi IP allocato sia sufficientemente grande da creare una subnet aggiuntiva di dimensioni /24. Se lo spazio di indirizzi IP esistente disponibile per AlloyDB non è sufficiente per creare la subnet, il tentativo di creare il cluster o l'istanza non va a buon fine. Devi aumentare lo spazio degli indirizzi IP per risolvere la carenza di indirizzi prima di riprovare a creare il cluster o l'istanza. Per saperne di più su come aumentare lo spazio di indirizzi IP, vedi Aumentare lo spazio di indirizzi IP disponibile per AlloyDB all'interno del progetto.

Intervalli IP pubblici utilizzati privatamente

AlloyDB non supporta l'utilizzo di intervalli IP pubblici utilizzati privatamente (PUPI) quando si utilizza l'accesso privato ai servizi. Per connetterti ad AlloyDB dai carichi di lavoro utilizzando intervalli IP pubblici utilizzati privatamente (PUPI), devi utilizzare Private Service Connect.

Limitazione

• Le connessioni di accesso privato ai servizi sono limitate agli intervalli IP RFC 1918.

Passaggi successivi

• Attiva l'accesso privato ai servizi.

• Scopri di più sull'accesso privato ai servizi in Google Cloud.

• Aumenta lo spazio di indirizzi IP disponibile per AlloyDB all'interno del tuo progetto.

• Esegui il deployment di AlloyDB con l'accesso privato ai servizi utilizzando Terraform.