AlloyDB Auth 代理连接问题排查

本页面列出了问题排查提示,以便您在使用 AlloyDB Auth Proxy 时遇到问题时参考。

如果在使用 AlloyDB Auth 代理连接到 AlloyDB 实例时遇到问题,可尝试通过以下几种方法来找出问题原因:

  • 仔细检查 AlloyDB Auth Proxy 输出,并查找错误。通常,错误消息会提供您确定问题根源和解决方法所需的信息。

  • 如果您收到 403 Forbidden 错误,并且您使用服务账号来验证 AlloyDB Auth 代理,请确保服务账号具有正确的权限。

    提供这些权限的预定义 AlloyDB 角色是 Cloud AlloyDB Client (roles/alloydb.client) 和 Cloud AlloyDB Admin (roles/alloydb.admin)。此外,您还必须添加 Service Usage Consumer (roles/serviceusage.serviceUsageConsumer) 角色。

  • 请务必启用 AlloyDB Admin API。

    如果未启用该 API,则 AlloyDB Auth 代理日志中会显示 Error 403: Access Not Configured 之类的输出。

  • 如果要使用 UNIX 套接字进行连接,请确认已通过列出启动 AlloyDB Auth 代理时提供的目录创建了套接字。

  • 如果您有出站防火墙政策,请确保该政策允许连接到目标 AlloyDB 实例上的端口 5433。

  • 配额问题:如果您看到与超出配额相关的错误,请确定配额问题的来源(例如,应用滥用连接器,并且不必要地创建新连接),或与支持团队联系以请求增加 AlloyDB Admin API 配额。

  • 如果您收到包含 reauth related error 的错误消息的 400 Bad Request 响应,请刷新 gcloud 应用默认凭据:

    gcloud auth application-default login

    如需了解详情,请参阅应用默认凭据的工作原理