专用 IP 概览

本页面简要介绍了您可以通过哪些方式使用专用 IP 地址连接到 AlloyDB for PostgreSQL 实例。

使用专用 IP 地址可确保您的数据流量保留在安全的网络中,并最大限度地降低被拦截的风险。资源的内部 IP 地址是其网络内部的地址,无法从互联网访问,可有效限制访问 AlloyDB 实例的范围和潜在攻击面。

专用 IP 连接方法

如需使用专用 IP 访问 AlloyDB 实例,您可以选择专用服务访问通道或 Private Service Connect。由于每种连接方法都有各自的优势和权衡,因此请根据本文档中的信息,选择最符合您具体要求的方法。

专用服务访问通道

专用服务访问通道是作为您的虚拟私有云 (VPC) 网络与 AlloyDB for PostgreSQL 实例所在的底层 Google Cloud VPC 网络之间的 VPC 对等互连连接实现的。通过专用连接,您的 VPC 网络中的虚拟机实例与您访问的服务可以使用内部 IP 地址进行专有的通信。虚拟机实例不需要访问互联网或具备外部 IP 地址,即可访问通过专用服务访问通道提供的服务。

如需使用 Terraform 自动设置具有专用服务访问通道的 AlloyDB 集群,请参阅使用 Terraform 部署 AlloyDB

如需详细了解如何使用专用服务访问通道进行连接,请参阅专用服务访问通道概览

Private Service Connect

借助 Private Service Connect,您可以在您的 VPC 网络与 Google Cloud 服务(例如 AlloyDB for PostgreSQL)之间创建专用的安全连接。您可以从属于不同群组、团队、项目或组织的多个 VPC 网络连接到 AlloyDB 实例。创建 AlloyDB 集群时,您可以使该集群可以支持 Private Service Connect。在集群中创建 AlloyDB 实例时,您可以指定 VPC 网络中的哪些项目可以访问该实例。

如需详细了解如何使用 Private Service Connect,请参阅 Private Service Connect 概览和视频什么是 Private Service Connect?

选择要使用的方法

在决定是使用专用服务访问通道还是 Private Service Connect 作为连接方法之前,请考虑以下比较:

专用服务访问通道 Private Service Connect
需要从使用方 VPC 预留 CIDR 地址范围(至少为 /24)。会预留一个 IP 地址范围(无论它们是否在使用中),从而锁定该范围内的所有 IP 地址。 需要使用单个 IP 地址在每个 VPC 网络的端点上创建转发规则。
限制为 RFC 1918 IP 范围 RFC 1918 和非 RFC 1918 范围都可用于端点。
连接到同一 VPC 网络中的项目。 跨多个 VPC 或项目进行连接。
选择用于小规模单 VPC 场景。 选择用于大规模多 VPC 设置。
由于您使用的是项目中包含的现有 VPC 对等互连,因此成本最低。 与专用服务访问通道相比,费用更高,因为需要支付初始设置费用、每小时使用每个端点的费用以及每 GiB 数据传输费用。
由于是直接连接,因此与 Private Service Connect 相比安全性更低。 由于使用方 VPC 和提供方 VPC 相互隔离,因此安全性更高。
连接是双向的,允许进行入站和出站连接。 连接是单向的,仅允许进行入站连接。

后续步骤