Halaman ini menjelaskan cara menggunakan Private Service Connect untuk terhubung ke instance AlloyDB for PostgreSQL.
Anda dapat menggunakan Private Service Connect untuk terhubung ke instance AlloyDB utama atau replika bacanya, atau instance AlloyDB sekunder dari beberapa jaringan Virtual Private Cloud (VPC) yang tergabung dalam grup, tim, project, atau organisasi yang berbeda.
Peran yang diperlukan
Anda harus memberikan semua peran berikut kepada pengguna di jaringan VPC Anda agar dapat terhubung ke instance AlloyDB.
| Peran | Deskripsi |
|---|---|
compute.networkAdmin |
Memberikan kontrol penuh atas jaringan VPC yang memulai koneksi ke instance AlloyDB. Jika Anda menggunakan Private Service Connect untuk terhubung ke instance AlloyDB dari beberapa jaringan VPC, maka setiap jaringan memiliki administratornya sendiri. |
dns.admin |
Memberikan kontrol penuh atas resource Cloud DNS, termasuk zona dan data DNS. |
alloydb.admin |
Memberikan kontrol penuh atas instance AlloyDB dan mengontrol instance selama siklus prosesnya. |
alloydb.databaseUser (Opsional) |
Memberikan akses ke instance AlloyDB. Jika Anda terhubung melalui klien Proxy Auth AlloyDB, Anda harus memiliki peran Klien AlloyDB. Jika terhubung langsung, Anda tidak memerlukan peran dan izin Identity and Access Management (IAM). |
Custom AlloyDB role (Opsional) |
Jika Anda menggunakan peran khusus, selain memberikan peran compute.networkAdmin dan dns.admin, berikan izin berikut:
|
Membuat endpoint Private Service Connect
Endpoint Private Service Connect adalah alamat IP internal di jaringan VPC konsumen, yang dapat diakses langsung oleh klien di jaringan tersebut. Klien dapat menggunakan endpoint ini untuk terhubung ke instance AlloyDB.
Agar AlloyDB membuat endpoint Private Service Connect secara otomatis, lakukan hal berikut:
- Gunakan kembali kebijakan koneksi layanan yang ada atau buat kebijakan koneksi layanan di jaringan VPC Anda. Dengan kebijakan ini, Anda dapat menyediakan endpoint Private Service Connect secara otomatis.
- Buat cluster dan instance AlloyDB dengan Private Service Connect yang diaktifkan untuk instance, lalu konfigurasi instance untuk membuat endpoint Private Service Connect secara otomatis.
- Ambil endpoint untuk instance. Hal ini memungkinkan Anda menggunakan endpoint untuk terhubung ke instance.
- (Opsional) Perbarui cluster dan instance AlloyDB yang ada dengan Private Service Connect yang diaktifkan untuk membuat endpoint secara otomatis.
Anda juga dapat membuat endpoint Private Service Connect secara manual. Untuk mengetahui informasi selengkapnya, lihat Membuat endpoint secara manual.
Membuat endpoint secara otomatis
Beberapa bagian berikutnya menjelaskan cara mengonfigurasi instance Anda agar AlloyDB dapat membuat endpoint Private Service Connect secara otomatis.
Membuat kebijakan koneksi layanan
Anda dapat menggunakan kembali kebijakan koneksi layanan yang ada atau membuat kebijakan koneksi layanan menggunakan Google Cloud konsol atau Google Cloud CLI.
Dengan kebijakan koneksi layanan, Anda dapat mengizinkan class layanan tertentu untuk membuat endpoint Private Service Connect di jaringan VPC konsumen Anda. Anda dapat menggunakan kebijakan koneksi layanan untuk mengizinkan AlloyDB membuat endpoint Private Service Connect secara otomatis.
Konsol
Di konsol Google Cloud , buka halaman Private Service Connect.
Klik tab Connection Policies.
Klik Create connection policy.
Masukkan Name untuk kebijakan koneksi.
Tentukan class layanan dengan melakukan hal berikut:
- Untuk Source service class, pilih Google services.
- Dari menu Service class, pilih
google-cloud-alloydbkarena AlloyDB adalah layanan terkelola untuk kebijakan koneksi.
Di bagian Target endpoint scope, pilih Network dan Region tempat kebijakan ini diterapkan.
Di bagian Policy, pilih satu atau beberapa subnet dari menu Subnetworks. Subnet digunakan untuk mengalokasikan alamat IP untuk endpoint.
Opsional: Tentukan Connection limit untuk kebijakan. Batas ini menentukan jumlah endpoint yang dapat dibuat AlloyDB untuk kebijakan koneksi ini. Jika Anda tidak menentukan batas koneksi, tidak ada batas.
Klik Create policy.
gcloud
Untuk membuat kebijakan koneksi layanan, gunakan
perintah service-connection-policies create.
gcloud network-connectivity service-connection-policies create POLICY_NAME \
--network=NETWORK \
--project=PROJECT_ID \
--region=REGION \
--service-class=SERVICE_CLASS \
--subnets=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETS \
--psc-connection-limit=LIMIT \
--description="DESCRIPTION" \
--producer-instance-location=PRODUCER_INSTANCE_LOCATION \
--allowed-google-producers-resource-hierarchy-level=LIST_OF_NODES
Ganti kode berikut:
POLICY_NAME: nama kebijakan koneksi layanan Anda.NETWORK: jaringan tempat kebijakan ini diterapkan.PROJECT_ID: project ID atau nomor project jaringan VPC. Untuk jaringan VPC Bersama, Anda harus men-deploy kebijakan koneksi layanan di project host karena kebijakan ini tidak didukung di project layanan.REGION: region tempat kebijakan ini berlaku. Kebijakan yang sama harus ada untuk setiap region tempat Anda ingin mengotomatiskan konektivitas layanan.SERVICE_CLASS: ID resource yang disediakan produsen dari class layanan. Untuk AlloyDB, class layanan adalahgoogle-cloud-alloydb.SUBNETS: satu atau beberapa subnet konsumen reguler yang digunakan untuk mengalokasikan alamat IP untuk endpoint Private Service Connect. Alamat IP ini dialokasikan secara otomatis dan dikembalikan ke kumpulan subnet saat instance layanan terkelola dibuat dan dihapus. Subnet harus berada di region yang sama dengan kebijakan koneksi layanan. Jika beberapa kebijakan koneksi memiliki region yang sama, Anda dapat menggunakan kembali subnetwork yang sama dalam kebijakan tersebut. Anda dapat memasukkan beberapa subnet dalam daftar yang dipisahkan koma.LIMIT: jumlah maksimum endpoint yang dapat Anda buat dengan kebijakan ini. Jika Anda tidak menentukan batas, maka tidak ada batas.DESCRIPTION: deskripsi opsional untuk kebijakan koneksi layanan.PRODUCER_INSTANCE_LOCATION: menentukan apakah kebijakan mengotomatiskan koneksi ke instance AlloyDB. Anda dapat menetapkan nilai ini ke salah satu dari berikut ini:none(default): instance AlloyDB berada dalam project yang sama dengan kebijakan koneksi layanan (atau dalam kasus VPC Bersama, di project yang terhubung).custom-resource-hierarchy-levels: mengharuskan Anda menetapkan jalur lokasi Resource Manager untuk project yang ingin Anda otomatiskan konektivitasnya melalui parameterallowed-google-producers-resource-hierarchy-level.
LIST_OF_NODES: tetapkan parameter ini jika lokasi instance produser Anda ditetapkan kecustom-resource-hierarchy-levels. Parameter ini adalah daftar project, folder, dan organisasi tempat instance yang konektivitasnya ingin Anda otomatiskan berada. Daftar ini dalam bentukprojects/PROJECT_ID,folders/FOLDER_ID, atauorganizations/ORGANIZATION_ID.
Misalnya, perintah berikut akan membuat kebijakan koneksi layanan untuk class layanan
google-cloud-alloydb yang mengalokasikan alamat IP dari subnet managed-services. Maksimal 10 endpoint Private Service Connect dapat dibuat dengan kebijakan ini. Endpoint harus dibuat dalam project yang berada di organisasi yang sama dengan instance layanan terkelola. Instance AlloyDB berada di project myproject.
gcloud network-connectivity service-connection-policies create alloydb-policy \
--network=default \
--project=my-project \
--region=us-central1 \
--service-class=google-cloud-alloydb \
--subnets=managed-service-subnet \
--psc-connection-limit=10 \
--producer-instance-location=custom-resource-hierarchy-levels \
--allowed-google-producers-resource-hierarchy-level=projects/myproject
Buat instance AlloyDB
Anda dapat membuat instance dengan Private Service Connect yang diaktifkan untuk instance dan mengonfigurasi instance untuk membuat endpoint secara otomatis menggunakan konsol, gcloud CLI, atau terraform.
Konsol
Di konsol Google Cloud , buka halaman Clusters.
Klik Buat kluster.
Di Cluster ID, masukkan
my-cluster.Masukkan sandi. Catat sandi ini karena Anda akan menggunakannya dalam panduan memulai ini.
Pertahankan versi database default.
Pilih wilayah
us-central1 (Iowa).Pertahankan ID instance default,
my-cluster-primary.Di Zonal availability, pertahankan Single zone sebagai opsi yang dipilih. Meskipun kami tidak merekomendasikan instance zona tunggal untuk produksi, Anda dapat menggunakan zona tunggal dalam panduan memulai ini untuk meminimalkan biaya. Untuk mengetahui informasi selengkapnya, lihat Mengurangi biaya menggunakan instance dasar.
Pilih jenis mesin
2 vCPU, 16 GB.Mempertahankan konektivitas IP pribadi.
- Pilih Private Service Connect (PSC).
- Klik Tambahkan endpoint.
- Pilih project tempat Anda ingin membuat endpoint.
- Pilih jaringan.
- Klik Periksa kebijakan untuk melihat informasi kebijakan koneksi layanan.
Pertahankan setelan default di bagian Network security.
Jangan membuat perubahan di Tampilkan opsi lanjutan.
Klik Buat kluster. Mungkin perlu waktu beberapa menit agar AlloyDB membuat cluster dan menampilkannya di halaman Ringkasan cluster utama.
gcloud
Untuk membuat cluster, gunakan perintah gcloud alloydb clusters
create.
gcloud alloydb clusters create CLUSTER_ID \
--password=PASSWORD \
--region=REGION_ID \
--project=PROJECT_ID \
--enable-private-service-connectGanti kode berikut:
CLUSTER_ID: ID cluster yang Anda buat. Nama harus diawali dengan huruf kecil dan dapat berisi huruf kecil, angka, dan tanda hubung.PASSWORD: sandi yang akan digunakan untuk penggunapostgresdefault.REGION_ID: region tempat Anda ingin menempatkan cluster.PROJECT_ID: ID project tempat Anda ingin menempatkan cluster.
Perintah ini memulai operasi yang berjalan lama, dan menampilkan ID operasi.
Untuk membuat instance AlloyDB, baik instance utama maupun kumpulan baca untuk menggunakan Private Service Connect, gunakan perintah gcloud alloydb instances create. Pastikan Anda menyertakan parameter --allowed-psc-projects untuk menentukan project konsumen mana yang dapat membuat endpoint untuk terhubung ke instance ini.
gcloud alloydb instances create INSTANCE_ID \
--instance-type=PRIMARY \
--cpu-count=CPU_COUNT \
--availability-type=AVAILABILITY \
--region=REGION_ID \
--cluster=CLUSTER_ID \
--project=PROJECT_ID \
--allowed-psc-projects=ALLOWED_PROJECT_LIST \
--psc-network-attachment-uri=NETWORK_ATTACHMENT_URI \
--psc-auto-connections=network=CONSUMER_NETWORK,project=CONSUMER_PROJECTGanti kode berikut:
INSTANCE_ID: ID instance yang Anda buat. Nama harus diawali dengan huruf kecil dan dapat berisi huruf kecil, angka, dan tanda hubung.CPU_COUNT: jumlah vCPU yang Anda inginkan untuk instance. Nilai yang valid mencakup berikut ini:2: 2 vCPU, RAM 16 GB4: 4 vCPU, RAM 32 GB8: 8 vCPU, RAM 64 GB16: 16 vCPU, RAM 128 GB32: 32 vCPU, RAM 256 GB64: 64 vCPU, RAM 512 GB96: 96 vCPU, RAM 768 GB128: 128 vCPU, RAM 864 GB
AVAILABILITY: menunjukkan apakah instance ini harus memiliki ketersediaan tinggi (HA), dengan node di beberapa zona. Nilai yang valid mencakup:REGIONAL: membuat instance HA dengan node aktif dan standby terpisah, serta failover otomatis di antara keduanya. Ini adalah nilai default, yang cocok untuk lingkungan produksi.ZONAL: membuat instance dasar, yang hanya berisi satu node, dan tidak ada failover otomatis.
REGION_ID: region tempat Anda ingin menempatkan instance.CLUSTER_ID: ID cluster yang Anda buat sebelumnya.ALLOWED_PROJECT_LIST: daftar project ID atau nomor project yang dipisahkan koma yang ingin Anda izinkan mengakses instance—misalnya,my-project-1,12345,my-project-n.NETWORK_ATTACHMENT_URI(Opsional): nama resource lengkap URI lampiran jaringan yang Anda buat untuk konektivitas keluar. Misalnya:projects/PROJECT_ID/regions/REGION_ID/networkAttachments/NETWORK_ATTACHMENT_IDCONSUMER_NETWORK: jalur ke jaringan VPC tempat endpoint Private Service Connect perlu dibuat. Contoh:projects/my-host-project/global/networks/default. Opsi ini berlaku saat Anda membuat endpoint secara otomatis. Pastikan kebijakan koneksi layanan dibuat. Anda dapat membuat kebijakan sebelum atau setelah membuat instance.CONSUMER_PROJECT: project tempat endpoint Private Service Connect dibuat. Jika Anda menggunakan jaringan VPC Bersama, maka ini bisa berupa project host atau project layanan. Setiap project yang Anda tentukan dalam parameter koneksi otomatis akan otomatis ditambahkan ke project yang diizinkan. Secara opsional, untuk project tempat Anda ingin membuat endpoint Private Service Connect secara manual, Anda dapat menambahkan project ini ke daftar project yang diizinkan.
Cluster sekunder yang dibuat untuk cluster utama yang mendukung Private Service Connect akan otomatis mewarisi konfigurasi Private Service Connect. Untuk mengetahui informasi selengkapnya, lihat Membuat cluster sekunder.
Terraform
Untuk membuat instance dalam cluster database, gunakan resource Terraform.
resource "google_alloydb_instance" "default" {
cluster = google_alloydb_cluster.default.name
instance_id = "alloydb-instance"
instance_type = "PRIMARY"
machine_config {
cpu_count = 2
}
psc_instance_config {
allowed_consumer_projects = ["123456789"]
psc_interface_configs {
network_attachment_resource = google_compute_network_attachment.default.id
}
}
}
resource "google_compute_network" "default" {
name = "alloydb-network"
auto_create_subnetworks = false
}
resource "google_compute_subnetwork" "default" {
name = "alloydb-subnetwork"
region = "us-central1"
network = google_compute_network.default.id
ip_cidr_range = "10.0.0.0/16"
}
resource "google_compute_network_attachment" "default" {
name = "alloydb-network-attachment"
region = "us-central1"
connection_preference = "ACCEPT_AUTOMATIC"
subnetworks = [
google_compute_subnetwork.default.self_link
]
}
data "google_project" "project" {}
Untuk mempelajari cara menerapkan atau menghapus konfigurasi Terraform, lihat Perintah dasar Terraform.
Mengambil endpoint
Dengan mengambil alamat IP internal, yang merupakan endpoint Private Service Connect untuk instance, Anda dapat menggunakan endpoint ini untuk terhubung ke instance.
Untuk melihat informasi tentang instance, termasuk alamat IP yang merupakan endpoint Private Service Connect untuk instance, gunakan perintah gcloud alloydb instances describe:
gcloud alloydb instances describe INSTANCE_NAME \ --project=PROJECT_ID \ --format='json(settings.ipConfiguration.pscConfig.pscAutoConnections)'
Lakukan penggantian berikut:
- INSTANCE_NAME: nama instance AlloyDB. Jika instance ini mengaktifkan Private Service Connect, maka endpoint Private Service Connect di jaringan VPC dapat terhubung ke instance ini.
- PROJECT_ID: ID atau nomor project dari project Google Cloud yang berisi instance.
Dalam respons, catat nilai yang muncul di samping kolom pscConfig:pscAutoConnections:ipAddress. Nilai ini adalah alamat IP internal yang juga merupakan endpoint Private Service Connect untuk instance.
Memperbarui instance untuk membuat endpoint secara otomatis
Untuk memperbarui instance guna membuat endpoint secara otomatis, teruskan parameter --psc-auto-connections ke perintah gcloud alloydb instances update.
Mengonfigurasi Konektivitas keluar
Jika Anda ingin mengaktifkan konektivitas keluar untuk instance AlloyDB dengan Private Service Connect yang diaktifkan, Anda harus menyetel URI lampiran jaringan untuk instance tersebut. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi konektivitas keluar.
Membuat endpoint secara manual
Beberapa bagian berikutnya menjelaskan cara membuat endpoint Private Service Connect secara manual.
Buat instance AlloyDB
Anda dapat membuat instance dengan Private Service Connect yang diaktifkan untuk instance dan mengonfigurasi instance untuk membuat endpoint secara otomatis menggunakan konsol, gcloud CLI, atau terraform.
Konsol
Di konsol Google Cloud , buka halaman Clusters.
Klik Buat kluster.
Di Cluster ID, masukkan
my-cluster.Masukkan sandi. Catat sandi ini karena Anda akan menggunakannya dalam panduan memulai ini.
Pertahankan versi database default.
Pilih wilayah
us-central1 (Iowa).Pertahankan ID instance default,
my-cluster-primary.Di Zonal availability, pertahankan Single zone sebagai opsi yang dipilih. Meskipun kami tidak merekomendasikan instance zona tunggal untuk produksi, Anda dapat menggunakan zona tunggal dalam panduan memulai ini untuk meminimalkan biaya. Untuk mengetahui informasi selengkapnya, lihat Mengurangi biaya menggunakan instance dasar.
Pilih jenis mesin
2 vCPU, 16 GB.Mempertahankan konektivitas IP pribadi.
- Pilih Private Service Connect(PSC).
- Klik Tambahkan endpoint.
- Pilih project tempat Anda ingin membuat endpoint.
- Pilih jaringan.
- Klik Periksa kebijakan untuk melihat informasi kebijakan koneksi layanan.
Pertahankan setelan default di bagian Network security.
Jangan membuat perubahan di Tampilkan opsi lanjutan.
Klik Buat kluster. Mungkin perlu waktu beberapa menit agar AlloyDB membuat cluster dan menampilkannya di halaman Ringkasan cluster utama.
gcloud
Untuk membuat cluster, gunakan perintah gcloud alloydb clusters
create.
gcloud alloydb clusters create CLUSTER_ID \
--password=PASSWORD \
--region=REGION_ID \
--project=PROJECT_ID \
--enable-private-service-connectGanti kode berikut:
CLUSTER_ID: ID cluster yang Anda buat. Nama harus diawali dengan huruf kecil dan dapat berisi huruf kecil, angka, dan tanda hubung.PASSWORD: sandi yang akan digunakan untuk penggunapostgresdefault.REGION_ID: region tempat Anda ingin menempatkan cluster.PROJECT_ID: ID project tempat Anda ingin menempatkan cluster.
Perintah ini memulai operasi yang berjalan lama, dan menampilkan ID operasi.
Untuk membuat instance utama, gunakan perintah gcloud alloydb instances create.
gcloud alloydb instances create INSTANCE_ID \
--instance-type=PRIMARY \
--cpu-count=CPU_COUNT \
--availability-type=AVAILABILITY \
--region=REGION_ID \
--cluster=CLUSTER_ID \
--project=PROJECT_ID \
--allowed-psc-projects=ALLOWED_PROJECT_LIST \
--psc-network-attachment-uri=NETWORK_ATTACHMENT_URI \Ganti kode berikut:
INSTANCE_ID: ID instance yang Anda buat. Nama harus diawali dengan huruf kecil dan dapat berisi huruf kecil, angka, dan tanda hubung.CPU_COUNT: jumlah vCPU yang Anda inginkan untuk instance. Nilai yang valid mencakup berikut ini:2: 2 vCPU, RAM 16 GB4: 4 vCPU, RAM 32 GB8: 8 vCPU, RAM 64 GB16: 16 vCPU, RAM 128 GB32: 32 vCPU, RAM 256 GB64: 64 vCPU, RAM 512 GB96: 96 vCPU, RAM 768 GB128: 128 vCPU, RAM 864 GB
AVAILABILITY: menunjukkan apakah instance ini harus memiliki ketersediaan tinggi (HA), dengan node di beberapa zona. Nilai yang valid mencakup:REGIONAL: membuat instance HA dengan node aktif dan standby terpisah, serta failover otomatis di antara keduanya. Ini adalah nilai default, yang cocok untuk lingkungan produksi.ZONAL: membuat instance dasar, yang hanya berisi satu node, dan tidak ada failover otomatis.
REGION_ID: region tempat Anda ingin menempatkan instance.CLUSTER_ID: ID cluster yang Anda buat sebelumnya.ALLOWED_PROJECT_LIST: daftar project ID atau nomor project yang dipisahkan koma yang ingin Anda izinkan mengakses instance—misalnya,my-project-1,12345,my-project-n.NETWORK_ATTACHMENT_URI(Opsional): nama resource lengkap URI lampiran jaringan yang Anda buat untuk konektivitas keluar. Misalnya:projects/PROJECT_ID/regions/REGION_ID/networkAttachments/NETWORK_ATTACHMENT_IDCONSUMER_NETWORK: jalur ke jaringan VPC tempat endpoint Private Service Connect perlu dibuat. Contoh:projects/my-host-project/global/networks/default. Opsi ini berlaku saat Anda membuat endpoint secara otomatis. Pastikan kebijakan koneksi layanan dibuat. Anda dapat membuat kebijakan sebelum atau setelah membuat instance.CONSUMER_PROJECT: project tempat endpoint Private Service Connect dibuat. Jika Anda menggunakan jaringan VPC Bersama, maka ini bisa berupa project host atau project layanan. Setiap project yang Anda tentukan dalam parameter koneksi otomatis akan otomatis ditambahkan ke project yang diizinkan. Secara opsional, untuk project tempat Anda ingin membuat endpoint Private Service Connect secara manual, Anda dapat menambahkan project ini ke daftar project yang diizinkan.
Cluster sekunder yang dibuat untuk cluster utama yang mendukung Private Service Connect akan otomatis mewarisi konfigurasi Private Service Connect. Untuk mengetahui informasi selengkapnya, lihat Membuat cluster sekunder.
Terraform
Untuk membuat instance dalam cluster database, gunakan resource Terraform.
resource "google_alloydb_instance" "default" {
cluster = google_alloydb_cluster.default.name
instance_id = "alloydb-instance"
instance_type = "PRIMARY"
machine_config {
cpu_count = 2
}
psc_instance_config {
allowed_consumer_projects = ["123456789"]
psc_interface_configs {
network_attachment_resource = google_compute_network_attachment.default.id
}
}
}
resource "google_compute_network" "default" {
name = "alloydb-network"
auto_create_subnetworks = false
}
resource "google_compute_subnetwork" "default" {
name = "alloydb-subnetwork"
region = "us-central1"
network = google_compute_network.default.id
ip_cidr_range = "10.0.0.0/16"
}
resource "google_compute_network_attachment" "default" {
name = "alloydb-network-attachment"
region = "us-central1"
connection_preference = "ACCEPT_AUTOMATIC"
subnetworks = [
google_compute_subnetwork.default.self_link
]
}
data "google_project" "project" {}
Untuk mempelajari cara menerapkan atau menghapus konfigurasi Terraform, lihat Perintah dasar Terraform.
Mendapatkan lampiran layanan
Setelah membuat instance AlloyDB dengan Private Service Connect yang diaktifkan, dapatkan URL lampiran layanan dan gunakan untuk membuat endpoint Private Service Connect.
Gunakan perintah gcloud alloydb instances describe untuk melihat detail tentang instance.
gcloud alloydb instances describe INSTANCE_ID \
--cluster=CLUSTER_ID \
--region=REGION_IDGanti kode berikut:
INSTANCE_ID: ID instance.CLUSTER_ID: ID cluster.REGION_ID: region tempat cluster AlloyDB di-deploy.
Contoh respons untuk perintah tersebut adalah sebagai berikut:
"pscInstanceConfig": {
"serviceAttachmentLink:": "https://www.googleapis.com/compute/v1/projects/my-project/regions/my-region/serviceAttachments/my-service-attachment-id"
"allowedConsumerProjects": {
"45678",
"12345",
"67890",
},
"pscDnsName": "11111111-1111-1111-1111-111111111111.22222222-2222-2222-2222-222222222222.alloydb-psc.goog."
}
Parameter serviceAttachmentLink menyimpan nilai URL lampiran layanan.
Membuat endpoint Private Service Connect
Untuk membuat endpoint Private Service Connect, teruskan URL lampiran layanan bersama dengan nama endpoint unik. Untuk mengetahui informasi selengkapnya tentang cara membuat endpoint Private Service Connect, lihat Membuat endpoint.
Anda juga dapat mencadangkan alamat IP internal untuk endpoint Private Service Connect menggunakan perintah gcloud compute addresses create, lalu menggunakan alamat IP yang dicadangkan saat membuat endpoint.
Mengonfigurasi konektivitas keluar
Untuk mengaktifkan konektivitas keluar, tetapkan URI lampiran jaringan saat Anda membuat atau memperbarui instance AlloyDB. URI ini memungkinkan konektivitas yang aman antara project Anda dan instance AlloyDB selama operasi keluar seperti migrasi.
Buat lampiran jaringan
Anda dapat membuat lampiran jaringan yang dapat menerima koneksi secara otomatis(ACCEPT_AUTOMATIC) atau manual (ACCEPT_MANUAL). Untuk mengetahui informasi selengkapnya tentang cara membuat lampiran jaringan, lihat Membuat dan mengelola lampiran jaringan.
Jika Anda memilih untuk membuat lampiran jaringan yang menerima koneksi secara otomatis, Anda tidak perlu menetapkan daftar project yang diterima secara eksplisit. Untuk menerima koneksi secara manual, Anda harus menambahkan nomor project milik layanan dari project tempat instance AlloyDB Anda berada ke daftar project yang diterima.
Untuk menemukan nomor project milik layanan, jalankan perintah berikut:
gcloud alpha alloydb clusters describe CLUSTER_ID --region=REGION_IDBerikut adalah contoh respons:
pscConfig:
pscEnabled: true
serviceOwnedProjectNumber: 123456789012Setelah Anda mengidentifikasi nomor project milik layanan, tambahkan project ke daftar project yang diterima, lalu buat lampiran jaringan.
Pastikan region lampiran jaringan sama dengan region instance AlloyDB. Selain itu, subnet yang digunakan untuk membuat lampiran jaringan harus termasuk dalam rentang IP RFC 1918, yaitu 10.0.0.0/8, 172.16.0.0/12, dan 192.168.0.0/16.
Mengupdate instance untuk konektivitas keluar
Untuk mengaktifkan konektivitas keluar bagi instance AlloyDB yang ada dengan Private Service Connect yang diaktifkan, teruskan parameter --psc-network-attachment-uri ke perintah gcloud alloydb instances update.
Instance AlloyDB yang dibuat sebelum 1 Maret 2025 tidak dapat diupdate untuk mengaktifkan koneksi keluar. Sebagai pendekatan alternatif, sebaiknya gunakan salah satu opsi berikut:
- Buat replika Cross-Region Replica (CRR) regional dari instance utama Anda dengan konektivitas keluar yang diaktifkan. Kemudian, lakukan pengalihan untuk menetapkan instance replika sebagai instance utama yang baru.
- Lakukan pencadangan cluster AlloyDB dan instance utama yang ada. Kemudian, buat cluster dan instance utama AlloyDB baru dengan konektivitas keluar yang diaktifkan. Terakhir, lakukan pemulihan cadangan yang dibuat sebelumnya ke cluster baru.
Menonaktifkan konektivitas keluar
Untuk menonaktifkan konektivitas keluar untuk instance AlloyDB yang ada, teruskan parameter --clear-psc-network-attachment-uri ke perintah gcloud alloydb instances update.
Menghubungkan ke instance AlloyDB
Anda dapat terhubung ke instance AlloyDB dengan Private Service Connect yang diaktifkan menggunakan salah satu opsi berikut:
- Menghubungkan langsung menggunakan data DNS
- Menggunakan Proxy Auth AlloyDB dengan data DNS
- Menggunakan Konektor Bahasa AlloyDB dengan data DNS
- Menghubungkan langsung menggunakan alamat IP internal
Untuk metode yang menggunakan data DNS, Anda harus membuat data di zona DNS pribadi pada jaringan VPC yang sesuai. Setelah membuat data DNS, Anda dapat menggunakan data ini untuk terhubung ke instance yang mendukung Private Service Connect.
Mengonfigurasi zona DNS terkelola dan data DNS
Untuk mengonfigurasi zona DNS terkelola dan data DNS di jaringan Anda, ikuti langkah-langkah berikut:
Untuk melihat informasi ringkasan tentang instance AlloyDB, termasuk nama DNS instance tersebut, gunakan perintah
gcloud alloydb instances describe:gcloud alloydb instances describe INSTANCE_ID \ --cluster=CLUSTER_ID --region=REGION_IDGanti kode berikut:
INSTANCE_ID: ID instance.CLUSTER_ID: ID cluster.
Dalam respons, pastikan nama DNS muncul. Nama DNS memiliki pola
INSTANCE_UID.PROJECT_UID.REGION_NAME.alloydb-psc.goog..Untuk membuat zona DNS pribadi, gunakan perintah
gcloud dns managed-zones create. Zona ini dikaitkan dengan jaringan VPC yang digunakan untuk terhubung ke instance AlloyDB melalui endpoint Private Service Connect.gcloud dns managed-zones create ZONE_NAME \ --project=PROJECT_ID \ --description=DESCRIPTION \ --dns-name=DNS_NAME \ --networks=NETWORK_NAME \ --visibility=privateGanti kode berikut:
ZONE_NAME: nama zona DNS.PROJECT_ID: ID atau nomor project dari Google Cloud project yang berisi zona.DESCRIPTION: deskripsi zona (misalnya, zona DNS untuk instance AlloyDB).DNS_NAME: nama DNS untuk zona, sepertiINSTANCE_UID.PROJECT_UID.REGION_NAME.alloydb-psc.goog..NETWORK_NAME: Nama jaringan VPC. Jika menggunakan jaringan VPC Bersama, setel ke jalur yang memenuhi syarat sepenuhnya dari jaringan VPC—misalnya,projects/cymbal-project/global/networks/shared-vpc-network.
Setelah membuat endpoint Private Service Connect, untuk membuat data DNS di zona, gunakan perintah gcloud dns record-sets create:
gcloud dns record-sets create DNS_NAME \ --project=PROJECT_ID \ --type=RRSET_TYPE \ --rrdatas=RR_DATA \ --zone=ZONE_NAMEGanti kode berikut:
DNS_NAME: nama DNS yang telah Anda ambil sebelumnya dalam prosedur ini.RRSET_TYPE: jenis data resource dari kumpulan data DNS (misalnya, A).RR_DATA: alamat IP yang dialokasikan untuk endpoint Private Service Connect (misalnya, 198.51.100.5). Anda juga dapat memasukkan beberapa nilai seperti rrdata1 rrdata2 rrdata3 (misalnya, 10.1.2.3 10.2.3.4 10.3.4.5).
Menghubungkan langsung menggunakan data DNS
Setelah membuat endpoint Private Service Connect dan membuat data DNS, Anda dapat terhubung langsung menggunakan data DNS.
Untuk mengambil data DNS endpoint Private Service Connect, gunakan perintah
gcloud compute addresses describe:gcloud compute addresses describe DNS_RECORD \ --project=PROJECT_ID \ --region=REGION_NAMEGanti kode berikut:
DNS_RECORD: data DNS untuk endpoint.PROJECT_ID: ID atau nomor project dari Google Cloud project yang berisi endpoint.REGION_NAME: nama region untuk endpoint.
Untuk terhubung ke instance AlloyDB, gunakan data DNS.
psql -U USERNAME -h DNS_RECORDGanti kode berikut:
USERNAME: nama pengguna yang terhubung ke instance.DNS_RECORD: data DNS endpoint.
Menghubungkan menggunakan Proxy Auth AlloyDB
Proxy Auth AlloyDB adalah konektor yang memungkinkan Anda membuat koneksi terenkripsi yang diizinkan ke database AlloyDB. Proxy Auth AlloyDB berfungsi dengan menjalankan klien lokal di lingkungan lokal. Aplikasi Anda berkomunikasi dengan Proxy Auth AlloyDB menggunakan protokol database standar yang digunakan oleh database Anda.
Saat Anda menyetel flag --psc saat memulai klien Proxy Auth, Proxy Auth AlloyDB menggunakan data DNS yang Anda buat untuk terhubung ke instance yang mendukung Private Service Connect.
Pastikan Anda memulai klien Proxy Auth dengan meneruskan URI instance yang Anda ambil menggunakan perintah gcloud alloydb instances list, dan menetapkan tanda --psc.
Untuk mengetahui informasi selengkapnya tentang cara menghubungkan ke instance menggunakan Proxy Auth, lihat Menghubungkan menggunakan Proxy Auth.
Menghubungkan menggunakan AlloyDB Language Connectors
Konektor Bahasa AlloyDB adalah library yang menyediakan mTLS otomatis dengan TLS 1.3 dan otorisasi Identity and Access Management (IAM) saat terhubung ke instance AlloyDB.
Setelah Language Connector menentukan bahwa instance mendukung Private Service Connect, Language Connector akan menggunakan data DNS yang Anda buat untuk terhubung ke instance.
Java
Jika Anda menggunakan Private Service Connect untuk terhubung ke instance AlloyDB, sertakan hal berikut:
config.addDataSourceProperty("alloydbIpType", "PSC");
Untuk mengetahui informasi selengkapnya tentang cara menggunakan endpoint Private Service Connect di Java Language Connectors, lihat repositori GitHub.
Python (pg8000)
Jika Anda menggunakan Private Service Connect untuk terhubung ke instance AlloyDB, sertakan hal berikut:
def getconn() -> pg8000.dbapi.Connection:
conn: pg8000.dbapi.Connection = connector.connect(
inst_uri,
"pg8000",
user=user,
password=password,
db=db,
# use ip_type to specify PSC
ip_type=IPTypes.PSC,
)
return conn
Untuk mengetahui informasi selengkapnya tentang penggunaan endpoint Private Service Connect di Python Language Connectors, lihat repositori GitHub.
Python (asyncpg)
Jika Anda menggunakan Private Service Connect untuk terhubung ke instance AlloyDB, sertakan hal berikut:
async def getconn() -> asyncpg.Connection:
conn: asyncpg.Connection = await connector.connect(
inst_uri,
"asyncpg",
user=user,
password=password,
db=db,
# use ip_type to specify PSC
ip_type=IPTypes.PSC,
)
return conn
Untuk mengetahui informasi selengkapnya tentang penggunaan endpoint Private Service Connect di Python Language Connectors, lihat repositori GitHub.
Go (pgx)
Jika Anda menggunakan Private Service Connect untuk terhubung ke instance AlloyDB, sertakan hal berikut:
d.Dial(ctx, instURI, alloydbconn.WithPSC())
Untuk mengetahui informasi selengkapnya tentang cara menggunakan endpoint Private Service Connect di Go Language Connectors, lihat repositori GitHub.
Go (database/sql)
Jika Anda menggunakan Private Service Connect untuk terhubung ke instance AlloyDB, sertakan hal berikut:
cleanup, err := pgxv5.RegisterDriver(
"alloydb",
alloydbconn.WithDefaultDialOptions(alloydbconn.WithPSC())
)
Untuk mengetahui informasi selengkapnya tentang cara menggunakan endpoint Private Service Connect di Go Language Connectors, lihat repositori GitHub.
Menghubungkan langsung melalui alamat IP internal
Setelah membuat endpoint Private Service Connect, Anda dapat terhubung langsung ke instance AlloyDB menggunakan alamat IP yang Anda konfigurasi.
Untuk mengambil alamat IP endpoint Private Service Connect, gunakan perintah
gcloud compute addresses describe:gcloud compute addresses describe ADDRESS_NAME \ --project=PROJECT_ID \ --region=REGION_NAMEGanti kode berikut:
ADDRESS_NAME: nama alamat IP endpoint.PROJECT_ID: ID atau nomor project dari Google Cloud project yang berisi endpoint.REGION_NAME: nama region untuk endpoint.
Untuk terhubung ke instance AlloyDB, gunakan alamat IP internal.
psql -U USERNAME -h IP_ADDRESS"Ganti kode berikut:
USERNAME: nama pengguna yang terhubung ke instance.IP_ADDRESS: alamat IP endpoint.
Batasan
- Anda dapat menyiapkan hingga 20 endpoint Private Service Connect yang terhubung ke lampiran layanan instance AlloyDB dengan Private Service Connect yang diaktifkan.
- Anda tidak dapat menggunakan tanda
--networksaat membuat cluster yang mendukung Private Service Connect karena tanda tersebut terkait dengan akses layanan pribadi. - Anda tidak dapat mengaktifkan atau menonaktifkan Private Service Connect pada instance yang ada.
- Anda tidak dapat mengonfigurasi instance dengan Private Service Connect yang diaktifkan untuk menggunakan akses layanan pribadi.