このページでは、AlloyDB Auth Proxy の使用に関するベスト プラクティスについて説明します。
Auth Proxy クライアントを最新の状態に保つ
Google は、Auth Proxy の新しいバージョンを毎月リリースしています。最新バージョンは、AlloyDB Auth Proxy GitHub リリースページで確認できます。
自動化を使用して Auth Proxy のバージョンを更新し、変更を本番環境に昇格する前に、非本番環境で新しいバージョンをテストします。
Auth Proxy クライアントを永続サービスまたはサイドカーとして実行する
本番環境では、Auth Proxy クライアントを永続サービスまたはサイドカーとして実行する必要があります。
Auth Proxy クライアント プロセスが停止すると、そのプロキシを介した既存の接続がすべて切断され、アプリケーションは AlloyDB Auth Proxy を使用して AlloyDB インスタンスへの接続を確立できなくなります。このシナリオを回避するには、Auth Proxy クライアントを永続サービスとして実行し、Auth Proxy クライアントがなんらかの理由で終了した場合に自動的に再起動されるようにします。
クライアントを実行する場所に応じて、次のオプションを使用します。
- Linux VM で実行されている Auth Proxy クライアントの場合は、
systemd、upstart、supervisorなどのサービスを使用します。 - Windows ワークロードの場合は、Auth Proxy クライアントを Windows サービスとして実行します。詳細については、Windows サービス ガイドをご覧ください。
- Kubernetes の設定では、Auth Proxy クライアントをサイドカーとして実行します。
ワークロードと同じマシンで Auth Proxy クライアントを実行する
Auth Proxy クライアントは、ワークロードと同じマシンで実行されることを前提としています。Auth Proxy へのクライアント トラフィックは暗号化されません。Auth Proxy から AlloyDB へのトラフィックは mTLS を使用して暗号化されます。
暗号化されていないトラフィックがマシンから送信されないように、Auth Proxy のクライアントが同じマシン上にあることを確認します。AlloyDB Auth Proxy は、AlloyDB インスタンスにアクセスするクライアントと同じ場所に配置する必要があります。
ワークロードごとに個別のサービス アカウントを使用する
AlloyDB Auth Proxy は、環境の IAM プリンシパルを使用して、AlloyDB インスタンスへの安全なトンネルを作成します。最小権限の原則に従うには、ウェブアプリやバックエンド データ処理アプリなど、各ワークロードで個別のサービス アカウントを使用する必要があります。個別のサービス アカウントを使用すると、各ワークロードの権限を個別に管理(または取り消し)できます。
AlloyDB Auth Proxy をボトルネックとしてデプロイしない
AlloyDB Auth Proxy を共有 VM にデプロイし、それを使用して複数のワークロードから AlloyDB インスタンスにすべてのトラフィックを転送することをおすすめします。ただし、このアプローチは安全ではなく、単一障害点が発生します。
複数のクライアントが Auth Proxy と同じ IAM プリンシパルを使用するため、AlloyDB インスタンスに実際にアクセスしているワークロードを特定することが難しくなり、このアプローチは安全ではありません。
このアプローチでは、AlloyDB Auth Proxy がトラフィックの急増で過負荷になると、すべてのクライアント接続に悪影響が及ぶため、単一障害点が発生します。
代わりに、永続サービスのサイドカーとして、安全な接続が必要な各マシンに Auth Proxy クライアントをデプロイします。
本番環境デプロイの AlloyDB Auth Proxy ログ出力を減らす
AlloyDB Auth Proxy のログのサイズを制限する必要がある場合は、AlloyDB Auth Proxy の起動時に --verbose=false オプションを設定します。このオプションを使用すると、接続の問題を診断する際の AlloyDB Auth Proxy 出力の有効性が低下します。
AlloyDB Auth Proxy のヘルプ メッセージを確認する
AlloyDB Auth Proxy には多くの追加機能があり、詳細なヘルプ メッセージが含まれています。./alloydb-auth-proxy --help コマンドを実行して、その他の構成オプションを確認します。
GitHub で開発チームと交流する
バグを見つけたと思われる場合や、機能リクエストがある場合は、AlloyDB Auth Proxy の GitHub リポジトリで開発チームにお問い合わせください。