Visão geral do acesso a serviços particulares

Nesta página, descrevemos como o AlloyDB para PostgreSQL usa o acesso a serviços privados para estabelecer a conectividade de rede entre as instâncias do AlloyDB e os vários recursos internos necessários para o funcionamento delas.

Para uma visão geral de como as conexões de rede funcionam com o AlloyDB, consulte Visão geral da conexão.

Conectividade entre clusters e recursos internos

O acesso privado a serviços permite que os clusters do AlloyDB se comuniquem com os recursos internos que os ativam.

Instâncias e recursos internos

Os clusters e as instâncias do AlloyDB que você cria no seu projetoGoogle Cloud dependem de muitos recursos internos de baixo nível Google Cloud. Isso inclui as instâncias de máquina virtual (VM) que servem como nós e balanceadores de carga do AlloyDB ou os volumes de armazenamento que contêm seus dados. Todos os recursos que alimentam um cluster são executados em um projetoGoogle Cloud interno e gerenciado pelo Google.

Em geral, você não se conecta diretamente a esses recursos internos. Em vez disso, gerencie clusters e instâncias pelo console Google Cloud ou pela Google Cloud CLI. Seus aplicativos se conectam às instâncias do AlloyDB usando os endereços IP particulares delas para consultar e modificar seus dados. O AlloyDB usa APIs internas para transmitir suas solicitações administrativas ou consultas de dados aos recursos do cluster conforme necessário.

Uma instância do AlloyDB funciona como uma abstração lógica dessa coleção complexa de partes. Ao oferecer um endereço IP privado e estático e uma interface de banco de dados consistente e compatível com PostgreSQL, o AlloyDB pode atualizar livremente as rotas de rede internas de uma instância ativa ou realocar os recursos internos dela. Isso oferece capacidade de processamento otimizada e alta disponibilidade sem tempo de inatividade ou interrupção.

Como os clusters usam o acesso a serviços particulares

Os clusters e as instâncias do AlloyDB no seu projeto se comunicam com os recursos internos usando o acesso a serviços particulares. Isso estabelece uma conexão permanente de peering entre uma rede de nuvem privada virtual (VPC) no seu projeto e a VPC separada usada pelo projeto gerenciado pelo Google que hospeda os recursos internos. Com essa conexão, os clusters e as instâncias do AlloyDB no seu projeto podem se conectar aos recursos internos usando endereços IP particulares, como se estivessem localizados na VPC do seu projeto.

Configurar o acesso a serviços particulares com uma rede VPC Google Cloud envolve reservar um ou mais blocos de endereços IP particulares contíguos. Depois que Google Cloud estabelece uma conexão de peering entre a VPC do projeto e a VPC do projeto interno, o AlloyDB aplica endereços dos blocos de IP reservados aos recursos de baixo nível que as instâncias exigem. Isso permite a conectividade de rede privada entre todas as partes funcionais dos seus clusters.

Ao criar um cluster do AlloyDB, é necessário especificar uma rede VPC no projeto que já tenha sido configurada com acesso a serviços particulares. Seu projeto já pode ter uma rede VPC qualificada disponível, principalmente se ele já tiver trabalhado com o AlloyDB ou outro produto do Google Cloud que exija acesso a serviços particulares. Se o projeto não tiver uma rede VPC configurada para acesso a serviços particulares, configure uma antes de criar um cluster do AlloyDB.

Não é possível mudar a configuração de acesso a serviços particulares de um cluster depois que o AlloyDB o cria.

Configurações compatíveis de acesso a serviços particulares

O AlloyDB pode usar configurações de acesso a serviços particulares em redes VPC que residem no mesmo projeto do AlloyDB ou em outros projetos.

Uma rede VPC no mesmo projeto do cluster

A forma de configurar a conectividade do AlloyDB usando uma rede VPC que reside no mesmo projeto Google Cloud do cluster do AlloyDB depende da existência de uma configuração de acesso a serviços particulares na rede VPC.

• Se a rede VPC ainda não tiver o acesso a serviços particulares configurado, crie uma configuração de acesso a serviços particulares.

• Se a rede VPC já tiver uma configuração de acesso a serviços particulares, verifique se ela tem espaço de endereço IP suficiente para o AlloyDB e aumente o espaço de endereço, se necessário.

uma rede VPC compartilhada;

Para configurar a conectividade do AlloyDB usando uma rede VPC que reside em um Google Cloud projeto diferente daquele que contém seu cluster do AlloyDB, siga estas etapas:

1. Configure o projeto em que a rede VPC reside para a VPC compartilhada, com ele como o projeto host e o projeto em que o AlloyDB reside como um projeto de serviço.

2. Verifique se a configuração de acesso a serviços particulares da rede VPC tem espaço de endereço IP suficiente para o AlloyDB e aumente o espaço de endereço se necessário.

3. Configure os usuários que podem criar recursos do AlloyDB como administradores de projetos de serviço com acesso aos intervalos de endereços IP alocados adequados na configuração de acesso a serviços particulares.

4. Ao usar a Google Cloud CLI para criar uma instância do AlloyDB com uma rede VPC compartilhada, use o caminho totalmente qualificado da rede VPC. Por exemplo, projects/cymbal-project/global/networks/shared-vpc-network.

Para mais informações sobre a VPC compartilhada, consulte Visão geral da VPC compartilhada e Como provisionar a VPC compartilhada.

Considerações sobre o tamanho do intervalo de endereços IP

É importante escolher um intervalo de endereços de acesso a serviços particulares que seja amplo o suficiente para atender às necessidades do AlloyDB, bem como de outros serviços doGoogle Cloud que exigem endereços IP do mesmo pool de endereços. É possível ajustar o tamanho desse pool a qualquer momento.

O AlloyDB usa uma sub-rede de tamanho /24 em cada região em que você implanta um cluster. O tamanho mínimo é um único bloco /24 (256 endereços), mas o recomendado é um bloco /16 (65.536 endereços). Isso permite criar clusters e instâncias em várias regiões e ainda deixar muitos endereços IP disponíveis para outros serviços Google Cloud .

Ao provisionar novas instâncias em clusters configurados com o acesso a serviços particulares, o AlloyDB implanta os recursos em sub-redes regionais recém-criadas ou atuais que foram criadas anteriormente pelo AlloyDB. Se uma sub-rede existente estiver suficientemente cheia, o AlloyDB vai criar uma nova sub-rede na mesma região, desde que o intervalo de endereços IP alocado seja grande o suficiente para criar uma sub-rede adicional de tamanho /24. Se o espaço de endereço IP disponível para o AlloyDB não for grande o suficiente para criar a sub-rede, a tentativa de criar o cluster ou a instância vai falhar. É preciso aumentar o espaço de endereço IP para resolver a escassez antes de tentar criar o cluster ou a instância novamente. Para mais informações sobre como aumentar o espaço de endereços IP, consulte Aumentar o espaço de endereços IP disponível para o AlloyDB no seu projeto.

Intervalos de IP públicos de uso particular

O AlloyDB não oferece suporte ao uso de intervalos de IP público de uso particular (PUPI) ao usar o acesso a serviços particulares. Para se conectar ao AlloyDB de cargas de trabalho usando intervalos de IP público de uso particular (PUPI), use o Private Service Connect.

Limitação

• As conexões de acesso a serviços particulares são limitadas a intervalos de IP RFC 1918.

A seguir

• Ative o acesso a serviços privados.

• Saiba mais sobre o acesso a serviços particulares no Google Cloud.

• Aumente o espaço de endereços IP disponível para o AlloyDB no seu projeto.

• Implante o AlloyDB com acesso a serviços particulares usando o Terraform.