Questa pagina elenca alcune best practice per l'utilizzo del proxy di autenticazione AlloyDB.
Mantieni aggiornato il client Auth Proxy
Google rilascia nuove versioni di Auth Proxy ogni mese. Puoi trovare la versione corrente controllando la pagina delle release di GitHub di AlloyDB Auth Proxy.
Utilizza l'automazione per aggiornare la versione di Auth Proxy e testare la nuova versione in ambienti di produzione prima di promuovere la modifica in produzione.
Esegui il client Auth Proxy come servizio o sidecar persistente
In produzione, devi eseguire il client Auth Proxy come servizio o sidecar permanente.
Se il processo client del proxy di autenticazione viene interrotto, tutte le connessioni esistenti tramite il proxy vengono interrotte e l'applicazione non può più creare connessioni all'istanza AlloyDB con il proxy di autenticazione AlloyDB. Per evitare questo scenario, esegui il client Auth Proxy come servizio persistente, in modo che se esce per qualsiasi motivo, venga riavviato automaticamente.
A seconda di dove esegui il client, utilizza le seguenti opzioni:
- Per il client proxy di autenticazione in esecuzione su VM Linux, utilizza un servizio come
systemd,upstartosupervisor. - Per i carichi di lavoro Windows, esegui il client proxy di autenticazione come servizio Windows. Per ulteriori informazioni, consulta la Guida ai servizi Windows.
- Per le configurazioni Kubernetes, esegui il client Auth Proxy come sidecar.
Esegui il client Auth Proxy sulla stessa macchina del tuo carico di lavoro
Il client Auth Proxy presuppone di essere eseguito sulla stessa macchina del carico di lavoro. Qualsiasi traffico client verso il proxy di autenticazione non verrà criptato. Il traffico dal proxy di autenticazione ad AlloyDB viene criptato utilizzando mTLS.
Assicurati che qualsiasi client dell'Auth Proxy sia situato sulla stessa macchina in modo che nessun traffico non criptato esca dalla macchina. Il proxy di autenticazione AlloyDB deve essere in co-locazione con un client che vuole accedere all'istanza AlloyDB.
Utilizza un account di servizio distinto per ogni carico di lavoro
Il proxy di autenticazione AlloyDB utilizza il principale IAM dell'ambiente per creare un tunnel sicuro per un'istanza AlloyDB. Per seguire il principio del privilegio minimo, ogni carico di lavoro, ad esempio un'app web o un'app di elaborazione dati di backend, deve utilizzare un account di servizio distinto. L'utilizzo di account di servizio distinti garantisce che le autorizzazioni di ogni carico di lavoro possano essere gestite (o revocate) separatamente.
Non eseguire il deployment del proxy di autenticazione AlloyDB come collo di bottiglia
Potrebbe essere allettante eseguire il deployment del proxy di autenticazione AlloyDB su una VM condivisa e utilizzarlo per indirizzare tutto il traffico da una serie di carichi di lavoro all'istanza AlloyDB. Tuttavia, questo approccio non è sicuro e crea un singolo punto di errore.
Poiché più client finiscono per utilizzare lo stesso principale IAM utilizzato da Auth Proxy, diventa difficile identificare il carico di lavoro che accede effettivamente alla tua istanza AlloyDB, rendendo questo approccio non sicuro.
Questo approccio crea un singolo punto di errore perché, se il proxy di autenticazione AlloyDB viene sovraccaricato da un picco di traffico, tutte le connessioni dei client ne risentiranno negativamente.
Esegui invece il deployment di un client Auth Proxy su ogni macchina che richiede una connessione sicura come sidecar del servizio persistente.
Riduci l'output dei log del proxy di autenticazione AlloyDB per i deployment di produzione
Se devi limitare le dimensioni dei log di AlloyDB Auth Proxy, imposta l'opzione
--verbose=false quando avvii AlloyDB Auth Proxy. Tieni presente che l'utilizzo di questa
opzione riduce l'efficacia dell'output del proxy di autenticazione AlloyDB nella diagnosi
di problemi di connessione.
Leggi il messaggio di aiuto del proxy di autenticazione AlloyDB
AlloyDB Auth Proxy include molte funzionalità aggiuntive e un messaggio di aiuto dettagliato. Esegui il comando ./alloydb-auth-proxy --help per scoprire altre opzioni di configurazione.
Interagire con il team di sviluppo su GitHub
Se ritieni di aver trovato un bug o hai una richiesta di funzionalità, puoi contattare il team di sviluppo nel repository GitHub di AlloyDB Auth Proxy.