Esta página lista algumas práticas recomendadas para usar o Proxy de Autenticação do AlloyDB.
Manter o cliente do proxy de autenticação atualizado
O Google lança novas versões do Auth Proxy mensalmente. Confira a versão atual na página de versões do proxy de autenticação do AlloyDB no GitHub.
Use a automação para atualizar a versão do proxy de autenticação e testar a nova versão em ambientes que não são de produção antes de promover a mudança para a produção.
Executar o cliente do proxy de autenticação como um serviço persistente ou sidecar
Na produção, execute o cliente do proxy de autenticação como um serviço persistente ou sidecar.
Se o processo do cliente do proxy de autenticação for interrompido, todas as conexões existentes por meio dele serão descartadas e o aplicativo não poderá criar mais nenhuma conexão com a instância do AlloyDB usando o proxy de autenticação do AlloyDB. Para evitar esse cenário, execute o cliente do proxy de autenticação como um serviço persistente. Assim, se o cliente do proxy de autenticação sair por qualquer motivo, ele será reiniciado automaticamente.
Com base em onde você está executando o cliente, use as seguintes opções:
- Para o cliente do proxy de autenticação em execução em VMs do Linux, use um serviço como
systemd,upstartousupervisor. - Para cargas de trabalho do Windows, execute o cliente do proxy de autenticação como um serviço do Windows. Consulte o Guia de serviços do Windows para mais informações.
- Para configurações do Kubernetes, execute o cliente do proxy de autenticação como um sidecar.
Execute o cliente do proxy de autenticação na mesma máquina que a carga de trabalho
O cliente do proxy de autenticação pressupõe que ele é executado na mesma máquina que a carga de trabalho. O tráfego de cliente para o proxy de autenticação não é criptografado. O tráfego do proxy de autenticação para o AlloyDB é criptografado usando mTLS.
Verifique se qualquer cliente do proxy de autenticação está localizado na mesma máquina para que nenhum tráfego não criptografado saia da máquina. O proxy de autenticação do AlloyDB precisa estar localizado com um cliente que queira acessar sua instância do AlloyDB.
Usar uma conta de serviço distinta para cada carga de trabalho
O proxy de autenticação do AlloyDB usa o principal do IAM do ambiente para criar um túnel seguro para uma instância do AlloyDB. Para seguir o princípio de privilégio mínimo, cada carga de trabalho, como um app da Web ou um app de processamento de dados de back-end, precisa usar uma conta de serviço distinta. O uso de conta de serviço distintas garante que as permissões de cada carga de trabalho possam ser gerenciadas (ou revogadas) separadamente.
Não implantar o proxy de autenticação do AlloyDB como um gargalo
Pode ser tentador implantar o proxy do AlloyDB Auth em uma VM compartilhada e usá-lo para encaminhar todo o tráfego de várias cargas de trabalho para a instância do AlloyDB. No entanto, essa abordagem não é segura e cria um ponto único de falha.
Como vários clientes acabam usando o mesmo principal do IAM que o Proxy de Autenticação usa, identificar a carga de trabalho que está realmente acessando a instância do AlloyDB fica difícil, tornando essa abordagem insegura.
Essa abordagem cria um ponto único de falha porque, se o proxy de autenticação do AlloyDB for sobrecarregado com uma explosão de tráfego, todas as conexões de cliente serão afetadas negativamente.
Em vez disso, implante um cliente de proxy de autenticação em cada máquina que precise de uma conexão segura como um sidecar de serviço persistente.
Reduzir a saída de registro do proxy de autenticação do AlloyDB para implantações de produção
Se você precisar limitar o tamanho dos registros do proxy de autenticação do AlloyDB, defina a
opção --verbose=false ao iniciar o proxy de autenticação do AlloyDB. O uso dessa
opção reduz a eficácia da saída do proxy de autenticação do AlloyDB no diagnóstico de
problemas de conexão.
Leia a mensagem de ajuda do proxy de autenticação do AlloyDB
O proxy de autenticação do AlloyDB inclui muitos outros recursos e uma mensagem de ajuda
detalhada com detalhes. Execute o comando ./alloydb-auth-proxy --help para
descobrir outras opções de configuração.
Interagir com a equipe de desenvolvimento no GitHub
Se você acredita que encontrou um bug ou tem uma solicitação de recurso, entre em contato com a equipe de desenvolvimento no repositório do GitHub do AlloyDB Auth Proxy.