En esta página se enumeran algunas prácticas recomendadas para usar el proxy de autenticación de AlloyDB.
Mantener actualizado el cliente del proxy de autenticación
Google publica nuevas versiones del proxy de autenticación cada mes. Puedes consultar la versión actual en la página de lanzamientos de GitHub de AlloyDB Auth Proxy.
Usa la automatización para actualizar la versión de Auth Proxy y probar la nueva versión en entornos que no sean de producción antes de aplicar el cambio en el entorno de producción.
Ejecutar el cliente de Auth Proxy como un servicio persistente o un contenedor sidecar
En producción, debes ejecutar el cliente de Auth Proxy como un servicio persistente o un sidecar.
Si se detiene el proceso del cliente de Auth Proxy, se cerrarán todas las conexiones existentes a través de él y tu aplicación no podrá crear más conexiones a la instancia de AlloyDB con AlloyDB Auth Proxy. Para evitar esta situación, ejecuta el cliente de Auth Proxy como un servicio persistente. De esta forma, si el cliente de Auth Proxy se cierra por cualquier motivo, se reiniciará automáticamente.
En función de dónde ejecutes el cliente, utiliza las siguientes opciones:
- En el caso del cliente de proxy de autenticación que se ejecuta en VMs Linux, usa un servicio como
systemd,upstartosupervisor. - En el caso de las cargas de trabajo de Windows, ejecuta el cliente Auth Proxy como un servicio de Windows. Consulta la guía de servicios de Windows para obtener más información.
- En las configuraciones de Kubernetes, ejecuta el cliente Auth Proxy como un sidecar.
Ejecuta el cliente de proxy de autenticación en el mismo equipo que tu carga de trabajo
El cliente de proxy de autenticación da por hecho que se ejecuta en el mismo equipo que la carga de trabajo. El tráfico de clientes al proxy de autenticación no estará cifrado. El tráfico del proxy de autenticación a AlloyDB se cifra mediante mTLS.
Asegúrate de que todos los clientes del proxy de autenticación se encuentren en el mismo equipo para que no salga tráfico sin cifrar del equipo. El proxy de autenticación de AlloyDB debe estar ubicado en el mismo lugar que un cliente que quiera acceder a tu instancia de AlloyDB.
Usar una cuenta de servicio distinta para cada carga de trabajo
El proxy de autenticación de AlloyDB usa la entidad principal de IAM del entorno para crear un túnel seguro a una instancia de AlloyDB. Para seguir el principio de mínimos accesos, cada carga de trabajo, como una aplicación web o una aplicación de procesamiento de datos backend, debe usar una cuenta de servicio distinta. El uso de cuentas de servicio distintas asegura que los permisos de cada carga de trabajo se puedan gestionar (o revocar) por separado.
No despliegues el proxy de autenticación de AlloyDB como cuello de botella
Puede que te resulte tentador desplegar el proxy de autenticación de AlloyDB en una VM compartida y usarlo para enrutar todo el tráfico de varias cargas de trabajo a tu instancia de AlloyDB. Sin embargo, este enfoque no es seguro y crea un único punto de fallo.
Como varios clientes acaban usando el mismo principal de IAM que usa Auth Proxy, resulta difícil identificar la carga de trabajo que accede a tu instancia de AlloyDB, lo que hace que este enfoque sea poco seguro.
Este enfoque crea un único punto de fallo, ya que, si el proxy de autenticación de AlloyDB se sobrecarga con un pico de tráfico, todas las conexiones de cliente se verán afectadas negativamente.
En su lugar, implementa un cliente de Auth Proxy en cada máquina que necesite una conexión segura, ya sea como un contenedor auxiliar de un servicio persistente.
Reducir la salida de registro de AlloyDB Auth Proxy en las implementaciones de producción
Si necesitas limitar el tamaño de los registros de AlloyDB Auth Proxy, define la opción --verbose=false al iniciar AlloyDB Auth Proxy. Ten en cuenta que, si usas esta opción, se reduce la eficacia de la salida del proxy de autenticación de AlloyDB a la hora de diagnosticar problemas de conexión.
Leer el mensaje de ayuda del proxy de autenticación de AlloyDB
El proxy de autenticación de AlloyDB incluye muchas funciones adicionales y un mensaje de ayuda detallado. Ejecuta el comando ./alloydb-auth-proxy --help para
descubrir otras opciones de configuración.
Interactuar con el equipo de desarrollo en GitHub
Si crees que has encontrado un error o tienes una solicitud de función, puedes ponerte en contacto con el equipo de desarrollo en el repositorio de GitHub de AlloyDB Auth Proxy.