Auf dieser Seite finden Sie einen Überblick über die Möglichkeiten, wie Sie über private IP-Adressen eine Verbindung zu Ihrer AlloyDB for PostgreSQL-Instanz herstellen können.
Wenn Sie private IP-Adressen verwenden, bleibt Ihr Datenverkehr in einem gesicherten Netzwerk und das Risiko des Abfangens wird minimiert. Die interne IP-Adresse einer Ressource, die intern für ihr Netzwerk ist und nicht über das Internet zugänglich ist, schränkt sowohl den Umfang des Zugriffs auf eine AlloyDB-Instanz als auch die potenzielle Angriffsfläche ein.
Methoden für private IP-Verbindungen
Wenn Sie über eine private IP-Adresse auf Ihre AlloyDB-Instanzen zugreifen möchten, können Sie entweder den Zugriff auf private Dienste oder Private Service Connect verwenden. Da jede Verbindungsmethode unterschiedliche Vorteile und Nachteile bietet, sollten Sie anhand der Informationen in diesem Dokument den besten Ansatz für Ihre spezifischen Anforderungen auswählen.
Zugriff auf private Dienste
Der Zugriff auf private Dienste wird als VPC-Peering-Verbindung (Virtual Private Cloud) zwischen Ihrem VPC-Netzwerk und dem zugrunde liegenden Google Cloud VPC-Netzwerk implementiert, in dem sich Ihre AlloyDB for PostgreSQL-Instanz befindet. Über die private Verbindung können VM-Instanzen in Ihrem VPC-Netzwerk und die Dienste, auf die Sie zugreifen, ausschließlich über interne IP-Adressen kommunizieren. VM-Instanzen erfordern keinen Internetzugang oder externe IP-Adressen, um Dienste zu erreichen, die über den Zugriff auf private Dienste verfügbar sind.
Informationen zum Automatisieren der Einrichtung von AlloyDB-Clustern mit Zugriff auf private Dienste mit Terraform finden Sie unter AlloyDB mit Terraform bereitstellen.
Weitere Informationen zur Verwendung des privaten Zugriffs auf Dienste für die Konnektivität finden Sie unter Übersicht über den privaten Zugriff auf Dienste.
Private Service Connect
Mit Private Service Connect können Sie private und sichere Verbindungen zwischen Ihren VPC-Netzwerken und dem Google Cloud -Dienst, z. B. AlloyDB für PostgreSQL, erstellen. Sie können eine Verbindung zu Ihrer AlloyDB-Instanz über mehrere VPC-Netzwerke herstellen, die zu verschiedenen Gruppen, Teams, Projekten oder Organisationen gehören. Wenn Sie einen AlloyDB-Cluster erstellen, können Sie ihn für die Unterstützung von Private Service Connect aktivieren. Wenn Sie eine AlloyDB-Instanz im Cluster erstellen, geben Sie an, welche Projekte aus Ihrem VPC-Netzwerk darauf zugreifen können.
Weitere Informationen zur Verwendung von Private Service Connect finden Sie unter Private Service Connect – Übersicht und im Video What is Private Service Connect?.
Methode auswählen
Bevor Sie entscheiden, ob Sie den Zugriff auf private Dienste oder Private Service Connect als Verbindungsmethode verwenden möchten, sollten Sie den folgenden Vergleich berücksichtigen:
| Zugriff auf private Dienste | Private Service Connect |
|---|---|
| Erfordert die Reservierung eines CIDR-Bereichs (mindestens /24) aus der Consumer-VPC. Ein Bereich von IPs wird reserviert, unabhängig davon, ob sie verwendet werden. Dies führt dazu, dass alle IP-Adressen im Bereich gesperrt werden. | Erfordert eine einzelne IP-Adresse, um eine Weiterleitungsregel am Endpunkt pro VPC-Netzwerk zu erstellen. |
| Beschränkt auf RFC 1918-IP-Bereiche | Für Endpunkte können sowohl RFC 1918- als auch Nicht-RFC 1918-Bereiche verwendet werden. |
| Verbindung zu Projekten innerhalb desselben VPC-Netzwerk herstellen. | Verbindungen über mehrere VPCs oder Projekte hinweg herstellen. |
| Entscheiden Sie sich für kleine Szenarien mit einer einzelnen VPC. | Entscheiden Sie sich für umfangreiche Multi-VPC-Einrichtungen. |
| Minimale Kosten, da Sie vorhandenes VPC-Peering verwenden, das in Ihrem Projekt enthalten ist. | Teurer als der Zugriff auf private Dienste, da Kosten für die Ersteinrichtung, die Nutzung jedes Endpunkts pro Stunde und die Datenübertragung pro GiB anfallen. |
| Weniger sicher als Private Service Connect, da eine direkte Verbindung besteht. | Höhere Sicherheit durch die Isolation von Nutzer- und Ersteller-VPC. |
| Verbindungen sind bidirektional und ermöglichen sowohl eingehenden als auch ausgehenden Traffic. | Standardmäßig sind Verbindungen unidirektional und lassen nur eingehende Verbindungen zu. Für ausgehende Verbindungen ist eine zusätzliche Konfiguration erforderlich. |
Nächste Schritte
- Übersicht über den Zugriff auf private Dienste
- Private Service Connect – Übersicht
- In diesem Cloud Skills Boost-Video erfahren Sie, wie Sie mit dem Zugriff auf private Dienste Zugriff auf Diensterstellerdienste gewähren.