En esta página, se enumeran algunas prácticas recomendadas para usar el proxy de autenticación de AlloyDB.
Mantén actualizado el cliente del proxy de autenticación
Google lanza versiones nuevas del proxy de autenticación todos los meses. Puedes encontrar la versión actual en la página de versiones de GitHub del proxy de autenticación de AlloyDB.
Usa la automatización para actualizar la versión del proxy de autenticación y probar la versión nueva en entornos que no sean de producción antes de promocionar el cambio a producción.
Ejecuta el cliente de proxy de autenticación como un servicio persistente o un archivo adicional
En producción, debes ejecutar el cliente de Auth Proxy como un servicio o un sidecar persistente.
Si se detiene el proceso del cliente del proxy de autenticación, se descartan todas las conexiones existentes a través de este y tu aplicación no puede crear más conexiones a la instancia de AlloyDB con el proxy de autenticación de AlloyDB. Para evitar esta situación, ejecuta el cliente de proxy de autenticación como un servicio persistente, de modo que si el cliente de proxy de autenticación se cierra por algún motivo, se reinicie automáticamente.
Según el lugar en el que ejecutes el cliente, usa las siguientes opciones:
- Para el cliente de proxy de autenticación que se ejecuta en VMs de Linux, usa un servicio como
systemd,upstartosupervisor. - Para las cargas de trabajo de Windows, ejecuta el cliente de Auth Proxy como un servicio de Windows. Consulta la Guía de servicios de Windows para obtener más información.
- En el caso de las configuraciones de Kubernetes, ejecuta el cliente de proxy de Auth como un sidecar.
Ejecuta el cliente del proxy de autenticación en la misma máquina que tu carga de trabajo
El cliente de proxy de autenticación supone que se ejecuta en la misma máquina que la carga de trabajo. No se encriptará el tráfico de cliente al proxy de autenticación. El tráfico del proxy de autenticación a AlloyDB se encripta con mTLS.
Asegúrate de que cualquier cliente del proxy de autenticación se encuentre en la misma máquina para que no salga tráfico sin encriptar de la máquina. El proxy de autenticación de AlloyDB debe estar ubicado junto con un cliente que desee acceder a tu instancia de AlloyDB.
Usa una cuenta de servicio distinta para cada carga de trabajo
El proxy de autenticación de AlloyDB usa el principal de IAM del entorno para crear un túnel seguro a una instancia de AlloyDB. Para seguir el principio de privilegio mínimo, cada carga de trabajo, como una app web o una app de procesamiento de datos de backend, debe usar una cuenta de servicio distinta. El uso de cuentas de servicio distintas garantiza que los permisos de cada carga de trabajo se puedan administrar (o revocar) por separado.
No implementes el proxy de autenticación de AlloyDB como un cuello de botella
Puede ser tentador implementar el proxy de autenticación de AlloyDB en una VM compartida y usarlo para enrutar todo el tráfico de varias cargas de trabajo a tu instancia de AlloyDB. Sin embargo, este enfoque no es seguro y crea un punto único de fallo.
Como varios clientes terminan usando el mismo principal de IAM que usa el proxy de autenticación, identificar la carga de trabajo que realmente accede a tu instancia de AlloyDB se vuelve difícil, lo que hace que este enfoque sea inseguro.
Este enfoque crea un punto único de fallo porque, si el proxy de autenticación de AlloyDB está sometido a una sobrecarga con una ráfaga de tráfico, todas las conexiones de los clientes se verán afectadas de forma negativa.
En su lugar, implementa un cliente de proxy de autenticación en cada máquina que necesite una conexión segura, ya sea como un sidecar del servicio persistente.
Reduce el resultado del registro del proxy de autenticación de AlloyDB para las implementaciones de producción
Si necesitas limitar el tamaño de los registros del proxy de autenticación de AlloyDB, configura la opción --verbose=false cuando inicies el proxy de autenticación de AlloyDB. Ten en cuenta que el uso de esta opción reduce la efectividad del resultado del proxy de autenticación de AlloyDB para diagnosticar problemas de conexión.
Lee el mensaje de ayuda del proxy de autenticación de AlloyDB
El proxy de autenticación de AlloyDB incluye muchas funciones adicionales y un mensaje de ayuda detallado. Ejecuta el comando ./alloydb-auth-proxy --help para descubrir opciones de configuración adicionales.
Interacción con el equipo de desarrollo en GitHub
Si crees que encontraste un error o tienes una solicitud de función, puedes comunicarte con el equipo de desarrollo en el repositorio de GitHub de AlloyDB Auth Proxy.