Cette page présente quelques bonnes pratiques pour utiliser le proxy d'authentification AlloyDB.
Maintenir le client du proxy d'authentification à jour
Google publie chaque mois de nouvelles versions du proxy d'authentification. Pour connaître la version actuelle, consultez la page GitHub sur les versions du proxy d'authentification AlloyDB.
Utilisez l'automatisation pour mettre à jour la version du proxy d'authentification et tester la nouvelle version dans des environnements hors production avant de promouvoir le changement en production.
Exécuter le client du proxy d'authentification en tant que service persistant ou side-car
En production, vous devez exécuter le client du proxy d'authentification en tant que service persistant ou side-car.
Si le processus client du proxy d'authentification est arrêté,toutes les connexions associées sont interrompues, et votre application ne peut plus créer de connexions avec l'instance AlloyDB via le proxy d'authentification AlloyDB. Pour éviter ce scénario, exécutez le client du proxy d'authentification en tant que service persistant. Ainsi, s'il s'arrête pour une raison quelconque, il redémarre automatiquement.
En fonction de l'emplacement où vous exécutez le client, utilisez les options suivantes:
- Pour le client du proxy d'authentification exécuté sur des VM Linux, utilisez un service tel que
systemd,upstartousupervisor. - Pour les charges de travail Windows, exécutez le client du proxy d'authentification en tant que service Windows. Pour en savoir plus, consultez le guide des services Windows.
- Pour les configurations Kubernetes, exécutez le client du proxy d'authentification en tant que side-car.
Exécuter le client du proxy d'authentification sur la même machine que votre charge de travail
Le client du proxy d'authentification suppose qu'il s'exécute sur la même machine que la charge de travail. Tout trafic client vers le proxy d'authentification sera non chiffré. Le trafic du proxy d'authentification vers AlloyDB est chiffré à l'aide de mTLS.
Assurez-vous que tous les clients du proxy d'authentification se trouvent sur la même machine afin qu'aucun trafic non chiffré ne quitte la machine. Le proxy d'authentification AlloyDB doit être colocalisé avec un client qui souhaite accéder à votre instance AlloyDB.
Utiliser un compte de service distinct pour chaque charge de travail
Le proxy d'authentification AlloyDB utilise le principal IAM de l'environnement pour créer un tunnel sécurisé vers une instance AlloyDB. Pour respecter le principe du moindre privilège, chaque charge de travail, telle qu'une application Web ou une application de traitement des données backend, doit utiliser un compte de service distinct. L'utilisation d'un compte de service distinct garantit que les autorisations de chaque charge de travail peuvent être gérées (ou révoquées) séparément.
Ne pas déployer le proxy d'authentification AlloyDB comme goulot d'étranglement
Il peut être tentant de déployer le proxy d'authentification AlloyDB sur une VM partagée et de l'utiliser pour acheminer tout le trafic d'un certain nombre de charges de travail vers votre instance AlloyDB. Cependant, cette approche n'est pas sécurisée et crée un point de défaillance unique.
Comme plusieurs clients finissent par utiliser le même principal IAM que le proxy d'authentification, il devient difficile d'identifier la charge de travail qui accède réellement à votre instance AlloyDB, ce qui rend cette approche non sécurisée.
Cette approche crée un point de défaillance unique, car si le proxy d'authentification AlloyDB est surchargé par une rafale de trafic, toutes les connexions client seront affectées négativement.
Déployez plutôt un client Auth Proxy sur chaque machine qui nécessite une connexion sécurisée, soit en tant que sidecar de service persistant.
Réduire la sortie du journal du proxy d'authentification AlloyDB pour les déploiements en production
Si vous devez limiter la taille des journaux du proxy d'authentification AlloyDB, définissez l'option --verbose=false lorsque vous démarrez le proxy d'authentification AlloyDB. Notez que l'utilisation de cette option réduit l'efficacité de la sortie du proxy d'authentification AlloyDB pour le diagnostic de problèmes de connexion.
Lire le message d'aide du proxy d'authentification AlloyDB
Le proxy d'authentification AlloyDB inclut de nombreuses fonctionnalités supplémentaires et un message d'aide détaillé. Exécutez la commande ./alloydb-auth-proxy --help pour découvrir d'autres options de configuration.
Interagir avec l'équipe de développement sur GitHub
Si vous pensez avoir trouvé un bug ou si vous souhaitez demander l'ajout d'une fonctionnalité, vous pouvez contacter l'équipe de développement sur le dépôt GitHub d'AlloyDB Auth Proxy.