Auf dieser Seite finden Sie einige Best Practices für die Verwendung des AlloyDB Auth-Proxy.
Auth-Proxy-Client auf dem neuesten Stand halten
Google veröffentlicht monatlich neue Versionen des Auth-Proxys. Die aktuelle Version finden Sie auf der GitHub-Seite mit den Releases des AlloyDB Auth-Proxys.
Verwenden Sie Automatisierung, um die Auth-Proxy-Version zu aktualisieren und die neue Version in Nicht-Produktionsumgebungen zu testen, bevor Sie die Änderung in die Produktion übernehmen.
Auth-Proxy-Client als persistenten Dienst oder Sidecar ausführen
In der Produktion sollten Sie den Auth-Proxy-Client als persistenten Dienst oder Sidecar ausführen.
Wenn der Auth-Proxy-Clientprozess beendet wird, werden alle darüber hergestellten Verbindungen ebenfalls beendet. Außerdem kann die Anwendung dann keine weiteren Verbindungen mit der AlloyDB-Instanz über den AlloyDB Auth-Proxy herstellen. Achten Sie darauf, dass der Auth-Proxy-Client als persistenter Dienst ausgeführt wird, um dieses Szenario zu vermeiden. Wenn der Auth-Proxy-Client dann aus irgendeinem Grund beendet wird, erfolgt automatisch ein Neustart.
Je nachdem, wo Sie den Client ausführen, haben Sie folgende Möglichkeiten:
- Verwenden Sie für Auth-Proxy-Clients, die auf Linux-VMs ausgeführt werden, einen Dienst wie
systemd,upstartodersupervisor. - Führen Sie für Windows-Arbeitslasten den Auth-Proxy-Client als Windows-Dienst aus. Weitere Informationen finden Sie im Leitfaden für Windows-Dienste.
- Führen Sie bei Kubernetes-Umgebungen den Auth-Proxy-Client als Sidecar aus.
Auth-Proxy-Client auf demselben Computer wie die Arbeitslast ausführen
Der Auth-Proxy-Client geht davon aus, dass er auf demselben Computer wie die Arbeitslast ausgeführt wird. Der gesamte Client-Traffic zum Auth-Proxy wird unverschlüsselt. Der Traffic vom Auth-Proxy an AlloyDB wird mit mTLS verschlüsselt.
Achten Sie darauf, dass sich alle Clients des Auth-Proxys auf demselben Computer befinden, damit kein unverschlüsselter Traffic den Computer verlässt. Der AlloyDB Auth-Proxy sollte sich am selben Ort wie ein Client befinden, der auf Ihre AlloyDB-Instanz zugreifen möchte.
Für jede Arbeitslast ein eigenes Dienstkonto verwenden
Der AlloyDB Auth-Proxy verwendet das IAM-Principal der Umgebung, um einen sicheren Tunnel zu einer AlloyDB-Instanz zu erstellen. Gemäß dem Prinzip der geringsten Berechtigung muss für jede Arbeitslast, z. B. eine Webanwendung oder eine Back-End-App zur Datenverarbeitung, ein eigenes Dienstkonto verwendet werden. Durch die Verwendung eines separaten Dienstkontos können die Berechtigungen für jede Arbeitslast separat verwaltet (oder widerrufen) werden.
AlloyDB Auth-Proxy nicht als Engpass bereitstellen
Es kann verlockend sein, den AlloyDB Auth-Proxy auf einer freigegebenen VM bereitzustellen und ihn zu verwenden, um den gesamten Traffic von einer Reihe von Arbeitslasten an Ihre AlloyDB-Instanz weiterzuleiten. Dieser Ansatz ist jedoch unsicher und führt zu einem Single Point of Failure.
Da mehrere Clients dasselbe IAM-Hauptkonto wie der Auth-Proxy verwenden, ist es schwierig, die Arbeitslast zu identifizieren, die tatsächlich auf Ihre AlloyDB-Instanz zugreift. Dies macht diesen Ansatz unsicher.
Dieser Ansatz führt zu einem Single Point of Failure, da alle Clientverbindungen beeinträchtigt werden, wenn der AlloyDB Auth-Proxy durch einen Traffic-Anstieg überlastet wird.
Stattdessen sollten Sie auf jedem Computer, der eine sichere Verbindung benötigt, einen Auth-Proxy-Client als Sidecar eines persistenten Dienstes bereitstellen.
Ausgabe des AlloyDB Auth-Proxy-Logs für Produktionsbereitstellungen reduzieren
Wenn Sie die Größe der AlloyDB Auth-Proxy-Protokolle begrenzen möchten, legen Sie die Option --verbose=false beim Starten des AlloyDB Auth-Proxys fest. Hinweis: Wenn Sie diese Option verwenden, wird die Effizienz der AlloyDB Auth-Proxy-Ausgabe bei der Diagnose von Verbindungsproblemen herabgesetzt.
Hilfemeldung zum AlloyDB Auth-Proxy lesen
Der AlloyDB Auth-Proxy bietet viele zusätzliche Funktionen und eine ausführliche Hilfe mit Details. Führen Sie den Befehl ./alloydb-auth-proxy --help aus, um weitere Konfigurationsoptionen aufzurufen.
Mit dem Entwicklungsteam auf GitHub interagieren
Wenn Sie der Meinung sind, einen Fehler gefunden zu haben oder eine Funktion anfordern möchten, können Sie sich über das GitHub-Repository des AlloyDB Auth Proxy an das Entwicklungsteam wenden.